在缺乏保护的共享式网段中,简单地使用标准802.1X协议,容易造成如中间人攻击、会话劫持攻击、拒绝服务攻击、IP地址伪造、MAC 地址伪造、网络接入盗用等安全隐患。用标准802.1X认证在认证通过后的安全性成为很大问题,而且其无法满足网络接入管理控制的需求。
因此,要使用802.1X认证就必须对其进行相关的扩展。在用户认证前,对被认证者进行详细的检查,这些检查不仅仅包括用户名和密码,还可以包括用户设备IP、用户设备MAC、认证交换机IP、认证交换机端口等。
在通过认证后,通过控制交换设备,可以进行IP 绑定、MAC 绑定、ACL配置等工作,提高其认证后的安全性。然而据了解,目前校园网中运用广泛的H3C认证系统和锐捷认证系统基本框架是用户名与用户设备IP、用户设备MAC、认证交换机IP、认证交换机端口信息的绑定,在接入认证交换机上仅仅绑定用户设备MAC与端口对应,而用户设备IP并未真正绑定到接入认证交换机上。所以,接入认证交换机上的绑定其实是一种壹儆绑定,易发生安全问题。
1.中间人攻击:它是一种“间接”的入侵攻击,这种攻击模式是一台黑客主机通过各种技术手段给两台直接通信主机发送伪造ARP应答报文,使两台直接通信主机间接通过黑客主机通信,此过程中黑客主机可窃取和篡改传递信息。通常,这种“拦截数据-修改数据-发送数据”的过程就被称为“会话劫持”。
2.拒绝服务攻击:是指攻击者利用攻击工具向服务器发送大量伪造不同源IP地址的连接请求报文,造成交换机CPU持续上升,网络资源耗尽,使网络无法正常工作。
3.网络接入盗用:是指盗用合法用户信息(如用户名、密码、IP地址、MAC地址等)接入上网,导致他人I P 冲突、流量丢失或者无法上网等。
基于802.1X的接入认证安全防御
用户通过802.1X接入认证后成为合法用户,但成为合法用户只是跨越网络安全问题的第一道门槛。合法用户会因为中毒而被动、或者好奇而主动发送欺骗类报文到网络中,从而导致其他用户不能正常访问网络。对网络管理部门而言,大量的投诉与咨询会不断收到。交换机作为网络接入的入口设备,如果能将这类欺骗报文隔离在外,仅允许合法报文进入网络,则可完美解决因此而带来的网络问题。协同采用ARP入侵检测和IP过滤安全防御机制可解决此类问题。