在线播放一区二区三区_ 談?wù)処P、MAC與交換機端口綁定的方法

談?wù)?/span>IP、MAC與交換機端口綁定的方法

Jack Zhai

信息安全管理者都希望在發(fā)生安全事件時(shí)，不僅可以定位到計算機，而且定位到使用者的實(shí)際位置，利用MAC與IP的綁定是常用的方式，IP地址是計算機的“姓名”，網(wǎng)絡(luò )連接時(shí)都使用這個(gè)名字；MAC地址則是計算機網(wǎng)卡的“身份證號”，不會(huì )有相同的，因為在廠(chǎng)家生產(chǎn)時(shí)就確定了它的編號。IP地址的修改是方便的，也有很多工具軟件，可以方便地修改MAC地址，“身份冒充”相對容易，網(wǎng)絡(luò )就不安全了。

遵從“花瓶模型”信任體系的思路，對用戶(hù)進(jìn)行身份鑒別，大多數人采用基于802.1x協(xié)議的身份認證技術(shù)(還可以基于應用的身份認證、也可以是基于Cisco的EOU技術(shù)的身份認證)，目的就是實(shí)現用戶(hù)賬號、IP、MAC的綁定，從計算機的確認到人的確認。

身份認證模式是通過(guò)計算機內安全客戶(hù)端軟件，完成登錄網(wǎng)絡(luò )的身份鑒別過(guò)程，MAC地址也是通過(guò)客戶(hù)端軟件送給認證服務(wù)器的，具體的過(guò)程這里就不多說(shuō)了。

一、 問(wèn)題的提出與要求

有了802.1x的身份認證，解決的MAC綁定的問(wèn)題，但還是不能定位用戶(hù)計算機的物理位置，因為計算機接入在哪臺交換機的第幾個(gè)端口上，還是不知道，用戶(hù)計算機改變了物理位置，管理者只能通過(guò)其他網(wǎng)管系統逐層排查。那么，能否可以把交換機端口與IP、MAC一起綁定呢？這樣計算機的物理位置就確定了。

首先這是有關(guān)安全標準的要求：

1) 重要安全網(wǎng)絡(luò )中，要求終端安全要實(shí)現MAC\IP\交換機端口的綁定

2) 有關(guān)專(zhuān)用網(wǎng)絡(luò )中，要求未使用的交換機端口要處于關(guān)閉狀態(tài)(未授權前不打開(kāi))

其次，實(shí)現交換機端口綁定的目標是：

防止外來(lái)的、未授權的計算機接入網(wǎng)絡(luò )(訪(fǎng)問(wèn)網(wǎng)絡(luò )資源)

當有計算機接入網(wǎng)絡(luò )時(shí)，安全監控系統能夠立即發(fā)現該計算機的MAC與IP，以及接入的交換機端口信息，并做出身份驗證，屬于未授權的能夠報警或終止計算機的繼續接入，或者禁止它訪(fǎng)問(wèn)到網(wǎng)絡(luò )的任何資源

當有安全事件時(shí)，可以根據用戶(hù)綁定的信息，定位到機器(MAC與IP)、定位到物理位置(交換機端口)、定位到人(用戶(hù)賬號、姓名、電話(huà)…)

二、 實(shí)現交換機端口信息綁定的策略

根據接入交換機的安全策略，可以把端口信息綁定分為兩種方式：靜態(tài)方式與動(dòng)態(tài)方式

1、靜態(tài)方式：固定計算機的位置，只能在預先配置好的交換機端口接入，未配置(授權申請)的不能接入網(wǎng)絡(luò )。

靜態(tài)的意思就是關(guān)閉交換機的MAC地址學(xué)習功能，計算機只能從網(wǎng)絡(luò )唯一允許的位置接入網(wǎng)絡(luò )，否則交換機不給予數據轉發(fā)，所以只要該計算機登錄，必然是固定的位置。

2、動(dòng)態(tài)方式：計算機可以隨機接入交換機的不同端口，在網(wǎng)絡(luò )準入身份認證的同時(shí)，從交換機中動(dòng)態(tài)提取計算機所在的交換機端口信息，動(dòng)態(tài)地與MAC、IP等信息一起綁定。

動(dòng)態(tài)的意思是安全系統在計算機接入網(wǎng)絡(luò )時(shí)，自動(dòng)搜索到交換機的端口信息，當然這個(gè)信息只能來(lái)自于交換機，不可能來(lái)自于客戶(hù)端軟件。

三、 交換機端口綁定方案一：協(xié)議改造

標準的802.1x協(xié)議中，交換機負責控制端口與數據端口的管理，但沒(méi)有把端口信息加載在認證數據包中，一些交換機廠(chǎng)家擴展了802.1x協(xié)議(私有協(xié)議)，增加了端口信息，顯然這種方案屬于動(dòng)態(tài)綁定方式。

方案的要點(diǎn)：

所有接入層的交換機要支持該私有擴展協(xié)議(交換機必須是同一廠(chǎng)家的)

終端安全系統的服務(wù)器要支持擴展的認證協(xié)議(增加交換機端口)

方案的優(yōu)缺點(diǎn)：

優(yōu)點(diǎn)是綁定協(xié)議實(shí)現完整

缺點(diǎn)是網(wǎng)絡(luò )交換機都需要是一個(gè)廠(chǎng)家的，因為私有協(xié)議是難以互通的，同時(shí)終端安全系統也需要是定制的

四、 交換機端口綁定方案二：主動(dòng)查詢(xún)

修改交換機上的協(xié)議是困難的，但我們可以主動(dòng)探測端口信息，交換機支持網(wǎng)管功能，通過(guò)查詢(xún)交換機內的FDB表(交換機內用來(lái)維護轉發(fā)的信息表，內容包括對應端口、MAC、Vlan)，就可以獲得端口信息，顯然這種方案也是動(dòng)態(tài)綁定方式。

實(shí)現步驟：

1) 用戶(hù)通過(guò)客戶(hù)端軟件進(jìn)行身份認證

2) 交換機把認證請求發(fā)送給服務(wù)器

3) 服務(wù)器通過(guò)SNMP協(xié)議查詢(xún)交換機的FDB表，確認此時(shí)該PC所在的交換機端口號信息

4) 認證服務(wù)器確認賬號/MAC/IP/端口號，給出認證通過(guò)信息

5) 用戶(hù)認證通過(guò)，開(kāi)始訪(fǎng)問(wèn)業(yè)務(wù)

方案的要點(diǎn)：

交換機支持網(wǎng)管功能(snmp協(xié)議)，支持FDB表的查詢(xún)

終端安全系統的服務(wù)器要定制支持FDB查詢(xún)功能

方案的優(yōu)缺點(diǎn)：

優(yōu)點(diǎn)是可以采用不同廠(chǎng)家的交換機，只要支持網(wǎng)管snmp協(xié)議即可

五、 交換機端口綁定方案三：靜態(tài)綁定

安全性要求比較高的網(wǎng)絡(luò )，交換機端口的分配是確定的，未分配的端口默認是關(guān)閉的，因此，需要動(dòng)態(tài)查詢(xún)的“機會(huì )”應該說(shuō)是沒(méi)有的，既然是確定的，就直接“寫(xiě)入”到交換機內，不輕易改動(dòng)，所以叫靜態(tài)方式。

實(shí)現步驟：

1) 關(guān)閉交換機的端口MAC學(xué)習功能，把計算機的MAC配置在交換機端口上，并把計算機的MAC與交換機端口信息，輸入到終端安全服務(wù)器的資源管理中

2) 用戶(hù)通過(guò)客戶(hù)端軟件進(jìn)行身份認證

3) 交換機把認證請求發(fā)送給服務(wù)器 (由于交換機端口中有該計算機的MAC，所以轉發(fā)認證數據包)

4) 認證服務(wù)器確認賬號/MAC/IP，并從資源庫中提取交換機端口號信息，一同綁定，給出認證通過(guò)信息

5) 用戶(hù)認證通過(guò)，進(jìn)行正常訪(fǎng)問(wèn)業(yè)務(wù)

方案的要點(diǎn)：

關(guān)閉交換機自學(xué)習功能，人工靜態(tài)配置MAC信息

終端安全系統的服務(wù)器進(jìn)行資源管理，記錄MAC與交換機端口信息

方案的優(yōu)缺點(diǎn)：

優(yōu)點(diǎn)是計算機接入端口信息固定，網(wǎng)絡(luò )準入層次提高，避免計算機身份冒充行為，從交換機底層控制未知的計算機是不能接入網(wǎng)絡(luò )的

缺點(diǎn)是人工配置MAC，安全管理工作多

六、 三種方案的比較

方案	方案特定	適用范圍
方案1：協(xié)議改造	協(xié)議實(shí)現完整，要求交換機是同廠(chǎng)家的，網(wǎng)絡(luò )改造投入大	適合新建網(wǎng)絡(luò )，或者是小型網(wǎng)絡(luò )系統安全改造
方案2：主動(dòng)查詢(xún)	方案相對完美，不要求交換機同廠(chǎng)家，但要求支持網(wǎng)管功能	適合大型網(wǎng)絡(luò )或網(wǎng)絡(luò )改造的安全管理
方案3：靜態(tài)綁定	方案相對簡(jiǎn)單，對交換機沒(méi)有要求，方案的安全性又較高，尤其在未授權計算機的接入控制上	適合于涉密要求高的網(wǎng)絡(luò )，適合于專(zhuān)用網(wǎng)絡(luò )的安全管理

本文出自 “Jack zhai” 博客，請務(wù)必保留此出處http://zhaisj.blog.51cto.com/219066/366563

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久