计算机网络——3A安全认证
点赞后看,养成习惯
喜欢的话 可以点个关注哟
你们的点赞支持对博主们来说很重要哦 !!!
本文将针对以下问题逐条进行解答:
01 为什么需要安全认证?
02 入网安全三要素是什么?
03 如果公司员工的位置信息经常变动,是不是需要网络管理员一直配置Vlan呢?
04 3A认证具体的协议是如何工作的?
01 安全认证的产生原因
我们知道有许多安全措施,其中包括DHCP反欺骗安全措施,ARP反欺骗安全措施。
DHCP反欺骗安全措施,限定了一台主机请求的IP地址数量,相当于规定了一个人最多吃两碗饭,如果你想要第三碗,我是不会给你的。
ARP反欺骗安全措施,记载了IP地址、MAC地址、端口的对应信息, 如果你想欺骗我,我这都有记录,你是骗不了我的
虽然有这些安全措施,但是如果局域网没有认证,外来访客、合作伙伴都可以将电脑插入交换机,或者连上公司无线AP,以上介绍的种种安全措施又有何用呢?
是的,你房间里布置了各种安保措施,看似很安全。但是你大门却敞开着,妖魔鬼怪都可以进来逛一逛,这还安全嘛?
所以,认证,这是网络安全的前提,是布置安保措施必须做的。
02 入网安全三要素
入网安全三大要素分别是:
认证(Authentication)
授权(Authorization)
审计(Accounting)
简称AAA
具体来说:
1、首先,用户接入网络需要验证身份
2、认证合法用户,然后给相对应的权限。
比如公司员工有最高权限,可以访问公司几乎所有网络
合作伙伴次之,可以访问特定的网络资源
而访客只需要有访问外部互联网的权限就可以了
3、最后,要将用户的上网行为记录在日志文件里,可以追踪用户的所作所为,震慑用户不要为非作歹
03 员工的位置信息经常变动情况下,管理员的VLAN配置
在现实中,如果公司员工很多,成百上千人,而且会频繁更换位置。这就意味这用户与用户接入的交换机端口是动态的,不能根据某个端口确定某台主机,那么是不是需要管理员时刻盯着端口与主机的关系,给主机配置VLAN呢?
这分明是不现实的,工作量太大了。而如何克服这个矛盾呢?
有的,这就是企业网目前正在使用的一项技术——ISE
这项技术的原理是:通过认证身份信息,给主机配置身份信息对应的VLAN信息
具体来说:
接入交换机一旦检测到用户信号,就会发起对用户的认证,然后把用户信息加密传输到后台的认证服务器,如Radius服务器,服务器获得用户的ID信息,认证通过之后,根据不同身份、不同部门、分配特定的VLAN
这个特定的VLAN就代表不同的权限,然后后台服务器动态地将用户特定的VLAN传输给接入交换机,交换机在动态配置到交换机上,这一切都是动态的,网络管理员就不要死命的为用户配置VLAN信息了
04 3A认证协议工作流程
原理说起来简单,但是其实背后有着许多协议的交互,我们先从认证开始说起:
点对点链路使用PPP协议封装,在用PAC/CHAP/EAP来认证客户端。比如电话拨号PPP、宽带ADSL PPPoE 、光纤 EPON/GPNO PPPoE,最终都会使用这三个协议来认证用户
以太网是多路访问网络,使用802.1x协议来认证客户端,这是一个链路层的协议,直接将802.1x放在以太网帧后面,无须IP协议头,和ARP协议类似。下面,描述一下整个工作流程:
小明插入网线,打开电脑,电脑初始化TCP/IP协议栈,由一个独立进程构成的,IP进程负责IP协议的初始化,如IP地址、网络掩码等,这是给程序的一些参数初始化。
这时IP进程发现IP参数的获得方式是DHCP,于是发送DHCP Disvovery广播报文。
交换机端口状态此时有点奇怪,接受到了DHCP报文直接丢弃了,这是为什么呢?
因为此时端口还处于未认证状态,交换机认为你是陌生人,只接受你的认证报文, 换句话说,802.1x报文可以自由通信,其他一律禁行
接到了小明的DHCP报文,交换机知道有用户要接入,触发了认证过程:
1、交换机发一个802.1x报文给小明,目的MAC是小明的MAC,报文的内容是:请出示你的通行证(用户ID)
2、小明的802.1x进程接收到,立马回复说:我的ID是xiaomin,你可以检查一下
3、交换机拿过小明的ID信息,加密传输小明的用户ID给Radius,让上头查一查
4、Radius服务器用共享密钥,解密交换机的加密报文,获得小明的用户ID,然后选取和小明账户相关的认证方法。
假设是EAP-MD5 Chalenge认证方法,则还需要对小明进行明文挑战,明文内容为:你真的是我们的人吗?使用IP/UDP/Radius/EAP封装,发给交换机
5、交换机提取出Radius里的EAP协议消息,在封装成Ethernet/802.1x/EAP,发给小明,由于这里EAP封装在二层协议头,所以称它位 EAP over LAN
6、小明电脑获得明文挑战内容:你真的是我们的人吗? 将其与小明账户密码做字符串连接,然后做MD5散列,生成一个挑战回答,并发送出去
7、交换机提取出EAP消息,然后IP/UDP/Radius/EAP封装,发给Radius服务器
8、服务器获得小明的挑战回答,用本地数据库小明密码与挑战做同样的运算,得到自己的挑战回答,如果两值相等,则认证通过,否则认证失败
9、服务器给交换机发一个认证成功的消息,同时还有小明的VLAN10,以及端口特有配置参数。
10、交换机将获得小明端口号的信息,VLAN 10 等配置到端口上,同时更新端口为认证成功状态,即正常工作状态,发一个认证消息给小明,此时可以接受小明的任何报文
11、小明收到认证成功的消息,会触发DHCP进程继续发送 DHCP Discovery广播报文,此广播报文会被位于VLAN 10的网关接收,网关将此广播报文中级给DHCP服务器 10.10.10.10 ,触发后续DHCP操作
12、小明有了自己的IP地址,可以继续登录公司的网络,然后完成所有进程的初始化,可以正常工作了
05 相关知识问答
1、如果打印机,扫描仪、古董服务器不支持802.1x认证,那么该如何认证它们呢?
因为这些设备通常情况下不会经常移动,所以我们可以直接使用MAC地址认证。
预先把这些机器的MAC地址输入认证服务器的数据库,对这些机器使用MAC做用户ID。
配置交换机安装以下顺序来认证用户、机器:
①802.1x
②MAC
③默认
如果机器不支持①,会超时时选择②,只要交换机可以捕获机器的任何报文,就可以获得其MAC,任何再进行认证,最终分配特定的VLAN
访客则会①、②超时,最终交换机会使用默认VLAN,这个默认VLAN只能访问Internet
2、为何说不同的VLAN代表不同的访问权限?
①在一个安全性较高的公司,网关一般由防火墙充当,防火墙使用物理接口下的子接口,采用802.1q封装,可以是任何VLAN里的一员
②VLAN则代表不同的网段,会通过访问控制列表ACL来进行权限控制
以上文章,作为自己的学习笔记,仅供参考
本文完,感谢你的阅读!!!
最后,如果本文对你有所帮助,希望可以点个赞支持一下。你们的鼓励将会是博主原创的动力。
)
- 点赞
- 收藏
- 关注作者
评论(0)