计算机网络——3A安全认证

举报
Vista_AX 发表于 2023/06/28 07:33:03 2023/06/28
【摘要】 计算机网络——3A安全认证

点赞后看,养成习惯
喜欢的话 可以点个关注哟
你们的点赞支持对博主们来说很重要哦 !!!

本文将针对以下问题逐条进行解答:

01 为什么需要安全认证?

02 入网安全三要素是什么?

03 如果公司员工的位置信息经常变动,是不是需要网络管理员一直配置Vlan呢?

04 3A认证具体的协议是如何工作的?

image.png



01 安全认证的产生原因

我们知道有许多安全措施,其中包括DHCP反欺骗安全措施,ARP反欺骗安全措施。

DHCP反欺骗安全措施,限定了一台主机请求的IP地址数量,相当于规定了一个人最多吃两碗饭,如果你想要第三碗,我是不会给你的。

image.png

ARP反欺骗安全措施,记载了IP地址、MAC地址、端口的对应信息, 如果你想欺骗我,我这都有记录,你是骗不了我的

虽然有这些安全措施,但是如果局域网没有认证,外来访客、合作伙伴都可以将电脑插入交换机,或者连上公司无线AP,以上介绍的种种安全措施又有何用呢?

是的,你房间里布置了各种安保措施,看似很安全。但是你大门却敞开着,妖魔鬼怪都可以进来逛一逛,这还安全嘛?

所以,认证,这是网络安全的前提,是布置安保措施必须做的。


02 入网安全三要素

入网安全三大要素分别是:
认证(Authentication)
授权(Authorization)
审计(Accounting

简称AAA

具体来说:

1、首先,用户接入网络需要验证身份

2、认证合法用户,然后给相对应的权限。

比如公司员工有最高权限,可以访问公司几乎所有网络
合作伙伴次之,可以访问特定的网络资源
而访客只需要有访问外部互联网的权限就可以了

3、最后,要将用户的上网行为记录在日志文件里,可以追踪用户的所作所为,震慑用户不要为非作歹



03 员工的位置信息经常变动情况下,管理员的VLAN配置


在现实中,如果公司员工很多,成百上千人,而且会频繁更换位置。这就意味这用户与用户接入的交换机端口是动态的,不能根据某个端口确定某台主机,那么是不是需要管理员时刻盯着端口与主机的关系,给主机配置VLAN呢?

这分明是不现实的,工作量太大了。而如何克服这个矛盾呢?

有的,这就是企业网目前正在使用的一项技术——ISE

这项技术的原理是:通过认证身份信息,给主机配置身份信息对应的VLAN信息

具体来说:

接入交换机一旦检测到用户信号,就会发起对用户的认证,然后把用户信息加密传输到后台的认证服务器,如Radius服务器,服务器获得用户的ID信息,认证通过之后,根据不同身份、不同部门、分配特定的VLAN

这个特定的VLAN就代表不同的权限,然后后台服务器动态地将用户特定的VLAN传输给接入交换机,交换机在动态配置到交换机上,这一切都是动态的,网络管理员就不要死命的为用户配置VLAN信息了




04 3A认证协议工作流程

原理说起来简单,但是其实背后有着许多协议的交互,我们先从认证开始说起:

点对点链路使用PPP协议封装,在用PAC/CHAP/EAP来认证客户端。比如电话拨号PPP、宽带ADSL PPPoE 、光纤 EPON/GPNO PPPoE,最终都会使用这三个协议来认证用户

以太网是多路访问网络,使用802.1x协议来认证客户端,这是一个链路层的协议,直接将802.1x放在以太网帧后面,无须IP协议头,和ARP协议类似。下面,描述一下整个工作流程:

小明插入网线,打开电脑,电脑初始化TCP/IP协议栈,由一个独立进程构成的,IP进程负责IP协议的初始化,如IP地址、网络掩码等,这是给程序的一些参数初始化。

这时IP进程发现IP参数的获得方式是DHCP,于是发送DHCP Disvovery广播报文。

交换机端口状态此时有点奇怪,接受到了DHCP报文直接丢弃了,这是为什么呢?

因为此时端口还处于未认证状态,交换机认为你是陌生人,只接受你的认证报文, 换句话说,802.1x报文可以自由通信,其他一律禁行

image.png


接到了小明的DHCP报文,交换机知道有用户要接入,触发了认证过程:

1、交换机发一个802.1x报文给小明,目的MAC是小明的MAC,报文的内容是:请出示你的通行证(用户ID)

2、小明的802.1x进程接收到,立马回复说:我的ID是xiaomin,你可以检查一下

3、交换机拿过小明的ID信息,加密传输小明的用户ID给Radius,让上头查一查

4、Radius服务器用共享密钥,解密交换机的加密报文,获得小明的用户ID,然后选取和小明账户相关的认证方法。

假设是EAP-MD5 Chalenge认证方法,则还需要对小明进行明文挑战,明文内容为:你真的是我们的人吗?使用IP/UDP/Radius/EAP封装,发给交换机

5、交换机提取出Radius里的EAP协议消息,在封装成Ethernet/802.1x/EAP,发给小明,由于这里EAP封装在二层协议头,所以称它位 EAP over LAN


6、小明电脑获得明文挑战内容:你真的是我们的人吗? 将其与小明账户密码做字符串连接,然后做MD5散列,生成一个挑战回答,并发送出去

7、交换机提取出EAP消息,然后IP/UDP/Radius/EAP封装,发给Radius服务器

8、服务器获得小明的挑战回答,用本地数据库小明密码与挑战做同样的运算,得到自己的挑战回答,如果两值相等,则认证通过,否则认证失败


9、服务器给交换机发一个认证成功的消息,同时还有小明的VLAN10,以及端口特有配置参数

10、交换机将获得小明端口号的信息,VLAN 10 等配置到端口上,同时更新端口为认证成功状态,即正常工作状态,发一个认证消息给小明,此时可以接受小明的任何报文

11、小明收到认证成功的消息,会触发DHCP进程继续发送 DHCP Discovery广播报文,此广播报文会被位于VLAN 10的网关接收,网关将此广播报文中级给DHCP服务器 10.10.10.10 ,触发后续DHCP操作

12、小明有了自己的IP地址,可以继续登录公司的网络,然后完成所有进程的初始化,可以正常工作了



05 相关知识问答

1、如果打印机,扫描仪、古董服务器不支持802.1x认证,那么该如何认证它们呢?

image.png

因为这些设备通常情况下不会经常移动,所以我们可以直接使用MAC地址认证。

预先把这些机器的MAC地址输入认证服务器的数据库,对这些机器使用MAC做用户ID

配置交换机安装以下顺序来认证用户、机器:

①802.1x

②MAC

③默认

如果机器不支持①,会超时时选择②,只要交换机可以捕获机器的任何报文,就可以获得其MAC,任何再进行认证,最终分配特定的VLAN

访客则会①、②超时,最终交换机会使用默认VLAN,这个默认VLAN只能访问Internet


2、为何说不同的VLAN代表不同的访问权限?

①在一个安全性较高的公司,网关一般由防火墙充当,防火墙使用物理接口下的子接口,采用802.1q封装,可以是任何VLAN里的一员

②VLAN则代表不同的网段,会通过访问控制列表ACL来进行权限控制

image.png





以上文章,作为自己的学习笔记,仅供参考

本文完,感谢你的阅读!!!

最后,如果本文对你有所帮助,希望可以点个赞支持一下。你们的鼓励将会是博主原创的动力。
)

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。