802.1X在校园网中存在的安全隐患

　　在缺乏保护的共享式网段中，简单地使用标准802.1X协议，容易造成如中间人攻击、会话劫持攻击、拒绝服务攻击、IP地址伪造、MAC 地址伪造、网络接入盗用等安全隐患。用标准802.1X认证在认证通过后的安全性成为很大问题，而且其无法满足网络接入管理控制的需求。

　　因此，要使用802.1X认证就必须对其进行相关的扩展。在用户认证前，对被认证者进行详细的检查，这些检查不仅仅包括用户名和密码，还可以包括用户设备IP、用户设备MAC、认证交换机IP、认证交换机端口等。

　　在通过认证后，通过控制交换设备，可以进行IP 绑定、MAC 绑定、ACL配置等工作，提高其认证后的安全性。然而据了解，目前校园网中运用广泛的H3C认证系统和锐捷认证系统基本框架是用户名与用户设备IP、用户设备MAC、认证交换机IP、认证交换机端口信息的绑定，在接入认证交换机上仅仅绑定用户设备MAC与端口对应，而用户设备IP并未真正绑定到接入认证交换机上。所以，接入认证交换机上的绑定其实是一种壹儆绑定，易发生安全问题。

　　1.中间人攻击：它是一种“间接”的入侵攻击，这种攻击模式是一台黑客主机通过各种技术手段给两台直接通信主机发送伪造ARP应答报文，使两台直接通信主机间接通过黑客主机通信，此过程中黑客主机可窃取和篡改传递信息。通常，这种“拦截数据-修改数据-发送数据”的过程就被称为“会话劫持”。

　　2.拒绝服务攻击：是指攻击者利用攻击工具向服务器发送大量伪造不同源IP地址的连接请求报文，造成交换机CPU持续上升，网络资源耗尽，使网络无法正常工作。

　　3.网络接入盗用：是指盗用合法用户信息(如用户名、密码、IP地址、MAC地址等)接入上网，导致他人I P 冲突、流量丢失或者无法上网等。

　　基于802.1X的接入认证安全防御

　　用户通过802.1X接入认证后成为合法用户，但成为合法用户只是跨越网络安全问题的第一道门槛。合法用户会因为中毒而被动、或者好奇而主动发送欺骗类报文到网络中，从而导致其他用户不能正常访问网络。对网络管理部门而言，大量的投诉与咨询会不断收到。交换机作为网络接入的入口设备，如果能将这类欺骗报文隔离在外，仅允许合法报文进入网络，则可完美解决因此而带来的网络问题。协同采用ARP入侵检测和IP过滤安全防御机制可解决此类问题。

　　ARP入侵检测防御

　　为了防止黑客或攻击者通过ARP报文实施中间人攻击或会话劫持攻击，需要使用交换机网络(通过交换机传输)代替共享式网络(通过集线器传输)，此外还需要使用静态ARP、捆绑MAC地址+IP地址等ARP入侵检测功能来限制欺骗。用户可以通过配置信任端口，灵活控制ARP报文检测。对于来自信任端口的所有ARP报文不进行检测，对其他端口的ARP报文检测其源MAC地址、源IP地址等信息与DHCPSnooping表或手工配置的IP静态绑定表项是否一致，一致则认为是合法ARP报文，进行转发；否则直接丢弃。

　　IP过滤防御

　　为了防止拒绝服务攻击和I P 地址伪造，交换机可以通过DHCP Snooping表和IP静态绑定表，对非法IP 报文进行过滤。交换机对IP报文的过滤方式有两种：根据报文中的源IP 地址进行过滤和根据报文中的源IP 地址和源MAC地址进行过滤。如果报文中信息与DHCP Snooping表或手工配置的IP静态绑定表项一致，则认为是合法的报文，进行转发；否则认为是非法报文，直接丢弃。

　　ARP入侵检测+IP过滤防御

　　前文中提到802.1X认证虽然可以检测用户名、用户IP地址、用户MAC地址等信息，但其实是基于用户MAC地址+交换机端口绑定的，要想实现ARP入侵检测防御和IP过滤防御，就必需在接入认证交换机上做到“真实”的用户IP地址+用户MAC地址+交换机端口的绑定。这样不但可以防止中间人攻击和拒绝服务攻击等，还可以避免大部分网络接入盗用情况。但是仍存在一种盗用情况尚未解决：影子用户，即与合法用户完全相同的用户名、密码、IP 地址、MAC地址信息等。针对这种情况则需要更多的信息绑定来防止盗用，如VLAN或PC标识等。

　　对于DHCP动态分配IP模式，用户通过802.1X认证后，DHCP服务器下发IP地址，经过接入认证交换机时形成DHCPSnooping表绑定用户IP地址+用户MAC地址+交换机端口。然而动态分配IP模式，存在着非法用户伪造合法用户申请IP地址和网络参数，可能造成IP 地址浪费。

　　对于静态分配IP模式，用户可以手工配置IP静态绑定表项，但当网络规模较大时，手工配置工作量增加，显然不太现实。由于802.1X认证服务器存在一个数据库，数据库中包含用户名、用户IP地址、用户MAC 地址等对应信息表项，故可以通过802.1X认证服务器下发用户IP地址、用户MAC地址等表项到接入认证交换机，这样可避免手工配置的麻烦，降低网络维护成本，从而达到用户IP地址+用户MAC地址+交换机设备+交换机端口的绑定关系。

　　在混合地址分配环境下，即IP地址的动态分配与静态分配结合情况，基于802.1X都可以很好地做到IP+MAC绑定关系来抵御中间人攻击、拒绝服务攻击、IP地址伪造、MAC地址伪造、网络接入盗用等安全威胁，有利于营造一个安全可靠、可运营、可管理的网络环境。

　　本文探讨了基于802.1X的校园网接入认证安全防御，采用802.1X认证技术，结合ARP入侵检测防御和IP过滤防御机制，经过在校园网实际应用中，表明这些机制有助于校园网管理、维护工作，能够很好地解决校园网难管理及安全问题，可减少管理和维护工作，提升校园网的安全性，能够为校园信息化建设提供重要的支撑平台。

　　(作者单位为华南理工大学信息网络工程研究中心)

　　参考阅读：

　　[1] 谢希仁.计算机网络[M]. 北京：电子工业出版社，2008.

　　[2] 刘小飞.多种宽带接入认证方式[J]. 产业与科技论坛，2011(07)：134-135.

　　[3] 罗汉云, 宋勇.802.1X认证技术分析[J].安庆师范学院学报：自然科学版，2009,15(1).

　　[4] 于承斌, 崔蒙, 尚年等. 基于802.1X的认证系统防ARP欺骗技术[J]. 信息技术,2009(1).