1 IEEE802.1X协议诞生背景
在20世纪90年代后期,为解决无线网络安全问题,lEEE802委员会提出了lEEE802.1X协议,要求通过对连接到局域网的用户进行授权和认证的方式保护网络安全。随后,该协议作为一种网络端口接入机制被广泛应用于以太网当中,取得了一定的成效。lEEE802.1X标准提供了一种独立于网络服务类型的基于网络端口访问接入控制CPort based Access Control的标准,用于基于以太网的局域网、广域网和无线网等用户和用户设备的接入认证。在实际应用中,lEEE802.1X虽然能克服一系列局域网接入中的安全漏洞,但也存在一些安全隐患。
2 IEEE802.1X三大组成部分及工作机制
第一:lEEE802.1X三大组成部分:lEEE802.1X协议由三部分组成,客户端请求、认证系统和认证服务器。只要客户端装有EAPoE客户端软件,就可以实现对交换机端口的接入控制。一般情况下,用户可以启动客户端软件进行lEEE802.1X协议认证。
第二:lEEE802.1X工作机制:在初始状态下,交换机上的所有端口都处于关闭状态,只有lEEE802.1X数据流才能通过,比如DHCP励态主机配置协议),H TTP(超文本传输协议),FTP(坟件传输协议),SM TP(简单文件传输协议),PO P3(邮局协议)等都被禁止。当用户通过EAPoE登陆交换机时,交换机将用户提供的用户名、口令传输到后台的RADIUS认证服务器上,如果通过验证,则相应的受控口打开,允许用户访问。
3 IEEE802.1X的不安全因素分析
IEEE802.1X协议是一种基于exver的认证和访问控制协议,它可以有效地限制那些未经授权的用户或设备接入端口,保障了局域网和正常接入用户的安全。在获得交换机或办理各种LA N提供的业务之前,lEEE802.1X会对端口接入用户或设备进行认证。而在认证未通过之前,lEEE802.1X一般只允许通过认证的设备连接端口。待认证通过之后,所有正确的数据均可以通过以太网连接至端口。
根据以太网各个物理端口的性质,我们可以将其分为受控逻辑端口和不受控逻辑端口。其中,物理端口负责将接收到的各个帧分送至受控和不受控端口。通过功能来看,不受控端口主要用于认真信息传输,通常处于双向连通状态,而受控端口的状态主要取决于端口的授权情况。由于IEEE802.1X协议的不对称性,其只提供了认证点对认证请求者的身份验证,却没有认证请求者对认证点的验证,使伪造EAPO L-Start,EAPO L-LogofF消息变得很方便,这就容易导致中间人攻击,从而窃取用户信息,或是抢占网络资源。
4总结
lEEE802.1X认证协议虽然适合网络安全接入,但是还不算完整的准入机制,一个完整而安全的接入访问控制除了具有基于端口的访问控制功能外,还应该具有完整的访问控制,严格禁止不安全端口和不安全地址的访问控制,一套完整的防伪隔离技术及补救措施。
参考文献:
[1]杨威,土杏元.网络工程设计与安装第三版)[M〕.电子工业出版社,2012.5.
[2]赵安军,等.网络安全技术与应用[M ].人民邮电出版社,2007.
[3]车世安,贺全荣.局域网组建、管理及维护实用教程[M〕.北京:清华大学出版社,2009.