1、802.1x协议
802.1x协议是一种数据链路层身份验证协议.发送认证协议数据包对连接到交换机端口上的用户/设备进行身份认证.认证通过后才允许正常的数据通过交换机端口,控制着对内部网络接入点的访问。使用802.1X协议的优势有几点。
(1)实现简单:802.1x可以借助CISCO RADIUS服务器实现身份认证功能,在小规模网络环境下也可采用本地认证的方式.网络综合造价成本低。
(2)安全可靠:802.1x身份认证方式可结合MAC地址、端口、VLAN等绑定技术并封装用户名/密码,安全性较高。
(3)行业标准:802.IX协议是IEEE标准技术,微软Windows XP、Linux等客户端操作系统和Cisco、华为、H3C等网络设备IOS都提供了对该协议的支持。
2、网络准人控制系统体系结构
基于802.1x的网络准入控制系统能够对局域网内的计算机进行控制。如图1所示,802.1x用户身份认证系统有四个组件。
(1)客户端系统客户端使用客户端软件向接入端发起802.1x认证请求。在客户端和接入端之间使用EAPOL格式封装EAP协议数据传送认证信息,包括EAP-MD5、PEAP和EAP-TLS三种认证方式。
(2)接入端系统接入端对客户端进行认证。接入端设备包括可控端口和不可控端口,只有在通过802.1x认证后业务数据才允许通过可控端口,而不可控端口则不受限制,允许所有的协议数据和业务数据通过。
(3)认证服务器系统认证服务器为接入端提供认证服务,使用RADIUS协议双向传送认证信息。
(4)安全基础设施安全基础设施包括认证机构CA、注册机构RA,LDAP存储库等组件,用于提供对其他系统中的实体可信授权验证服务。
3、网络准入控制系统部署
(1)客户端系统
客户端通常是支持802.1x认证的用户设备,如个人计算机。客户端启动客户端软件向接入端发起802.1x认证请求,合法用户通过认证后可访问本地网络资源。对未安装规定安全客户端软件的,可设置为持续弹出对话框提示安装。
在Windows XP操作系统中802.1x设置方法为:打开网络连接属性,在“身份验证”选项卡中勾选“启用IEEE 802.1 x身份验证”,选择EAP类型(有MDS一质询、受保护的 EAP(PEAP)、智能卡或其他证书三种类型)。若网络连接属性里没有“身份验证”选项卡,则需在操作系统中开启Wired AutoConfig服务。
传统802.1x使用MDS-Challenge认证,在接入网络时只输用户名和口令,为增强安全性可选择采用数字证书的PEAP和EAP-TLS方式。
(2)接入端系统
接入端通常为支持802.1x协议的交换机等网络设备。在Cisco交换机上基本配置方式如下:
(config)#aaa new-model //启动AAA。
(config)#radius-server host XX.XX.XX.XX key//配置RADIUS服务器地址及密钥。
(config)#aaa authentication dotlx default group radius //配置802.1 x默认认证方法为RADIUS。
(config)#dotlx system-auth-control //在交换机上全局启用802.1 x认证。
(config)#int fa0/1
(config-if)#switchport mode access
(config-if)#dotlx port-control auto //设置接口的802.1x状态。
(config-if)#dotlx host-mode mufti-host //通过Hub等方式在交换机端口下连接多台PC时需要配置这个命令,默认只支持对一台PC认证。
(3)认证服务器系统
认证服务器采用RADIUS认证方式,这就要求所有参与认证的网络设备配置RADIUS认证方式。值得注意的是,为支持802.1x ,ACS服务器版本号至少在V3.0以上。在CISCO ACS服务器上配置如下:
1)在Interface Configuration的RADIUS (IETF)中勾选[064]Tunnel-Type, [065]Tunnel-Medium-Type, [081]Tunnel-Private-Group-ID,如图3所示。
2)进人Group Setup的IETF RADIUS中配置802.1x认证属性。
3)在Network Configuration中添加网络接入设备,指定网络接入设备的IP地址,Authenticate Using选择RADIUS(IETF) 。
4)在User setup中添加上网用户。
另外,为节约成本,在小规模网络环境下也可采用本地认证的方式,而不用建立认证服务器。
(4)安全基础设施
PEAP需要一个认证服务器数字证书,EAP-TLS需要客户端和认证服务器证书进行相互验证,从而在客户端和认证服务器端之间创建一条加密的隧道。
CA,RA,LDAP的创建以及数字证书的下载、验证和维护等技术可参考相关技术文档,如《数字证书认证系统培训教材》(国家信息安全工程技术研究中心李增欣)、《如何从Windows CA获取数字证书》(百度文库)等。
4、要点
基于IEEE 802.1x协议的网络准人控制系统提供了一种本地用户接入认证的手段,大大提高了网络的安全性。但该系统在部署过程中应注意两个问题。
局域网网络设备的操作系统版本需支持相关安全性协议,如支持数字证书、加密等功能,部署实施存在一定的难度和复杂性。以Cisco设备为例,用sh version命令查看Cisco IOS文件名中有无Advsecurityk9或Advsecurityk8字符串。若没有则表明当前版本不支持安全性配置,需进行网络设备操作系统软件版本升级。
当一个合法用户通过802.1 x认证后,端口处于“授权”状态,连接的交换机端口允许通过业务数据,此时若有其它用户使用交换机、集线器等级联接入已该端口时,不需要进行认证就可访问网络资源。因此应采取技术、管理等措施尽量避免在该端口下接入多个用户。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
相关文章
