1、802.1x協議
802.1x協議是一種數據鏈路層身份驗證協議.發送認證協議數據包對連接到交換機端口上的用戶/設備進行身份認證.認證通過后才允許正常的數據通過交換機端口,控制著對內部網絡接入點的訪問。使用802.1X協議的優勢有幾點。
(1)實現簡單:802.1x可以借助CISCO RADIUS服務器實現身份認證功能,在小規模網絡環境下也可采用本地認證的方式.網絡綜合造價成本低。
(2)安全可靠:802.1x身份認證方式可結合MAC地址、端口、VLAN等綁定技術并封裝用戶名/密碼,安全性較高。
(3)行業標準:802.IX協議是IEEE標準技術,微軟Windows XP、Linux等客戶端操作系統和Cisco、華為、H3C等網絡設備IOS都提供了對該協議的支持。
2、網絡準人控制系統體系結構
基于802.1x的網絡準入控制系統能夠對局域網內的計算機進行控制。如圖1所示,802.1x用戶身份認證系統有四個組件。
(1)客戶端系統客戶端使用客戶端軟件向接入端發起802.1x認證請求。在客戶端和接入端之間使用EAPOL格式封裝EAP協議數據傳送認證信息,包括EAP-MD5、PEAP和EAP-TLS三種認證方式。
(2)接入端系統接入端對客戶端進行認證。接入端設備包括可控端口和不可控端口,只有在通過802.1x認證后業務數據才允許通過可控端口,而不可控端口則不受限制,允許所有的協議數據和業務數據通過。
(3)認證服務器系統認證服務器為接入端提供認證服務,使用RADIUS協議雙向傳送認證信息。
(4)安全基礎設施安全基礎設施包括認證機構CA、注冊機構RA,LDAP存儲庫等組件,用于提供對其他系統中的實體可信授權驗證服務。
3、網絡準入控制系統部署
(1)客戶端系統
客戶端通常是支持802.1x認證的用戶設備,如個人計算機。客戶端啟動客戶端軟件向接入端發起802.1x認證請求,合法用戶通過認證后可訪問本地網絡資源。對未安裝規定安全客戶端軟件的,可設置為持續彈出對話框提示安裝。
在Windows XP操作系統中802.1x設置方法為:打開網絡連接屬性,在“身份驗證”選項卡中勾選“啟用IEEE 802.1 x身份驗證”,選擇EAP類型(有MDS一質詢、受保護的 EAP(PEAP)、智能卡或其他證書三種類型)。若網絡連接屬性里沒有“身份驗證”選項卡,則需在操作系統中開啟Wired AutoConfig服務。
傳統802.1x使用MDS-Challenge認證,在接入網絡時只輸用戶名和口令,為增強安全性可選擇采用數字證書的PEAP和EAP-TLS方式。
(2)接入端系統
接入端通常為支持802.1x協議的交換機等網絡設備。在Cisco交換機上基本配置方式如下:
(config)#aaa new-model //啟動AAA。
(config)#radius-server host XX.XX.XX.XX key//配置RADIUS服務器地址及密鑰。
(config)#aaa authentication dotlx default group radius //配置802.1 x默認認證方法為RADIUS。
(config)#dotlx system-auth-control //在交換機上全局啟用802.1 x認證。
(config)#int fa0/1
(config-if)#switchport mode access
(config-if)#dotlx port-control auto //設置接口的802.1x狀態。
(config-if)#dotlx host-mode mufti-host //通過Hub等方式在交換機端口下連接多臺PC時需要配置這個命令,默認只支持對一臺PC認證。
(3)認證服務器系統
認證服務器采用RADIUS認證方式,這就要求所有參與認證的網絡設備配置RADIUS認證方式。值得注意的是,為支持802.1x ,ACS服務器版本號至少在V3.0以上。在CISCO ACS服務器上配置如下:
1)在Interface Configuration的RADIUS (IETF)中勾選[064]Tunnel-Type, [065]Tunnel-Medium-Type, [081]Tunnel-Private-Group-ID,如圖3所示。
2)進人Group Setup的IETF RADIUS中配置802.1x認證屬性。
3)在Network Configuration中添加網絡接入設備,指定網絡接入設備的IP地址,Authenticate Using選擇RADIUS(IETF) 。
4)在User setup中添加上網用戶。
另外,為節約成本,在小規模網絡環境下也可采用本地認證的方式,而不用建立認證服務器。
(4)安全基礎設施
PEAP需要一個認證服務器數字證書,EAP-TLS需要客戶端和認證服務器證書進行相互驗證,從而在客戶端和認證服務器端之間創建一條加密的隧道。
CA,RA,LDAP的創建以及數字證書的下載、驗證和維護等技術可參考相關技術文檔,如《數字證書認證系統培訓教材》(國家信息安全工程技術研究中心李增欣)、《如何從Windows CA獲取數字證書》(百度文庫)等。
4、要點
基于IEEE 802.1x協議的網絡準人控制系統提供了一種本地用戶接入認證的手段,大大提高了網絡的安全性。但該系統在部署過程中應注意兩個問題。
局域網網絡設備的操作系統版本需支持相關安全性協議,如支持數字證書、加密等功能,部署實施存在一定的難度和復雜性。以Cisco設備為例,用sh version命令查看Cisco IOS文件名中有無Advsecurityk9或Advsecurityk8字符串。若沒有則表明當前版本不支持安全性配置,需進行網絡設備操作系統軟件版本升級。
當一個合法用戶通過802.1 x認證后,端口處于“授權”狀態,連接的交換機端口允許通過業務數據,此時若有其它用戶使用交換機、集線器等級聯接入已該端口時,不需要進行認證就可訪問網絡資源。因此應采取技術、管理等措施盡量避免在該端口下接入多個用戶。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
相關文章
