淺議局域網(wǎng)中Portal接入認證技術與ARP病毒防范

摘 要：目前身份認證技術在局域網(wǎng)中使用比較多的是用戶與系統(tǒng)間的認證。Portal接入認證技術是局域網(wǎng)中常見的接入認證技術，使用Portal三層認證中的直接認證方式和可跨三層認證方式，用戶從DHCP服務器獲取IP地址，然后在用戶的網(wǎng)關或局域網(wǎng)的出口對用戶進Portal方式的認證。同時采用CISCO的DAI功能（動態(tài)ARP檢查）來阻斷ARP攻擊。

關鍵詞：身份認證；DAI；ARP

隨著信息化的快速發(fā)展，組織和個人的信息更多地通過網(wǎng)絡進行存儲、傳輸、處理。與此同時網(wǎng)絡的安全問題不容小覷。而在網(wǎng)絡安全中，身份認證技術有著重要地位，可靠的身份認證技術可以確保信息只被正確的用戶所訪問。認證技術即是用特定方法來證明這一聲明是正確的。

身份認證可以分為用戶與系統(tǒng)間的認證和系統(tǒng)與系統(tǒng)間的認證，目前在局域網(wǎng)中使用比較多的是用戶與系統(tǒng)間的認證，它只需單向進行，只由系統(tǒng)對用戶進行身份驗證。通常身份認證的基本方式可以基于以下一個或幾個因素的組合：第一，用戶所知道的或掌握的知識，如口令。第二，用戶所擁有的某個特定信息，如智能卡中存儲的個性化參數(shù)，訪問系統(tǒng)資源時必須要有智能卡。第三，用戶所具有的的生物及動作特征，如指紋、聲音、視網(wǎng)膜掃描等。認證考慮的因素越多，認證的可靠性就越高。

在局域網(wǎng)中，結合認證技術可以實現(xiàn)對接入用戶的認證授權，從而實現(xiàn)對局域網(wǎng)接入用戶的訪問控制。Portal接入認證技術是局域網(wǎng)中常見的接入認證技術，也稱為web認證技術，在認證前用戶首先通過DHCP獲取IP地址，這一點與802.1X不同。同時隨著在局域網(wǎng)中不同的網(wǎng)絡環(huán)境，所采用的Portal認證方式也不一樣。按照Portal認證所在不同的網(wǎng)絡層次可分為兩種方式：接入層認證方式，即在數(shù)據(jù)鏈路層層接口上啟用Portal認證功能，支持在接入設備連接終端用戶的二層端口上開啟Portal認證功能，只允許對應的源MAC地址通過認證的用戶才能訪問其它網(wǎng)段的資源，當前僅支持本地設備作為本地Portal服務器向用戶提供Web認證服務；三層認證方式，支持在接入設備連接用戶的三層接口上開啟Portal認證功能，三層接口Portal認證又可以分為三種不同的認證方式：直接認證方式（即用戶在認證前通過靜態(tài)配置或通過DHCP服務器獲取一個IP地址，只能訪問Portal服務器，認證通過后即可訪問網(wǎng)絡資源。）、二次地址分配認證方式（用戶在認證前通過DHCP服務器獲取一個私有IP地址，只能訪問Portal認證服務器。認證通過后，用戶才能申請得到一個公網(wǎng)IP地址，則可以訪問網(wǎng)絡資源。）可跨三層認證方式。其中直接認證和二次地址分配認證方式中，認證客戶端和接入設備之間沒有三層轉發(fā)。對于三種認證方式，IP地址都是用戶的唯一標識，接入設備基于用戶的IP地址下發(fā)ACL對接口上通過認證的用戶報文轉發(fā)進行控制。由于直接認證和二次地址分配認證下的接入設備與用戶間未跨越三層設備，因此接口可以學習到用戶的MAC地址，以增強對用戶報文轉發(fā)的控制粒度。

在局域網(wǎng)中為了實現(xiàn)高效的用戶認證，在此結合使用三層認證中的直接認證方式和可跨三層Portal認證方式，認證流程如圖1。

圖1 認證流程圖

（1）Portal用戶通過HTTP協(xié)議發(fā)起認證請求。HTTP報文經過接入設備時，對于訪問Portal服務器或設定的免費訪問地址的HTTP報文，接入設備允許其通過；對于訪問其它地址的HTTP報文，接入設備將其重定向到Portal服務器。Portal服務器提供Web頁面供用戶輸入用戶名和密碼來進行認證。

（2）Portal服務器與接入設備之間進行CHAP，認證交互。若采用PAP則直接進入流程的第三步。

（3）Portal服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發(fā)往接入設備，同時開啟定時器等待認證應答報文。

（4）接入設備與RADIUS服務器之間進行RADIUS協(xié)議報文的交互。

（5）接入設備向Portal服務器發(fā)送認證應答報文。

（6）Portal服務器向客戶端發(fā)送認證通過報文，通知客戶端認證成功，即可訪問外網(wǎng)資源。

（7）Portal服務器向接入設備發(fā)送認證應答確認。

圖2 Portal認證系統(tǒng)的基本組成

在局域網(wǎng)中接入用戶認證是一方面，而病毒防范問題又是另一方面。當前校園網(wǎng)中用戶的認證大部分采用Portal認證的方式來實現(xiàn)，而DHCP服務是前提條件，用戶從DHCP服務器獲取IP地址，然后在用戶的網(wǎng)關或局域網(wǎng)的出口對用戶進行認證。這種方式對用戶而言簡單易操作，無需特殊設置，網(wǎng)絡自動分配一個IP地址給客戶端，通過這種方式網(wǎng)絡管理看似簡單，管理員不需要為每一個用戶專門分配IP地址，但ARP病毒給卻給網(wǎng)絡管理帶來直接影響?？蛻舳酥辛薃RP病毒后會產生如下的現(xiàn)象：

（1）不斷以偽造的MAC地址發(fā)送DHCP請求報文，使得DHCP池的地址很快被用光，使得正常用戶無法從DHCP池拿到合法的IP地址。

（2）不斷向網(wǎng)絡發(fā)送ARP宣告報文（ARP的應答報文），宣稱自己是某個IP的宿主，這種情況經常會造成IP地址沖突以及網(wǎng)關的地址偽造，使其他的客戶端無法上網(wǎng)。

其中產生的第一個現(xiàn)象與DHCP直接相關，DHCP是一個局域網(wǎng)協(xié)議，協(xié)議在安全性設計方面有缺陷，不僅是地址欺騙，拒絕服務和中間人攻擊都會對DHCP產生影響。在三層交換機中能夠檢測DHCP流量的狀態(tài)，借助從DHCP學習到的正確的IP地址與MAC地址的映射信息，并對所有的ARP流量進行檢測，丟棄所有虛假的ARP應答數(shù)據(jù)包，以防止DHCP服務器免受攻擊。現(xiàn)結合局域網(wǎng)中使用Portal接入用戶認證的方法，可以用以下辦法來消除ARP病毒攻擊帶來的負面影響：

對于使用CISCO三層交換機接入的區(qū)域，采用CISCO的DAI功能（動態(tài)ARP檢查）來抵制ARP攻擊，DAI不會影響正常的ARP流量，包括正常的ARP請ARP應答、真實的免費ARP數(shù)據(jù)包，僅僅丟棄偽造的免費ARP數(shù)據(jù)包。DHCP Snooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機端口相關聯(lián)，DAI可以用來檢查所有非信任端口的ARP請求和應答，確保應答來自真實的ARP所有者，通過檢查端口記錄的DHCP綁定信息和ARP應答的IP地址決定是否是真正的ARP所有者，不合法的ARP包將被刪除。DAI配置針對某一個VLAN，對于同一VLAN內的接口可以開啟DAI也可關閉該功能。例如：

Switch（config）#ip arp inspection vlan 100

Switch（config）#interface Gi 1/1

Switch（config - if）#ip arp inspection trust

如果ARP包從一個可信任的接口接收到，就不需要做任何檢查，如果ARP包在一個不可信任的接口上接收到，該包就只能在綁定信息被證明合法的情況下才會被轉發(fā)出去，因此DHCP Snooping對于DAI 來說也極其重要。因為DAI是動態(tài)運行，相連的客戶端不需要改變任何設置，而對于那些沒有使用DHCP的服務器可以采用靜態(tài)添加DHCP 綁定表或ARP access-list 實現(xiàn)。另外通過DAI也可以控制某個端口的ARP 請求報文頻率。例如：

Switch（config）# ip arp inspection log-buffer entries 1024

Switch（config）# ip arp inspection log-buffer logs 100 interval 10

Switch（config）#interface fa1/1

Switch（config）# ip arp inspection limit rate 100 burst interval 1

如果ARP請求的頻率超過預先設定的閾值，三層交換機會立即關閉對應的端口。由于DAI是CPU負荷型應用，對于轉發(fā)給CPU的ARP數(shù)據(jù)幀存在速率限制，否則三層交換機的CPU支撐不住ARP的流量沖擊，并且可能無法維持路由協(xié)議進程的運行，就可能導致三層交換機工作不穩(wěn)定。對于ARP的速率限制要謹慎，同時也有可能出現(xiàn)ARP流量峰值的極端現(xiàn)象，為了滿足每臺主機請求和應答兩個ARP數(shù)據(jù)包同時通過，結合速率限制問題，應保證每秒鐘據(jù)包數(shù)量總量為局域網(wǎng)中主機數(shù)量總和的兩倍。該功能可以阻止網(wǎng)絡掃描工具的使用，同時對存在大量ARP 報文特征的病毒起到阻斷作用。

參考文獻

[1]羅海波.校園一卡通系統(tǒng)的安全性研究[J].科技廣場，2010（7）.

[2]張媛媛，侯建濤.ARP攻擊和ARP欺騙的原理及其解決方案[J].煤炭技術，2010（11）：199-200.

[3]徐智勇，吳自友，蔡聰.基于Dynamic ARP Inspection的靜態(tài)MAC-IP綁定——一種ARP欺騙避免解決方案[J].測控技術，2013（10）.