善用802.1x認(rèn)證 擁抱網(wǎng)絡(luò)安全

引言：無(wú)論管理維護(hù)多大規(guī)模的網(wǎng)絡(luò)，安全性始終是網(wǎng)管員非常重視的一個(gè)問(wèn)題。在支持IEEE 802.1x協(xié)議的局域網(wǎng)環(huán)境中，善于利用該協(xié)議的身份認(rèn)證功能，加強(qiáng)對(duì)各式用戶網(wǎng)絡(luò)接入的安全認(rèn)證，實(shí)現(xiàn)安全防護(hù)提前部署，從而擁抱防護(hù)效果更好的網(wǎng)絡(luò)安全。

無(wú)論管理維護(hù)多大規(guī)模的網(wǎng)絡(luò)，安全性始終是網(wǎng)管員非常重視的一個(gè)問(wèn)題。而提到安全話題，不少人會(huì)下意識(shí)地想到殺毒軟件、防火墻，有了這些專業(yè)工具的保護(hù)，網(wǎng)絡(luò)安全或許可以得到某種程度上的保障。但是，安全工具的能力畢竟有限，常常用于網(wǎng)絡(luò)終端系統(tǒng)較多，而對(duì)整個(gè)網(wǎng)絡(luò)的安全防護(hù)作用有限。其實(shí)，在支持IEEE 802.1x協(xié)議的局域網(wǎng)環(huán)境中，善于利用該協(xié)議的身份認(rèn)證功能，加強(qiáng)對(duì)各式用戶網(wǎng)絡(luò)接入的安全認(rèn)證，實(shí)現(xiàn)安全防護(hù)提前部署，從而擁抱防護(hù)效果更好的網(wǎng)絡(luò)安全。

在服務(wù)器中配置

IEEE 802.1x協(xié)議實(shí)際上是一種網(wǎng)絡(luò)接入控制協(xié)議，它是基于端口的二層通信協(xié)議，不需要到達(dá)三層，對(duì)網(wǎng)絡(luò)設(shè)備的整體性能要求不高，能夠適當(dāng)降低建網(wǎng)成本。既然作為網(wǎng)絡(luò)接入認(rèn)證的控制協(xié)議，IEEE 802.1x協(xié)議具有完備的用戶認(rèn)證、管理功能，除了規(guī)定基于端口的安全控制協(xié)議外，還規(guī)定接入設(shè)備和接入端口間點(diǎn)到點(diǎn)這一種連接方式。它所規(guī)定的端口，既可以是物理端口，也可以是邏輯端口，物理端口都是交換機(jī)下連接終端用戶的交換端口，邏輯端口可以是802.11協(xié)議規(guī)定的無(wú)線LAN接入端口。

802.1x協(xié)議系統(tǒng)是典型的客戶端/服務(wù)端體系結(jié)構(gòu)，該系統(tǒng)主要包括認(rèn)證服務(wù)器系統(tǒng)、認(rèn)證系統(tǒng)、接入系統(tǒng)這三個(gè)實(shí)體，局域網(wǎng)接入控制設(shè)備需要支持認(rèn)證系統(tǒng)，用戶設(shè)備需要支持接入系統(tǒng)；整個(gè)系統(tǒng)通過(guò)可控端口和不可控端口的邏輯功能，實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由Radius服務(wù)器和以太網(wǎng)交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過(guò)可控端口進(jìn)行交換。

很明顯，要想使用802.1x認(rèn)證，必須先要部署好認(rèn)證服務(wù)器系統(tǒng)。以Windows 2003服務(wù)器系統(tǒng)為例，要在其中部署基于EAP認(rèn)證方法的認(rèn)證服務(wù)器系統(tǒng)時(shí)，必須先要按照順序依次安裝好活動(dòng)目錄、DNS服務(wù)器和CA服務(wù)，畢竟基于EAP的遠(yuǎn)程認(rèn)證一定要使用AD用戶和密碼。為了便于有效管理，應(yīng)該先在局域網(wǎng)域中添加Radius服務(wù)器和終端計(jì)算機(jī)，同時(shí)添加合法用戶賬號(hào)，確保它能被計(jì)算機(jī)和用戶的802.1x協(xié)議使用，也就是說(shuō)允許終端用戶通過(guò)該賬號(hào)進(jìn)行網(wǎng)絡(luò)接入。此外，在局域網(wǎng)域中最好創(chuàng)建一個(gè)全局安全組，并將之前的接入用戶賬號(hào)和終端計(jì)算機(jī)全部添加到這個(gè)組中。

Radius服務(wù)器作為成員服務(wù)器，首先要先登錄到局域網(wǎng)特定域中，之后安裝好IAS系統(tǒng)組件，才能在活動(dòng)目錄中進(jìn)行認(rèn)證和授權(quán)配置操作。在對(duì)接入802.1x交換機(jī)的客戶端進(jìn)行EAP認(rèn)證時(shí)，必須要用到證書，在手工申請(qǐng)證書時(shí)，可以先進(jìn)入計(jì)算機(jī)證書管理單元，展開(kāi)控制臺(tái)樹(shù)中的個(gè)人文件夾，逐一點(diǎn)選“所有任務(wù)”、“申請(qǐng)新證書”、“下一步”、“計(jì)算機(jī)”、“下一步”按鈕，輸入合適的證書名稱，最后單擊“完成”按鈕，結(jié)束證書申請(qǐng)操作。接著將接入802.1x交換機(jī)添加為Radius客戶端，正常來(lái)說(shuō)，添加標(biāo)準(zhǔn)的Radius客戶端就行了。最后生成與802.1x協(xié)議相關(guān)的遠(yuǎn)程訪問(wèn)策略，同時(shí)在策略屬性值中，將身份認(rèn)證方法設(shè)置為EAP類型，將Windows組設(shè)置為先前創(chuàng)建的全局安全組。

在交換機(jī)中配置

在交換機(jī)后臺(tái)系統(tǒng)中，除了要配置好和Radius服務(wù)器成功通信的必要參數(shù)外，重點(diǎn)要配置好交換機(jī)的802.1x認(rèn)證功能。

圖1 系統(tǒng)全局模式設(shè)置

以H3C Quidway系列交換機(jī)來(lái)說(shuō)，首先要開(kāi)啟交換機(jī)的全局和端口802.1x認(rèn)證功能，默認(rèn)狀態(tài)下，交換機(jī)沒(méi)有開(kāi)啟全局或端口的802.1x認(rèn)證功能。在進(jìn)行該操作時(shí)，只要先以超級(jí)用戶身份登錄交換機(jī)后臺(tái)系統(tǒng)，執(zhí)行“system”命令，切換到如圖1所示的系統(tǒng)全局模式，在該模式下使用“dot1x”命令，就能成功開(kāi)啟全局的802.1x認(rèn)證功能。要想開(kāi)啟指定交換端口上的認(rèn)證功能時(shí)，只要在全局模式下通過(guò)“interface”命令，進(jìn)入指定交換端口視圖，在目標(biāo)端口視圖模式下輸入“dot1x”命令并回車即可。

例如，要啟用以太交換端口e0/6口的802.1x認(rèn)證功能時(shí)，只要在交換機(jī)后臺(tái)系統(tǒng)全局視圖下，依次執(zhí)行“interface e0/6”、“dot1x”命令即可，也可以在系統(tǒng)全局視圖下直接執(zhí)行“dot1x interface e0/6”命令，啟用特定交換端口的安全認(rèn)證功能。

在默認(rèn)狀態(tài)下，H3C Quidway系列交換機(jī)會(huì)將802.1x協(xié)議的認(rèn)證方法配置為CHAP認(rèn)證，該認(rèn)證方法是使用密文格式發(fā)送CHAP認(rèn)證信息，其認(rèn)證過(guò)程比較復(fù)雜，且使用三次握手機(jī)制，另外它還需要RADIUS服務(wù)器支持CHAP認(rèn)證。而PAP認(rèn)證方法則使用二次握手機(jī)制，它雖然需要RADIUS服務(wù)器支持PAP認(rèn)證，但是它使用明文格式發(fā)送用戶名和密碼，認(rèn)證過(guò)程很簡(jiǎn)單。

正常情況下，建議大家選用EAP認(rèn)證方法，該方法屬于遠(yuǎn)程認(rèn)證，將認(rèn)證信息以EAP數(shù)據(jù)報(bào)文的形式發(fā)送給RADIUS服務(wù)器，這個(gè)認(rèn)證過(guò)程也需要RADIUS服務(wù)器支持EAP認(rèn)證。要將802.1x協(xié)議的認(rèn)證方法配置為EAP認(rèn)證時(shí)，只要進(jìn)入交換機(jī)全局系統(tǒng)視圖模式，在該模式下輸入“dotx1 authenticationmethod eap”命令即可，日后要想將交換機(jī)的認(rèn)證方法還原到默認(rèn)狀態(tài)時(shí)，只需要簡(jiǎn)單地輸入“undo dotx1 authentication-method eap”字符串命令即可。

除了要配置認(rèn)證方法外，802.1x協(xié)議還需要指定合適類型的端口接入認(rèn)證方式，如果要提高認(rèn)證安全性，建議選用基于MAC地址的認(rèn)證接入方式，因?yàn)樵摲绞綄?duì)一個(gè)端口下掛的所有用戶來(lái)說(shuō)，他們當(dāng)中的每一個(gè)用戶都要通過(guò)認(rèn)證，才能正常上網(wǎng)訪問(wèn)。如果對(duì)安全性要求不高，可以選用基于交換端口的接入認(rèn)證方式，該方式對(duì)一個(gè)端口下掛的所有用戶來(lái)說(shuō)，他們當(dāng)中只要有一個(gè)用戶通過(guò)認(rèn)證，其他人就都能正常上網(wǎng)了。

在默認(rèn)狀態(tài)下，802.1x協(xié)議會(huì)選用“macbased”這種基于MAC地址的安全認(rèn)證方式。當(dāng)想將每個(gè)交換端口的認(rèn)證接入方式都設(shè)置為相同類型時(shí)，只要在交換機(jī)系統(tǒng)全局視圖模式下，輸 入“dot1x port-method portbased”或“dot1x portmethod macbased”字符串命令即可。要為特定交換端口配置認(rèn)證接入方式時(shí)，必須先使用“interface”命令進(jìn)入指定端口視圖模式，再執(zhí) 行“dot1x port-method portbased”或“dot1x portmethod macbased”命令才行。

由于802.1x協(xié)議的認(rèn)證操作需要RADIUS服務(wù)器的支持，因此需要在交換機(jī)后臺(tái)系統(tǒng)，添加好RADIUS的認(rèn)證方案和局域網(wǎng)特定域。在交換機(jī)后臺(tái)系統(tǒng)全局視圖下，首先使用“radius scheme aaa”命令，創(chuàng)建好RADIUS服務(wù)器“aaa”，在 RADIUS服務(wù)器視圖模式下，通過(guò)“primary authentication xx.xx.xx.xx”命令，將主認(rèn)證服務(wù)器IP地址設(shè)置為Radius服務(wù)器的真實(shí)IP地址，接著執(zhí) 行“user-name-format without-domain”命令，要求系統(tǒng)從用戶名中剔除用戶域名后再將之傳輸給Radius服務(wù)器，最后使用“quit”命令退出RADIUS服務(wù)器配置模式狀態(tài)。下面依次執(zhí) 行“domain bbb.com”、“authentication lan-access radius-scheme aaa”、“domain default enable bbb.com”命令，添加局域網(wǎng)控制域“bbb.com”，同時(shí)將特定域的RADIUS認(rèn)證方案指定為“aaa”。

為了確保用戶的網(wǎng)絡(luò)接入的穩(wěn)定性，802.1x協(xié)議允許管理員控制特定交換端口上的用戶接入數(shù)量，H3C Quidway系列交換機(jī)默認(rèn)最多允許接入2048個(gè)用戶。但在交換機(jī)性能有限的情況下，允許接入的用戶數(shù)量太多，將會(huì)拖累整個(gè)網(wǎng)絡(luò)的傳輸性能，所以網(wǎng)絡(luò)管理員應(yīng)該根據(jù)交換機(jī)的實(shí)際性能，合理配置好用戶接入數(shù)量這個(gè)參數(shù)。

例如，如果想將交換機(jī)所有端口最大接入用戶量指定為“500”時(shí)，只要先進(jìn)入交換機(jī)后臺(tái)系統(tǒng)的全局視圖模式中，在該模式下輸入“dot1x max-user 500”字符串命令即可。要想將e0/6這個(gè)特定端口的最大接入用戶量指定為“500”時(shí)，必須先在系統(tǒng)全局視圖模式下，使 用“interface e0/6”命令，進(jìn)入特定交換端口視圖模式，然后輸入“dot1x max-user 500”命令即可，另外也可以在全局視圖狀態(tài)下，直接輸入“dot1x max-user 500 interface e0/6”命令，如圖2所示。

在終端機(jī)中配置

要想確保終端機(jī)能夠安全接入單位局域網(wǎng)，還需要對(duì)終端系統(tǒng)自帶的802.1x 身份驗(yàn)證功能進(jìn)行合適配置。在Windows 8系統(tǒng)中配置這種身份驗(yàn)證功能時(shí)，首先登錄進(jìn)入系統(tǒng)Metro界面，點(diǎn)擊“桌面”磁貼，打開(kāi)系統(tǒng)桌面，右擊其中的“計(jì)算機(jī)”圖標(biāo)，從彈出的快捷菜單中執(zhí)行“管理”命令，然后展開(kāi)“計(jì)算機(jī)管理”窗口。將鼠標(biāo)依次定位到該窗口左側(cè)區(qū)域中的“計(jì)算機(jī)管理（本地）”、“服務(wù)和應(yīng)用程序”以及“服務(wù)”節(jié)點(diǎn)上，從指定節(jié)點(diǎn)下面找到“Wired Autocnfig” 以 及“WLAN Autoconfig”等服務(wù)選項(xiàng)，看看它們有沒(méi)有被啟用運(yùn)行，如果發(fā)現(xiàn)它們還沒(méi)有被啟動(dòng)時(shí)，必須立即將它們重新啟動(dòng)運(yùn)行起來(lái)。

圖2 特定交換端口視圖模式設(shè)置

圖3 本地連接屬性

之后退出計(jì)算機(jī)管理窗口，用鼠標(biāo)右鍵單擊系統(tǒng)桌面通知欄處的網(wǎng)絡(luò)連接圖標(biāo)，從右鍵菜單中選擇“打開(kāi)網(wǎng)絡(luò)共享中心”命令，切換到“網(wǎng)絡(luò)共享中心管理”窗口，單擊“更改適配器設(shè)置”按鈕，彈出“網(wǎng)絡(luò)連接列表”界面。在與局域網(wǎng)相連的網(wǎng)絡(luò)連接圖標(biāo)上單擊鼠標(biāo)右鍵，單擊右鍵菜單中的“屬性”命令，打開(kāi)“特定網(wǎng)絡(luò)連接屬性”對(duì)話框，點(diǎn)選“身份驗(yàn)證”選項(xiàng)卡，檢查如圖3所示的選項(xiàng)頁(yè)面中的“啟用IEEE 802.1x”有沒(méi)有被選中，要是發(fā)現(xiàn)其還沒(méi)有被選中時(shí)，必須重新選中它，同時(shí)將網(wǎng)絡(luò)身份驗(yàn)證方法設(shè)置為“Microsoft：受保護(hù)的EAP”，然后單擊“確定”按鈕保存設(shè)置操作即可。

經(jīng)過(guò)上述配置后，終端機(jī)在日后連接到交換機(jī)時(shí)，不會(huì)立即接入單位局域網(wǎng)，而是處于連接受限狀態(tài)。用鼠標(biāo)單擊系統(tǒng)通知欄處的連接提示后，將會(huì)出現(xiàn)一個(gè)身份認(rèn)證對(duì)話框，只有在輸入正確的用戶名、密碼以及域名后，稍微等一會(huì)兒，等通過(guò)了安全認(rèn)證后，才能成功接入單位的局域網(wǎng)，這時(shí)整個(gè)網(wǎng)絡(luò)的安全性就能夠得到有效保證了。