学习到用户的MAC地址,以增强对用户报文转发的控制粒度。
在局域网中为了实现高效的用户认证,在此结合使用三层认证中的直接认证方式和可跨三层Portal认证方式,认证流程如图1。
图1 认证流程图
(1)Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
(2)Portal服务器与接入设备之间进行CHAP,认证交互。若采用PAP则直接进入流程的第三步。
(3)Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(4)接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(5)接入设备向Portal服务器发送认证应答报文。
(6)Portal服务器向客户端发送认证通过报文,通知客户端认证成功,即可访问外网资源。
(7)Portal服务器向接入设备发送认证应答确认。
图2 Portal认证系统的基本组成
在局域网中接入用户认证是一方面,而病毒防范问题又是另一方面。当前校园网中用户的认证大部分采用Portal认证的方式来实现,而DHCP服务是前提条件,用户从DHCP服务器获取IP地址,然后在用户的网关或局域网的出口对用户进行认证。这种方式对用户而言简单易操作,无需特殊设置,网络自动分配一个IP地址给客户端,通过这种方式网络管理看似简单,管理员不需要为每一个用户专门分配IP地址,但ARP病毒给却给网络管理带来直接影响。客户端中了ARP病毒后会产生如下的现象:
(1)不断以伪造的MAC地址发送DHCP请求报文,使得DHCP池的地址很快被用光,使得正常用户无法从DHCP池拿到合法的IP地址。
(2)不断向网络发送ARP宣告报文(ARP的应答报文),宣称自己是某个IP的宿主,这种情况经常会造成IP地址冲突以及网关的地址伪造,使其他的客户端无法上网。
其中产生的第一个现象与DHCP直接相关,DHCP是一个局域网协议,协议在安全性设计方面有缺陷,不仅是地址欺骗,拒绝服务和中间人攻击都会对DHCP产生影响。在三层交换机中能够检测DHCP流量的状态,借助从DHCP学习到的正确的IP地址与MAC地址的映射信息,并对所有的ARP流量进行检测,丢弃所有虚假的ARP应答数据包,以防止DHCP服务器免受攻击。现结合局域网中使用Portal接入用户认证的方法,可以用以下办法来消除ARP病毒攻击带来的负面影响:
对于使用CISCO三层交换机接入的区域,采用CISCO的DAI功能(动态ARP检查)来抵制ARP攻击,DAI不会影响正常的ARP流量,包括正常的ARP请ARP应答、真实的免费ARP数据包,仅仅丢弃伪造的免费ARP数据包。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,DAI可以用来检查所有非信任端口的ARP请求和应答,确保应答来自真实的ARP所有者,通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定是否是真正的ARP所有者,不合法的ARP包将被删除。DAI配置针对某一个VLAN,对于同一VLAN内的接口可以开启DAI也可关闭该功能。例如:
Switch(config)#ip arp inspection vlan 100
Switch(config)#interface Gi 1/1
Switch(config - if)#ip arp inspection trust
如果ARP包从一个可信任的接口接收到,就不需要做任何检查,如果ARP包在一个不可信任的接口上接收到,该包就只能在绑定信息被证明合法的情况下才会被转发出去,因此DHCP Snooping对于DAI 来说也极其重要。因为DAI是动态运行,相连的客户端不需要改变任何设置,而对于那些没有使用DHCP的服务器可以采用静态添加DHCP 绑定表或ARP access-list 实现。另外通过DAI也可以控制某个端口的ARP 请求报文频率。例如:
Switch(config)# ip arp inspection log-buffer entries 1024
Switch(config)# ip arp inspection log-buffer logs 100 interval 10
Switch(config)#interface fa1/1
Switch(config)# ip arp inspection limit rate 100 burst interval 1
如果ARP请求的频率超过预先设定的阈值,三层交换机会立即关闭对应的端口。由于DAI是CPU负荷型应用,对于转发给CPU的ARP数据帧存在速率限制,否则三层交换机的CPU支撑不住ARP的流量冲击,并且可能无法维持路由协议进程的运行,就可能导致三层交换机工作不稳定。对于ARP的速率限制要谨慎,同时也有可能出现ARP流量峰值的极端现象,为了满足每台主机请求和应答两个ARP数据包同时通过,结合速率限制问题,应保证每秒钟据包数量总量为局域网中主机数量总和的两倍。该功能可以阻止网络扫描工具的使用,同时对存在大量ARP 报文特征的病毒起到阻断作用。
参考文献
[1]罗海波.校园一卡通系统的安全性研究[J].科技广场,2010(7).
[2]张媛媛,侯建涛.ARP攻击和ARP欺骗的原理及其解决方案[J].煤炭技术,2010(11):199-200.
[3]徐智勇,吴自友,蔡聪.基于Dynamic ARP Inspection的静态MAC-IP绑定——一种ARP欺骗避免解决方案[J].测控技术,2013(10).