基于802.1X的校園網接入認證安全防御

ARP入侵檢測防御

為了防止黑客或攻擊者通過ARP報文實施中間人攻擊或會話劫持攻擊，需要使用交換機網絡(通過交換機傳輸)代替共享式網絡(通過集線器傳輸)，此外還需要使用靜態ARP、捆綁MAC地址+IP地址等ARP入侵檢測功能來限制欺騙。用戶可以通過配置信任端口，靈活控制ARP報文檢測。對于來自信任端口的所有ARP報文不進行檢測，對其他端口的ARP報文檢測其源MAC地址、源IP地址等信息與DHCPSnooping表或手工配置的IP靜態綁定表項是否一致，一致則認為是合法ARP報文，進行轉發；否則直接丟棄。

IP過濾防御

為了防止拒絕服務攻擊和I P 地址偽造，交換機可以通過DHCP Snooping表和IP靜態綁定表，對非法IP 報文進行過濾。交換機對IP報文的過濾方式有兩種：根據報文中的源IP 地址進行過濾和根據報文中的源IP 地址和源MAC地址進行過濾。如果報文中信息與DHCP Snooping表或手工配置的IP靜態綁定表項一致，則認為是合法的報文，進行轉發；否則認為是非法報文，直接丟棄。

ARP入侵檢測+IP過濾防御

前文中提到802.1X認證雖然可以檢測用戶名、用戶IP地址、用戶MAC地址等信息，但其實是基于用戶MAC地址+交換機端口綁定的，要想實現ARP入侵檢測防御和IP過濾防御，就必需在接入認證交換機上做到“真實”的用戶IP地址+用戶MAC地址+交換機端口的綁定。這樣不但可以防止中間人攻擊和拒絕服務攻擊等，還可以避免大部分網絡接入盜用情況。但是仍存在一種盜用情況尚未解決：影子用戶，即與合法用戶完全相同的用戶名、密碼、IP 地址、MAC地址信息等。針對這種情況則需要更多的信息綁定來防止盜用，如VLAN或PC標識等。

對于DHCP動態分配IP模式，用戶通過802.1X認證后，DHCP服務器下發IP地址，經過接入認證交換機時形成DHCPSnooping表綁定用戶IP地址+用戶MAC地址+交換機端口。然而動態分配IP模式，存在著非法用戶偽造合法用戶申請IP地址和網絡參數，可能造成IP 地址浪費。

對于靜態分配IP模式，用戶可以手工配置IP靜態綁定表項，但當網絡規模較大時，手工配置工作量增加，顯然不太現實。由于802.1X認證服務器存在一個數據庫，數據庫中包含用戶名、用戶IP地址、用戶MAC 地址等對應信息表項，故可以通過802.1X認證服務器下發用戶IP地址、用戶MAC地址等表項到接入認證交換機，這樣可避免手工配置的麻煩，降低網絡維護成本，從而達到用戶IP地址+用戶MAC地址+交換機設備+交換機端口的綁定關系。

在混合地址分配環境下，即IP地址的動態分配與靜態分配結合情況，基于802.1X都可以很好地做到IP+MAC綁定關系來抵御中間人攻擊、拒絕服務攻擊、IP地址偽造、MAC地址偽造、網絡接入盜用等安全威脅，有利于營造一個安全可靠、可運營、可管理的網絡環境。

本文探討了基于802.1X的校園網接入認證安全防御，采用802.1X認證技術，結合ARP入侵檢測防御和IP過濾防御機制，經過在校園網實際應用中，表明這些機制有助于校園網管理、維護工作，能夠很好地解決校園網難管理及安全問題，可減少管理和維護工作，提升校園網的安全性，能夠為校園信息化建設提供重要的支撐平臺。