以太网技术白皮书
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关键词
以太网安全 web认证 802.1X网络访问控制
1 概述
随着以太网应用的日益普及 尤其是在一些大中型企业网的应用 以太网安全成为日益迫切 的需求 一方面以太网交换机作为企业内部网络之间通讯的关键设备 有必要在企业网内部提供 充分的安全保护功能 另一方面用户只要能接入以太网交换机 就可以访问Internet网上的设备或 资源 使WLAN上的安全性问题更显突出 Quidway系列以太网交换机提供了多种网络安全机制包 括 访问控制 用户验证 防地址假冒 入侵检测与防范 安全管理等技术 本文将对其原理与 技术实现作介绍
16 Accounting-Request 17 Accounting-Response
图3 Portal 认证方式的用户上网 计费 下线流程 1 连接到设备上的用户机开机时自动通过DHCP过程从NAS获取唯一的IP地址 也可为用户 配置静态IP地址 2 用户游览ISP网站 获取认证网页 同时可游览社区广告 通知等内容 3 用户在认证页面中输入帐号/密码 由WEB客户端技术发给Portal Server 4 Portal Server在收到该数据后 按PortAL协议代用户向NAS发Challenge请求 对用户的标识 方法是用用户的IP地址来标识 5 NAS向Portal Server回Challenge 6 Portal Server向NAS发该用户的认证请求 7 NAS向RADIUS服务器发认证请求 运用RADIUS协议 8 RADIUS服务器向NAS返回认证结果 9 NAS在本地对用户连接进行授权 10 NAS向RADIUS Server发计费 开始 请求 11 RADIUS Server向NAS返回计费响应 12 NAS向Portal Server返回认证结果 13 Portal Server向用户返回上线成功 14 用户发下线请求 15 Portal Server收到消息后向NAS发Req-logout报文 16 NAS向RADIUS Server发计费 结束 请求 17 RADIUS Server返回计费响应 18 NAS向Portal Server发ACK-Logout报文 19 Portal Server向用户返回下线消息
访问交换机存在多种方式 直接从console口登录进行配置 telnet登录配置 通过SNMP进行 配置 通过modem远程配置等等 对于这些访问方式 都需要有相应的用户身份验证 验证时可
以选择采用交换机本身维护的用户数据库 还可以采用RADIUS服务器所维护的用户数据库对用 户进行验证 远程用户验证主要包括 PPP验证 WEB验证和端口验证 2.3 防地址假冒
后通过连接到镜像端口的协议分析仪进行测试记录 使用这种方法 可以有效的检测到TCP UDP ICMP HTTP SMTP RSTP等多种协议报文
2 报文统计 使用报文统计 可以按时间段 协议类型 IP地址五元组等特性分别进行报文 包数和字节数的统计
Quidway系列以太网交换机通过基于ACL的流量限制 预防并控制网上的大流量攻击 当发现 大流量攻击时 可以限制到达被攻击目的地址的报文流量RADIUS Server
NAS LANSWITCH
Portal Server
NAS与Portal Server 之间通过RADIUS协 议交互 NAS充当代 理
PC
图2 Portal 认证方式关键结点通信关系
通过Portal认证方式 用户具体上网 计费 下线全过程如图3所示
user
Portal Server
y IP目的地址 = 2.2.2.2 y IP源地址 = 1.1.1.1 y IP的协议域 = 6 TCP y 目的端口 = 21 FTP
其他的域一般情况下不用考虑 同样 对于二层报文 也可相应地设置各自的过滤规则 二层报文常用到的过滤属性
y 源/目的MAC地址 y 输入/输出端口 y 以太网封装类型 y 以太网帧承载的协议类型 y 报文类型 y Vlan标识符
3.2.2 WEB验证 基于Web的验证是一种应用层的验证方法 与接入的介质没有直接的关系 用户通过DHCP获
得IP地址 然后通过通用浏览器访问指定Web页面 地址 端口及URL 或者由业务接入节点 自动导向运营商的Portal页面 Portal认证方式的用户接入方案如图1所示
结点3
汇聚层设备
结点2
用户 是通过IP地址来区分的 不同的用户具有不同的权限 通过包过滤实现基于IP地址的访问 控制 可以实现对重要资源的保护
3 基于MAC地址的访问控制 特殊情况下 用户也可以通过MAC地址来区分 通过实现基 于MAC地址的访问控制 可以保护特殊用户的权限
4 基于端口的访问控制 对于接入用户来说 他们之间的权限也有可能是不一样的 通过 对用户接入的端口设置特定的过滤属性 可实现对接入用户的访问控制
置过滤规则
y 支持对符合条件的报文或帧做日志 可以记录报文或帧的相关信息 并提供了机制保证
在有大量相同触发日志的情况下不会消耗过多的资源
3.2 用户验证
3.2.1 PPP 验证 PPP是传统窄带拨号网络的接入技术 PPP在NCP过程中 可以采用PAP或CHAP进行口令验
证 然后由业务接入节点分配IP地址 在宽带网络上 引入了对PPP的扩展 PPPoE和PPPoA PPPoE是PPP在以太网上的扩展 PPPoE应用在共享的网络介质上 必须采用CHAP进行口令交 换 以避免明文口令被侦听
2 安全交换机的设计原则
针对以太网存在的各种安全隐患 安全交换机必须具有如下的安全特性 y 访问控制 y 用户验证 y 防地址假冒 y 入侵检测与防范 y 安全管理
2.1 访问控制 访问控制分为以下几种情况 1 对于交换机的访问控制 对交换机的访问权限需要进行口令的分级保护 只有持有相应
口令的特权用户才能对交换机进行配置 一般用户只有查看普通信息的权力 2 基于IP地址的访问控制 一般情况下 用户 包括网内用户和分支机构 合作伙伴等网外
NAS
RADIUS Server
1 用户开机即可获取私网IP
2 WEB方式取得认证页面 3 页面中输入 用户名和密码
4 Req-Challenge(portal协议)
13 上网成功
5 Ack-Challenge(portal协议)
RADIUS协议
6 Req-Auth(portal协议)
7 Access-Request
可以基于这些域及其组合来制定ACL规则 从而完成在第二层的包过滤 Quidway系列以太网交换机的包过滤具有以下特性
y 基于ACL Access-List 访问控制列表 ACL不仅应用在包过滤中 还可以应用在其
他需要进行对数据流进行分类的特性中 比如报文镜像 报文统计与流量限制 Quidway系 列以太网交换机提供的ACL可以
三层IP报文的IP报头及所承载的上层协议 如TCP 报头的每个域包含了可以由交换机进行 处理的信息 包过滤通常用到IP报文的以下属性
y IP的源 目的地址及协议域 y TCP或UDP的源 目的端口 y ICMP码 ICMP的类型域 y TCP的标志域
可 以 由 这 些 域 的 各 式 各 样 的 组 合 形 成 不 同 的 规 则 比 如 要 禁 止 从 主 机 1.1.1.1 到 主 机 2.2.2.2的FTP连接 包过滤可以创建这样的规则用于丢弃相应的报文
Quidway系列以太网交换机提供了一个有效的网络安全解决方案 包括用户验证 授权 计 费 数据保护等等 Quidway系列以太网交换机所采用的安全技术包括
y 包过滤技术 y 用户验证技术 y 防地址假冒技术 y 入侵检测与防范技术 y 安全管理
3.1 包过滤技术 包过滤应用在Quidway系列以太网交换机中 为交换机增加了对数据包的过滤功能 在三层交
以太网安全技术白皮书
华为技术有限公司北京研究所 北京市上地信息产业基地信息中路1号华为大厦 100085
二 二年三月
摘要
本文详细介绍了Quidway系列以太网交换机所应用的安全技术 包括访问控制 802.1X网络 访问控制 基于Portal协议的web认证 防地址假冒 入侵检测与防范 安全管理等 并探讨了 Quidway系列以太网交换机在安全方面的发展方向 结合Quidway系列以太网交换机在安全方面的 功能特点 给出了在企业网应用中的实际解决方案
换机中 不仅可以过滤有安全隐患的以太网帧 还可以过滤IP数据包 对到达端口的数据包 如 果是可以直接在链路层交换的以太网帧 则先获取以太网帧头信息 包括以太网帧类型 源 MAC地址 目的MAC地址 并根据目的MAC地址获得以太网帧的出端口 如果是需要三层转发
的数据包 则先获取包头信息 包括IP层所承载的上层协议的协议号 数据包的源地址 目的地 址 源端口和目的端口等 然后和设定的规则进行比较 根据比较的结果对数据包进行转发或者 丢弃
8 Access-Accept 9 设备上对用户连接做设置 10 Accounting-Request
12 Ack-Auth(portal协议)
11 Accounting-Response
14 用户下线 19 下线通知
15 Req-logout(portal协议) 18 Ack-logout(portal协议)
支持ACL的自动排序 可以选择是否针对某一类的ACL进行自动排序 以简化配置
的复杂度 方便对于ACL的配置及维护
支持名称方式的ACL 易于记忆及配置
y 支持基于端口进行过滤 可以设定禁止或允许转发来自或去往某个端口的报文 y 支持基于MAC地址进行过滤 可以设定禁止或允许转发来自或去往某个MAC地址的帧 y 支持基于Vlan进行过滤 可以设定禁止或允许转发来自或去往某个Vlan的报文 y 支持基于应用进行过滤 可以对交换机端口的输入帧前80字节范围内的64字节任意域设
支持标准及扩展的ACL 可以通过标准的ACL只设定一个简单的地址范围 也可以
使用扩展的ACL设定具体到协议 源地址范围 目的地址范围 源端口范围 目的端口范 围以及优先级与服务类型等
支持时间段 可以使ACL在特定的时间段内起作用 比如可设置每周一的8:00至
20:00此ACL起作用 还可以具体到某年某月某日至某年某月某日此ACL起作用
汇聚层
接入层
入网终端设备(以 及网交换机等)
RADIUS Server 接入层
Portal Server
边缘接入层
带浏览器的用 户机
图1 Portal认证方式的用户接入方案
Portal认证的基本过程是 客户机首先通过DHCP协议获取到IP地址 也可以使用静态IP地 址 但是客户使用获取到的IP地址并不能登上Internet 在认证通过前只能访问特定的IP地址 这个地址通常是PORTAL服务器的IP地址 采用Portal认证的接入设备必须具备这个能力 一般通 过修改接入设备的访问控制表 ACL 可以做到
为了有效的防止假冒IP地址和假冒MAC地址 Quidway以太网交换机使用了地址绑定技术严 格控制用户的接入 例如 绑定用户接入的端口与MAC地址
2.4 入侵检测与防范 为了防止网上的大流量攻击 Quidway系列以太网交换机提供了两种基本的攻击检测技术 1 报文镜像 使用报文镜像 可以将指定类型的报文 例如ICMP报文 拷贝到指定端口 然
5 基于Vlan的访问控制 企业内部通常以VLan方式划分成不同部门 各个部门的访问权限 有可能是不一样的 通过实现基于Vlan的访问控制 可以实现对部门的访问控制
2.2 用户验证 用户验证是实现用户安全防护的基础功能 对用户进行识别和区分 不仅能保护接入的用户
不受网络攻击 而且能阻止接入用户攻击其他用户和网络 经过验证的用户可以享受服务 而未 经验证的用户则被拒绝
用户登录到Portal Server后 可以浏览上面的内容 比如广告 新闻等免费信息 同时用户还 可以在网页上输入用户名和密码 它们会被WEB客户端应用程序传给Portal Server 再由Portal Server与NAS之间交互来实现用户的认证
Portal Server在获得用户的用户名和密码外 还会得到用户的IP地址 以它为索引来标识用 户 然后Portal Server 与NAS之间用Portal协议直接通信 而NAS又与RADIUS 服务器直接通信完 成用户的认证和上线过程 因为安全问题 通常支持安全性较强的CHAP式认证 Portal认证方式 的关键结点通信关系如图2所示
2.5 安全管理 内部网络与外部网络之间的每一个数据报文都会通过交换机 在交换机上进行报文的审计可
以提供网络运行的必要信息 有助于分析网络的运行情况 另一方面 交换机的安全运行牵涉到越来越多的安全策略 为了达到这些安全策略的有效利
用 进行安全策略管理是必需的
3 Quidway系列以太网交换机的安全技术
以太网安全 web认证 802.1X网络访问控制
1 概述
随着以太网应用的日益普及 尤其是在一些大中型企业网的应用 以太网安全成为日益迫切 的需求 一方面以太网交换机作为企业内部网络之间通讯的关键设备 有必要在企业网内部提供 充分的安全保护功能 另一方面用户只要能接入以太网交换机 就可以访问Internet网上的设备或 资源 使WLAN上的安全性问题更显突出 Quidway系列以太网交换机提供了多种网络安全机制包 括 访问控制 用户验证 防地址假冒 入侵检测与防范 安全管理等技术 本文将对其原理与 技术实现作介绍
16 Accounting-Request 17 Accounting-Response
图3 Portal 认证方式的用户上网 计费 下线流程 1 连接到设备上的用户机开机时自动通过DHCP过程从NAS获取唯一的IP地址 也可为用户 配置静态IP地址 2 用户游览ISP网站 获取认证网页 同时可游览社区广告 通知等内容 3 用户在认证页面中输入帐号/密码 由WEB客户端技术发给Portal Server 4 Portal Server在收到该数据后 按PortAL协议代用户向NAS发Challenge请求 对用户的标识 方法是用用户的IP地址来标识 5 NAS向Portal Server回Challenge 6 Portal Server向NAS发该用户的认证请求 7 NAS向RADIUS服务器发认证请求 运用RADIUS协议 8 RADIUS服务器向NAS返回认证结果 9 NAS在本地对用户连接进行授权 10 NAS向RADIUS Server发计费 开始 请求 11 RADIUS Server向NAS返回计费响应 12 NAS向Portal Server返回认证结果 13 Portal Server向用户返回上线成功 14 用户发下线请求 15 Portal Server收到消息后向NAS发Req-logout报文 16 NAS向RADIUS Server发计费 结束 请求 17 RADIUS Server返回计费响应 18 NAS向Portal Server发ACK-Logout报文 19 Portal Server向用户返回下线消息
访问交换机存在多种方式 直接从console口登录进行配置 telnet登录配置 通过SNMP进行 配置 通过modem远程配置等等 对于这些访问方式 都需要有相应的用户身份验证 验证时可
以选择采用交换机本身维护的用户数据库 还可以采用RADIUS服务器所维护的用户数据库对用 户进行验证 远程用户验证主要包括 PPP验证 WEB验证和端口验证 2.3 防地址假冒
后通过连接到镜像端口的协议分析仪进行测试记录 使用这种方法 可以有效的检测到TCP UDP ICMP HTTP SMTP RSTP等多种协议报文
2 报文统计 使用报文统计 可以按时间段 协议类型 IP地址五元组等特性分别进行报文 包数和字节数的统计
Quidway系列以太网交换机通过基于ACL的流量限制 预防并控制网上的大流量攻击 当发现 大流量攻击时 可以限制到达被攻击目的地址的报文流量RADIUS Server
NAS LANSWITCH
Portal Server
NAS与Portal Server 之间通过RADIUS协 议交互 NAS充当代 理
PC
图2 Portal 认证方式关键结点通信关系
通过Portal认证方式 用户具体上网 计费 下线全过程如图3所示
user
Portal Server
y IP目的地址 = 2.2.2.2 y IP源地址 = 1.1.1.1 y IP的协议域 = 6 TCP y 目的端口 = 21 FTP
其他的域一般情况下不用考虑 同样 对于二层报文 也可相应地设置各自的过滤规则 二层报文常用到的过滤属性
y 源/目的MAC地址 y 输入/输出端口 y 以太网封装类型 y 以太网帧承载的协议类型 y 报文类型 y Vlan标识符
3.2.2 WEB验证 基于Web的验证是一种应用层的验证方法 与接入的介质没有直接的关系 用户通过DHCP获
得IP地址 然后通过通用浏览器访问指定Web页面 地址 端口及URL 或者由业务接入节点 自动导向运营商的Portal页面 Portal认证方式的用户接入方案如图1所示
结点3
汇聚层设备
结点2
用户 是通过IP地址来区分的 不同的用户具有不同的权限 通过包过滤实现基于IP地址的访问 控制 可以实现对重要资源的保护
3 基于MAC地址的访问控制 特殊情况下 用户也可以通过MAC地址来区分 通过实现基 于MAC地址的访问控制 可以保护特殊用户的权限
4 基于端口的访问控制 对于接入用户来说 他们之间的权限也有可能是不一样的 通过 对用户接入的端口设置特定的过滤属性 可实现对接入用户的访问控制
置过滤规则
y 支持对符合条件的报文或帧做日志 可以记录报文或帧的相关信息 并提供了机制保证
在有大量相同触发日志的情况下不会消耗过多的资源
3.2 用户验证
3.2.1 PPP 验证 PPP是传统窄带拨号网络的接入技术 PPP在NCP过程中 可以采用PAP或CHAP进行口令验
证 然后由业务接入节点分配IP地址 在宽带网络上 引入了对PPP的扩展 PPPoE和PPPoA PPPoE是PPP在以太网上的扩展 PPPoE应用在共享的网络介质上 必须采用CHAP进行口令交 换 以避免明文口令被侦听
2 安全交换机的设计原则
针对以太网存在的各种安全隐患 安全交换机必须具有如下的安全特性 y 访问控制 y 用户验证 y 防地址假冒 y 入侵检测与防范 y 安全管理
2.1 访问控制 访问控制分为以下几种情况 1 对于交换机的访问控制 对交换机的访问权限需要进行口令的分级保护 只有持有相应
口令的特权用户才能对交换机进行配置 一般用户只有查看普通信息的权力 2 基于IP地址的访问控制 一般情况下 用户 包括网内用户和分支机构 合作伙伴等网外
NAS
RADIUS Server
1 用户开机即可获取私网IP
2 WEB方式取得认证页面 3 页面中输入 用户名和密码
4 Req-Challenge(portal协议)
13 上网成功
5 Ack-Challenge(portal协议)
RADIUS协议
6 Req-Auth(portal协议)
7 Access-Request
可以基于这些域及其组合来制定ACL规则 从而完成在第二层的包过滤 Quidway系列以太网交换机的包过滤具有以下特性
y 基于ACL Access-List 访问控制列表 ACL不仅应用在包过滤中 还可以应用在其
他需要进行对数据流进行分类的特性中 比如报文镜像 报文统计与流量限制 Quidway系 列以太网交换机提供的ACL可以
三层IP报文的IP报头及所承载的上层协议 如TCP 报头的每个域包含了可以由交换机进行 处理的信息 包过滤通常用到IP报文的以下属性
y IP的源 目的地址及协议域 y TCP或UDP的源 目的端口 y ICMP码 ICMP的类型域 y TCP的标志域
可 以 由 这 些 域 的 各 式 各 样 的 组 合 形 成 不 同 的 规 则 比 如 要 禁 止 从 主 机 1.1.1.1 到 主 机 2.2.2.2的FTP连接 包过滤可以创建这样的规则用于丢弃相应的报文
Quidway系列以太网交换机提供了一个有效的网络安全解决方案 包括用户验证 授权 计 费 数据保护等等 Quidway系列以太网交换机所采用的安全技术包括
y 包过滤技术 y 用户验证技术 y 防地址假冒技术 y 入侵检测与防范技术 y 安全管理
3.1 包过滤技术 包过滤应用在Quidway系列以太网交换机中 为交换机增加了对数据包的过滤功能 在三层交
以太网安全技术白皮书
华为技术有限公司北京研究所 北京市上地信息产业基地信息中路1号华为大厦 100085
二 二年三月
摘要
本文详细介绍了Quidway系列以太网交换机所应用的安全技术 包括访问控制 802.1X网络 访问控制 基于Portal协议的web认证 防地址假冒 入侵检测与防范 安全管理等 并探讨了 Quidway系列以太网交换机在安全方面的发展方向 结合Quidway系列以太网交换机在安全方面的 功能特点 给出了在企业网应用中的实际解决方案
换机中 不仅可以过滤有安全隐患的以太网帧 还可以过滤IP数据包 对到达端口的数据包 如 果是可以直接在链路层交换的以太网帧 则先获取以太网帧头信息 包括以太网帧类型 源 MAC地址 目的MAC地址 并根据目的MAC地址获得以太网帧的出端口 如果是需要三层转发
的数据包 则先获取包头信息 包括IP层所承载的上层协议的协议号 数据包的源地址 目的地 址 源端口和目的端口等 然后和设定的规则进行比较 根据比较的结果对数据包进行转发或者 丢弃
8 Access-Accept 9 设备上对用户连接做设置 10 Accounting-Request
12 Ack-Auth(portal协议)
11 Accounting-Response
14 用户下线 19 下线通知
15 Req-logout(portal协议) 18 Ack-logout(portal协议)
支持ACL的自动排序 可以选择是否针对某一类的ACL进行自动排序 以简化配置
的复杂度 方便对于ACL的配置及维护
支持名称方式的ACL 易于记忆及配置
y 支持基于端口进行过滤 可以设定禁止或允许转发来自或去往某个端口的报文 y 支持基于MAC地址进行过滤 可以设定禁止或允许转发来自或去往某个MAC地址的帧 y 支持基于Vlan进行过滤 可以设定禁止或允许转发来自或去往某个Vlan的报文 y 支持基于应用进行过滤 可以对交换机端口的输入帧前80字节范围内的64字节任意域设
支持标准及扩展的ACL 可以通过标准的ACL只设定一个简单的地址范围 也可以
使用扩展的ACL设定具体到协议 源地址范围 目的地址范围 源端口范围 目的端口范 围以及优先级与服务类型等
支持时间段 可以使ACL在特定的时间段内起作用 比如可设置每周一的8:00至
20:00此ACL起作用 还可以具体到某年某月某日至某年某月某日此ACL起作用
汇聚层
接入层
入网终端设备(以 及网交换机等)
RADIUS Server 接入层
Portal Server
边缘接入层
带浏览器的用 户机
图1 Portal认证方式的用户接入方案
Portal认证的基本过程是 客户机首先通过DHCP协议获取到IP地址 也可以使用静态IP地 址 但是客户使用获取到的IP地址并不能登上Internet 在认证通过前只能访问特定的IP地址 这个地址通常是PORTAL服务器的IP地址 采用Portal认证的接入设备必须具备这个能力 一般通 过修改接入设备的访问控制表 ACL 可以做到
为了有效的防止假冒IP地址和假冒MAC地址 Quidway以太网交换机使用了地址绑定技术严 格控制用户的接入 例如 绑定用户接入的端口与MAC地址
2.4 入侵检测与防范 为了防止网上的大流量攻击 Quidway系列以太网交换机提供了两种基本的攻击检测技术 1 报文镜像 使用报文镜像 可以将指定类型的报文 例如ICMP报文 拷贝到指定端口 然
5 基于Vlan的访问控制 企业内部通常以VLan方式划分成不同部门 各个部门的访问权限 有可能是不一样的 通过实现基于Vlan的访问控制 可以实现对部门的访问控制
2.2 用户验证 用户验证是实现用户安全防护的基础功能 对用户进行识别和区分 不仅能保护接入的用户
不受网络攻击 而且能阻止接入用户攻击其他用户和网络 经过验证的用户可以享受服务 而未 经验证的用户则被拒绝
用户登录到Portal Server后 可以浏览上面的内容 比如广告 新闻等免费信息 同时用户还 可以在网页上输入用户名和密码 它们会被WEB客户端应用程序传给Portal Server 再由Portal Server与NAS之间交互来实现用户的认证
Portal Server在获得用户的用户名和密码外 还会得到用户的IP地址 以它为索引来标识用 户 然后Portal Server 与NAS之间用Portal协议直接通信 而NAS又与RADIUS 服务器直接通信完 成用户的认证和上线过程 因为安全问题 通常支持安全性较强的CHAP式认证 Portal认证方式 的关键结点通信关系如图2所示
2.5 安全管理 内部网络与外部网络之间的每一个数据报文都会通过交换机 在交换机上进行报文的审计可
以提供网络运行的必要信息 有助于分析网络的运行情况 另一方面 交换机的安全运行牵涉到越来越多的安全策略 为了达到这些安全策略的有效利
用 进行安全策略管理是必需的
3 Quidway系列以太网交换机的安全技术