1 AAA
1.1 AAA 可以通過多種協議來實現,這些協議規定了 NAS 與服務器之間如何傳遞用戶信息。目前設備支持 RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)協議、HWTACACS(HW Terminal Access Controller Access Control System,HW 終端訪問控制器控制系統協議)協議和 LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)協議,在實際應用中,最常使用 RADIUS 協議。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分佈式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的干擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。RADIUS 協議合併了認證和授權的過程,它定義了RADIUS 的報文格式及其消息傳輸機制,並規定使用 UDP 作爲封裝 RADIUS 報文的傳輸層協議,UDP 端口 1812、1813 分別作爲認證/授權、計費端口。
1.2 AAA配置
1.2.1配置本地用戶
local-user user-name [class {manage|network}]
password {cipher|simple} password //配置網絡接入類本地用戶
password [{hash|simple} password] //配置設備管理類本地用戶
service-type {lan-access|ipoe|portal|ppp} //配置網絡介入類用戶使用的服務類型
service-type {ftp|{http|https|ssh|telnet|terminal}*} //配置設備管理類用戶使用的服務類型
配置舉例:
public-key local create rsa
public-key local create dsa
line vty 0 63
authentication-mode scheme
local-user ssh class manage
service-type ssh
password simple 123456
authorization-attribute user-role network-admin
quit
1.2.2配置RADIUS方案
radius-server test-profile profile-name username name //配置RADIUS服務器探測模板,用於探測RADIUS服務器是否可達
radius scheme radius-scheme-name
primary authenication 10.8.109.4 1812 key string weight 80 //配置RADIUS認真服務器
key accounting cipher|simple string //配置共享密鑰
2 Password Control
password-control enable //使能密碼管理功能
password-control aging aging-time //配置密碼的老化時間
password-control update-interval interval //配置密碼更新的最小時間間隔
password-control length length //配置密碼的最小長度
password-control composition type-number type-number type-length type-length //配置密碼組合策略
password-control complexity {same-character|username} check //配置用戶密碼的複雜度檢查策略
password-control login-attempt login-times [exceed {lock-time time|unlock}] //配置用戶登錄嘗試次數以及登錄嘗試失敗後的行爲
3 IP Source Guard
3.1 簡介
IP Source Guard 功能用於對接口收到的報文進行過濾控制,通常配置在接入用戶側的接口上,以防止非法用戶報文通過,從而限制了對網絡資源的非法使用(比如非法主機仿冒合法用戶 IP 接入網絡),提高了接口的安全性。配置了IP Source Guard功能的接口接收到用戶報文後,首先查找與該接口綁定的表項(簡稱爲綁定表項),如果報文的信息與某綁定表項匹配,則轉發該報文,否則丟棄該報文。IPSource Guard可以根據報文的源IP地址、源MAC地址和VLAN標籤對報文進行過濾。報文的這些特徵項可單獨或組合起來與接口進行綁定,形成如下幾類綁定表項:
• • IP 綁定表項
• • MAC 綁定表項
• • IP+MAC 綁定表項
• • IP+VLAN 綁定表項
• • MAC+VLAN 綁定表項
• • IP+MAC+VLAN 綁定表項
IP Source Guard 綁定表項可以通過手工配置和動態獲取兩種方式生成。設備僅支持 IP+MAC 綁定表項。
3.2 配置
interface g1/0/1
ip verify source {ip-address|ip-addres mac-address|mac-address} //綁定了源 IP 地址和 MAC 地址,則只有接口上收到的報文的源IPv4 地址和源 MAC 地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
IPv4 靜態綁定表項包括全局的 IPv4 靜態綁定表項和接口的 IPv4 靜態綁定表項。
接口的 IPv4 靜態綁定表項和動態綁定表項的優先級高於全局的 IPv4 靜態綁定表項,即接口優先使用本接口上的靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的靜態綁定表項進行匹配。
ip source binding ip-address ip-address mac-address mac-address //配置全局靜態表項。
dis ip source binding
4 ARP攻擊防禦
4.1 簡介
ARP 協議有簡單、易用的優點,但是也因爲其沒有任何安全機制而容易被攻擊發起者利用。
• • 攻擊者可以仿冒用戶、仿冒網關發送僞造的 ARP 報文,使網關或主機的 ARP 表項不正確,從而對網絡進行攻擊。
• • 攻擊者通過向設備發送大量目標 IP 地址不能解析的 IP 報文,使得設備試圖反覆地對目標 IP地址進行解析,導致 CPU 負荷過重及網絡流量過大。
• • 攻擊者向設備發送大量 ARP 報文,對設備的 CPU 形成衝擊。
爲避免這種 IP 報文攻擊所帶來的危害,設備提供了下列兩個功能:
• • ARP 源抑制功能:如果發送攻擊報文的源是固定的,可以採用 ARP 源抑制功能。開啓該功能後,如果網絡中每 5 秒內從某 IP 地址向設備某接口發送目的 IP 地址不能解析的 IP 報文超過了設置的閾值,則設備將不再處理由此 IP 地址發出的 IP 報文直至該 5 秒結束,從而避免了惡意攻擊所造成的危害。
• • ARP 黑洞路由功能:無論發送攻擊報文的源是否固定,都可以採用 ARP 黑洞路由功能。開啓該功能後,一旦接收到目標 IP 地址不能解析的 IP 報文,設備立即產生一個黑洞路由,使得設備在一段時間內將去往該地址的報文直接丟棄。等待黑洞路由老化時間過後,如有報文觸發則再次發起解析,如果解析成功則進行轉發,否則仍然產生一個黑洞路由將去往該地址的報文丟棄。這種方式能夠有效地防止 IP 報文的攻擊,減輕 CPU 的負擔。
arp source-suppression enable //使能ARP源抑制功能
arp source-suppression limit limit-value //缺省情況下,ARP源抑制的閾值爲10
arp resolving-route enable //缺省情況下,ARP黑洞路由功能處於開啓狀態
display arp source-suppression
4.2 配置源MAC地址固定的ARP攻擊檢測
本特性根據 ARP 報文的源 MAC 地址對上送 CPU 的 ARP 報文進行統計,在 5 秒內,如果收到同一源 MAC 地址(源 MAC 地址固定)的 ARP 報文超過一定的閾值,則認爲存在攻擊,系統會將此MAC 地址添加到攻擊檢測表項中。在該攻擊檢測表項老化之前,如果設置的檢查模式爲過濾模式,則會打印日誌信息並且將該源MAC地址發送的ARP報文過濾掉;如果設置的檢查模式爲監控模式,則只打印日誌信息,不會將該源 MAC 地址發送的 ARP 報文過濾掉。
對於網關或一些重要的服務器,可能會發送大量 ARP 報文,爲了使這些 ARP 報文不被過濾掉,可以將這類設備的 MAC 地址配置成保護 MAC 地址,這樣,即使該設備存在攻擊也不會被檢測、過濾。
arp source-mac {filter|monitor} //使能源MAC地址固定的ARP攻擊檢測功能
arp source-mac threshold threshold-value //缺省情況下,源MAC地址固定的ARP報文攻擊檢測閾值爲30個
arp source-mac aging-time time //缺省情況下,源MAC地址固定的ARP攻擊檢測表項的老化時間爲300秒
arp source-mac exclude-mac 0012-3f86-e49c //配置被保護MAC地址
4.3 配置ARP報文源MAC地址一致性檢查功能
ARP 報文源 MAC 地址一致性檢查功能主要應用於網關設備上,防禦以太網數據幀首部中的源 MAC地址和 ARP 報文中的源 MAC 地址不同的 ARP 攻擊。配置本特性後,網關設備在進行 ARP 學習前將對 ARP 報文進行檢查。如果以太網數據幀首部中的
源 MAC 地址和 ARP 報文中的源 MAC 地址不同,則認爲是攻擊報文,將其丟棄;否則,繼續進行ARP 學習。
arp valid-check enable
4.4 配置ARP主動確認功能
ARP 的主動確認功能主要應用於網關設備上,防止攻擊者仿冒用戶欺騙網關設備。
啓用 ARP 主動確認功能後,設備在新建或更新 ARP 表項前需進行主動確認,防止產生錯誤的 ARP表項。
未啓用 ARP 主動確認功能時,設備收到一個 ARP 報文的處理過程如下:
• • 如果設備的 ARP 表中沒有與此 ARP 報文源 IP 地址對應的 ARP 表項,設備會根據 ARP 報文中攜帶的源 IP 地址、源 MAC 地址信息新建 ARP 表項。
• • 如果設備的 ARP 表中存在與此 ARP 報文源 IP 地址對應的 ARP 表項,設備會根據 ARP 報文中攜帶的源 IP 地址、源 MAC 地址信息更新對應的 ARP 表項。
啓用 ARP 主動確認功能後,設備在新建或更新 ARP 表項前需進行主動確認,防止產生錯誤的 ARP表項。
arp active-ack [strict]enable
4.5 配置ARP過濾保護功能
本功能用來限制接口下允許通過的 ARP 報文,可以防止仿冒網關和仿冒用戶的攻擊。
在接口上配置此功能後,當接口收到 ARP 報文時,將檢查 ARP 報文的源 IP 地址和源 MAC 地址是否和允許通過的 IP 地址和 MAC 地址相同:
• • 如果相同,則認爲此報文合法,繼續進行後續處理;
• • 如果不相同,則認爲此報文非法,將其丟棄。
interface g1/0/1
arp filter binding ip-address mac-address //開啓ARP過濾保護功能,配置允許通過的ARP報文的源IP地址和源MAC地址
5 802.1X配置
5.1 802.1X簡介
最初,提出 802.1X 協議是爲解決無線局域網的網絡安全問題。後來,802.1X 協議作爲局域網的一種普通接入控制機制在以太網中被廣泛應用,主要解決以太網內認證和安全方面的問題。
802.1X 協議是一種基於端口的網絡接入控制協議,即在局域網接入設備的端口上對所接入的用戶和設備進行認證,以便控制用戶設備對網絡資源的訪問。
802.1X系統中包括三個實體:客戶端(Client)、設備端(Device)和認證服務器(Authentication server)。
802.1X的接入控制方式
設備不僅支持協議所規定的基於端口的接入認證方式(Port-based),還對其進行了擴展、優化,支持基於 MAC 的接入控制方式(MAC-based)。
• • 採用基於端口的接入控制方式時,只要該端口下的第一個用戶認證成功後,其它接入用戶無須認證就可使用網絡資源,但是當第一個用戶下線後,其它用戶也會被拒絕使用網絡。
• • 採用基於 MAC 的接入控制方式時,該端口下的所有接入用戶均需要單獨認證,當某個用戶下線後,也只有該用戶無法使用網絡。
5.2 802.1x配置
(1)802.1X 需要 AAA 的配合才能實現對用戶的身份認證。因此,需要首先完成以下配置任務:
• • 配置802.1X用戶所屬的ISP認證域及其使用的AAA方案,即本地認證方案或RADIUS方案。
• • 如果需要通過 RADIUS 服務器進行認證,則應該在 RADIUS 服務器上配置相應的用戶名和密碼。
• • 如果需要本地認證,則應該在設備上手動添加認證的用戶名和密碼。配置本地認證時,用戶使用的服務類型必須設置爲 lan-access。
domain bbb
authentication lan-access radius-scheme radiusl local
authorization lan-access radius-scheme radiusl local
accounting lan-access radius-scheme radiusl local
(2)開啓 802.1X
只有同時開啓全局和端口的 802.1X 後,802.1X 的配置才能在端口上生效。
dot1x //開啓802.1X
interfce g1/0/1
dot1x //端口開啓dot1x
dot1x mandatory-domain bbb //配置認證域
(3) 配置802.1X認證方法
設備上的 802.1X 系統採用的認證方法與設備對於 EAP 報文的處理機制有關,具體如下:
• • 若指定 authentication-method 爲 eap,則表示設備採用 EAP 中繼認證方式。該方式下,設備端對客戶端發送的 EAP 報文進行中繼處理,並能支持客戶端與 RADIUS 服務器之間所有類型的 EAP 認證方法。
• • 若指定 authentication-method 爲 chap 或 pap,則表示設備採用 EAP 終結認證方式,該方式下,設備端對客戶端發送的EAP報文進行本地終結,並能支持與RADIUS服務器之間採用CHAP 或 PAP 類型的認證方法。
dot1x authentication-method {chap|eap|pap} //缺省情況下,設備啓用EAP終結方式,並採用CHAP認證方法
(4)配置本地用戶
local-user localuser class network
password simple localpass
service-type lan-access
quit
(5)RADIS方案
radius scheme radius1
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication simple name
user-name-format without-domain
6 MAC地址認證配置
6.1MAC地址認證概述
MAC 地址認證是一種基於端口和 MAC 地址對用戶的網絡訪問權限進行控制的認證方法,它不需要用戶安裝任何客戶端軟件。設備在啓動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,即啓動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或者密碼。若該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的 MAC 地址就被設置爲靜默 MAC。在靜默時間內(可通過靜默定時器配置),來自此 MAC 地址的用戶報文到達時,設備直接做丟棄處理,以防止非法 MAC 短時間內的重複認證。
使用不同用戶名格式的MAC地址認證
根據設備最終用於驗證用戶身份的用戶名格式和內容的不同,可以將 MAC 地址認證使用的用戶帳戶格式分爲兩種類型:
• • MAC 地址用戶名格式:使用用戶的 MAC 地址作爲認證時的用戶名和密碼。
• • 固定用戶名格式:不論用戶的 MAC 地址爲何值,所有用戶均使用設備上指定的一個固定用戶名和密碼替代用戶的 MAC 地址作爲身份信息進行認證。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證,服務器端僅需要配置一個用戶帳戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
6.2 MAC地址認證配置
domain bbb
authentication lan-access local //配置認證方法
mac-authentication //開啓全局MAC地址認證
mac-authentication domain bbb //配置使用的ISP域
mac-authentication user-name-format mac-address //配置用戶名格式爲MAC地址格式
mac-authentication user-name-format fixed [account name] [password {cipher|simple string} ] //配置用戶名格式爲固定用戶名,並配置密碼
interface vlan 10
mac-autheniticaton //端口開啓MAC地址認證
quit
local-user 00-e0-fc-12-34-56 class network
password simple localpass
service-type lan-access
display mac-authentication
7 Portal配置
7.1 Portal概述
Portal 在英語中是入口的意思。Portal 認證通常也稱爲 Web 認證,即通過 Web 頁面接受用戶輸入的用戶名和密碼,對用戶進行身份認證,以達到對用戶訪問進行控制的目的。在採用了 Portal 認證的組網環境中,未認證用戶上網時,接入設備強制用戶登錄到特定站點,用戶可以免費訪問其中的服務;當用戶需要使用互聯網中的其它信息時,必須在 Portal Web 服務器提供的網站上進行 Portal認證,只有認證通過後纔可以使用這些互聯網中的設備或資源。
Portal的認證方式
Portal 支持三種認證方式:直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接入設備之間沒有三層轉發設備;可跨三層認證方式下,認證客戶端和接入設備之間可以(但不必須)跨接三層轉發設備。
(1)直接認證方式
用戶在認證前通過手工配置或 DHCP 直接獲取一個 IP 地址,只能訪問 Portal Web 服務器,以及設定的免認證地址;認證通過後即可訪問網絡資源。認證流程相對簡單。
(2) 二次地址分配認證方式
用戶在認證前通過 DHCP 獲取一個私網 IP 地址,只能訪問 Portal Web 服務器,以及設定的免認證地址;認證通過後,用戶會申請到一個公網 IP 地址,即可訪問網絡資源。該認證方式解決了 IP 地址規劃和分配問題,對未認證通過的用戶不分配公網 IP 地址。例如運營商對於小區寬帶用戶只在訪問小區外部資源時才分配公網 IP。目前,僅 H3C iNode 客戶端支持該認證方式。需要注意的是,IPv6Portal 認證不支持二次地址分配方式。
(3)可跨三層認證方式
和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。對於以上三種認證方式,IP 地址都是用戶的唯一標識。接入設備基於用戶的 IP 地址下發 ACL 對接口上通過認證的用戶報文轉發進行控制。由於直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的 MAC 地址,接入設備可以利用學習到 MAC 地址增強對用戶報文轉發的控制力度。
7.2 Portal認證配置
portal server server-name
ip 10.10.10.1 [key {cipher |simple} string] //配置Portal認證服務器
port port-number //配置配置接入設備主動向Portal認證服務器發送Portal
報文時使用的UDP端口號,缺省爲50100
server-type imc //配置Portal認證服務器的類型,缺省爲IMC服務器
portal web-server server-name //配置Portal Web服務器
url url-string //指定Portal Web服務器的URL
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string } //配置重定向匹配規則
interface vlan 100 //必須是三層接口
portal enable method {direct | layer3|redhcp }
portal apply web-server server-name //引用Web服務器