信息安全管理者都希望在发生安全事件时,不仅可以定位到计算机,而且定位到使用者的实际位置,利用MAC与IP的绑定是常用的方式,IP地址是计算机的“姓名”,网络连接时都使用这个名字;MAC地址则是计算机网卡的“身份证号”,不会有相同的,因为在厂家生产时就确定了它的编号。IP地址的修改是方便的,也有很多工具软件,可以方便地修改MAC地址,“身份冒充”相对容易,网络就不安全了。

遵从“花瓶模型”信任体系的思路,对用户进行身份鉴别,大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco的EOU技术的身份认证),目的就是实现用户账号、IP、MAC的绑定,从计算机的确认到人的确认。

身份认证模式是通过计算机内安全客户端软件,完成登录网络的身份鉴别过程,MAC地址也是通过客户端软件送给认证服务器的,具体的过程这里就不多说了。

一、问题的提出与要求

有了802.1x的身份认证,解决的MAC绑定的问题,但还是不能定位用户计算机的物理位置,因为计算机接入在哪台u盘装系统视频交换机的第几个端口上,还是不知道,用户计算机改变了物理位置,管理者只能通过其他网管系统逐层排查。那么,能否可以把交换机端口与IP、MAC一起绑定呢?这样计算机的物理位置就确定了。

首先这是有关安全标准的要求:

1)重要安全网络中,要求终端安全要实现MAC\IP\交换机端口的绑定

2)有关专用网络中,要求未使用的交换机端口要处于关闭状态(未授权前不打开)

其次,实现交换机端口绑定的目标是:

Ø防止外来的、未授权的计算机接入网络(访问网络资源)

Ø当有计算机接入网络时,安全监控系统能够立即发现该计算机的MAC与IP,以及接入的交换机端口信息,并做出身份验证,属于未授权的能够报警或终止计算机的继续接入,或者禁止它访问到网络的任何资源

Ø当有安全事件时,可以根据用户绑定的信息,定位到机器(MAC与IP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)

二、实现交换机端口信息绑定的策略

根据接入交换机的安全策略,可以把端口信息绑定分为两种方式:静态方式与u盘装xp系统动态方式

1、静态方式:固定计算机的位置,只能在预先配置好的交换机端口接入,未配置(授权申请)的不能接入网络。

静态的意思就是关闭交换机的MAC地址学习功能,计算机只能从网络唯一允许的位置接入网络,否则交换机不给予数据转发,所以只要该计算机登录,必然是固定的位置。

2、动态方式:计算机可以随机接入交换机的不同端口,在网络准入身份认证的同时,从交换机中动态提取计算机所在的交换机端口信息,动态地与MAC、IP等信息一起绑定。

动态的意思是安全系统在计算机接入网络时,自动搜索到交换机的端口信息,当然这个信息只能来自于交换机,不可能来自于客户端软件。

三、交换机端口绑定方案一:协议改造

标准的802.1x协议中,交换机负责控制端口与数据端口的管理,但没有把端口信息加载在认证数据包中,一些交换机厂家扩展了802.1x协议(私有协议),增加了端口信息,显然这种方案属于动态绑定方式。

本文出自 51CTO.COM技术博客