談?wù)処P、MAC與交換機(jī)端口綁定的方法

    信息安全管理者都希望在發(fā)生安全事件時(shí)，不僅可以定位到計(jì)算機(jī)，而且定位到使用者的實(shí)際位置，利用MAC與IP的綁定是常用的方式，IP地址是計(jì)算機(jī)的“姓名”，網(wǎng)絡(luò)連接時(shí)都使用這個(gè)名字；MAC地址則是計(jì)算機(jī)網(wǎng)卡的“身份證號(hào)”，不會(huì)有相同的，因?yàn)樵趶S(chǎng)家生產(chǎn)時(shí)就確定了它的編號(hào)。IP地址的修改是方便的，也有很多工具軟件，可以方便地修改MAC地址，“身份冒充”相對(duì)容易，網(wǎng)絡(luò)就不安全了。
    遵從“花瓶模型”信任體系的思路，對(duì)用戶(hù)進(jìn)行身份鑒別，大多數(shù)人采用基于802.1x協(xié)議的身份認(rèn)證技術(shù)(還可以基于應(yīng)用的身份認(rèn)證、也可以是基于Cisco的EOU技術(shù)的身份認(rèn)證)，目的就是實(shí)現(xiàn)用戶(hù)賬號(hào)、IP、MAC的綁定，從計(jì)算機(jī)的確認(rèn)到人的確認(rèn)。
身份認(rèn)證模式是通過(guò)計(jì)算機(jī)內(nèi)安全客戶(hù)端軟件，完成登錄網(wǎng)絡(luò)的身份鑒別過(guò)程，MAC地址也是通過(guò)客戶(hù)端軟件送給認(rèn)證服務(wù)器的，具體的過(guò)程這里就不多說(shuō)了。

一、 問(wèn)題的提出與要求
    有了802.1x的身份認(rèn)證，解決的MAC綁定的問(wèn)題，但還是不能定位用戶(hù)計(jì)算機(jī)的物理位置，因?yàn)橛?jì)算機(jī)接入在哪臺(tái)交換機(jī)的第幾個(gè)端口上，還是不知道，用戶(hù)計(jì)算機(jī)改變了物理位置，管理者只能通過(guò)其他網(wǎng)管系統(tǒng)逐層排查。那么，能否可以把交換機(jī)端口與IP、MAC一起綁定呢？這樣計(jì)算機(jī)的物理位置就確定了。
    首先這是有關(guān)安全標(biāo)準(zhǔn)的要求：
1) 重要安全網(wǎng)絡(luò)中，要求終端安全要實(shí)現(xiàn)MAC\IP\交換機(jī)端口的綁定
2) 有關(guān)專(zhuān)用網(wǎng)絡(luò)中，要求未使用的交換機(jī)端口要處于關(guān)閉狀態(tài)(未授權(quán)前不打開(kāi))
    其次，實(shí)現(xiàn)交換機(jī)端口綁定的目標(biāo)是：
Ø 防止外來(lái)的、未授權(quán)的計(jì)算機(jī)接入網(wǎng)絡(luò)(訪(fǎng)問(wèn)網(wǎng)絡(luò)資源)
Ø 當(dāng)有計(jì)算機(jī)接入網(wǎng)絡(luò)時(shí)，安全監(jiān)控系統(tǒng)能夠立即發(fā)現(xiàn)該計(jì)算機(jī)的MAC與IP，以及接入的交換機(jī)端口信息，并做出身份驗(yàn)證，屬于未授權(quán)的能夠報(bào)警或終止計(jì)算機(jī)的繼續(xù)接入，或者禁止它訪(fǎng)問(wèn)到網(wǎng)絡(luò)的任何資源
Ø 當(dāng)有安全事件時(shí)，可以根據(jù)用戶(hù)綁定的信息，定位到機(jī)器(MAC與IP)、定位到物理位置(交換機(jī)端口)、定位到人(用戶(hù)賬號(hào)、姓名、電話(huà)…)

二、 實(shí)現(xiàn)交換機(jī)端口信息綁定的策略
    根據(jù)接入交換機(jī)的安全策略，可以把端口信息綁定分為兩種方式：靜態(tài)方式與動(dòng)態(tài)方式
1、靜態(tài)方式：固定計(jì)算機(jī)的位置，只能在預(yù)先配置好的交換機(jī)端口接入，未配置(授權(quán)申請(qǐng))的不能接入網(wǎng)絡(luò)。
    靜態(tài)的意思就是關(guān)閉交換機(jī)的MAC地址學(xué)習(xí)功能，計(jì)算機(jī)只能從網(wǎng)絡(luò)唯一允許的位置接入網(wǎng)絡(luò)，否則交換機(jī)不給予數(shù)據(jù)轉(zhuǎn)發(fā)，所以只要該計(jì)算機(jī)登錄，必然是固定的位置。
2、動(dòng)態(tài)方式：計(jì)算機(jī)可以隨機(jī)接入交換機(jī)的不同端口，在網(wǎng)絡(luò)準(zhǔn)入身份認(rèn)證的同時(shí)，從交換機(jī)中動(dòng)態(tài)提取計(jì)算機(jī)所在的交換機(jī)端口信息，動(dòng)態(tài)地與MAC、IP等信息一起綁定。
    動(dòng)態(tài)的意思是安全系統(tǒng)在計(jì)算機(jī)接入網(wǎng)絡(luò)時(shí)，自動(dòng)搜索到交換機(jī)的端口信息，當(dāng)然這個(gè)信息只能來(lái)自于交換機(jī)，不可能來(lái)自于客戶(hù)端軟件。

三、 交換機(jī)端口綁定方案一：協(xié)議改造
    標(biāo)準(zhǔn)的802.1x協(xié)議中，交換機(jī)負(fù)責(zé)控制端口與數(shù)據(jù)端口的管理，但沒(méi)有把端口信息加載在認(rèn)證數(shù)據(jù)包中，一些交換機(jī)廠(chǎng)家擴(kuò)展了802.1x協(xié)議(私有協(xié)議)，增加了端口信息，顯然這種方案屬于動(dòng)態(tài)綁定方式。

方案的要點(diǎn)：
Ø 所有接入層的交換機(jī)要支持該私有擴(kuò)展協(xié)議(交換機(jī)必須是同一廠(chǎng)家的)計(jì)算機(jī)
Ø 終端安全系統(tǒng)的服務(wù)器要支持?jǐn)U展的認(rèn)證協(xié)議(增加交換機(jī)端口)
方案的優(yōu)缺點(diǎn)：
Ø 優(yōu)點(diǎn)是綁定協(xié)議實(shí)現(xiàn)完整
Ø 缺點(diǎn)是網(wǎng)絡(luò)交換機(jī)都需要是一個(gè)廠(chǎng)家的，因?yàn)樗接袇f(xié)議是難以互通的，同時(shí)終端安全系統(tǒng)也需要是定制的

四、 交換機(jī)端口綁定方案二：主動(dòng)查詢(xún)
    修改交換機(jī)上的協(xié)議是困難的，但我們可以主動(dòng)探測(cè)端口信息，交換機(jī)支持網(wǎng)管功能，通過(guò)查詢(xún)交換機(jī)內(nèi)的FDB表(交換機(jī)內(nèi)用來(lái)維護(hù)轉(zhuǎn)發(fā)的信息表，內(nèi)容包括對(duì)應(yīng)端口、MAC、Vlan)，就可以獲得端口信息，顯然這種方案也是動(dòng)態(tài)綁定方式。

實(shí)現(xiàn)步驟：
1) 用戶(hù)通過(guò)客戶(hù)端軟件進(jìn)行身份認(rèn)證
2) 交換機(jī)把認(rèn)證請(qǐng)求發(fā)送給服務(wù)器
3) 服務(wù)器通過(guò)SNMP協(xié)議查詢(xún)交換機(jī)的FDB表，確認(rèn)此時(shí)該P(yáng)C所在的交換機(jī)端口號(hào)信息
4) 認(rèn)證服務(wù)器確認(rèn)賬號(hào)/MAC/IP/端口號(hào)，給出認(rèn)證通過(guò)信息
5) 用戶(hù)認(rèn)證通過(guò)，開(kāi)始訪(fǎng)問(wèn)業(yè)務(wù)
方案的要點(diǎn)：
Ø 交換機(jī)支持網(wǎng)管功能(snmp協(xié)議)，支持FDB表的查詢(xún)
Ø 終端安全系統(tǒng)的服務(wù)器要定制支持FDB查詢(xún)功能
方案的優(yōu)缺點(diǎn)：
Ø 優(yōu)點(diǎn)是可以采用不同廠(chǎng)家的交換機(jī)，只要支持網(wǎng)管snmp協(xié)議即可

五、 交換機(jī)端口綁定方案三：靜態(tài)綁定
    安全性要求比較高的網(wǎng)絡(luò)，交換機(jī)端口的分配是確定的，未分配的端口默認(rèn)是關(guān)閉的，因此，需要?jiǎng)討B(tài)查詢(xún)的“機(jī)會(huì)”應(yīng)該說(shuō)是沒(méi)有的，既然是確定的，就直接“寫(xiě)入”到交換機(jī)內(nèi)，不輕易改動(dòng)，所以叫靜態(tài)方式。

實(shí)現(xiàn)步驟：
1) 關(guān)閉交換機(jī)的端口MAC學(xué)習(xí)功能，把計(jì)算機(jī)的MAC配置在交換機(jī)端口上，并把計(jì)算機(jī)的MAC與交換機(jī)端口信息，輸入到終端安全服務(wù)器的資源管理中
2) 用戶(hù)通過(guò)客戶(hù)端軟件進(jìn)行身份認(rèn)證 計(jì)算機(jī)基礎(chǔ)知識(shí)
3) 交換機(jī)把認(rèn)證請(qǐng)求發(fā)送給服務(wù)器 (由于交換機(jī)端口中有該計(jì)算機(jī)的MAC，所以轉(zhuǎn)發(fā)認(rèn)證數(shù)據(jù)包)
4) 認(rèn)證服務(wù)器確認(rèn)賬號(hào)/MAC/IP，并從資源庫(kù)中提取交換機(jī)端口號(hào)信息，一同綁定，給出認(rèn)證通過(guò)信息
5) 用戶(hù)認(rèn)證通過(guò)，進(jìn)行正常訪(fǎng)問(wèn)業(yè)務(wù) 計(jì)算機(jī)基礎(chǔ)教程
方案的要點(diǎn)：
Ø 關(guān)閉交換機(jī)自學(xué)習(xí)功能，人工靜態(tài)配置MAC信息
Ø 終端安全系統(tǒng)的服務(wù)器進(jìn)行資源管理，記錄MAC與交換機(jī)端口信息
方案的優(yōu)缺點(diǎn)：
Ø 優(yōu)點(diǎn)是計(jì)算機(jī)接入端口信息固定，網(wǎng)絡(luò)準(zhǔn)入層次提高，避免計(jì)算機(jī)身份冒充行為，從交換機(jī)底層控制未知的計(jì)算機(jī)是不能接入網(wǎng)絡(luò)的
Ø 缺點(diǎn)是人工配置MAC，安全管理工作多

六、 三種方案的比較
方案 方案特定 適用范圍
方案1：協(xié)議改造 協(xié)議實(shí)現(xiàn)完整，要求交換機(jī)是同廠(chǎng)家的，網(wǎng)絡(luò)改造投入大 適合新建網(wǎng)絡(luò)，或者是小型網(wǎng)絡(luò)系統(tǒng)安全改造
方案2：主動(dòng)查詢(xún) 方案相對(duì)完美，不要求交換機(jī)同廠(chǎng)家，但要求支持網(wǎng)管功能 適合大型網(wǎng)絡(luò)或網(wǎng)絡(luò)改造的安全管理
方案3：靜態(tài)綁定 方案相對(duì)簡(jiǎn)單，對(duì)交換機(jī)沒(méi)有要求，方案的安全性又較高，尤其在未授權(quán)計(jì)算機(jī)的接入控制上 適合于涉密要求高的網(wǎng)絡(luò)，適合于專(zhuān)用網(wǎng)絡(luò)的安全管理