| 出版日期:2003-03-24 总期号:1200 本年期号:19 |
|
 |
解决IP地址硬伤
实达锐捷网络认证计费系统 李鹰、梁坤丽 天津大学是教育部直属国家重点大学,共有各类在校学生32000余人。在日益庞大的天津大学校园网中,IP地址的规划和管理是一个非常复杂和艰巨的工作。 有些使用者未经允许私自修改IP地址,导致其他用户无法正常上网,甚至通过修改网关地址造成整个网段的用户都不能上网。如何有效地规范IP地址的使用, 从根本上杜绝盗用IP的现象,已经成为摆在天津大学网络中心管理者面前的一个突出的课题。 IP编址机制存在缺陷 TCP/IP协议在设计初期,过分强调其开放性,在实现上力求高效,而没有仔细考虑安全性问题,所以说TCP/IP本身在设计上就不安全,存在许多原始的安全漏洞。 IP地址和电话号的结构是不一样的,IP地址不能反映任何有关主机位置的地理信息。而要实现两台机器间的通信,必须基于物理地址-网卡地址进行,也就是说根据IP地址进行通信的两台主机必须完成地址的转换,才能进行实际通信。通过ARP(地址解析协议)进行IP地址→网卡地址转换,RARP(逆地址解析协议)进行网卡地址→IP地址的转换。而某个IP地址既可以绑定在A主机,也可以绑定在B主机。只要用户有足够的权限,通过简单配置就可修改本机的IP地址,如果将IP地址与交换机或用户绑定,将给网络以后的升级调整带来不便,而且工作量也很大。 
实达锐捷网络S-Radius客户端软件 另外,根据IP协议不对数据包中的IP地址进行认证的缺陷,可以实现IP欺骗。IP欺骗就是IP地址欺骗攻击,IP欺骗之所以能够成功,是因为网络主机间的信任关系仅建立在IP地址验证的基础上,因此任何人不经授权就可伪造IP包的源地址实施IP欺骗攻击。对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP 或修改TCP/IP配置时,如果使用的不是授权机构分配的IP地址,就形成了IP地址盗用。 对于网卡的MAC地址是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。 保护IP地址的使用 通过多方摸索,天津大学网络中心管理者了解到国内实达锐捷网络S-Radius认证计费系统可以很好解决IP地址盗用的问题,通过实达锐捷网络的安全接入交换机和S-Radius认证计费系统,较好地解决了天津大学校园网IP地址盗用的问题。 静态IP冲突解决方案——IP和账号绑定 针对用户进行802.1x认证前不是指定分配的IP,而是滥用其他IP的情况,该解决方案可在进行用户认证前和用户试图认证的过程中保护IP地址不被盗用。 认证前 因为这个时候,用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突; 试图认证 当用户使用账号密码试图通过认证,因为认证服务器端该用户账号和其IP做了绑定,认证服务器对其不予通过认证,从而同样不会造成IP冲突。 此外,针对用户使用正确的账号/IP通过认证后,再更改IP的情况,在使用过程中,实达锐捷网络S-Radius客户端软件能够检测到IP的更改,即刻剔除用户下线,同时发送计费结束报文,结束计费,从而不会造成IP冲突。 动态IP冲突解决方案——客户IP属性校验 用户进行802.1x认证前不用动态获得IP,而是静态指定的情况下,该解决方案也是通过在认证前和用户试图认证过程中解决动态IP冲突。 认证前 因为这个时候,用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突; 试图认证 当用户使用账号密码试图通过认证,因为认证服务器端该用户账号的IP属性是动态IP,认证报文中该用户的IP属性确是静态IP,则认证服务器对其不予通过认证,从而同样不会造成IP冲突。 而对于用户使用正确的账号,动态IP设置通过认证后,再更改IP的情况,实达锐捷网络S-Radius客户端软件同样能够检测到IP的更改,剔除用户下线,保护IP地址不被盗用。 |
||||||||||||||||||||||||||||
