談談IP、MAC與交換機端口綁定的方法

    信息安全管理者都希望在發(fā)生安全事件時，不僅可以定位到計算機，而且定位到使用者的實際位置，利用MAC與IP的綁定是常用的方式，IP地址是計算機的“姓名”，網絡連接時都使用這個名字；MAC地址則是計算機網卡的“身份證號”，不會有相同的，因為在廠家生產時就確定了它的編號。IP地址的修改是方便的，也有很多工具軟件，可以方便地修改MAC地址，“身份冒充”相對容易，網絡就不安全了。
    遵從“花瓶模型”信任體系的思路，對用戶進行身份鑒別，大多數(shù)人采用基于802.1x協(xié)議的身份認證技術(還可以基于應用的身份認證、也可以是基于Cisco的EOU技術的身份認證)，目的就是實現(xiàn)用戶賬號、IP、MAC的綁定，從計算機的確認到人的確認。
身份認證模式是通過計算機內安全客戶端軟件，完成登錄網絡的身份鑒別過程，MAC地址也是通過客戶端軟件送給認證服務器的，具體的過程這里就不多說了。

一、 問題的提出與要求
    有了802.1x的身份認證，解決的MAC綁定的問題，但還是不能定位用戶計算機的物理位置，因為計算機接入在哪臺交換機的第幾個端口上，還是不知道，用戶計算機改變了物理位置，管理者只能通過其他網管系統(tǒng)逐層排查。那么，能否可以把交換機端口與IP、MAC一起綁定呢？這樣計算機的物理位置就確定了。
    首先這是有關安全標準的要求：
1) 重要安全網絡中，要求終端安全要實現(xiàn)MAC\IP\交換機端口的綁定
2) 有關專用網絡中，要求未使用的交換機端口要處于關閉狀態(tài)(未授權前不打開)
    其次，實現(xiàn)交換機端口綁定的目標是：
Ø 防止外來的、未授權的計算機接入網絡(訪問網絡資源)
Ø 當有計算機接入網絡時，安全監(jiān)控系統(tǒng)能夠立即發(fā)現(xiàn)該計算機的MAC與IP，以及接入的交換機端口信息，并做出身份驗證，屬于未授權的能夠報警或終止計算機的繼續(xù)接入，或者禁止它訪問到網絡的任何資源
Ø 當有安全事件時，可以根據(jù)用戶綁定的信息，定位到機器(MAC與IP)、定位到物理位置(交換機端口)、定位到人(用戶賬號、姓名、電話…)

二、 實現(xiàn)交換機端口信息綁定的策略
    根據(jù)接入交換機的安全策略，可以把端口信息綁定分為兩種方式：靜態(tài)方式與動態(tài)方式
1、靜態(tài)方式：固定計算機的位置，只能在預先配置好的交換機端口接入，未配置(授權申請)的不能接入網絡。
    靜態(tài)的意思就是關閉交換機的MAC地址學習功能，計算機只能從網絡唯一允許的位置接入網絡，否則交換機不給予數(shù)據(jù)轉發(fā)，所以只要該計算機登錄，必然是固定的位置。
2、動態(tài)方式：計算機可以隨機接入交換機的不同端口，在網絡準入身份認證的同時，從交換機中動態(tài)提取計算機所在的交換機端口信息，動態(tài)地與MAC、IP等信息一起綁定。
    動態(tài)的意思是安全系統(tǒng)在計算機接入網絡時，自動搜索到交換機的端口信息，當然這個信息只能來自于交換機，不可能來自于客戶端軟件。

三、 交換機端口綁定方案一：協(xié)議改造
    標準的802.1x協(xié)議中，交換機負責控制端口與數(shù)據(jù)端口的管理，但沒有把端口信息加載在認證數(shù)據(jù)包中，一些交換機廠家擴展了802.1x協(xié)議(私有協(xié)議)，增加了端口信息，顯然這種方案屬于動態(tài)綁定方式。

方案的要點：
Ø 所有接入層的交換機要支持該私有擴展協(xié)議(交換機必須是同一廠家的)計算機
Ø 終端安全系統(tǒng)的服務器要支持擴展的認證協(xié)議(增加交換機端口)
方案的優(yōu)缺點：
Ø 優(yōu)點是綁定協(xié)議實現(xiàn)完整
Ø 缺點是網絡交換機都需要是一個廠家的，因為私有協(xié)議是難以互通的，同時終端安全系統(tǒng)也需要是定制的

四、 交換機端口綁定方案二：主動查詢
    修改交換機上的協(xié)議是困難的，但我們可以主動探測端口信息，交換機支持網管功能，通過查詢交換機內的FDB表(交換機內用來維護轉發(fā)的信息表，內容包括對應端口、MAC、Vlan)，就可以獲得端口信息，顯然這種方案也是動態(tài)綁定方式。

實現(xiàn)步驟：
1) 用戶通過客戶端軟件進行身份認證
2) 交換機把認證請求發(fā)送給服務器
3) 服務器通過SNMP協(xié)議查詢交換機的FDB表，確認此時該PC所在的交換機端口號信息
4) 認證服務器確認賬號/MAC/IP/端口號，給出認證通過信息
5) 用戶認證通過，開始訪問業(yè)務
方案的要點：
Ø 交換機支持網管功能(snmp協(xié)議)，支持FDB表的查詢
Ø 終端安全系統(tǒng)的服務器要定制支持FDB查詢功能
方案的優(yōu)缺點：
Ø 優(yōu)點是可以采用不同廠家的交換機，只要支持網管snmp協(xié)議即可

五、 交換機端口綁定方案三：靜態(tài)綁定
    安全性要求比較高的網絡，交換機端口的分配是確定的，未分配的端口默認是關閉的，因此，需要動態(tài)查詢的“機會”應該說是沒有的，既然是確定的，就直接“寫入”到交換機內，不輕易改動，所以叫靜態(tài)方式。

實現(xiàn)步驟：
1) 關閉交換機的端口MAC學習功能，把計算機的MAC配置在交換機端口上，并把計算機的MAC與交換機端口信息，輸入到終端安全服務器的資源管理中
2) 用戶通過客戶端軟件進行身份認證 計算機基礎知識
3) 交換機把認證請求發(fā)送給服務器 (由于交換機端口中有該計算機的MAC，所以轉發(fā)認證數(shù)據(jù)包)
4) 認證服務器確認賬號/MAC/IP，并從資源庫中提取交換機端口號信息，一同綁定，給出認證通過信息
5) 用戶認證通過，進行正常訪問業(yè)務 計算機基礎教程
方案的要點：
Ø 關閉交換機自學習功能，人工靜態(tài)配置MAC信息
Ø 終端安全系統(tǒng)的服務器進行資源管理，記錄MAC與交換機端口信息
方案的優(yōu)缺點：
Ø 優(yōu)點是計算機接入端口信息固定，網絡準入層次提高，避免計算機身份冒充行為，從交換機底層控制未知的計算機是不能接入網絡的
Ø 缺點是人工配置MAC，安全管理工作多

六、 三種方案的比較
方案 方案特定 適用范圍
方案1：協(xié)議改造 協(xié)議實現(xiàn)完整，要求交換機是同廠家的，網絡改造投入大 適合新建網絡，或者是小型網絡系統(tǒng)安全改造
方案2：主動查詢 方案相對完美，不要求交換機同廠家，但要求支持網管功能 適合大型網絡或網絡改造的安全管理
方案3：靜態(tài)綁定 方案相對簡單，對交換機沒有要求，方案的安全性又較高，尤其在未授權計算機的接入控制上 適合于涉密要求高的網絡，適合于專用網絡的安全管理