李江靈

摘要：近年來隨著網(wǎng)絡(luò)的普及與深入發(fā)展，網(wǎng)絡(luò)給人類的生存和生活來了歷史性的變化。但隨之而來的網(wǎng)絡(luò)安全問題卻在困擾著普通人士的生活，也為專業(yè)人士提出了新的挑戰(zhàn)。因此，本文以IEEE802.1X協(xié)議的體系結(jié)構(gòu)及三大組成部分和在實(shí)際應(yīng)用中的工作機(jī)制為重點(diǎn)，系統(tǒng)地分析了IEEE802.1X協(xié)議的不安全因素。

關(guān)鍵詞：IEEE802.1X協(xié)議 工作機(jī)制 不安全因素

1 IEEE802.1X協(xié)議誕生背景

在20世紀(jì)90年代后期，為解決無(wú)線網(wǎng)絡(luò)安全問題，IEEE802委員會(huì)提出了IEEE802.1X協(xié)議，要求通過對(duì)連接到局域網(wǎng)的用戶進(jìn)行授權(quán)和認(rèn)證的方式保護(hù)網(wǎng)絡(luò)安全。隨后，該協(xié)議作為一種網(wǎng)絡(luò)端口接入機(jī)制被廣泛應(yīng)用于以太網(wǎng)當(dāng)中，取得了一定的成效。IEEE802.1X標(biāo)準(zhǔn)提供了一種獨(dú)立于網(wǎng)絡(luò)服務(wù)類型的基于網(wǎng)絡(luò)端口訪問接入控制（Port-based Access Control）的標(biāo)準(zhǔn)，用于基于以太網(wǎng)的局域網(wǎng)、廣域網(wǎng)和無(wú)線網(wǎng)等用戶和用戶設(shè)備的接入認(rèn)證。在實(shí)際應(yīng)用中，IEEE802.1X雖然能克服一系列局域網(wǎng)接入中的安全漏洞，但也存在一些安全隱患。

2 IEEE802.1X三大組成部分及工作機(jī)制

第一：IEEE802.1X三大組成部分：IEEE802.1X協(xié)議由三部分組成，客戶端請(qǐng)求、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。只要客戶端裝有EAPoE客戶端軟件，就可以實(shí)現(xiàn)對(duì)交換機(jī)端口的接入控制。一般情況下，用戶可以啟動(dòng)客戶端軟件進(jìn)行IEEE802.1X協(xié)議認(rèn)證。

第二：IEEE802.1X工作機(jī)制：在初始狀態(tài)下，交換機(jī)上的所有端口都處于關(guān)閉狀態(tài)，只有IEEE802.1X數(shù)據(jù)流才能通過，比如DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）、HTTP（超文本傳輸協(xié)議），F(xiàn)TP（文件傳輸協(xié)議）、SMTP（簡(jiǎn)單文件傳輸協(xié)議），POP3（郵局協(xié)議）等都被禁止。當(dāng)用戶通過EAPoE登陸交換機(jī)時(shí)，交換機(jī)將用戶提供的“用戶名、口令”傳輸?shù)胶笈_(tái)的RADIUS認(rèn)證服務(wù)器上，如果通過驗(yàn)證，則相應(yīng)的受控口打開，允許用戶訪問。

3 IEEE802.1X的不安全因素分析

IEEE802.1X協(xié)議是一種基于Client/Server的認(rèn)證和訪問控制協(xié)議，它可以有效地限制那些未經(jīng)授權(quán)的用戶或設(shè)備接入端口，保障了局域網(wǎng)和正常接入用戶的安全。在獲得交換機(jī)或辦理各種LAN提供的業(yè)務(wù)之前，IEEE802.1X會(huì)對(duì)端口接入用戶或設(shè)備進(jìn)行認(rèn)證。而在認(rèn)證未通過之前，IEEE802.1X一般只允許通過認(rèn)證的設(shè)備連接端口。待認(rèn)證通過之后，所有正確的數(shù)據(jù)均可以通過以太網(wǎng)連接至端口。

根據(jù)以太網(wǎng)各個(gè)物理端口的性質(zhì)，我們可以將其分為受控邏輯端口和不受控邏輯端口。其中，物理端口負(fù)責(zé)將接收到的各個(gè)幀分送至受控和不受控端口。通過功能來看，不受控端口主要用于認(rèn)真信息傳輸，通常處于雙向連通狀態(tài)，而受控端口的狀態(tài)主要取決于端口的授權(quán)情況。由于IEEE802.1X協(xié)議的不對(duì)稱性，其只提供了認(rèn)證點(diǎn)對(duì)認(rèn)證請(qǐng)求者的身份驗(yàn)證，卻沒有認(rèn)證請(qǐng)求者對(duì)認(rèn)證點(diǎn)的驗(yàn)證，使偽造EAPOL-Start、EAPOL-Logoff消息變得很方便，這就容易導(dǎo)致中間人攻擊，從而竊取用戶信息，或是搶占網(wǎng)絡(luò)資源。

定義Supplicant為認(rèn)證請(qǐng)求者，Authenticator為認(rèn)證點(diǎn)，Attacker為攻擊人。Attacker通過配置兩塊網(wǎng)卡，將自己偽裝成為接入認(rèn)證點(diǎn)。當(dāng)Supplicant請(qǐng)求接入網(wǎng)絡(luò)時(shí)，由于Attacker比Supplicant更接近認(rèn)證點(diǎn)Authenticator，Supplicant將所有的認(rèn)證請(qǐng)求通過Attacker傳給Authenticator。Authenticator會(huì)把Attacker誤認(rèn)為是普通接入者，對(duì)其進(jìn)行認(rèn)證和授權(quán)。此后，Supplicant的報(bào)文都會(huì)傳給Attacker，Attacker甚至能在真正的認(rèn)證結(jié)束前，通過偽造EAP-Success消息，誤導(dǎo)Supplicant發(fā)送報(bào)文。

4 總結(jié)

IEEE802.1X認(rèn)證協(xié)議雖然適合網(wǎng)絡(luò)安全接入，但是還不算完整的準(zhǔn)入機(jī)制，一個(gè)完整而安全的接入訪問控制除了具有基于端口的訪問控制功能外，還應(yīng)該具有完整的訪問控制，嚴(yán)格禁止不安全端口和不安全地址的訪問控制，一套完整的防偽隔離技術(shù)及補(bǔ)救措施。

參考文獻(xiàn)：

[1]楊威，王杏元.網(wǎng)絡(luò)工程設(shè)計(jì)與安裝（第三版）[M].電子工業(yè)出版社，2012.5.

[2]趙安軍，等.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].人民郵電出版社，2007.

[3]車世安，賀全榮.局域網(wǎng)組建、管理及維護(hù)實(shí)用教程[M].北京：清華大學(xué)出版社，2009.