级联、哑终端与直通问题
交换机级联的问题
在以太网中,可能存在支持Web认证的交换机下联一个不支持Web认证的交换机或者集线器的情况,其网络拓扑如图6所示,图中白色的NAD图标表示支持Web认证的交换机,而灰色的NAD图标表示不支持Web认证的交换机。

在该情况下,支持Web认证的交换机需要支持基于Mac地址的网络接入身份认证,这样,不支持Web认证的交换机或集线器被看作是透明传输,不对身份认证结果产生影响。
哑终端设备的问题
在以太网中,可能存在打印机、VoIP设备等哑终端设备。哑终端设备无法使用浏览器进行基于Web的接入身份认证,因此,建议采用“MAC地址免认证”方式完成哑终端设备的身份认证。
直通协议
为支持基于Web的接入身份认证,需要NAC满足一定的网络基础条件。NAC需要以手动配置或者自动配置的方式预先获得IP地址,且能够进行地址解析,使得浏览器能够正常发起网络的请求。为此,需要NAD允许ARP协议、自动地址配置协议(包括DHCP协议、IPv6下的SLAAC协议和DHCPv6协议)以及DNS协议报文通过,这些协议统称为直通协议。
直通地址
为支持基于Web的接入身份认证,需要NAC具备一定的网络访问能力,NAC需要正常访问网关地址和Portal服务器地址。因此,需要NAD允许访问这些地址的报文通过,这些地址统称为直通地址。
安全性考虑
在认证系统中主要存在下面几种可能的安全问题:仿冒攻击、嗅探攻击、NAD的安全性、Web服务器的安全、其它类型的攻击等。
仿冒攻击
(1)恶意用户可能通过仿冒IP地址来盗取服务。
这可以通过Portal下发的认证Cookie来解决。用户访问Portal时需要携带认证Cookie,如果用户的IP地址与认证Cookie中包含的IP地址字段不一致,说明该地址是仿冒的。但是如果用户同时仿冒IP地址和认证Cookie,该安全方法将无效。
(2)恶意用户可能仿冒Portal向NAD发送打开端口等控制命令。
(3)恶意用户仿冒NAD向Portal发送用户退出请求等控制命令。
这可以通过NAD和Portal之间设置共享密钥来解决嗅探攻击在NAC和Portal之间采用HTTPS协议通信能够有效地避免这一问题。
NAD的安全性
NAD作为网络设备,面临着网络攻击的风险,因此,可以在NAD上采用限制TCP连接数的方法,根据实际经验值,一般将单个NAC的最大TCP连接数设为500。
Web服务器的安全
Portal提供Web服务器的功能,因此需要保证Web服务器的安全。
对于针对Web服务器的攻击,可以采取现有的安全防范措施来解决,例如,服务器的安全加固,以及相应服务的安全加固。
其他攻击
NAD为支持Web认证的功能,必须允许一些特定的协议,比如直通协议、受限协议等通过,这会产生特定的安全问题,例如,在身份认证前,允许ARP协议通过,会造成ARP攻击的问题。对于这些类型的攻击,可以针对性地采取现有的安全防范措施来解决。
应用和实施
在清华大学、赛尔网络以及国内厂商的共同努力下,该技术目前已经在锐捷网络、H3C、神州数码等企业的设备上实现应用。
此后,此项技术首先在清华大学进行了小规模测试,测试完成后,在清华大学学生宿舍进行大规模部署,并运行至今。同时,工作组与山东大学、东北大学、东南大学、华南理工大学、华中科技大学5所大学进行沟通,在以上学校分别进行了小规模测试,对系统的功能进行验证和改进,为大规模试商用奠定基础。
随着试商用的深入,2012年6~7月,该技术在全国100所高校进行了部署。在经过紧张的部署之后,项目验收专家组按地区,分批次对100所高校项目进行实地验收,各校就实施情况和取得的成果向专家组进行汇报。相关专家对项目建设总结报告进行审查,目前为止,系统已经在各校运行。
(作者单位为清华大学网络中心)
|