802.1x认证粒度控制过粗问题

      摘要:最近过年有些天没写博客了,今天敷衍一篇,主要扯扯802.1x协议的一点问题。802.1x协议用还是非常广泛的,很多公司用来做认证然后授权。但是其实802.1x协议是有点小缺陷的,主要是控制粒度过粗的问题。

      最近过年有些天没写博客了,今天敷衍一篇,主要扯扯802.1x协议的一点问题。802.1x协议用还是非常广泛的,很多公司用来做认证然后授权。但是其实802.1x协议是有点小缺陷的,主要是控制粒度过粗的问题。       标准的802.1x协议是基于端口的认证,这个端口可以是物理的,也可以是逻辑的。一般来说,有线网一个端口就是交换机的一个物理端口,无线网的一个端口就是一个无线连接的信道。通过认证了,这个端口状态为up,如果没有通过就是down。当状态为up时可以传输任何数据,但是状态为down时,只允许通过认证的EAPoL协议。也就是说对于交换机来说,只能控制到端口这一层。       对于这种标准的802.1x协议,如果在交换机端口下面接入一个HUB,那么当HUB下面的PC通过认证之后,再接入更多的PC,就无需认证而直接通过了。因为对于上面的交换机来说,这里只是一个端口,而这个端口的状态是UP的。       为了防止这种认证的绕过,一些厂商对802.1x作出了改进,支持了所谓single-host模式和multiple-hosts模式。这两种模式的区别在于使用的认证实体不同。multiple-hosts模式模式是标准协议,使用端口做认证实体,只能控制到端口。而single-host是厂商扩展,使用端口下挂设备的MAC地址作为认证实体,可以控制到端口下面不同的设备。如果在公司网络中使用标准的802.1x认证,那么是会存在比较严重的安全隐患的。       但是是不是使用MAC作为认证实体,启用single-host模式就安全了?也许并非如此。如果攻击者在交换机下面接入一个HUB,HUB下面接入3台设备,并且将这3台设备的MAC地址和IP地址都修改成一样会出现什么情况?对于802.1x来说,HUB下面的多台设备会被认为是一台,因此是可以通过认证的。对于网络来连接说,HUB会广播所有数据,因此下面的多台设备虽然MAC一样但是访问网络是不会有问题的,只是他们之间不能互相通信而已。唯一的疑惑是TCP传输会不会有冲突的问题,还需要测试,希望近期有环境试试看。       总的来说,前面的是对的,最后关于single-host模式绕过是没经过实验验证YY的,不确定是否会有TCP连接冲突,不过也许也是对的吧?

此条目发表在技术分类目录。将固定链接加入收藏夹。

802.1x认证粒度控制过粗问题》有 15 条评论

  1. 云舒说:

    理论上TCP会断,不过需要测试一下。
    UDP应该是没问题的。

  2. ayanamist说:

    教育网中广泛使用的锐捷就是802.1x协议修改版,本质是一样的。貌似TCP是不行的,否则早就被破解了

  3. 云舒说:

    是啊,理论上这样TCP连接会被其它机器重置,不过要测试一下看看,也许有的系统不是标准的TCP协议栈。再说了,我还可以通过防火墙控制RST等包的发送啊。我觉得破解这个认证,肯定是可以的。

  4. 木瓜说:

    今天写邮件的时候被校长看到,校长说N年前就玩过了。。。。
    汗啊 汗。。。

  5. se说:

    应该是会冲突!

  6. 云舒说:

    即使冲突也不要紧,可以用防火墙拦截发送出去的RST包,这样TCP连接不会中断。

  7. 云舒说:

    TO木瓜:他懂个屁。

  8. 双眼皮的猪说:

    安全哪能这么去空想,你在下面都加HUB了,什么都不安全,全广播网络现在又不用,或者说,即便是交换机,配个镜像端口,也啥都能搞定,物理安全也是安全。交换机上的dot1x应该包括可以基于端口认证,也可以基于用户mac来认证。dot1x本身并没有太多的东西,如果需要对认证实体进行限制,需要通过一些附加的功能来绑定到dot1x的客户端上,由接入层交换机,后台策略服务器,来动态的给客户端连接的端口上下发qos、acl等东西,或者强制客户端检查windows补丁是否打齐,没齐不许接入内网,但可以用wsus下载补丁,只要出现任何问题,802.1x只能让用户下线,因为这本来就只是一个认证的协议而已。作用就是一个开关。

    好久不来,偶尔逛逛,多说两句。

  9. 云舒说:

    算了吧,你没明白我。那天我在qq上稍微和你说了一点,更细的你明知我不方便在说更不能这里写。

  10. 云舒说:

    我的意思是说,目前常见的很多网络准入系统是基于802.1x的,检查安全性,检查接入的外部PC设备等。但是因为粒度粗存在hub绕过,这样网络准入系统事实上很大程度上失效了,没有起到应有的效果。

  11. 云舒说:

    基于mac做vmps,在我们公司又行不通。

  12. hell-phantom说:

    貌似某些老设备可以安装cat系统. up到old version 看看.

  13. sufaq说:

    对802.1x标准只能控制到端口是没错的,现在的好多内网安全管理系统在处理非法接入的问题的时候,也就是按照这个模式来的;
    对于把MAC改掉后冲突的问题,TCP上网是没有问题的,当初在学校机房的时候,学校上网也是锐捷的认证,我们住的那栋楼都是一个MAC上网的,因为可以绕过收费的

发表评论

电子邮件地址不会被公开。 必填项已用*标注