网络安全理论与技术 课件 第8章 接入控制技术

第八章

接入控制技术主讲人：程远时间：2025.4目录01020405Internet接入控制过程RADIUS协议以太网接入控制技术03PPP与接入控制总结与Q&A1Internet接入控制过程010302建立传输路径：终端通过PSTN（PublicSwitchedTelephoneNetwork，公共交换电话网络）或以太网与路由器建立连接。配置网络信息：终端需配置IP地址、子网掩码、默认网关等，才能访问网络资源。绑定路由项：路由器将终端IP地址与路由器的某个端口绑定，确保数据正确转发。终端接入Internet的基本条件动态分配IP地址：接入控制设备为终端动态分配IP地址，确保网络信息有效。对比图a与图b：图a无身份鉴别，图b强调用户身份鉴别与动态配置。用户身份鉴别：接入控制设备验证用户是否为注册用户，防止非法接入。接入Internet的先决条件图a图b1.建立传输路径：终端通过拨号或以太网与接入控制设备建立连接。2.身份鉴别：接入控制设备验证用户身份，确保其为注册用户。3.动态配置网络信息：接入控制设备为终端分配IP地址等网络信息。4.动态创建路由项：接入控制设备创建路由项，绑定终端IP与传输路径。终端接入Internet过程总结2PPP与接入控制PPP功能：既是链路层协议，也是接入控制协议。PPP应用场景：主要用于拨号接入，通过点对点语音信道建立连接。PPP协议概述(自学)终端A通过呼叫连接与接入控制设备之间建立一个点对点的语音信道协议字段：标识帧中封装的协议类型，如鉴别协议或IPCP。信息字段：封装的数据单元（PDU），如用户身份信息或IP地址分配信息。PPP帧结构接入控制设备需要与终端A交换信息（A的用户身份标识信息、接入控制设备为终端A分配的IP地址、子网掩码等)，因此，需要将它们相互交换的信息封装成适合点对点语音信道传输的帧格式，即PPP帧。接入控制设备完成对终端A的接入控制过程中，需要与终端A相互传输PPP帧。口令鉴别协议(PAP)挑战握手鉴别协议(CHAP)IP控制协议(IPCP)

用户身份鉴别协议口令鉴别协议(PAP)过程：终端发送用户名和口令，接入控制设备进行验证。缺点：口令以明文传输，易被窃取。挑战握手鉴别协议(CHAP)优点：防止重放攻击，安全性更高。过程：接入设备发送随机数挑战，终端计算MD5并返回结果，设备验证。用户身份鉴别协议IPCP的作用：为终端动态分配IP地址等网络配置信息。流程：终端请求IP地址，接入设备分配IP地址并创建路由项。0102IP控制协议（IPCP）01物理链路停止：初始状态，无传输路径。02PPP链路建立：通过LCP协议协商参数，建立链路。03用户身份鉴别：可选PAP或CHAP验证用户身份。04IPCP：动态分配IP地址，创建路由项。05终止PPP链路：释放资源，返回物理链路停止状态。PPP接入控制流程链路控制协议(LinkControlProtocol，LCP)3RADIUS协议本地鉴别：对同一用户多点接入Internet的情况，每一个接入控制设备中需要存储所有接入用户的身份标识信息，管理复杂。本地鉴别的主要特点远程统一鉴别的特点用户和鉴别者之间的载体协议通常是和传输网络对应的链路层协议或隧道。鉴别者和鉴别服务器之间的传输通路往往是由路由器互连的多段链路层传输路径组成的。必须用IP以上的协议作为载体协议。远程鉴别拨入用户服务(RADIUS)是一种实现接入控制设备等鉴别者与鉴别服务器之间身份鉴别以及身份标识信息在鉴别者与鉴别服务器之间安全传输的应用层协议。RADIUS消息封装成IP分组。统一鉴别方式下，由鉴别服务器统一管理用户，完成身份鉴别，授权和计费操作。在这种情况下，接入控制设备不再进行具体的鉴别操作，它只作为中继系统向鉴别服务器转发用户发送的响应报文，或向用户转发鉴别服务器发送的请求报文。鉴别服务器链路层协议/隧道应用层协议编码：标识消息类型。包含四种消息类型：请求接入、允许接入、拒绝接入、挑战接入。字段说明：鉴别信息字段用于鉴别发送响应消息的鉴别服务器，通过MD5加密；属性字段给出了用户身份标识信息和NAS标识信息标识符：匹配请求或者响应消息。每一个请求接入消息选择不同的标识符，对应的响应消息必须和请求接入消息的标识符相同。RADIUS消息格式用户发送EAP响应：用户提供用户名。服务器发送挑战：鉴别服务器发送随机数挑战。用户计算MD5：用户计算MD5（随机数+口令）并返回结果。服务器验证：鉴别服务器验证结果，发送允许或拒绝接入消息。01020304RADIUS应用流程RADIUS应用示例角色客户端：用户设备（如笔记本电脑、手机）。认证者：无线AP/交换机（作为RADIUS客户端）。RADIUS服务器：运行EAP-PEAP/MSCHAPv2的认证服务器（如FreeRADIUS、MicrosoftNPS）。步骤阶段1：建立TLS加密隧道（PEAP）客户端发起连接用户选择Wi-Fi（如

CORP-WIFI），输入用户名/密码。客户端发送

EAPOL-Start

给AP，请求认证。AP转发EAP-Identity请求AP向客户端发送

EAP-Request/Identity，要求提供用户名。客户端返回用户名客户端发送

EAP-Response/Identity（如

user@）。服务器发送PEAP初始请求RADIUS服务器返回

EAP-Request/PEAP/Start，准备建立TLS隧道。阶段2：MSCHAPv2认证（在TLS隧道内）服务器发送挑战（Challenge）RADIUS服务器生成随机数

Challenge，发送给客户端。客户端计算响应（Response）客户端使用

用户密码的哈希值和

Challenge，计算

Response。服务器验证Response服务器从数据库获取用户密码的哈希值，重新计算预期响应。如果匹配，认证成功；否则失败。双向认证（可选）服务器发送

Success/Failure

消息，客户端也可验证服务器是否合法。认证结果返回服务器发送

EAP-Success

或

EAP-Failure。AP允许/拒绝用户接入网络TLS握手（ServerHello+Certificate）服务器发送

TLSServerHello

和

数字证书。客户端验证证书。TLS隧道建立完成双方协商加密密钥，后续通信在TLS隧道内进行。4以太网接入控制技术DHCP/ARP/生成树欺骗：利用协议缺陷进行攻击。MAC表溢出攻击：交换机MAC表溢出导致网络瘫痪。威胁产生的原因：以太网相关协议缺陷交换机帧转发机制不完善生成树协议缺陷MAC地址欺骗：非法终端伪造MAC地址接入网络。03010204以太网常见安全威胁01MAC表溢出的直接原因是交换机接收到太多源MAC地址不同的MAC帧。解决思路：限制每个端口允许接收的源MAC地址不同的MAC帧数量。02MAC地址欺骗攻击的前提是交换机无法对接收到的MAC帧进行源端鉴别；解决思路：由管理员确定每个交换机端口连接终端的MAC地址，将地址与终端绑定。03DHCP欺骗攻击的前提是交换机无法判别接收到的DHCP响应消息的合法性。解决思路：由管理员确定允许接收DHCP响应消息的交换机端口，丢弃所有从其他端口接收到的DHCP响应消息。04ARP欺骗攻击的前提是ARP请求报文或响应报文的接收者无法判别报文中MAC地址与IP地址之间绑定关系的正确性。解决思路：交换机中建立MAC地址与IP地址的绑定关系。05生成树欺骗攻击的前提是不该接收并处理BPDU的交换机端口接收并处理了BPDU。解决思路：由管理员确定参与生成树建立过程的交换机端口，其他交换机端口一律丢弃接收到的BPDU。安全威胁的解决思路以太网接入控制基本概念交换机需要鉴别接入其某个端口的终端身份，只允许授权终端通过该端口实现与以太网上的其他终端或路由器之间的MAC帧传输过程。交换机通过鉴别接入终端的身份，判别该终端是否为授权终端的过程称为以太网接入控制过程。终端验证交换机通过终端的MAC地址鉴别终端身份，确定该终端是否为授权终端用户验证交换机通过对用户提供的用户名和口令鉴别使用终端的用户的身份，确定用户是否为授权用户静态配置访问控制列表：每一个端口由管理员手动配置访问控制列表，列出允许接入的终端MAC地址动态安全端口技术:交换机为每一个端口自动生成访问控制列表；每一个端口设置自动学习的MAC地址数为N；端口自动学习并限制接入的MAC地址数量。以太网接入控制机制核心思想：使用用户身份鉴别代替MAC地址绑定。本地鉴别流程：用户提供用户名/口令：用户通过终端提供身份信息。交换机验证：交换机使用CHAP机制验证用户身份。动态添加MAC：验证通过后，动态添加终端MAC地址到访问控制列表。统一鉴别流程：使用RADIUS服务器集中管理用户信息，提高安全性，减轻交换机负担。010302802.1X接入控制EAP-CHAP挑战发送：服务器通过EAP-Request消息发送随机数。响应生成：客户端使用密码和挑战生成MD5哈希，通过EAP-Response返回。验证：服务器比对哈希值，完成认证。5总结与Q&A核