李大為,陳 宇

(國網(wǎng)吉林省電力有限公司電力科學(xué)研究院,長春 130021)

影響網(wǎng)絡(luò)安全的因素很多,其中網(wǎng)絡(luò)間互聯(lián)協(xié)議(IP)地址盜用或地址欺騙最為常見且危害極大。對于企業(yè)內(nèi)部網(wǎng)絡(luò)而言,為了限制外部計(jì)算機(jī)入侵或內(nèi)部人員非法盜用高權(quán)限 IP地址獲得權(quán)限外信息,很多大型企業(yè)內(nèi)部網(wǎng)絡(luò)以及各個(gè)網(wǎng)絡(luò)分支都采用了介質(zhì)訪問控制(MAC)地址與 IP地址的綁定技術(shù),以提高內(nèi)部網(wǎng)絡(luò)的安全性[1]。本文以 CISCO網(wǎng)絡(luò)交換設(shè)備為例,探討了IP與MAC地址綁定的3種主流方式,重點(diǎn)對 3種方式對于不同企業(yè)實(shí)際網(wǎng)絡(luò)安全管理的適用性進(jìn)行分析。

1 IP地址與 M AC地址的關(guān)系

按照 IPv4標(biāo)準(zhǔn)指定的 IP地址,長度為 4個(gè)字節(jié),不受硬件限制,比較容易記憶。而 M AC地址是用網(wǎng)卡的物理地址,長度為 6個(gè)字節(jié),保存在網(wǎng)卡的EEPROM中,與硬件有關(guān)系,比較難于記憶。

在 TCP/IP網(wǎng)絡(luò)中,計(jì)算機(jī)往往需要設(shè)置 IP地址進(jìn)行通信,但實(shí)際上計(jì)算機(jī)之間的通信并不是通過IP地址,而是借助于網(wǎng)卡的M AC地址,IP地址只是用于查詢欲通信的目的計(jì)算機(jī)的 MAC地址。

地址解析協(xié)議(ARP)是用來向?qū)Ψ降挠?jì)算機(jī)、網(wǎng)絡(luò)設(shè)備通知本端計(jì)算機(jī) IP地址對應(yīng)的MAC地址的。在計(jì)算機(jī)的 ARJ緩存中包含一個(gè)或多個(gè)表,用于存儲 IP地址以及經(jīng)過解析的以太網(wǎng) MAC地址。一臺計(jì)算機(jī)與另一 IP地址計(jì)算機(jī)通信后,在 ARP緩存中會保留相應(yīng)的 MAC地址,再次與同一 IP地址計(jì)算機(jī)通信時(shí)將不再進(jìn)行查詢,而是直接引用緩存中的M AC地址。

在交互式網(wǎng)絡(luò)中,網(wǎng)絡(luò)交換機(jī)也維護(hù)一張M AC地址表,并根據(jù)M AC地址,將數(shù)據(jù)發(fā)送至目的計(jì)算機(jī)。由于IP地址的修改非常容易,而MAC地址存儲在網(wǎng)卡的 EEPROM中,而且網(wǎng)卡的 MAC地址是唯一確定的;因此,將內(nèi)部網(wǎng)絡(luò)的IP地址與M AC地址綁定后,即使修改了IP地址,也因 MAC地址不匹配而無法通信;而且由于網(wǎng)卡 M AC地址的唯一確定性,可以根據(jù) MAC地址查出使用該 MAC地址的網(wǎng)卡,進(jìn)而查出非法入侵者。

2 3種 IP/M AC地址綁定方案

2.1 端口的 MAC地址綁定(方案 1)

以 CISCO系列網(wǎng)絡(luò)交換機(jī)為例,登錄進(jìn)入交換機(jī),輸入管理口令進(jìn)入配置模式,輸入命令:

Switch(config)# interface fastethernet 0/1(進(jìn)入具體端口配置模式)

Switch(config-if)# switchport port-secruity(配置端口安全模式)

Switch(config-if)# switchport port-secruity maximum 1(限制 1個(gè)連接計(jì)算機(jī)數(shù))

Switch(config-if)switchportport-security mac-address sticky(自動(dòng)學(xué)習(xí) M AC地址)

Switch(config-if)no switchport port-security mac-address sticky M AC(刪除綁定主機(jī)的 MAC地址)

以上命令設(shè)置交換機(jī)上某個(gè)端口綁定一個(gè)具體的 MAC地址,這樣只有該主機(jī)可以使用網(wǎng)絡(luò),如果對該主機(jī)的網(wǎng)卡進(jìn)行了更換或者其他計(jì)算機(jī)想通過該端口使用網(wǎng)絡(luò)均不可用,除非刪除或修改該端口上綁定的MAC地址。

2.2 MAC地址的擴(kuò)展訪問列表(方案 2)

同樣以 CISCO系列網(wǎng)絡(luò)交換機(jī)為例,登錄進(jìn)入交換機(jī),輸入管理口令進(jìn)入配置模式,輸入命令:

Switch(config)mac access-list extended test1(定義一個(gè) M AC地址訪問控制列表并且命名該列表名為 test1)

Switch(config)permit host 001e.4509.5e3f any(定義 M AC地址為 001e.4509.5e3f的主機(jī)可以訪問任意主機(jī))

Switch(config)permit any host 001e.4509.5e3f(定義所有主機(jī)可以訪問 M AC地址為 001e.4509.5e3f的主機(jī))

Switch(config-if)interface Fa0/1(進(jìn)入配置具體端口的模式)

Switch(config-if)mac access-group test1in(在該端口上應(yīng)用名為 test1的訪問列表,即前面所定義的訪問策略)

Switch(config)no mac access-list extended test1(清除名為 test1的訪問列表)

此功能與端口的 M AC地址綁定大體相同,但其是基于端口做的 MAC地址訪問控制列表限制,可以限定特定源 MAC地址與目的地址范圍。需要注意的是 CISCO2950、3550需要交換機(jī)運(yùn)行增強(qiáng)的軟件鏡像(enhanced image)。

2.3 IP地址的MAC地址綁定(方案 3)

該方式只能將端口的 M AC地址綁定或 M AC地址的擴(kuò)展訪問列表與基于 IP的訪問控制列表組合來使用才能達(dá)到 IP-MAC綁定功能。

Switch(config)mac access-list extended test1(定義一個(gè) MAC地址訪問控制列表并且命名該列表名為test1)

Switch(config)permit host 001e.4509.5e3f any(定義 MAC地址為 001e.4509.5e3f的主機(jī)可以訪問任意主機(jī))

Switch(config)permit any host 001e.4509.5e3f(定義所有主機(jī)可以訪問 MAC地址為 001e.4509.5e3f的主機(jī))

Switch(config)ip access-list extended IPtest(定義 1個(gè) IP地址訪問控制列表并且命名該列表名為IPtest)

Switch(config)permit 10.164.1.1 0.0.0.0 any(定義 IP地址為 10.164.1.1的主機(jī)可以訪問任意主機(jī))

Switch(config)permit any 10.164.1.1 0.0.0.0(定義所有主機(jī)可以訪問 IP地址為 10.164.1.1的主機(jī))

Switch(config-if)interface Fa0/1(進(jìn)入配置具體端口的模式)

Switch(config-if)mac access-group test1 in(在該端口上應(yīng)用名為 test1的訪問列表,即前面所定義的訪問策略)

Switch(config-if)ip access-group IPtest in(在該端口上應(yīng)用名為 IPtest的訪問列表,即前面所定義的訪問策略)

Switch(config)no mac access-list extended test1(清除名為 test1的訪問列表)

Switch(config)no ip access-group IPtest in(清除名為 IPtest的訪問列表)

3 3種方案的適用性分析

針對CISCO的不同企業(yè)實(shí)際網(wǎng)絡(luò)環(huán)境,為了提高網(wǎng)絡(luò)的安全性,并且滿足合理性和可操作性要求,適當(dāng)選擇IP與 MAC地址綁定方案尤為重要。

顯而易見,從安全性方面來看,方案 3安全性最高。因其將IP/MAC和端口3者綁定在一起,任何一個(gè)因素不符合都無法進(jìn)行通信;而方案 1是主機(jī)MAC地址與交換機(jī)端口的綁定,方案 2是M AC地址的訪問控制列表,但這兩者相當(dāng)于把 M AC和端口進(jìn)行綁定,而沒有做 IP限制,任何 IP在某一端口或者通過一個(gè) M AC地址上都可以通信,安全性均低于方案 3。

但從實(shí)用性方面來看,方案 3不適用于所有企業(yè)網(wǎng)絡(luò)環(huán)境。首先,為了避免IP地址沖突,提高IP地址使用效率,很多企業(yè)通常使用 DHCP服務(wù)器或者網(wǎng)絡(luò)設(shè)備DHCP服務(wù)來自動(dòng)分配IP地址。而通過 IP DHCP snooping binding功能可以實(shí)現(xiàn)不允許非法的dhcp server接入,并將 IP分配給MAC地址,也就是將 IP與M AC地址綁定起來[2],所以,通過 DHCP及方案 1或2一起可以實(shí)現(xiàn) IP/MAC及端口三者綁定。只不過這個(gè)綁定的IP是由DHCP服務(wù)器分配的而不是由管理員指定,并且,分配 IP的周期可以根據(jù)實(shí)際需要來設(shè)定,以避免 IP資源浪費(fèi)(例如任何IP 30天沒有使用將自動(dòng)釋放);所以,對于不是必須固定每一個(gè)用戶 IP地址的企業(yè)來說,這種方法也可以實(shí)現(xiàn)三者綁定,且這種方式 IP地址分配效率更高,也更靈活。

其次,為了限制外部計(jì)算機(jī)繞過網(wǎng)絡(luò)管理員,直接接入到企業(yè)內(nèi)部網(wǎng)絡(luò),必須對 IP/M AC地址及端口進(jìn)行綁定;但對于大型企業(yè)而言,如果內(nèi)部計(jì)算機(jī)全部按照方案 3來進(jìn)行綁定,雖然安全性高,但是維護(hù)量過大,首先需要對網(wǎng)絡(luò)每一名用戶的姓名、IP、MAC及端口都要有準(zhǔn)確的記錄表一一對應(yīng),而且在具體操作中需要人工輸入各項(xiàng)數(shù)據(jù),時(shí)間緊迫而且出錯(cuò)率提高。如果采用方案1進(jìn)行綁定,當(dāng)網(wǎng)絡(luò)更改 IP地址段時(shí),不需要重新配置每臺計(jì)算機(jī)的 IP,只需刪除之前綁定的 MAC地址,因此,方案 1更為適用于這種網(wǎng)絡(luò)需要。

方案 3比較適用于安全性需求高,特殊企業(yè)或部門系統(tǒng)服務(wù)器。多數(shù)企業(yè)的服務(wù)器承載著企業(yè)重要的應(yīng)用,而且由于有對外應(yīng)用,要求不允許隨意改動(dòng) IP地址,因?yàn)樵诰W(wǎng)絡(luò)上,用戶訪問的是 IP地址或者是域名解析出來的 IP地址而不是 MAC地址,而且一旦被其他用戶占用,此 IP會引起系統(tǒng)無法訪問或者系統(tǒng)停運(yùn)的嚴(yán)重后果,如果發(fā)生非法入侵,盜用系統(tǒng) IP,會引發(fā)數(shù)據(jù)丟失、機(jī)密泄露、資產(chǎn)被盜取等諸多嚴(yán)重后果。

4 結(jié)束語

對于IP地址不足,需要高效分配IP地址且網(wǎng)絡(luò)運(yùn)維工作量大的大型企業(yè)內(nèi)部網(wǎng)絡(luò)而言,方案 1和 2是比較適合的。對于安全性要求較高的特殊企業(yè)或部門,特別是業(yè)務(wù)系統(tǒng)或服務(wù)器,方案 3則更為適用。不同 IP/MAC地址綁定方式適用于不同的企業(yè)的網(wǎng)絡(luò)環(huán)境,有些企業(yè)可能需要多種方式來應(yīng)對不同的需要,因而需要根據(jù)網(wǎng)絡(luò)以及不同企業(yè)的實(shí)際情況加以確定。

[1]鄭產(chǎn)東.IP地址盜用解決方案 [J].硅谷,2011,(10):21,40.

[2]徐勝利 ,孫開云,聶晶.加強(qiáng)接入層交換機(jī)安全 [J].網(wǎng)管員世界,2011,(22):91-95.