网络安全至关重要,现将介绍使用802.1X实施端口级的接入认证。802.1X认证,又称基于端口的访问控制协议认证,是由IEEE提出的一个符合802协议集的局域网接入控制协议。802.1X最初是为无线局域网认证设计的,但对有线网来说只要接入交换机支持802.1X协议也是可行的。
在802.1X协议中,必须同时具备客户端、接入认证交换机和认证服务器才能够完成基于端口的访问控制的用户认证和授权。认证过程如下:
(1)当用户有上网需求时客户端将请求认证的报文信息发给接入认证交换机,开始启动一次全新的认证过程。
(2)接入认证交换机收到请求认证的报文信息后,将发出一个请求帧要求用户的客户端程序将用户名送上来。中国网提供大量免费,如有业务需求请咨询网站客服人员!
(3)客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给接入认证交换机,接入认证交换机将客户端发送过来的数据帧经过封包处理后传送给认证服务器进行处理。
(4)认证服务器收到接入认证交换机传送过来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给接入认证交换机,由接入认证交换机传给客户端程序。
(5)客户端程序收到由接入认证交换机传过来的加密字后,用该加密字对口令部分进行加密处理,并通过接入认证交换机传送给认证服务器,此过程中的加密算法为不可逆算法,充分地保障了网络上敏感信息的安全度。
(6)认证服务器将送过来的加密后的口令信息和其自己经过加密运算后的口令信息进行比对,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的数据流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态。
基于RADIUS方式的IAS认证服务器+Foundry接入交换机的模式来描述整个认证系统的基本设置过程。
的安装配置过程
{dy}步:在DC上安装IAS服务。
第二步:定义认证客户端。在IAS管理界面中,在客户端上右击,选择创建新的客户端为交换机输入名称及其IP地址或DNS名称在客户端-供应商中选择“RADIUS Standard”,输入用于识别交换机的共享密码,这个密码必须与交换机中确定RADIUS服务器的密码一致,勾选“请求必须包括消息消息验证程序属性”。
第三步:创建远程访问策略实施访问管理。在IAS管理界面中,右击“远程访问策略”,创建新的远程访问策略并选择连接类型双击新建的策略,添加“Day-and-Time-Restriction”设置许可访问的时段。
第四步:开启远程访问记录。在IAS管理界面中选择“远程访问记录”,打开“本地文件”属性。
在“设置”页中选择需要记录的信息;在“日志文件”页卡中,设置文件格式为IAS格式,选择创建新日志时间。
第五步:设置可逆加密格式的密码来支持EAP-MD5。在DC上选择“Active Directory用户和计算机”,在AD域名上右键选择属性。
选择“组策略”页,编辑“默认域策略”。
在“计算机配置/Windows设置/安全设置/帐户策略/密码策略”树中,启用“用可还原的加密来存储密码”项。
第六步:为用户设置拨入和可逆加密密码许可。用户帐号属性中选择“拨入”页,勾选“允许拨入”项选择“帐户”页,勾选“使用可逆的加密保存密码”选项
接入认证交换机的配置过程
接入认证交换机的配置可以使用CLI、Telnet、超级终端拨入以及浏览器访问等多种方法。浏览器访问方式最便捷:登陆交换机的管理界面,在左侧树形管理菜单中的安全设置菜单项中设定认证顺序、服务器地址、端口、共享的密码、传输数和超时时间,并对各端口信息进行逐一设定。
客户端访问网络的验证过程
基于802.1x的认证系统与认证服务器之间通过RADIUS协议传送认证信息,由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-TTLS,PEAP以及LEAP等认证方法。
认证协议已经得到了很多软件厂商的重视,纷纷推出了大量的认证客户端软件,微软也不例外,在Windows XP SP2中已经整合了802.1x客户端软件,无需再另外安装客户端软件,只要网络连接的属性中启用此网络的802.1x验证即可。设置完成的客户端再次接入交换机时,系统会提示需要用户名和密码,只有合法用户才可以正常访问网络资源。
至此为止,完成了整套认证系统的分析与设置,可以使得网络的安全性得到了更深层次的保障。
在802.1X协议中,必须同时具备客户端、接入认证交换机和认证服务器才能够完成基于端口的访问控制的用户认证和授权。认证过程如下:
(1)当用户有上网需求时客户端将请求认证的报文信息发给接入认证交换机,开始启动一次全新的认证过程。
(2)接入认证交换机收到请求认证的报文信息后,将发出一个请求帧要求用户的客户端程序将用户名送上来。中国网提供大量免费,如有业务需求请咨询网站客服人员!
(3)客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给接入认证交换机,接入认证交换机将客户端发送过来的数据帧经过封包处理后传送给认证服务器进行处理。
(4)认证服务器收到接入认证交换机传送过来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给接入认证交换机,由接入认证交换机传给客户端程序。
(5)客户端程序收到由接入认证交换机传过来的加密字后,用该加密字对口令部分进行加密处理,并通过接入认证交换机传送给认证服务器,此过程中的加密算法为不可逆算法,充分地保障了网络上敏感信息的安全度。
(6)认证服务器将送过来的加密后的口令信息和其自己经过加密运算后的口令信息进行比对,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的数据流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态。
基于RADIUS方式的IAS认证服务器+Foundry接入交换机的模式来描述整个认证系统的基本设置过程。
的安装配置过程
{dy}步:在DC上安装IAS服务。
第二步:定义认证客户端。在IAS管理界面中,在客户端上右击,选择创建新的客户端为交换机输入名称及其IP地址或DNS名称在客户端-供应商中选择“RADIUS Standard”,输入用于识别交换机的共享密码,这个密码必须与交换机中确定RADIUS服务器的密码一致,勾选“请求必须包括消息消息验证程序属性”。
第三步:创建远程访问策略实施访问管理。在IAS管理界面中,右击“远程访问策略”,创建新的远程访问策略并选择连接类型双击新建的策略,添加“Day-and-Time-Restriction”设置许可访问的时段。
第四步:开启远程访问记录。在IAS管理界面中选择“远程访问记录”,打开“本地文件”属性。
在“设置”页中选择需要记录的信息;在“日志文件”页卡中,设置文件格式为IAS格式,选择创建新日志时间。
第五步:设置可逆加密格式的密码来支持EAP-MD5。在DC上选择“Active Directory用户和计算机”,在AD域名上右键选择属性。
选择“组策略”页,编辑“默认域策略”。
在“计算机配置/Windows设置/安全设置/帐户策略/密码策略”树中,启用“用可还原的加密来存储密码”项。
第六步:为用户设置拨入和可逆加密密码许可。用户帐号属性中选择“拨入”页,勾选“允许拨入”项选择“帐户”页,勾选“使用可逆的加密保存密码”选项
接入认证交换机的配置过程
接入认证交换机的配置可以使用CLI、Telnet、超级终端拨入以及浏览器访问等多种方法。浏览器访问方式最便捷:登陆交换机的管理界面,在左侧树形管理菜单中的安全设置菜单项中设定认证顺序、服务器地址、端口、共享的密码、传输数和超时时间,并对各端口信息进行逐一设定。
客户端访问网络的验证过程
基于802.1x的认证系统与认证服务器之间通过RADIUS协议传送认证信息,由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-TTLS,PEAP以及LEAP等认证方法。
认证协议已经得到了很多软件厂商的重视,纷纷推出了大量的认证客户端软件,微软也不例外,在Windows XP SP2中已经整合了802.1x客户端软件,无需再另外安装客户端软件,只要网络连接的属性中启用此网络的802.1x验证即可。设置完成的客户端再次接入交换机时,系统会提示需要用户名和密码,只有合法用户才可以正常访问网络资源。
至此为止,完成了整套认证系统的分析与设置,可以使得网络的安全性得到了更深层次的保障。
已投稿到: |
|
---|