|
|
BY F.H. FHimemHacker 2009.5.1
【802.1x个人理解】
802.1x只是控制认证交换机的端口打开与关闭。当账号没有验证时,只有802.1X的数据包可以穿透交换机的端口,与认证服务器通讯。而其它的数据包会被隔离掉。
当802.1x认证成功后,交换机端口打开,就可以像普通交换机一样使用,设置一下IP等参数就可以上网,或者设置为自动获取,让服务器给分配。
交换机端口被打开后,还有IP MAC绑定信息,只有相应的IP MAC才能自由通讯。
【802.1x认证技术的特点】
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,但是,如果802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。
接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查。
每个物理端口内部又分为受控端口和非受控端口,非受控端口只负责处理认证数据包,受控端口负责处理业务数据。登陆前,用户只能通过非受控端口发送和接收认证数据包(802.1x格式),而其他格式的数据包则无法通过受控端口;登陆后,受控端口对用户开放,接受数据的传输。实现:如果用户把自定义的数据格式代替了EAP认证报文,并按需要改动一下目标MAC,而交换机仍然把此数据包当成合格的802.1x认证包处理,但把它发给了指定的MAC。实现:认证数据包采用自己的IP(运营商分配的)骗过服务器的认证,而正常的数据通讯仍然采用真实IP
【802.1x协议工作机制】
以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全问题。IEEE 802.1X协议正是在基于这样的背景下被提出来的,成为解决局域网安全问题的一个有效手段。
在802.1X协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
1.客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2.认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3.认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
在802.1X解决方案中,通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。对于此种访问控制方式,应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。
1.对于假冒MAC地址的情况
当认证交换机的一个物理端口下面再级连一台接入级交换机,而该台接入交换机上的甲用户已经通过认证并正常使用网络资源,则此时在认证交换机的该物理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。假如同一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同,则即使乙用户没有经过认证过程也能够使用网络资源了,这样就给网络安全带来了漏洞。针对此种情况,港湾网络交换机在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。
对于动态分配IP地址的网络系统,由于非法用户无法预先获知其他用户将会分配到的IP地址,因此他即使知道某一用户的MAC地址也无法伪造IP地址,也就无法冒充合法用户访问网络资源。
对于静态分配地址的方案,由于具有同一IP地址的两台终端设备必然会造成IP地址冲突,因此同时假冒MAC地址和IP地址的方法也是不可行的。
当假冒者和合法用户分属于认证交换机两个不同的物理端口,则假冒者即使知道合法用户的MAC地址,而由于该MAC地址不在同一物理端口,因此,假冒者还是无法进入网络系统。
2.对于假冒IP地址的情况
由于802.1X采用了基于二层的认证方式,因此,当采用动态地址分配方案时,只有用户认证通过后,才能够分配到IP网络地址。
对于静态地址分配策略,如果假冒了IP地址,而没有能够通过认证,也不会与正在使用该地址的合法用户发生地址冲突。
如果用户能够通过认证,但假冒了其他用户的IP地址,则通过在认证交换机上采用IP地址+MAC地址绑定的方式来控制用户的访问接入。这使得假冒用户无法进行正常的业务通信,从而达到了防止IP地址被篡改、假冒的目的。
3.对于用户口令失窃、扩散的处理
在使用802.1X认证协议的系统中,用户口令失窃和口令扩散的情况非常多,对于这类情况,能够通过在认证服务器上限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入,避免非法访问网络系统的目的。
【双网卡破解方法】
原理:
多台内网电脑通过交换机与双网卡服务器电脑的内网网卡相连接,服务器把外网网卡共享,然后内网主机就可以通过双网卡服务器访问外网。
如何绕过802.1检测:
与学校交换机相连接的只有服务器主机,内网数据包交换机检测不到。所以上网工作安全稳定。
双网卡服务器设置:
把内网网卡的IP设置为192.168.0.1 子网掩码255.255.255.0 其它空就可以了
把外网网卡的IP MAC设置为绑定的值,设置一下给定的DNS,或者设置为自动获取 把外网网卡共享,通过802.1X客户端,用外网网卡拨上号,然后其它内网电脑就可以上网了
内网主机设置:
把网卡IP设置为192.168.0.2到192.168.0.254 子网掩码255.255.255.0 网关192.168.0.1 DNS 用双网卡主机获取的DNS 海大的为211.64.142.6和211.64.144.130
注意:
如果用华为的H3C802.1x客户端,是不行的。需要使用lfc的xclient,相当不错
华为客户端会检测双网卡,代理等等,而xclient不会。xclient相当优秀的一款免费共享软件。
并且目前作者一直在维护。最新版本xclient2.0有支持各种系统的版本
【单网卡破解方法】
原理:
与双网卡服务器原理基本一样,只是把内网和外网用在一个网段而已。把内网IP和外网IP设置在一个网段内,就可以省下一个网卡。但是因为一个网卡的话是无法共享的,那么就需要装个虚拟网卡之类的东东。
物理连接:
外网网线连到个人的交换机上,然后把服务器和内网机器都连接到个人交换机上
如何绕过802.1检测:
利用服务器连上号后,服务器的IP MAC为经过认证的,可以通过认证交换机端口,而其它的内网主机则不行。其它的内网主机把ip设置与服务器在一个网段内,网关是服务器的ip就可以了。
单网卡网关服务器设置方法:
采用XP系统自带的工具即可,可能需要安装光盘里的资源文件。
DEVCON:是XP系统的一个CMD指令,用于完成CMD下的设备管理。
环回适配器:可以看作MS的内部虚拟网卡 。
连接共享:XP中提供的使局域网中电脑分享一个网络连接的功能。
操作方法:
CMD下 运行命令
devcon install "%WINDIR%\Inf\Netloop.inf" *MSLOOP
可以为系统增加一个环回适配器,并创建一个对应的 本地连接
期间可能需要放入安装光盘,提取安装文件。
然后 网上邻居---〉属性 发现除了原有的 “本地连接” 外多出一个“本地连接?”
把 新的“本地连接?”中的一个设置为共享,然后把 新的“本地连接?”都给禁用了
原先的“本地连接”设置为指定的IP MAC 或自动获取即可(注:对于802.1为了使服务器的地址不成天变,可以设置为一个网段内的IP,用xclient有个不自动分配IP的选项,连上后IP是固定的,但有IP冲突的可能性,没事,换个就可以了)
内网主机IP设置:
把IP设置为 与服务器在一个网段内的,网关设置为服务器的IP 再设置一下DNS就可以了。
工作过程:
在个人交换机中的数据帧既有服务器的,又有内网主机的,但是只有服务器的数据可以穿透认证交换机,其它的会被隔离掉。内网主机通过个人交换机连到服务器,然后服务器再通过个人交换机就可以访问外网了。因为内网的数据包不会达到认证交换机,所以不用怕内网上的IP和认证交换机上的IP一样而导致IP冲突。所以是很安全的。
测试:
实验过,双网上网的速度是很快的,10个人一起上浩方,玩网游都可以。下载速度能达到5M每秒以上。单网卡上网速度与双网上网一样,下载速度也是很快的。当有人告诉高速时,服务器可能会有点卡,很正常。
BY F.H. FHimemHacker 2009.5.1
xClient V2.0
xClient是一款基于H3C 802.1x协议的上网客户端,它具有体积小巧、上线迅速、不易掉线的优点,是H3C iNode Client及H3C 802.1x 客户端的良好替代品。xClient可以支持动态分配IP和静态指定IP两种IP分配方式,同时可以通过自定义版本号来适应各种具体的网络环境。最新版增加了对Vista的支持。
说明:本软件依赖WinPcap,请先行安装。
主页&更新:http://www.flyx.cn/
What's New 2009/02/26
1、用VS2005重写了代码
2、支持Vista操作系统
3、修正了网卡列表与实际不对应的bug
4、暂时去掉了断线识别功能
5、更改了用户信息存储方式,不再生成xClient.dat文件
What's New 2008/10/03
1、添加了断线识别,当网线被拔出时自动断开
2、添加了自定义版本号功能
3、添加了开机自动运行功能和任务栏气球提示效果
4、添加了在程序中检查最新版本的功能
5、修正了选择网卡后无法上线的BUG
6、去掉了广告
7、制作了集成WinPcap的完整安装包,无需另行安装WinPcap软件
What's New 2008/03/27
1、提供对固定IP的支持
2、更新了部分数据包结构
3、对一些细节进行了优化
What's New 2008/02/29
1、取消了使用时间限制
What's New 2008/01/21
1、修正了释放IP的Bug
2、将关闭按钮改成了最小化,防止误操作造成的断网
3、添加了一条小广告^_^
What's New 2008/01/01
1、修正了多网卡获取IP失败的错误
What's New 2007/12/30:
1、重写了代码
2、优化了用户体验
3、修改了若干Bug |
|
发表于 2009-5-1 08:49:29
楼主