锐捷协议分析

锐捷802.1x客户端认证协议分析方法作者：soar2005-12-310:12:19工具：SnifferPro4.7相关内容IEEE802.1x（Port-BasedNetworkAccessControl）是一个基于端口的网络接入控制标准，为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE802LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。IEEE802.1x标准定义了一种基于“客户端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前，只有EAPOL报文（ExtensibleAuthenticationProtocoloverLAN）可以在网络上通行。在认证成功之后，通常的数据流便可在网络上通行。认证的发起及认证过程中的报文交互恳请者和认证者之间通过EAPOL协议交换信息，而认证者和认证服务器通过RADIUS协议交换信息，通过这种转换完成认证过程。EAPOL协议封装于MAC层之上，类型号为0x888E。同时，标准为该协议申请了一个组播MAC地址01-80-C2-00-00-03，用于初始认证过程中的报文传递。下图是一次典型的认证过程中，三个角色设备的报文交互过程锐捷网络产品特有的功能为了方便宽带运营商及其他特殊场合的用途，锐捷对802.1x的功能在标准的基础上进行了扩展（该扩展是完全基于标准之上，没有任何的与IEEE802.1x不兼容）IP授权模式锐捷网络实现的802.1x，可以强制要求已认证的用户使用固定的IP。管理员通过配置IP授权模式来限定用户获得IP地址的方式。IP授权模式有三种：DISABLE模式、DHCPSERVER模式、RADIUSSERVER模式。下面分别介绍这三种工作模式的特性：DISABLE模式（默认）：在该模式下，交换机不对用户的IP做限制，用户只需认证通过便可以使用网络。DHCPSERVER模式：用户的IP通过指定的DHCPSERVER获得，只有指定的DHCPSERVER分配的IP才是合法的IP。RADIUSSERVER模式：用户的IP通过RADIUSSERVER指定。用户只能用RADIUSSERVER指定的IP访问网络。三种模式下的应用模型：DISABLE模式：适合不对用户限定IP的场合。用户只需通过认证便可以访问网络。DHCPSERVER模式：用户PC通过DHCP获得IP地址，管理员通过配置交换机的DHCPRELAY来限定用户访问的DHCPSERVER，这样，只有指定的DHCPSERVER分配的IP才是合法的。RADIUSSERVER模式：用户PC使用固定的IP，RADIUSSERVER配置了用户—IP的对应关系，并通过RADIUS的Framed-IP-Address属性告知交换机，用户只能用该IP才能访问网络。发布广告信息锐捷网络实现的802.1x，可以在RadiusServer端配置Reply-Message字段，当认证成功后，该字段的信息可以在锐捷网络推出的802.1x客户端Star-Supplicant上显示出来，便于运营商发布一些信息。该消息只有在用户第一次认证时显示，重认证时，不会显示，这样就避免了对用户的频繁打扰。广告信息的显示窗口支持html，会自动把消息中的转换成可直接跳转的连接，便于用户查看详细的信息。广告信息的发布：1、运行商在RadiusServer端，配置ReplyMessage属性的内容2、只有1锐捷的客户端Star-才支持（对本公司交换机的用户免费），其它的客户端supplicant看不到信息但不影响使用、在交换机端无需设置某端口下的可认证主机列表为了增强802.1x的安全性，锐捷在不影响IEEE802.1x的基础上进行了扩展，网管可以限定某个端口的认证的主机列表。如果一个端口下的可认证主机列表为空，则任何用户均可认证；若可认证主机列表不为空，那么只有列表中的主机允许认证。允许认证的主机用MAC标识。授权为了方便运营商，我们的产品可以对不同类型的用户提供不同质量的服务，如：提供给用户的最大带宽不同。而这些信息集中于RadiusServer上，管理员不必对每台交换机进行配置。由于Radius没有标准的属性来表示最大数据率。锐捷只能通过厂商自定义属性来传递授权信息。我们定义的通用格式如下：01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Type|Length|Vendor-Id+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+Vendor-Id(cont)|Vendortype|Vendorlength|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attribute-Specific...+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-对于最大数据率应填的值如下：+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|0x1A|0x0c|0x000x00+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+0x130x11|0x01|0x06|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|最大数据率的十六进制值|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+最大数据率的单位：kbps对于最大数据率为10M的用户应填如下：+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|0x1A|0x0c|0x000x00+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+0x130x11|0x01|0x06|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|0x00002710|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+自定义的头照上填，最大数据率为10M，即10000kbsp，转换成16进制则0x00002710，填在相应的字段上即可。代理服务器屏蔽和拨号屏蔽用户自行架设代理服务器以及用户认证后再自行拨号上网，这是网络安全最大的两个隐患。锐捷网络交换机提供代理服务器屏蔽和拨号屏蔽功能。实现该功能交换机端不需任何设置。只需在RADIUS服务器端配置相应的属性。由于Radius没有标准的属性来表示最大数据率。我们只能通过厂商自定义属性来传递授权信息。我们定义的通用格式见授权一节的说明。代理服务器屏蔽功能定义的Vendortype为0x20,拨号屏蔽功能定义的Vendortype为0x21。Attribute-Specific字段为四个字节的厂商自定义属性,定义了对使用代理服务器上网和拨号上网行为所采取的动作.0x0000表示正常连接，不进行检测屏蔽,0x0001表示进行检测屏蔽。若要屏蔽通过代理服务器上网,用户应填如下信息:+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|0x1A|0x0c|0x000x00+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+0x130x11|0x20|0x06|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|0x0001|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+客户端在线探测为了保证计费的准确性，需要一种在线探测机制能够再短时间内获知用户是否在线。在标准实现中的重认证机制能够满足这种需求，但是标准实现中需要RADIUS服务器的参与，要实现准确的探测用户是否在线将会占用交换机和RADIUS服务器的大量资源。为了满足在占用少量资源的基础上实现计费的准确性，我们采用了一种新的客户端在线探测机制。这种机制只需要在交换机和客户端之间交互，并且对网络流量的占用极小，能够实现分钟级的计费精度(用户可以通过配置来确定计费的精度)。SnifferPro的设置定义过滤器：Ethertype=0x888E(8021X)抓到的数据：EAPOL-Start初步分析如下：===========================================================================//实达专有响应附加包,格式未了解soar@2005-12-300xFF,0xFF,0x37,0x77,0xFF,0x00,//Destination0x00,0x00,0x00,0x00,0x00,0x00,//Source0x00,0x00,//Ethertype=0x888E(8021X)0x00,//Version=10x00,//PacketType0x00;0x01,EAPOL-Start;0x02;0x03;0x040x00,0x00,//PacketBodyLength0x00,0x00,0x00,0x08,0x15,0x00,0x00,0x13,0x11,0x38,0x30,0x32,0x31,0x78,0x2E,0x65,0x78,0x65,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x02,0x33,0x00,0x00,0x01,//为版本号2.510x00,0x00,0x13,0x11,0x00,0x28,0x1A,0x28,0x00,0x00,0x13,0x11,0x17,0x22,//此段总不变？0x93,0x91,0x65,0x65,0x62,0x60,0x66,0x96,0x93,0x68,0x91,0x62,0x91,0x67,0x66,0x61,//此段随机变化0x96,0x91,0x64,0x68,0x93,0x62,0x69,0x64,0x61,0x69,0xc9,0xD3,0x62,0x65,0x67,0x68,//0x00,0x00,0x13,0x11,0x18,0x06//此段总不变？=========================================================================