网络运维及安全基础:MAC地址安全管理之二
这是系列的第二篇。前文可见:
MAC地址的安全管理,只要是做过的人都清楚有多耗时耗力,技术含量有,但更多地是在具体而琐碎的设置上花大量的时间。
只是MAC地址的安全管理依然非常重要和必要。因为MAC地址位于网络层,是物理环境和以太环境的连接,MAC的安全管理,往下层走和物理设备相关,往上层走与IP地址和协议相关。
所以笔者认为,如果网络安全管理不做到全面覆盖的MAC地址管理,基本等于没做。
笔者:国际认证信息系统审计师、软考系统分析师
为通俗易懂,本文主要还是使用MAC地址这种笼统的用词,而不刻意区分描述OUI、CID等具体分类。
MAC地址的最大风险在于伪造和冒充。IEEE自己的注册文档也强调了,OUI/CID等MAC地址前缀的注册行为属于自愿性质,而约束力实际是通过市场环境(最终用户的使用环境)实现的。
也就是,如果生产网络设备的企业未经注册而随便找了个MAC地址前缀给自己用,最终可能会在用户的网络环境内导致冲突,用户就会抛弃该企业的产品。
但很明显,对于网络安全环境的攻击者来说,这约束力就等于零。
尤其是在无线网络漫游环境、公司政策允许BYOD(自带设备)环境下,如果不实施MAC地址管理和准入控制,对于近源渗透攻击就等于中门大开。
对MAC地址的安全管理主要有三大类措施:
1、登记和跟踪
2、接入控制
3、流量巡检
下面展开探讨。
1、MAC地址登记
登记管理的关键意义在于把使用人和网络设备(信息化实物资产)通过MAC地址连接起来。在登记时,必须同步确认这三个要素的关联关系。
使用人 - MAC地址 - 网络设备
需要注意的要点包括:
1、多对多关系
网络设备可以拥有多个网络接口,也就是多个MAC地址;使用人可以拥有多台套网络设备,甚至拥有虚拟化的非实物设备资产。因此这三者的关系是多对多的。
2、关系多变
网络设备还可能存在多人共享、临时借用等资产灵活使用的情况,这些对于管理人员的管理工作以及管理软件的功能都是挑战。除了能持续维护正确的对应关系外,还应该保留对应关系变动的日志记录,以便事后审计。
3、人工登记
一些文章指出,MAC地址登记过程可以简单地通过在内网扫描网络设备并获取其MAC地址而实现。但笔者必须指出,这种方法实际只能产生一份MAC地址清单,这份清单的正确性、完整性都是无法直接确定的。这份清单的唯一用途只在于巡检,并不是在于初始登记的过程。
在MAC地址被登记后,要实施的就是基于MAC地址的网络接入控制。这离不开交换机和路由器等网络设备的功能支持。
在网络设备上启用基于MAC地址的接入控制并不是难事,困难主要还是在于工作量。而具体地,也有多种实现方式,每种方式都会产生不同的工作量,缓解不同程度的接入访问风险,但也还是会留下一定的剩余风险或产生一些别的风险。
1、MAC地址白名单
这种方式是在网络设备内设置白名单过滤机制,对于不在白名单上的MAC地址的流量,由交换机控制拦截不予转发,从而实现接入控制。
该种方式是工作量最小的,对于实在是缺乏管理资源(网络管理人力或者统一网管软件)的企业可以先只在骨干路由器、骨干交换机、核心区域接入层交换机等局域网的关键节点上设置,随后才逐步推行到全网设置。
但该方式的主要剩余风险在于无法拦截MAC地址仿冒的情况。
2、MAC地址绑定网络端口
相比简单的白名单,这种方式把MAC地址和物理设备的的端口直接绑定,虽然增加了大量的工作量,但对于防御近源渗透是必要的操作。
因为对于近源攻击者,即使预先获得了MAC地址清单实现了MAC地址仿冒,但如果没有通过正确的端口接入,攻击者也依然无法进入内网。
因此该方法极大地提升了成功实施近源攻击的难度。
但要有效实施该方法,必须完整覆盖企业网络内所有的接入端口,不能存在有空白。而要在使用人 - MAC地址 - 网络设备的关系上增加网络端口的对照关系,无疑初始登记工作量和日常维护的工作量都会大增。
因此该措施能否良好和及时地维持,需要通过制度、规程、考核机制和定期审计等企业内控要求和激励机制去保证。
3、MAC地址和IP地址绑定
全面实施MAC地址接入控制,还包括必须实现MAC地址和IP地址的绑定。具体实施内容:
(1)DHCP服务器中设置MAC地址和IP地址的绑定分配,且对于不在清单中的MAC地址拒绝分配IP地址;
(2)在路由器或第三层交换机上设置IP和MAC地址绑定白名单,对于不在白名单上的直接丢弃,不作路由转发。
4、802.1X基于端口的网络访问控制
前面的三种方法都有一定的作用,但都存在关键弱点,就是MAC地址仿冒。另外,还难以应对无线网络设备MAC地址随机化。
MAC地址仿冒,是攻击者已经通过某种途径获得了企业内某固定设备的MAC地址和端口配对关系,随后在自己的设备上冒充设置所获得的MAC地址并通过配对的网络端口发起攻击的情况。
尤其是企业内设置了无线网络时,攻击者更容易获取到无线设备的MAC地址,从而实现仿冒。
如果为了隐藏真实MAC地址而启用了无线网络设备的MAC地址随机化功能,则很明显白名单方法就失效。
解决办法是通过身份验证技术。
以太网有多种接入控制的身份校验技术,其中最典型和有效的就是802.1X,基于端口的网络访问控制。
802.1X也是IEEE设计的以太网标准,实现了控制网络设备在接入网络时必须先通过校验才能接入访问。
除了802.1X这种最严谨的基于端口的接入控制技术之外,对于流动性较大的访客,还可以通过门户(WEB PORTAL)加上多因素验证实现用户(设备)身份验证。?
无论实施了什么管理措施,对MAC地址的登记情况进行日常巡检、定期审计都是必不可少的。
日常巡检的目的是把巡检发现的情况与已经实现的登记内容进行比较,以发现两者之间的不相符、遗漏或者异常情况,从而开展适当的处置。
之所以要讨论登记检查工作,是因为科学地组织安排巡检,能更容易发现问题和确认工作的有效性,起到事半功倍的效果。
1、巡检抽样
大多数管理人员采取的巡查巡检模式通查包括抽样检查和全面检查两种。
在笔者角度,建议网络安全管理人员结合网络安全审计中关于审计抽样的各种方法扩展抽样检查的内容,大致如下:
(1)属性抽样:是指基于控制措施的属性确定问题发生的概率,属于合规性测试。对于MAC地址管理,可以选择网络设备为被抽样对象,以其关联的MAC地址、使用人以及网络端口等信息为属性,按企业自身情况选取容易出问题的属性开展属性抽样。
比如企业员工流动性较大时,选择已经离职的使用人信息进行属性抽样,检查网络设备和使用人之间以MAC地址建立的关联关系是否已经正确地更新,表达了原使用人已经离职和新使用人的身份。注意原使用人信息不能简单地取消关联而是应该保留下来,这样才能在日后进行复核和审计。
又如企业刚刚对办公场所进行了内部调整(重新装修),很显然网络端口会发生调整,此时选择发生了变更的网络端口进行属性抽样,检查基于MAC地址登记产生的关联关系是否已经正确地进行了变更。
(2)变量抽样:变量是指被抽样对象自身或群体的某种数据属性,属于实质性测试。
比如企业定期采购计算机设备并进行MAC地址登记管理,那么变量抽样就可以在全部资产中抽取时间范围内(或若干采购批次)的采购记录,统计所采购的设备数量,对比时间范围内MAC地址新增登记的数量,根据两者是否一致而判定MAC地址登记管理工作是否及时和完整。
(3)停走抽样:基于对被检查的情况的可信度,通过允许尽早停止抽样而减轻抽样和检查工作的工作量。对于内控良好,经过了多次检查、审计的工作情况,可以采取停走抽样方式,并设置较少的抽样规模,从而减少抽样检查的工作量。
(4)发现抽样:这种抽样方式主要用于发现舞弊情况,其实质等于是全面检查,除非发现问题,否则就一直检查到被检查对象全部被检查完成。
对于不太熟悉审计抽样的读者需要补充一下:属性抽样和变量抽样都需要先确定可能影响抽样结果精度(可信度)的因素,然后正确地对相关的属性、变量进行设计,从而尽可能在有限的抽样范围内发现问题或确认被抽样的工作情况的可信性。
比如刚才说的企业办公场所重新装修的情况,如果检查人选择的反而是未经重新装修的区域所对应的网络端口和设备进行检查,很显然这个检查结果的可信性就很低了。
另外,如果预期抽样结果的精度会有较大的误差(审计角度称为置信系数较大),那么就要设置相对较大的样本量(即置信区间要较宽),才能更准确地获取可信的抽样检查结果。
2、基于流量分析的巡检
流量分析是网络管理的关键措施之一。尤其是在MAC地址管理上,对ARP协议实施流量分析非常重要。企业可配置适当的流量分析软件或硬件设备,实现实时、持续的ARP协议流量分析,对网络上出现的MAC地址异常情况及时获得报警并跟进处置。
典型异常情况包括:
(1)多个MAC地址响应同一ARP请求
(2)未经请求的ARP响应
(3)ARP响应洪水
(4)不在白名单中的MAC地址
(5)同一MAC地址的IP地址切换
(6)网络端口出现未捆绑的白名单MAC地址
值得一提的是,并不是说应用了802.1X身份校验的接入控制就不需要进行上述这些流量分析操作。?网络拓扑的本质是变量,流量分析巡检必须持续进行,才能确保及时发现未预见的异常。?
网络安全管理需要对网络分层模型每一层的脆弱性施加必要的控制措施,MAC地址分配使用机制本身的脆弱性,决定了它必然是网络安全管理的基础和关键要素。
本页网址二维码: