802.1X认证协议及漏洞分析

我们学校使用的是华为的上网认证系统，应该也有很多学校也是使用这套系统吧。

网上有很详细的关于802.1x的说明。简单说一下。802.1x是使用的是EAP协议，在Rfc3748中有关于Eap详细的说明。不过在具体的实现上面每一公司都不同，总体的结构和交互的时序是符合标准的

。发送的数据帧长度是60。可建立以下结构：

typedef struct Exauthen
{
       u_char code;
       //0x01,请求request，switch对的request;
       //0x02 表示这是你的应答；
       //0x03 成功 
       //0x04失败； 
       u_char id;
       //序号交换机问你n你就答n
       u_char length[2];
       //exauthen长度，当然要去掉后面的00的长度
       //与authen.length的长度一样
       u_char type;
       //0x01 identity  0x1504+用户名，
       //或者          0x1504+ip+用户名 填充content 华为自己弄的，标准中没有ip的事，后面可以看出其实这也不过是个鸡肋
//具体要根据AAA服务器的配置
       //0x07          0x07+密码+用户名 填充content 华为自己定的，Rfc3748没有这个
//在新的客户端中，使用了md5加密密码
       u_char content[37];//内容，剩的用00填充
       
} Exauthen;
 
typedef struct Authen
{ 
 u_char version;
 //版本,0x01
 u_char type;
 //类型0x00 eappack 需要填充exauthen,如果是后面两个就不要了管exauthen；
 //0x01 start ；0x02 logoff；
 u_char lenght[2];
 //exauthen长度，当然要去掉后面的00的长度
 Exauthen exauthen;
 
}Authen;
typedef struct eap_header
{
       u_char dst[6];
       //目的mac地址
       u_char src[6];
       //原mac地址
       u_char type[2];
       //类型0x888e，没有这个交换机不任
       Authen authen;
       //eap数据了
 
 
}eap_header;

 

可以使用raw_scoket 进行编程，写一个客户端，在winxp+sp2下可以使用wincap；

具体实现可以写一个状态机类，实现起来比较简单。

struct State{
 
       int state;//状态
       pcap_t *pHandle;
       int id;//数据包id
       u_char local[6];
       u_char gateway[6];
       u_char brodcast[6];
       u_char type[2];//0x888e
       State():id(0),state(0) ;
       void setHandle(pcap_t *p)
       {
              pHandle=p;
       }
       //State(pcap_t *p):state(0),pHandle(p){}
       bool start();
    bool logoff();
       bool response2();
bool response3();
void setState(int i)
{
       state=i;
       cout<<endl<<"state: "<<i<<endl;
}
       void changState(eap_header *h){
 
              Exauthen ex=h->authen.exauthen;
              if(ex.id<id) return;//过滤重播的数据包
               id=ex.id;
 
              if(state==1
                     &&ex.code==1//request
                     &&ex.type==1//identity
                     ){
              
                     setState(2);
                     response2();
              
              }else if(
                     state==2
                     &&ex.code==1//request
                     &&ex.type==7//reserv??
                     ){
              
                 setState(3);
                 response3();
              }else if(
                     state==3
                     &&ex.code==3//succese
                     ){
              setState(4);
       
       
              }else if(state==4&&ex.code==1&&ex.type==1)
              {
                     response2();
                     setState(4);
         
              }
              else if(ex.code==4//failure
                     )
              {
                     setState(0);
                     
              }
 
       }
};

在研究过程，也感觉到，802.1x的安全性的确非常的高，ieee的确牛，几乎没有什么可突破的。发现有两个漏洞，

一：在发送 log_off数据时，不需要验证信息，连id都不要。就可以使用别人的mac构造log_off数据包，让对方下线。对于同一个物理端口下，是可以实现。对于不同端口，是否可行没有实验。当然对于不同交换机是肯定不可行的（不明白的想一想）。

二： 华为802.1x技术方案，有一个特点是：用户帐号+ip地址，来进行验证。可以发现一个问题，验证时使用的ip可以和真实使用的ip不同。就是说我们可 以使用非法的ip到处乱逛了，这对网络安全构成巨大的危险，“城堡常常是从内部攻破的”。那为什么不在转发ip数据时验证呢？可能会有这样的疑问。如果是 这样的话802.1x就不是802.1x了，他的优势就一点都没了，又回到原来的老路上面去了。这也这也正是我为什么说“用户帐号+ip地址”是鸡肋的原 因了。一项技术本身肯定具有其局限性，我们不能要求他解决所有的网络安全问题，这是不大可能的，即使达到了也是事倍功半的。

下面转贴贴网上找来的资料，讲了不错，第二点我上面讲了：

///////////////////

 随着人们对网络边缘安全的重视，802.1x认证逐渐被广大用户接受并使用，尤其在产业园区和高校宿舍区。作为年轻的优秀解决方案，她真的完美吗?

　　在讲述其缺陷之前，有必要来了解一下802.1认证的特点:

　 　802.1x的边缘安全是由启用802.1x功能的交换机来实现的。其每个物理端口内部又分为受控端口和非受控端口，非受控端口只负责处理认证数据包， 受控端口负责处理业务数据。登陆前，用户只能通过非受控端口发送和接收认证数据包(802.1x格式)，而其他格式的数据包则无法通过受控端口;登陆后， 受控端口对用户开放，接受数据的传输。

　　认证时，首先客户端软件发送请求， 交换机把接收到的认证信息传递给中心的认证服务器。认证服务器负责信息的核对(比如用户名、密码、MAC、IP等的核对)。认证结束后，除了每隔一段时间 处理次在线确认数据包外，用户的正常网络应用与802.1x没有任何关系，这就是所谓的认证流和业务流的分离。

　　在开发802.1x客户端的过程中，发现了几处缺陷:

　　(1)免拨号，就可以交换机范围内通讯

　　根源:802.1x认证体系中，认证流与业务流是分离的。认证流具有不认证也可以通讯的能力(但不具有跨网段的能力)。

　　实现:如果用户把自定义的数据格式代替了EAP认证报文，并按需要改动一下目标MAC，而交换机仍然把此数据包当成合格的802.1x认证包处理，但把它发给了指定的MAC。这样，就可以在不拨号的情况下进行数据传输。

　　为了演示此缺陷，我特地做了一个程序(点此下载 说明:需要安装WinPcap) 。802.1x的用户或厂商可以下载在同一交换机、不同端口的环境下进行测试。

　　后果:影响并不是很大。在同一个交换机的通讯本来就是应该免费。由于客户端必须由相应的软件来分析自定义的数据包，所以本身不会产生安全隐患。

　　(2)IP绑定的缺陷

　　根源:根源依旧是认证流与业务流的分离。标准802.1协议是不支持IP绑定的，但几乎所有厂商根据自己的产品进行了扩展，使其协议(私有)支持IP绑定.。其原理是把IP加入到EAP数据包里然后与认征服务器核实，确定是否正确。

　　实现:认证数据包采用自己的IP(运营商分配的)骗过服务器的认证，而正常的数据通讯仍然采用真实IP。

　　后果:一方面，此缺陷可以造成IP管理混乱;另一方面，网络的监控系统将失灵，虽然仍然可以对IP进行监控，但无法知道IP对应了哪个用户。这一点，对运营商来说是一个巨大的挑战。

　 　目前，各厂商所称道802.1x的优势和安全性很大程度上依赖于私有拨号客户端。如果一旦客户端被破解，或者被仿造，那么很多功能将形如虚设，比如限制 代理服务器的使用、绑定IP、客户端版本的限制等。很多厂商的802.1x校园网介绍中，几乎有一句类似的话:学生能力有限，很难对客户端进行破解。但这 点着实让人笑话，事实可以证明:自802.1x流行以后，几乎每个运营商的客户端都出现了破解版本，而且很多出于高校学生之手。对于某些学生来说，即使通 过数据抓包，克隆出完全一样的客户端也是易如反掌的。

　　在社会对网络安全日趋重视的今天，802.1x产品的开发者更应该注重协议安全的研究，而不是把赌注下在用户的能力上。