Day-011-网络访问控制 802.1X-NAC

# Day 10: 网络访问控制（802.1X/NAC）

> 网络安全系列第 10 天 | 预计阅读时间：35 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [NAC 基础概念](#nac 基础概念)
2. [802.1X 协议详解](#8021x 协议详解)
3. [EAP 认证方法](#eap 认证方法)
4. [RADIUS 协议](#radius 协议)
5. [NAC 部署架构](#nac 部署架构)
6. [攻击技术与防护](#攻击技术与防护)
7. [实验环境搭建](#实验环境搭建)
8. [实战演练](#实战演练)
9. [防护策略与最佳实践](#防护策略与最佳实践)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## NAC 基础概念

### 什么是 NAC

NAC（Network Access Control，网络访问控制）是一种网络安全方法，通过强制执行策略来控制设备对网络的访问。

**形象理解**：
如果把网络比作一座办公楼，那么：
- **NAC** = 门禁系统 + 保安
- **802.1X** = 门禁卡认证
- **认证服务器** = 保安室（验证身份）
- **交换机/AP** = 门禁读卡器

**NAC 的核心功能**：
```
1. 认证（Authentication）
   - 你是谁？
   - 验证用户/设备身份
   - 支持多种认证方式

2. 授权（Authorization）
   - 你能访问什么？
   - 基于角色分配权限
   - 动态 VLAN 分配

3. 记账（Accounting）
   - 你做了什么？
   - 记录访问日志
   - 审计合规
```

### NAC 应用场景

**企业办公网络**：
```
场景：员工接入公司网络

流程：
1. 员工笔记本连接网线/WiFi
2. 交换机/AP 要求认证
3. 员工输入域账号密码
4. RADIUS 服务器验证
5. 认证成功，分配 VLAN
6. 访问公司资源

好处：
✓ 防止未授权访问
✓ 访客隔离
✓ 合规审计
```

**访客网络**：
```
场景：访客使用 WiFi

流程：
1. 访客连接 Guest-SSID
2. 重定向到认证门户
3. 输入验证码/手机号
4. 有限时间访问
5. 仅互联网访问

好处：
✓ 与内网隔离
✓ 访问控制
✓ 可追溯
```

**IoT 设备管理**：
```
场景：打印机、摄像头接入

流程：
1. 设备 MAC 地址认证
2. 自动分配 IoT VLAN
3. 限制访问范围
4. 监控异常行为

好处：
✓ 设备隔离
✓ 减少攻击面
✓ 异常检测
```

---

## 802.1X 协议详解

### 802.1X 架构

**三个核心组件**：
```
┌─────────────┐    ┌─────────────┐    ┌─────────────┐
│ Supplicant  │────│ Authenticator│────│   Server    │
│  (客户端)    │ EAP│  (交换机/AP) │RADIUS│  (RADIUS)   │
└─────────────┘    └─────────────┘    └─────────────┘

1. Supplicant（客户端）
   - 请求接入的设备
   - 运行 802.1X 客户端软件
   - Windows、macOS、Linux 内置
   - 移动设备内置

2. Authenticator（认证器）
   - 网络接入设备
   - 交换机、无线 AP
   - 控制端口状态
   - 转发认证信息

3. Authentication Server（认证服务器）
   - RADIUS 服务器
   - 验证凭证
   - 返回授权结果
   - 记录审计日志
```

### 认证流程详解

**完整 802.1X 认证流程**：
```
步骤 1: 初始化
┌──────────┐              ┌──────────┐
│ 客户端   │              │ 交换机   │
└────┬─────┘              └────┬─────┘
     │                         │
     │  连接网络               │
     │────────────────────────►│
     │                         │
     │  端口未授权             │
     │  仅允许 EAPOL           │
     │◄────────────────────────│

步骤 2: EAPOL 启动
     │                         │
     │  EAPOL-Start            │
     │────────────────────────►│
     │                         │
     │  EAP-Request/Identity   │
     │◄────────────────────────│
     │  "请提供身份"            │

步骤 3: 身份响应
     │                         │
     │  EAP-Response/Identity  │
     │  "我是 alice"           │
     │────────────────────────►│
     │                         │
     │  RADIUS Access-Request  │
     │────────────────────────►│
     │                         │ RADIUS 服务器

步骤 4: 认证方法协商
     │                         │
     │  EAP-Request/Method     │
     │  "使用 PEAP 认证"        │
     │◄────────────────────────│
     │                         │
     │  EAP-Response/Method    │
     │  "同意使用 PEAP"        │
     │────────────────────────►│

步骤 5: 凭证交换
     │                         │
     │  TLS 隧道建立           │
     │  用户名密码交换          │
     │◄───────────────────────►│
     │                         │
     │  验证凭证               │
     │                         │

步骤 6: 认证结果
     │                         │
     │  EAP-Success            │
     │  "认证成功"             │
     │◄────────────────────────│
     │                         │
     │  RADIUS Access-Accept   │
     │  + VLAN 属性            │
     │◄────────────────────────│
     │                         │
     │  端口授权               │
     │  分配 VLAN              │
     │                         │
     │  正常网络访问           │
     │◄────────────────────────│

认证成功，客户端可以正常访问网络
```

### 端口状态

**802.1X 端口状态转换**：
```
未授权状态（Unauthorized）：
- 端口刚连接
- 仅允许 EAPOL 流量
- 阻止所有其他流量
- 等待认证

已授权状态（Authorized）：
- 认证成功
- 允许所有流量
- 分配 VLAN/策略
- 正常访问

强制未授权状态（Force Unauthorized）：
- 管理员强制
- 认证失败多次
- 违规检测
- 阻止所有流量
```

---

## EAP 认证方法

### EAP 方法分类

**常见 EAP 方法对比**：
```
┌─────────────┬──────────┬──────────┬──────────┬──────────┐
│    方法     │  安全性  │  复杂度  │  部署率  │  推荐度  │
├─────────────┼──────────┼──────────┼──────────┼──────────┤
│ EAP-MD5     │    ★     │    ★     │   低     │   ✗     │
│ EAP-TLS     │   ★★★★★ │   ★★★★   │   中     │   ✓     │
│ PEAP        │   ★★★★   │   ★★     │   高     │   ✓     │
│ EAP-TTLS    │   ★★★★   │   ★★★    │   中     │   ✓     │
│ EAP-FAST    │   ★★★★   │   ★★     │   中     │   ✓     │
└─────────────┴──────────┴──────────┴──────────┴──────────┘
```

### EAP-MD5（不推荐）

```
特点：
- 最简单的 EAP 方法
- 基于密码哈希
- 单向认证（仅服务器认证客户端）

安全问题：
✗ 密码离线破解
✗ 无服务器认证
✗ 无密钥派生
✗ 易受中间人攻击

使用场景：
- 遗留系统
- 不推荐新部署

配置示例：
# 客户端
eap=md5
identity=alice
password=password123
```

### EAP-TLS（最安全）

```
特点：
- 双向证书认证
- 最高安全性
- 无需密码

工作流程：
1. 服务器验证客户端证书
2. 客户端验证服务器证书
3. 派生会话密钥
4. 认证完成

优势：
✓ 最强安全性
✓ 防钓鱼
✓ 防中间人
✓ 前向安全

缺点：
✗ 需要 PKI
✗ 证书管理复杂
✗ 客户端配置复杂

配置示例（客户端）：
eap=tls
ca_cert=/etc/ssl/ca.crt
client_cert=/etc/ssl/client.crt
private_key=/etc/ssl/client.key
private_key_passwd=key_password
```

### PEAP（最常用）

```
特点：
- 服务器证书 + 用户密码
- TLS 隧道保护认证
- Microsoft 主导

工作流程：
阶段 1: TLS 隧道建立
- 服务器发送证书
- 客户端验证证书
- 建立加密隧道

阶段 2: 隧道内认证
- 常用 MS-CHAPv2
- 用户名密码交换
- 服务器验证凭证

优势：
✓ 仅需服务器证书
✓ 密码受保护
✓ 广泛支持
✓ 部署简单

缺点：
✗ 客户端不验证服务器（可能钓鱼）
✗ MS-CHAPv2 有已知弱点

配置示例（客户端）：
eap=peap
phase2="auth=MSCHAPV2"
identity=alice
password=password123
ca_cert=/etc/ssl/ca.crt
```

### EAP-TTLS

```
特点：
- 类似 PEAP
- 更灵活的内部认证
- 开源实现

优势：
✓ 支持多种内部认证
✓ 仅需服务器证书
✓ 开源支持好

配置示例：
eap=ttls
phase2="auth=PAP"
identity=alice
password=password123
ca_cert=/etc/ssl/ca.crt
```

---

## RADIUS 协议

### RADIUS 基础

**什么是 RADIUS**：
```
RADIUS（Remote Authentication Dial-In User Service）
是一种 AAA（认证、授权、记账）协议。

端口：
- 1812: 认证
- 1813: 记账
- 1645/1646: 旧端口（已废弃）

消息类型：
- Access-Request: 认证请求
- Access-Accept: 认证成功
- Access-Reject: 认证失败
- Accounting-Request: 记账请求
- Accounting-Response: 记账响应
```

### RADIUS 属性

**常用 RADIUS 属性**：
```
属性 1: User-Name
- 用户名
- 格式：字符串

属性 2: User-Password
- 密码（加密）
- 格式：加密字符串

属性 4: NAS-IP-Address
- 网络接入服务器 IP
- 格式：IP 地址

属性 6: Service-Type
- 服务类型
- 值：Login, Framed, 等

属性 25: Class
- 分类信息
- 用于授权

属性 64: Tunnel-Type
- 隧道类型
- 值：VLAN

属性 65: Tunnel-Medium-Type
- 隧道介质类型
- 值：IEEE-802

属性 66: Tunnel-Private-Group-ID
- VLAN ID
- 值：VLAN 号或名称
```

### FreeRADIUS 配置

**完整配置示例**：
```bash
# 安装 FreeRADIUS
apt install freeradius freeradius-utils

# 配置客户端（交换机）
# /etc/freeradius/3.0/clients.conf
client switch1 {
    ipaddr = 192.168.1.1
    secret = MySwitchSecret123
    shortname = Switch-1
}

client wireless-ap {
    ipaddr = 192.168.1.2
    secret = MyAPSecret123
    shortname = Wireless-AP
}

# 配置用户
# /etc/freeradius/3.0/users
# 格式：用户名 认证方式 := "密码"

# 简单用户
alice Cleartext-Password := "password123"
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-Id = "10"

bob Cleartext-Password := "bobpass456"
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-Id = "20"

# 组映射
@admins Cleartext-Password := "adminpass"
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-Id = "99"

# 测试认证
radtest alice password123 localhost 0 testing123
# 应返回 Access-Accept
```

---

## NAC 部署架构

### 部署模式

**模式 1: 802.1X 模式**
```
适用场景：
✓ 新设备
✓ 支持 802.1X 的设备
✓ 企业环境

优点：
- 标准协议
- 广泛支持
- 安全性高

缺点：
- 客户端配置
- 不支持的设备无法接入
```

**模式 2: MAB（MAC 认证旁路）**
```
适用场景：
✓ 打印机、摄像头
✓ IoT 设备
✓ 不支持 802.1X 的设备

工作流程：
1. 设备连接
2. 交换机检测无 802.1X
3. 使用 MAC 地址认证
4. RADIUS 验证 MAC
5. 授权访问

优点：
- 无需客户端
- 支持所有设备

缺点：
- MAC 地址可伪造
- 安全性较低
```

**模式 3: Web 认证（Captive Portal）**
```
适用场景：
✓ 访客网络
✓ 会议室
✓ 公共场所

工作流程：
1. 用户连接 WiFi
2. 重定向到认证页面
3. 输入凭证/验证码
4. 授权访问

优点：
- 用户友好
- 灵活认证
- 品牌展示

缺点：
- 仅 HTTP 重定向
- 用户体验中断
```

---

## 攻击技术与防护

### EAP 攻击

**EAP-MD5 破解**：
```bash
# 捕获 EAP-MD5 挑战
tcpdump -i eth0 -s 1500 -w eap_md5.cap port 1812

# 使用 John the Ripper 破解
john --format=eap-md5 eap_md5.cap

# 或使用 hashcat
hashcat -m 4800 eap_md5.hash wordlist.txt

防御：
✓ 禁用 EAP-MD5
✓ 使用 PEAP 或 EAP-TLS
```

**PEAP 降级攻击**：
```
攻击原理：
1. 攻击者拦截认证
2. 强制使用弱 EAP 方法
3. 获取凭证

防御：
✓ 客户端验证服务器证书
✓ 禁用弱 EAP 方法
✓ 配置最小 TLS 版本
```

### 证书攻击

**伪造证书攻击**：
```
攻击场景：
1. 攻击者创建恶意 AP
2. 使用自签名证书
3. 名称与合法 AP 相同
4. 用户不验证证书
5. 输入凭证被盗

防御：
✓ 部署企业 CA
✓ 客户端验证证书链
✓ 用户教育
✓ 证书锁定
```

---

## 实验环境搭建

### 实验室拓扑

```
┌─────────────────────────────────────────┐
│            802.1X 实验室                 │
│                                         │
│  ┌─────────────┐    ┌─────────────┐    │
│  │  客户端     │    │  FreeRADIUS │    │
│  │ (wpa_supp) │    │   Server    │    │
│  │192.168.1.10│    │ 192.168.1.100│   │
│  └──────┬──────┘    └──────┬──────┘    │
│         │                  │            │
│         └────────┬─────────┘            │
│                  │                       │
│           ┌──────▼──────┐               │
│           │   交换机     │               │
│           │ (可管理)    │               │
│           │192.168.1.1  │               │
│           └─────────────┘               │
└─────────────────────────────────────────┘
```

### FreeRADIUS 快速部署

```bash
#!/bin/bash
# freeradius_quick_setup.sh
# FreeRADIUS 快速部署脚本

set -e

echo "=== FreeRADIUS 快速部署 ==="

# 1. 安装
echo "[1/4] 安装 FreeRADIUS..."
apt update
apt install -y freeradius freeradius-utils

# 2. 配置测试用户
echo "[2/4] 配置测试用户..."
echo 'testuser Cleartext-Password := "testpass"' >> /etc/freeradius/3.0/users

# 3. 启动服务
echo "[3/4] 启动服务..."
systemctl enable freeradius
systemctl start freeradius

# 4. 测试认证
echo "[4/4] 测试认证..."
radtest testuser testpass localhost 0 testing123

# 检查输出
# 如果看到 "Access-Accept"，说明配置成功

echo "=== 部署完成 ==="
echo "配置文件：/etc/freeradius/3.0/"
echo "测试命令：radtest testuser testpass localhost 0 testing123"
```

---

## 实战演练

### 实验 1: 802.1X 客户端配置

**目标**：配置 WPA2-Enterprise

**步骤**：
```bash
# Linux wpa_supplicant 配置
cat > /etc/wpa_supplicant/wpa_supplicant.conf << EOF
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1

network={
    ssid="802.1X-Network"
    key_mgmt=WPA-EAP
    eap=PEAP
    identity="alice"
    password="password123"
    phase2="auth=MSCHAPV2"
    ca_cert="/etc/ssl/ca.crt"
}
EOF

# 连接网络
wpa_supplicant -i wlan0 -c /etc/wpa_supplicant/wpa_supplicant.conf -D nl80211

# 获取 IP 地址
dhclient wlan0

# 验证连接
ping 192.168.1.1
```

### 实验 2: RADIUS 测试

**目标**：测试 RADIUS 认证

**步骤**：
```bash
# 1. 基本认证测试
radtest username password radius_server_ip port secret
radtest alice password123 192.168.1.100 1812 testing123

# 2. 查看详细输出
radtest -v alice password123 192.168.1.100 1812 testing123

# 3. 查看服务器日志
tail -f /var/log/freeradius/radius.log

# 4. 测试失败场景
radtest alice wrongpassword 192.168.1.100 1812 testing123
# 应返回 Access-Reject
```

### 实验 3: 证书认证配置

**目标**：配置 EAP-TLS

**步骤**：
```bash
# 1. 生成 CA
openssl genrsa -out ca.key 2048
openssl req -new -x509 -days 365 -key ca.key -out ca.crt \
  -subj "/C=CN/O=Test CA/CN=Test Root CA"

# 2. 生成服务器证书
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr \
  -subj "/C=CN/O=Test/CN=radius.test.com"
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key \
  -CAcreateserial -out server.crt

# 3. 生成客户端证书
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr \
  -subj "/C=CN/O=Test/CN=alice"
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key \
  -CAcreateserial -out client.crt

# 4. 配置 FreeRADIUS 使用证书
# /etc/freeradius/3.0/mods-enabled/eap
# 配置 TLS 部分

# 5. 配置客户端使用证书
# wpa_supplicant 配置
network={
    ssid="EAP-TLS-Network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="alice"
    ca_cert="/etc/ssl/ca.crt"
    client_cert="/etc/ssl/client.crt"
    private_key="/etc/ssl/client.key"
    private_key_passwd="key_password"
}
```

---

## 防护策略与最佳实践

### 服务器端加固

```
1. 使用 EAP-TLS（证书认证）
   ✓ 最高安全性
   ✓ 防钓鱼
   ✓ 防中间人

2. 强 RADIUS 共享密钥
   ✓ 20+ 字符
   ✓ 随机生成
   ✓ 定期轮换

3. 证书严格验证
   ✓ 验证证书链
   ✓ 检查 CRL/OCSP
   ✓ 证书锁定

4. 定期轮换密钥
   ✓ RADIUS 密钥
   ✓ 证书
   ✓ 用户密码

5. 日志审计
   ✓ 记录所有认证
   ✓ 异常检测
   ✓ 合规报告
```

### 客户端加固

```
1. 验证服务器证书
   ✓ 不跳过证书警告
   ✓ 验证证书链
   ✓ 检查有效期

2. 禁用 EAP-MD5
   ✓ 使用 PEAP 或 EAP-TLS
   ✓ 配置最小 TLS 版本

3. 使用强密码
   ✓ 12+ 字符
   ✓ 复杂度要求
   ✓ 定期更换

4. 更新客户端软件
   ✓ 及时打补丁
   ✓ 使用最新版本

5. 不连接未知网络
   ✓ 验证 SSID
   ✓ 警惕 Evil Twin
```

### 网络设备加固

```
1. 配置 RADIUS 超时
   ✓ 合理超时时间
   ✓ 重试次数限制
   ✓ 备用服务器

2. 备用认证方法
   ✓ MAB 用于 IoT
   ✓ Web 认证用于访客
   ✓ 应急访问

3. 访客 VLAN
   ✓ 独立 VLAN
   ✓ 仅互联网访问
   ✓ 时间限制

4. 监控认证失败
   ✓ 阈值告警
   ✓ 自动封锁
   ✓ 调查原因

5. 定期配置审计
   ✓ 检查 RADIUS 配置
   ✓ 验证端口安全
   ✓ 审查日志
```

---

## 总结与思考

### 核心要点回顾

1. **802.1X**
   - 标准网络访问控制
   - 三组件架构
   - 多种 EAP 方法

2. **EAP-TLS**
   - 最安全认证方法
   - 需要 PKI
   - 推荐企业使用

3. **RADIUS**
   - AAA 协议标准
   - 灵活授权
   - 广泛支持

### 深入思考问题

1. **零信任与 NAC 的关系**？
   - NAC 是零信任基础
   - 持续验证
   - 动态授权

2. **云 NAC 发展趋势**？
   - 云管理
   - SaaS 模式
   - 混合部署

3. **IoT 设备 NAC 挑战**？
   - 不支持 802.1X
   - 数量庞大
   - 如何管理？

### 实战建议

**中小企业**：
1. 部署 FreeRADIUS
2. 使用 PEAP 认证
3. 配置访客网络
4. 定期审计

**大型企业**：
1. 商业 NAC 方案
2. EAP-TLS 认证
3. 与 AD 集成
4. 专业运营团队

**云环境**：
1. 云原生 NAC
2. 身份 federation
3. 零信任集成
4. 自动化合规

---

## 参考资料

### 标准文档
- IEEE 802.1X (端口访问控制)
- RFC 2865 (RADIUS)
- RFC 3748 (EAP)

### 工具资源
- [FreeRADIUS](https://freeradius.org/)
- [wpa_supplicant](https://w1.fi/wpa_supplicant/)

### 在线资源
- [802.1X 部署指南](https://www.sans.org/)
- [RADIUS 最佳实践](https://www.nist.gov/)

### 书籍推荐
- 《802.1X 网络认证》
- 《RADIUS 协议详解》
- 《网络访问控制实战》

---

**标记 明日预告**：Day 11 - 网络分段与微隔离设计

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 10 篇，精编版本*