低端交换机安全技术原理以及配置.ppt

上传人:s****8 文档编号:66862945 上传时间:2022-12-21 格式:PPT 页数:64 大小:2.17MB
返回 下载 相关 举报
低端交换机安全技术原理以及配置.ppt_第1页
第1页 / 共64页
低端交换机安全技术原理以及配置.ppt_第2页
第2页 / 共64页
点击查看更多>>
资源描述

《低端交换机安全技术原理以及配置.ppt》由会员分享,可在线阅读,更多相关《低端交换机安全技术原理以及配置.ppt(64页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、交换机端口安全技术交换机端口安全技术日期:杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播n第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置n第三节第三节 端口隔离技术及配置端口隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录3802.1x协议起源协议起源 802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的全称是基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,

2、它通过控制端口访问节点来提供无线局域网用户接入认证和安全性,随着局域网宽带接入的不断普及,局域网接入用户需要进行认证的要求越发迫切,802.1x现在已经开始被应用于一般的有线LAN的接入。4802.1x协议简介协议简介l802.1x协议首先是一个认证协议,是一种对用户进行认证的方法和策略l802.1x协议是IEEE为了解决基于端口的接入控制而定义的一个标准l802.1x的认证的最终目的就是确定一个端口是否可用,对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文EAPOL(Extensible Authe

3、ntication Protocol over LAN)通过。5802.1x协议简介协议简介802.1x认证系统组成认证系统组成SupplicantEAPOLAuthenticatorAuthentication ServerEAP Over Radius OR Standard R6802.1x体系结构体系结构Supplicant SystemAuthenticator SystemAuthentication Server SystemPAE:认证机制中负责处理算法和协议的实体。EAP:Extensible Authentication P7802.1x体系结构体系结构受控端口受控端口设备

4、端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口1.非受控端口:始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。2.受控端口:在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。8802.1x体系结构体系结构端口受控方向端口受控方向192.168.1.1192.168.1.2E3/0/1E3/0/2单向双向Internet我司产品在实现时,对端口在非授权状态下,实行入方向单向受控,即禁止从客户端接收帧,但允许向客户端发送帧。因此常常会发现,端口由授权状态转变成非授权状态后,用户主机的IP

5、TV客户端仍然可以持续播放视频几分钟,就是这个原因。但由于收不到用户主机发来的组播组成员报告,随着组播组的老化被删除,最终IPTV被中断 双向受控双向受控单向受控单向受控双向受控对受控端口的输入流和输出流都进行控制,在端口未授权前两个方向的流量都不能通过受控端口9802.1x的工作方式的工作方式1.客户端和设备端通过EAPOL帧来交互消息2.设备端和认证服务器端可以通过EAP中继方式或EAP终结方式交互信息3.设备端和认证服务器端可以分布在两个不同的实体上也可以集中在同一个实体上客户端PAE设备端PAE认证服务器EAPOLRADIUS 协议承载的EAP/PAP/CHAP 交换10802.1x端

6、口受控方式端口受控方式基于基于MAC的认证方式的认证方式启用802.1X认证的端口下只要有一个用户通过了认证则该端口打开,其余下挂在这个端口下的用户也可以通过这个端口传输数据基于端口的认证方式基于端口的认证方式两种端口受控方式:1.基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。2.基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证。当某个用户下线时,也只有该用户无法使用网络。通过认证的用户可以使用网络资源,没有通过的用户则不能,即使他们都接入了同一个端口11802.1x报文发送方式报文发送

7、方式AssignmentValuePAE group address01-80-C2-00-00-03组播方式组播方式客户端程序可以选择采用组播报文发送,此时客户端发送的所有EAPoL报文封装组播地址,有些情况下客户端程序也可以选择单播报文发送,此时客户端初次发送EAPoL-Start报文封装组播地址,回应设备端的response报文封装设备的端口地址采用单播发送,对于设备端发送的报文,若设备端知道客户端的地址,则封装客户端的地址采用单播发送,否则封装组播地址,采用组播发送广播方式广播方式客户端也可以选择广播方式发送报文,这时客户端初次发送EAPoL-Start报文封装广播地址,其余报文可以采

8、用单播发送12802.1x报文封装报文封装EAPOL的报文格式的报文格式PAE Ethernet typeProtocol versionTypeLengthPacket Body2 3 4 6 N0PAE Ethernet Type占2字节,固定为0 x888EProtocol Version占1字节,固定为1Type占1字节,EAP-Packet(00EAPOL-Start(01)EAPOL-Logoff(02)EAPOL-Key(03)EAPOL-Encapsulated-ASF-Alert(04)Length占2字节,指定packet body字段的长度Packet Body当Pack

9、et Type字段为EAPoL-Start或EAPoL-Logoff时,此字段为空13802.1x报文封装报文封装EAPOL报文示例报文示例14802.1x报文封装报文封装EAP的报文格式的报文格式Code域为一个字节,表示了EAP数据包的类型,EAP的Code的值指定意义如下 Code1Request Code2Response Code3Success Code4FailureIndentifier域为一个字节,辅助进行request和response的匹配。每一个request都应该有一个response相对应,这样的一个Indentifier域就建立了一个对应关系Length域为两个字

10、节,表明了EAP数据包的长度,包括Code、Identifier、Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充(padding)在接收时将被忽略掉。Data域为0个或者多个字节,Data域的格式由Code的值来决定。当Code为3或4时,data域为0个字节。CodeIdentifierLengthData0 1 2 4 N15802.1x报文封装报文封装Request/Respone报文报文Data域域Type:占1个字节,该字段值指定Request或Response的 类型。在 EAP的Request或Response中必须出现且仅出现一个Type 1

11、 Identity 2 Notification 3 Nak(Response only)4 MD5-Challenge 5 One-Time Password(OTP)(RFC 1938)6 Generic Token CardType data:内容随不同类型的Request和Response而不同。TypeType Data0 1 N16802.1x报文封装报文封装EAP报文示例报文示例17802.1x认证过程认证过程两种两种EAP认证方式认证方式EAP中继方式中继方式EAP终结方式终结方式用来对用户口令信息进行加密处理的随机加密字由Radius服务器生成,交换机只是负责将EAP报文透传

12、Radius服务器,EAP中继方式要求Radius服务器支持EAP属性:EAP-Message(值为79)和Message-Authenticator(值为80),整个认证处理都由Radius服务器来完成。EAP中继方式有四种认证方法:EAP-MD5、EAP-TLS(Transport Layer Security,传输层安全)、EAP-TTLS(Tunneled Transport Layer Security,隧道传输层安全)和PEAP(Protected Extensible Authentication Protocol,受保护的扩展认证协议)。用来对用户口令信息进行加密处理的随机加密

13、字由交换机生成,之后交换机会通过标准Radius报文把用户名、随机加密字和客户端加密后的口令信息一起送给Radius服务器,进行相关的认证处理。18802.1x认证过程认证过程EAP中继方式中继方式客户端交换机RADIUS服务器EAPOLEAPOREAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5 ChallengeEAP-SuccessEAP-Response/MD5 ChallengeRADIUS Access-Request(EAP-Response/Identity)RADIUS Access-Chal

14、lenge(EAP-Request/MD5 Challenge)RADIUS Access-Accept(EAP-Success)RADIUS Access-Request(EAP-Response/MD5 Challenge)端口被授权握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff.端口非授权19802.1x认证过程认证过程EAP终结方式终结方式客户端交换机RADIUS服务器EAPOLRADIUSEAPOL-StartEAP-Request/IdentityEAP-Response/Identi

15、tyEAP-Request/MD5 ChallengeEAP-SuccessEAP-Response/MD5 ChallengeRADIUS Access-Request(CHAP-Response/MD5 Challenge)RADIUS Access-Accept(CHAP-Success)端口被授权握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff.端口非授权20802.1X典型配置案例典型配置案例21802.1X典型配置案例典型配置案例#开启全局802.1x 特性。system-viewSys

16、tem View:return to User View with Ctrl+Z.Sysname dot1x#开启指定端口Ethernet 1/0/1 的802.1x 特性。Sysname dot1x interface Ethernet 1/0/1#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC 地址的)。Sysname dot1x port-method macbased interface Ethernet 1/0/1#创建RADIUS 方案radius1 并进入其视图。Sysname radius scheme 22802.1X典型配置案例典型配置案例

17、#设置主认证/计费RADIUS 服务器的IP 地址。Sysname-radius-radius1 primary authentication 10.11.1.1Sysname-radius-radius1 primary accounting 10.11.1.2#设置备份认证/计费RADIUS 服务器的IP 地址。Sysname-radius-radius1 secondary authentication 10.11.1.2Sysname-radius-radius1 secondary accounting 10.11.1.1#设置系统与认证RADIUS 服务器交互报文时的加密密码。Sy

18、sname-radius-radius1 key authentication name#设置系统与计费RADIUS 服务器交互报文时的加密密码。Sysname-radius-radius1 key accounting money#设置系统向RADIUS 服务器重发报文的时间间隔与次数。Sysname-radius-radius1 timer 5Sysname-radius-radius1 retry 23802.1X典型配置案例典型配置案例#设置系统向RADIUS 服务器发送实时计费报文的时间间隔。Sysname-radius-radius1 timer realtime-accounti

19、ng 15#指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器。Sysname-radius-radius1 user-name-format without-domainSysname-radius-radius1 quit#创建域 并进入其视图。Sysname domain #指定radius1 为该域用户的RADIUS 方案,若RADIUS 服务器无效,则使用本地认证方案。Sysname-isp- scheme radius-scheme radius1 local#设置该域最多可容纳30 个用户。Sysname-isp- access-limit enable 24802.

20、1X典型配置案例典型配置案例#启动闲置切断功能并设置相关参数。Sysname-isp- idle-cut enable 20 2000Sysname-isp- quit#配置域 为缺省用户域。Sysname domain default enable #添加本地接入用户。Sysname local-user localuserSysname-luser-localuser service-type lan-accessSysname-luser-localuser password simple 25n第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证

21、基本原理及配置地址认证基本原理及配置n第三节第三节 端口隔离技术及配置端口隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录26MAC地址认证概述地址认证概述27两种认证方式的的工作流程两种认证方式的的工作流程28MAC地址认证的配置命令地址认证的配置命令29MAC认证的典型配置案例认证的典型配置案例#开启指定端口Ethernet 1/0/2 的MAC 地址认证特性。system-viewSysname mac-authentication interface Ethernet 1/0/2#配置采用MAC 地

22、址用户名进行认证,并指定使用带有分隔符的小写形式的MAC 地址作为验证的用户名和密码。Sysname mac-authentication authmode usernameasmacaddress usernameformat with-30MAC认证的典型配置案例认证的典型配置案例#添加本地接入用户。配置本地用户的用户名和密码:Sysname local-user 00-0d-88-f6-44-c1Sysname-luser-00-0d-88-f6-44-c1 password simple 00-0d-88-f6-44-c1设置本地用户服务类型为lan-access:Sysname-lu

23、ser-00-0d-88-f6-44-c1 service-type lan-accessSysname-luser-00-0d-88-f6-44-c1 quit#创建MAC 地址认证用户所使用的域。Sysname domain New Domain added.#配置域 采用本地认证方式。Sysname-isp- scheme localSysname-isp- 31MAC认证的典型配置案例认证的典型配置案例#配置MAC 地址认证用户所使用的域名为。Sysname mac-authentication domain #开启全局MAC 地址认证特性(接入控制相关特性一般将全局配置开启放在最后,

24、否则相关参数未配置完成,会造成合法用户无法访问网络)。Sysname mac-32n第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置n第三节第三节 端口隔离技术及配置端口隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录33端口隔离简介端口隔离简介34端口隔离基本配置端口隔离基本配置35端口隔离配置举例端口隔离配置举例36n第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地

25、址认证基本原理及配置n第三节第三节 端口隔离技术及配置端口隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录37端口绑定技术简介端口绑定技术简介38端口绑定基本配置端口绑定基本配置39端口绑定典型配置举例端口绑定典型配置举例40n第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置n第三节第三节 端口隔离技术及配置端口隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关

26、技术及配置目录目录41ARPARP攻击原理介绍攻击原理介绍n ARPAddress Resolution Protocol地址解释协议帧类型0 x0806ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的n通过伪造虚假源IP-MAC对应的ARP报文,导致网关或主机无法找到正确的通信对象n利用ARP协议本身的缺陷来实现可以利用帧类型来识别ARP报文42ARPARP攻击来源分析攻击来源分析l一、病毒和木马一、病毒和木马瑞星2007上半年电脑病毒排名1、帕虫(、帕虫(Worm.Pabug;金山:;金山:AV终结者;江民:终结者;江民:U盘寄生虫)盘寄生虫)2、威金蠕虫(、威金蠕虫(Worm.

27、Viking)3、熊猫烧香(、熊猫烧香(Worm.Nimaya;又称尼姆亚);又称尼姆亚)4、网络游戏木马(、网络游戏木马(Trojan.PSW.OnlineGames)5、QQ通行证(通行证(Trojan.PSW.QQPass)6、ARP病毒(具有病毒(具有ARP攻击行为的多个病毒)攻击行为的多个病毒)二、黑客攻击软件二、黑客攻击软件 网络执法官等据瑞星统计:上半年全国约有3500多万台电脑曾经被病毒感染 43常见常见ARPARP攻击类型攻击类型n 仿冒网关仿冒网关 ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关n 仿冒终端用户仿冒终端用户/服务器服

28、务器n 欺骗网关发送错误的终端用户的IPMAC的对应关系给网关,导致网关无法和合法终端用户正常通信n 欺骗终端用户发送错误的终端用户/服务器的IPMAC的对应关系给受害的终端用户,导致两个终端用户之间无法正常通信n 其他其他nARP FLOODING 攻击44攻击实验环境介绍攻击实验环境介绍正常用户A网关攻击者攻击者B B接入交换机正常用户C网络执法官我是攻击者我是攻击者我是受害者我是受害者典型局域网,利用网络执法官来实现常见ARP攻击45ARPARP欺骗攻击欺骗攻击1 1仿冒网关仿冒网关n攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。n主机访问网关的流量,被重定向到一个错误的MAC

29、地址,导致该用户无法正常访问外网。正常用户A网关G网关网关MACMAC更新更新了了网关网关ARPARP表项已表项已更新更新攻击者BIP Address GIP Address GMAC GMAC G1.1.1.11.1.1.11-1-11-1-1IP AddressIP AddressMACMACTypeType1.1.1.1(1.1.1.1(网关网关)1-1-11-1-1DynamicDynamicIP AddressIP AddressMACMACTypeType1.1.1.11.1.1.1(网关)(网关)2-2-22-2-2DynamicDynamicARP表项更新为这种攻击为最为常见的

30、攻击类型这种攻击为最为常见的攻击类型访问外网数据访问外网数据发向错误的网发向错误的网关关46攻击现象攻击现象一、网络执法官向受害主机发送网关的欺骗ARP报文二、受害主机网关信息被欺骗,网络无法正常访问间隔时间非间隔时间非常短常短47ARPARP欺骗攻击欺骗攻击2 2欺骗网关欺骗网关n攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新n网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网正常用户A网关G用户用户A A的的MACMAC更新了更新了用户用户A A的的ARPARP表项已更新表项已更新发送伪造ARP信息攻击者BIP Addre

31、ssIP AddressMACMACTypeType1.1.1.51.1.1.53-3-33-3-3DynamicDynamicIP AddressIP AddressMACMACTypeType1.1.1.51.1.1.52-2-22-2-2DynamicDynamicARP表项更新为IP Address AIP Address AMAC AMAC A1.1.1.51.1.1.53-3-33-3-3外网来的数据流外网来的数据流被转发到错误的被转发到错误的终端终端48一、受害主机上正确绑定网关信息二、网络还是无法正常访问攻击现象攻击现象49ARPARP欺骗攻击欺骗攻击3 3欺骗终端用户欺骗终端

32、用户n攻击者以伪造虚假的ARP报文,欺骗相同网段内的其他主机,某一合法用户的MAC地址已经更新n网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者BIP Address GIP Address GMAC GMAC G1.1.1.11.1.1.11-1-11-1-1IP AddressIP AddressMACMACTypeType1.1.1.11.1.1.19-9-99-9-9DynamicDynamicIP AddressIP AddressMACMACTypeType1.1.1.11

33、.1.1.12-2-22-2-2DynamicDynamic用户用户CC的的MAC is 2-2-2MAC is 2-2-2ARP表项更新为目的目的MACMAC源源MACMAC2-2-22-2-23-3-33-3-3IP Address AIP Address AMAC AMAC A1.1.1.51.1.1.53-3-33-3-3数据流被中断IP Address BIP Address BMAC BMAC B1.1.1.201.1.1.205-5-55-5-5IP Address CIP Address CMAC CMAC C1.1.1.81.1.1.89-9-99-9-9正常用户C50ARP

34、ARP泛洪攻击泛洪攻击n攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3的MAC更新了已更新发送大量伪造ARP信息攻击者BIP Address GIP Address GMAC GMAC G1.1.0.11.1.0.11-1-11-1-1IP AddressIP AddressMACMACTypeType1.1.0.21.1.0.22-2-22-2-2DynamicDynamic1.1.0.31.1.0.32-2-32-2-3DynamicDynamic1.1.0.4

35、1.1.0.42-2-42-2-4DynamicDynamic1.1.0.51.1.0.52-2-52-2-5DynamicDynamic1.1.0.61.1.0.62-2-62-2-6DynamicDynamic.DynamicDynamic1.1.0.2 MAC is 2-2-21.1.0.2 MAC is 2-2-2ARP表项被占满IP Address AIP Address AMAC AMAC A1.1.1.1031.1.1.1033-3-33-3-3ARP表项无法学习IP Address BIP Address BMAC BMAC B1.1.1.201.1.1.205-5-55-5-

36、51.1.0.3 MAC is 2-2-31.1.0.3 MAC is 2-2-31.1.0.4 MAC is 2-2-41.1.0.4 MAC is 2-2-41.1.1.103 MAC is 3-3-31.1.1.103 MAC is 3-3-51ARPARP攻击防御的三个控制点攻击防御的三个控制点网关G用户接入设备n 网关防御网关防御n 合法ARP绑定,防御网关被欺骗n VLAN内的ARP学习数量限制,防御ARP泛洪攻击1 1 接入设备防御接入设备防御n 将合法网关IP/MAC进行绑定,防御仿冒网关攻击n 合法用户IP/MAC绑定,过滤掉仿冒报文n ARP限速n 绑定用户的静态MAC2

37、2n 客户端防御客户端防御n 合法ARP绑定,防御网关被欺骗3 3n根据前述根据前述ARPARP攻击原理得出解决攻击原理得出解决ARPARP攻击的三个控制点如下:攻击的三个控制点如下:52防御思路防御思路1 1认证模式认证模式网关接入交换机利用认证途径来获取合法用户的IP-MAC关系,在接入交换机和网关上进行绑定。利用认证客户端在终端上绑定网关ARP表项。CAMS 认证服务器利用802.1x或者Portal认证机制将合法用户的IP-MAC关系上传到认证服务器认证服务器将获取到的IP-MAC对应关系下发到网关认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点123X认证通过后,CAM

38、S将网关的IP-MAC对应关系下发给客户端进行静态绑定关键点53认证模式之接入绑定认证模式之接入绑定n利用认证途径来获取合法用户的IP-MAC关系,在接入交换机(认证设备)进行绑定。n 不匹配绑定关系的ARP报文统统丢弃,并上报给管理员网关接入交换机 CAMS 认证服务器认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点2X想发送欺骗报文,丢弃攻击者54防御思路防御思路2 2 DHCP DHCP 监控模式监控模式网关接入交换机n监控DHCP交互报文获取合法用户的IP-MAC-port关系n在接入交换机上绑定下挂终端的IP-MAC对应关系,并对接收到的ARP报文进行检查,过滤掉所有非

39、法报文。n全网部署后,有效防止所有ARP常见攻击类型DHCP服务器接入交换机解析客户端和DHCP服务器之间的交互报文,获得合法用户的IP-MAC-port对应关系接入交换机将获取到的合法用户的IP-MAC-port绑定在入接口上控制点1X想发送欺骗报文?丢弃关键点攻击者55认证绑定认证绑定 Vs.DHCP SNOOPINGVs.DHCP SNOOPINGp 对网络设备的依赖小,对接入交换机和网关的绑定可以根据网络状况分别使用。p 适应静态IP地址的环境使用,适合目前多数学校现状。认证绑认证绑定模式定模式DHCP DHCP SNOOPINGSNOOPING模式模式优点优点局限性局限性p需要安装客

40、户端p需要采用H3C认证方式p可以保证网络无非法ARP报文传播,从根本防御ARP攻击p 纯网络层面实现,不需要用户安装客户端。对用户应用没有影响p要求用户采用DHCP动态获取IP的方式p以过滤非法报文为防御措施,要求同网段全网部署p 对接入交换机的型号、版本有很强的依赖优点优点局限性局限性56DHCP SnoopingDHCP Snooping模式的部署模式的部署网关接入设备接入设备接入设备接入设备监控DHCP报文信息,绑定用户MAC-IP-PORT关系1保护屏障保护屏障DHCP响应响应DHCP请求请求配置命令:全局模式:dhcpsnooping(全局开关)VLAN模式:ARP detecti

41、on enable:(使能ARP detection enable检测,限制ARP报文数量)上行接口:ARP detection trust(将上行口配置为信任接口不检查ARP)DHCP57认证模式的部署认证模式的部署网关接入设备接入设备接入设备接入设备认证客户端绑定网关的IP-MAC对应关系3iNode客户端客户端 iNode客户端客户端 iNode客户端客户端 iNode客户端客户端 CAMS服务器服务器 IP Address GMAC G1.2.2.100-e0-fc-00-00-04 静态静态ARPARP绑定:绑定:58H3CH3C“全面防御,模块定制全面防御,模块定制”ARPARP防

42、御总结防御总结H3C低端交换机针对低端交换机针对ARP防御方案:防御方案:1.防止泛洪攻击配置ARP 源抑制功能配置 ARP 黑洞路由功能配置 ARP 报文限速功能2.防止仿冒用户、仿冒网关攻击配置源 MAC 地址固定的ARP 攻击检测功能配置 ARP 报文源MAC 地址一致性检查功能配置 ARP 主动确认功配置 ARP Detection 功能配置ARP 自动扫描、固化功能配置 ARP 网关保护功能配置 ARP 过滤保护功能59H3C ARPH3C ARP防御方案防御方案配置ARP防止IP报文攻击功能如果网络中有主机通过向设备发送大量目标 IP 地址不能解析的IP 报文来攻击设备,可通过以下

43、两种方案来防止ARP攻击。如果发送攻击报文的源是固定的,可以采用ARP 源抑制功能;如果发送攻击报文的源不固定,可以采用ARP 黑洞路由功能。1.配置ARP源抑制功能使能ARP 源抑制功能arp source-suppression enable配置 ARP 源抑制的阈值arp source-suppression limit limit-value(缺省情况下,ARP 源抑制的阈值为10)2.配置ARP黑洞路由功能使能 ARP 黑洞路由功能arp resolving-route enable(ARP 黑洞路由功能处于开启状态)60H3C ARPH3C ARP防御方案防御方案配置配置ARP D

44、etection功能功能ARP Detection 功能主要应用于接入设备上,对于合法用户的ARP 报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。ARP Detection 包含三个功能:用户合法性检查、ARP 报文有效性检查、ARP 报文强制转发。1.用户合法性检查对于 ARP 信任端口,不进行用户合法性检查;对于ARP 非信任端口,需要进行用户合法性检查,以防止仿冒用户的攻击。用户合法性检查是根据 ARP 报文中源IP 地址和源MAC 地址检查用户是否是所属VLAN 所在端口上的合法用户,包括基于IP Source Guard 静态绑定表项的检查、基于DHCP Snoo

45、ping 安全表项的检查、基于802.1X 安全表项的检查和OUI MAC 地址的检查。(1)首先进行基于IP Source Guard 静态绑定表项检查。如果找到了对应源IP 地址和源MAC 地址的静态绑定表项,认为该ARP 报文合法,进行转发。如果找到了对应源IP 地址的静态绑定表项但源MAC 地址不符,认为该ARP 报文非法,进行丢弃。如果没有找到对应源IP 地址的静态绑定表项,继续进行DHCP Snooping 安全表项、802.1X 安全表项和OUI MAC 地址检查。(2)在基于IP Source Guard 静态绑定表项检查之后进行基于DHCP Snooping 安全表项、802

46、.1X安全表项和OUI MAC 地址检查,只要符合三者中任何一个,就认为该ARP 报文合法,进行转发。(3)如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。61H3C ARPH3C ARP防御方案防御方案配置配置ARP Detection功能功能 使能ARP Detection 功能arp detection enable(缺省情况下,ARP Detection 功能处于关闭状态,该命令在VLAN视图配置)配置为ARP 信任端口arp detection trust(缺省情况下,端口为 ARP 非信任端口,一般上行端口配置为trust端口)使能ARP 报文有效性检查功能arp d

47、etection validat dst-mac|ip|src-mac(缺省情况下,ARP 报文有效性检查功能处于关闭状态,该命令在系统视图配置)使能ARP 报文强制转发功能arp restricted-forwarding enable(缺省情况下,ARP 报文强制转发功能处于关闭状态,该命令在VLAN视图配置)62H3C ARPH3C ARP防御方案防御方案配置配置ARP报文限速功能报文限速功能ARP 报文限速功能是指对上送CPU 的ARP 报文进行限速,可以防止大量ARP 报文对CPU 进行冲击。例如,在配置了ARP Detection 功能后,设备会将收到的ARP 报文重定向到CPU

48、进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP 报文发往设备,会导致设备的CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP 报文限速功能来控制上送CPU 的ARP 报文的速率。推荐用户在配置了 ARP Detection、ARP Snooping、MFF,或者发现有ARP 泛洪攻击的情况下,使用ARP 报文限速功能。开启ARP报文限速Trap 功能snmp-agent trap enable arp rate-limit(缺省情况下,ARP 报文限速Trap 功能处于开启状态)配置ARP 报文限速功能arp rate-limit disable|rate pps drop(缺省情况下,ARP 报文限速功能处于关闭状态)63H3C ARPH3C ARP防御方案防御方案配置配置ARP网关保护功能网关保护功能在设备上不与网关相连的端口上配置此功能,可以防止伪造网关攻击。在端口配置此功能后,当端口收到 ARP 报文时,将检查ARP 报文的源IP 地址是否和配置的被保护网关的IP 地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。配置被保护的网关IP 地址arp filter source ip-address(缺省情况下,ARP 网关保护功能处于关闭状态,该命令在接口视图下配置)。杭州华三通信技术有限公司

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 生活常识

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁