《锐捷防ARP欺骗解决方案-锐捷网络-网络解决方案课件.ppt》由会员分享,可在线阅读,更多相关《锐捷防ARP欺骗解决方案-锐捷网络-网络解决方案课件.ppt(53页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、锐捷防锐捷防ARPARP欺骗解决方案欺骗解决方案技术培训中心技术培训中心技术培训中心技术培训中心2009-092009-09修订记录2修订日期修订版本修订描述作者2009-03-14V1.0初稿完成。徐立欢2009-04-22V1.1添加安全通道环境中防ARP注意事项徐立欢2009-09-03V1.2添加备注,添加IP Source guard功能,修正部分参数错误徐立欢学习目标l掌握ARP协议及ARP欺骗原理l掌握锐捷网络防ARP欺骗解决方案的应用场合l掌握锐捷网络防ARP欺骗解决方案的配置3课程内容l第一章:第一章:ARP协议原理协议原理l第二章:第二章:ARP欺骗攻击概述欺骗攻击概述l第
2、三章:常见第三章:常见ARP欺骗欺骗“应付应付”手段手段l第四章:锐捷网络第四章:锐捷网络ARP欺骗解决方案欺骗解决方案4ARP协议原理 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。根据TCP/IP层次模型,在以太网中,一个主机要和另一个主机进行直接通信,必须知道目标主机的MAC地址。在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就是将IP翻译成对应的MAC地址。IPIP:姓名:姓名 MACMAC:姓名对应的手机号:姓名对应的手机号 ARPARP表:电话号码簿表:电话号码簿5ARP过程6正常的ARP通讯过程只需广播ARP Requ
3、est和单播ARP Replay两个过程,简单的说就是一问一答:ARP requestARP replyPC1PC2IP:192.168.0.1MAC:00d0.f800.0001IP:192.168.0.2MAC:00d0.f800.0002PC3PCN课程内容l第一章:第一章:ARP协议原理协议原理l第二章:第二章:ARP欺骗攻击概述欺骗攻击概述l第三章:常见第三章:常见ARP欺骗欺骗“应付应付”手段手段l第四章:锐捷网络第四章:锐捷网络ARP欺骗解决方案欺骗解决方案7正常情况下的ARP表8网关PC2PC1192.168.0.100d0.f800.0001192.168.0.200d0.f
4、800.0002192.168.0.254001a.a908.9f0blPC与设备之间相互通信后形成的ARP表lARP Request报文更新ARP表的条件ARP报文中Target IP为自己用ARP报文中的Sender MAC与Sender IP更新自己的ARP表ARP表变化-ARP Request9网关PC2PC1192.168.0.100d0.f800.0001192.168.0.200d0.f800.0002192.168.0.254001a.a908.9f0bCheat(ARP Request)ARP表变化-ARP Reply10网关PC2PC1192.168.0.100d0.f80
5、0.0001192.168.0.200d0.f800.0002192.168.0.254001a.a908.9f0bCheat(ARP Reply)lARP Reply报文更新ARP表的条件ARP报文中Target IP为自己当前ARP表中已存在Sender IP的表项用ARP报文中的Sender MAC与Sender IP更新自己的ARP表ARP表变化-Gratuitous ARP11网关PC2PC1192.168.0.100d0.f800.0001192.168.0.200d0.f800.0002192.168.0.254001a.a908.9f0bCheat(Gratuitous ARP
6、)lGratuitous ARP报文更新ARP表的条件Gratuitous ARP是一种特殊的ARP Request/Replay报文,即Sender IP与Target IP一致ARP报文中Target IP为自己用ARP报文中的Sender MAC与Sender IP更新自己的ARP表理解invalid ARP表项lInvalid ARP表项ARP表中的MAC地址为全零(Windows主机)或“No completed”(网络设备)l产生原因发送ARP Request后,为接收ARP Reply做准备l大量存在的原因同网段扫描(主机)跨网段扫描(网络设备)12lIP地址发生冲突的条件收到G
7、ratuitous ARP报文,且Sender/Target IP与当前IP一致,但Sender MAC与当前MAC不同当针对主机或网络设备发送上述报文时,即为IP冲突攻击主机或网络设备怎样判断IP冲突13网关PC2PC1192.168.0.100d0.f800.0001192.168.0.100d0.f800.0002Gratuitous ARPGratuitous ARPARP欺骗攻击分类-主机型l主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗14网关欺骗者嗨,我是网关PC 1ARP欺骗攻击分类-网关型l网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗15网关欺骗者嗨,我
8、是PC1PC 1ARP欺骗攻击目的l为什么产生ARP欺骗攻击?表象:网络通讯中断真实目的:截获网络通讯数据16PC1网关主机型网关型欺骗者ARP欺骗攻击缘何泛滥l屡禁不止的ARP欺骗ARP欺骗的目的是截获数据,例如银行卡、游戏帐户等,巨大的经济利益驱动了ARP欺骗的发展ARP欺骗实现原理简单,变种极多,通过病毒网页或木马程序即可传播,杀毒软件的更新不能及时跟上病毒的变种 ARP欺骗是由于协议缺陷造成的,业界鲜有良好的解决方案 17判断ARP欺骗攻击-主机l怎样判断是否受到了ARP欺骗攻击?网络时断时续或网速特别慢在命令行提示符下执行“arp d”命令就能好上一会在命令行提示符下执行“arp a
9、”命令查看网关对应的MAC地址发生了改变18判断ARP欺骗攻击-网关设备l网关设备怎样判断是否受到了ARP欺骗攻击?ARP表中同一个MAC对应许多IP地址19课程内容l第一章:第一章:ARP协议原理协议原理l第二章:第二章:ARP欺骗攻击概述欺骗攻击概述l第三章:常见第三章:常见ARP欺骗欺骗“应付应付”手段手段l第四章:锐捷网络第四章:锐捷网络ARP欺骗解决方案欺骗解决方案201、常见ARP欺骗“应付”手段-双向绑定l手工设置静态ARP表项静态ARP优先级高于动态ARP表项分别在网关设备与用户主机上配置静态ARP表项工作维护量大,网关设备、用户都需要进行操作21可有效解决ARP欺骗2、常见A
10、RP欺骗“应付”手段-ARP防火墙lARP防火墙软件定期向网关发送Gratuitous ARP,以通告自己正确的ARP信息发送频率过高严重占用网络带宽发送频率过低则达不到防范目的惹祸的ARP防火墙(摘录自部分著名院校网络中心通知)中国科技大学:对于异常多arp请求,请禁用xx防火墙的arp攻击防御功能中山大学:当打开xx防火墙的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个地址四川大学:装xx防火墙的主机在发现网上有ARP欺骗的时候会发送大量广播包,致使正常网络出现中断22不能解决ARP欺骗3、常见ARP欺骗“应付”手段-Cisco方案lDAI+PVLANDAI为动态
11、ARP检测,网关通过DHCP Snooping确保网关ARP表的正确性,即防止了网关型ARP欺骗的发生PVLAN的isolate vlan方式将主机之间的通讯隔离,防止了主机型ARP欺骗的发生网关设备与接入设备必须同时支持相应的功能,同时主机之间将不能互访,致使很多局域网通讯失效。23支持DAI功能的网关设备支持PVLAN的接入设备可有效解决ARP欺骗附:port-security能防范ARP吗lport-security处理流程当一个未带IP头部的报文(二层)经过port-security端口时,校验其DLC的MAC部分与配置的安全MAC是否一致当一个带IP头部(三层)的报文经过port-s
12、ecurity端口时校验其DLC的MAC是否与配置的安全MAC一致校验其IP是否与配置的安全IP一致lport-security处理ARP报文流程ARP报文不带IP头部port-security校验其DLC的MAC是否与配置的安全MAC一致24port-security不能解决ARP欺骗课程内容l第一章:第一章:ARP协议原理协议原理l第二章:第二章:ARP欺骗攻击概述欺骗攻击概述l第三章:常见第三章:常见ARP欺骗欺骗“应付应付”手段手段l第四章:锐捷网络第四章:锐捷网络ARP欺骗解决方案欺骗解决方案25锐捷网络完美解决ARP欺骗l锐捷网络坚持走自主研发的发展道路,在整个业界对ARP欺骗感到
13、比较头疼时,率先推出了一系列成熟的ARP欺骗解决方案。配置难吗?多数方案只需几条命令成本高吗?锐捷低端接入S21系列交换机即可。S21自推出已经有六年之久,通过不断更新软件版本实现新的功能,严格保护用户的投资。26S21系列交换机诞生于六年前两个概念l安全地址主机真实的IP与MAC地址在主机发送ARP报文前获得lARP报文校验检查ARP报文中Senders MAC与安全地址中的MAC是否一致,否则丢弃检查ARP报文中Senders IP与安全地址中的IP是否一致,否则丢弃27防ARP欺骗原理28l流程图安全地址获取安全地址获取丢弃丢弃转发转发ARPARP报文校验报文校验ARP报文S/T字段是否
14、与安全地址一致ARPARP报文报文是否安全地址的获取是防ARP欺骗的前提,ARP报文校验是防ARP欺骗的手段安全地址l定义主机的真实信息IP+MAC地址组成l获取方式手工指定port-security自动获取DHCP SnoopingDot1x认证29安全地址的处理l什么是ACE交换机端口形成的硬件资源表项通过硬件对报文的转发进行判断l端口策略未配置安全地址时permit any any any any配置安全地址后permit mac1 ip1 any anypermit mac2 ip2 any anypermit macN ipN any anydeny any any any any3
15、0交换机端口交换机端口非法IP+MAC报文ACE丢弃转发0/1比特位合法IP+MAC报文lARP-check原理:提取ACE中IP+MAC对的信息在原有ACE(过滤IP+MAC)的基础上形成新的ACE(过滤ARP)应用后端口策略permit mac1 ip1 any anypermit arp 源MAC1 源IP1 any anydeny any any any any注意事项:ARP-check功能开启后,如果ACE中不存在安全地址,则所有的ARP报文将被丢弃ARP报文校验方式一(ARP-check)31交换机端口交换机端口非法ARP报文ACE丢弃转发0/1比特位合法ARP报文ARP报文校验
16、二(DAI)lDAI原理:提取DHCP Snooping表中的IP+MAC信息通过CPU过滤源MAC/源IP不在Snooping表中的ARP报文注意事项:DAI功能开启开启后,如果DHCP Snooping表为空,则所有的ARP报文将被丢弃32交换机端口交换机端口合法ARP报文非法ARP报文CPU丢弃转发0/1比特位1.1、port-security+ARP-check方案概述l原理通过port-security功能将用户正确的IP与MAC写入交换机端口ACE使用ARP-check功能校验ARP报文的正确性l应用场景用户使用静态IP地址无安全认证措施l缺点需要收集所有用户的IP、MAC,将其配
17、置到端口上当用户接入端口发生变化时,需重新设置安全地址33l网络拓扑l主要配置(10.x平台)1.2、port-security+ARP-check方案实施34192.168.0.100d0.f800.0001192.168.0.200d0.f800.0002Fa 0/1Fa 0/2interface FastEthernet 0/1 switchport port-security mac-address 00d0.0000.0001 ip-address 192.168.0.1 switchport port-security arp-check auto!interface FastEt
18、hernet 0/2 switchport port-security mac-address 00d0.0000.0002 ip-address 192.168.0.2 switchport port-security arp-check auto2.1、DHCP Snooping+address-bind+ARP-check方案实施l原理通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表通过DHCP Snoopoing address-bind将DHCP Snooping表的写入交换机的ACE(类似端口安全)使用ARP-check功能校验AR
19、P报文的正确性l应用场景用户使用动态IP地址同样适用于SAM认证环境(限S21交换机)动态环境下如果使用安全通道,请勿在安全通道中允许ARP报文通过l缺点无35l网络拓扑l主要配置(10.x平台)2.2、DHCP Snooping+address-bind+ARP-check方案实施36DHCP00d0.f800.0001DHCP00d0.f800.0002Fa 0/1Fa 0/2ip dhcp snooping!interface FastEthernet 0/1 ip dhcp snooping address-bind arp-check auto!interface FastEther
20、net 0/2 ip dhcp snooping address-bind arp-check auto!interface FastEthernet 0/24 ip dhcp snooping trustUplink:Fa 0/242.3、DHCP Snooping+address-bind+ARP-check方案级联优化37Uplinktrusttrustl多台交换机级联时,为避免上面一台交换机针对下联交换机上的用户重复进行地址绑定与ARP报文校验,请将下联其他交换机的接口启用ip dhcp snooping trust3.1、DHCP Snooping+IP Source guard+A
21、RP-check方案实施l原理通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表通过IP Source guard将DHCP Snooping表的写入交换机的ACE(类似端口安全)使用ARP-check功能校验ARP报文的正确性l应用场景用户使用动态IP地址同样适用于SAM认证环境动态环境下如果使用安全通道,请勿在安全通道中允许ARP报文通过l缺点无38l网络拓扑l主要配置(10.x平台)3.2、DHCP Snooping+IP Source guard+ARP-check方案实施39DHCP00d0.f800.0001DHCP00d0.f800
22、.0002Fa 0/1Fa 0/2ip dhcp snooping!interface FastEthernet 0/1 ip verify source port-security arp-check auto!interface FastEthernet 0/2 ip verify source port-security arp-check auto!interface FastEthernet 0/24 ip dhcp snooping trustUplink:Fa 0/243.3、DHCP Snooping+IP Source guard+ARP-check方案级联优化40Uplin
23、ktrusttrustl多台交换机级联时,为避免上面一台交换机针对下联交换机上的用户重复进行地址绑定与ARP报文校验,请将下联其他交换机的接口启用ip dhcp snooping trust4.1、DHCP Snooping+DAI方案概述l原理通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表使用DAI功能校验ARP报文的正确性l应用场景用户使用动态IP地址同样适用于SAM认证环境动态环境下如果使用安全通道,请勿在安全通道中允许ARP报文通过l缺点DAI功能需通过CPU处理,大量的ARP报文可能导致CPU过高41l网络拓扑l主要配置(10.x平
24、台)4.2、DHCP Snooping+DAI方案实施42DHCP00d0.f800.0001DHCP00d0.f800.0002Fa 0/1:VLAN 10Fa 0/2:VLAN 10ip dhcp snooping!ip arp inspection vlan 10!interface FastEthernet 0/1!interface FastEthernet 0/2!interface FastEthernet 0/24 ip dhcp snooping trust ip arp inspection trustUplink:Fa 0/244.3、DHCP Snooping+DAI方
25、案级联优化43Uplinktrusttrustl多台交换机级联时,为避免上面一台交换机正对下联交换机上的用户重复进行dhcp snooping 与ARP报文校验,请将下联其他交换机的接口启用ip dhcp snooping trust及ip arp inspection trust5.1、SAM+Supplicant授权方案概述l原理用户通过SAM认证后,交换机会将用户的MAC信息写入ACE交换机开启Supplicant授权,交换机会将用户的IP信息写入ACE使用ARP-check功能校验ARP报文的正确性l应用场景用户使用静态IP地址用户使用SAM认证l缺点不能使用安全通道功能44l网络拓扑
26、l主要配置(10.x平台)5.2、SAM+Supplicant授权方案实施45192.168.0.100d0.f800.0001192.168.0.200d0.f800.0002Fa 0/1:VLAN 10Fa 0/2:VLAN 10aaa authorization ip-auth-mode supplicant!interface FastEthernet 0/1 switchport access vlan 10 arp-check auto dot1x port-control auto!interface FastEthernet 0/2 switchport access vlan
27、 10 arp-check auto dot1x port-control auto附.1、ARP欺骗免疫(GSN)概述l原理用户认证后SMP服务器下发策略,通过Su建立网关静态ARP表项用户认证后SMP服务器下发策略,在网关建立用户的可信任ARP表项l应用场景用户使用IP地址类型不限(动态或静态)用户使用GSN系统l缺点ARP欺骗免疫与前面介绍的方案原理不同,欺骗免疫与前面介绍的方案原理不同,该方案是在网关与客户之间自动建立静态ARP表项,而非杜绝用户发送欺骗报文该方案不能解决主机之间的欺骗需要网关设备支持ARP欺骗免疫功能46l网络拓扑l网关交换机主要配置附.2、ARP欺骗免疫(GSN)方
28、案实施47Static/DHCP00d0.f800.0001Static/DHCP00d0.f800.0002Fa 0/1:VLAN 10Fa 0/2:VLAN 20service trustedarp!interface VLAN 10 ip address 192.168.10.254 255.255.255.0!interface VLAN 20 ip address 192.168.20.254 255.255.255.0!snmp-server community smp rwtrunk网关交换机vlan10:192.168.10.254vlan20:192.168.20.254附.
29、2、ARP欺骗免疫(GSN)方案实施(续)lSMP主要配置添加网关交换机模板添加网关交换机启用ARP欺骗免疫功能l效果验证48ARP-check的模式lARP-check的三种模式(RGOS平台)自动模式(缺省不显示在配置中)接口配置命令:arp-check auto接口存在安全地址生效接口不存在安全地址不生效强制打开接口配置命令:arp-check接口无论是否存在安全地址均生效强制关闭接口配置命令:no arp-check接口无论是否存在安全地址均不生效49S21交换机(非RGOS平台)配置注意事项lARP-check基于全局配置,非基于端口生效配置命令:S2126G(config)#por
30、t-security arp-check缺省打开,类似RGOS平台的自动模式l正式软件版不支持DAI功能50各种防ARP欺骗方案比较环境环境/方案方案port-port-securitysecurity+ARP-check+ARP-checkDHCP SnoopingDHCP Snooping+address-bind+address-bind+ARP-check+ARP-checkDHCP SnoopingDHCP Snooping+IP Source guard+IP Source guard+ARP-check+ARP-checkDHCP DHCP SnoopingSnooping+DA
31、I+DAISupplicantSupplicant授权授权+ARP-check+ARP-checkARPARP欺骗免欺骗免疫疫静态静态IPIP静态静态IP+SAMIP+SAM动态动态IPIP动态动态IP+SAMIP+SAM静态静态IP+GSNIP+GSN动态动态IP+GSNIP+GSN51l注:静态地址环境下如果使用了安全通道功能,并在安全通道中允许ARP报文通过,则无法解决ARP欺骗。如需使用安全通道功能建议用户采购GSN。l注交换机软件请升级至上述版本,否则可能存在功能缺陷接入交换机中开启ARP-check功能时,S2300系列交换机推荐每端口一个用户,其他系列交换机每端口不超过20个用户
32、,详细情况请咨询技术支持部二线工程师各系列交换机支持情况一览52环境环境/方案方案port-securityport-security+ARP-check+ARP-checkDHCP SnoopingDHCP Snooping+address-bind+address-bind+ARP-check+ARP-checkDHCP SnoopingDHCP Snooping+ip source+ip source guard+ARP-checkguard+ARP-checkDHCP DHCP SnoopingSnooping+DAI+DAISupplicantSupplicant授权授权+ARP-c
33、heck+ARP-checkARPARP欺骗免欺骗免疫疫版本需求版本需求S2100(S2100(接入接入)N/AN/AN/AN/A-1.81.8及以上及以上S2300(S2300(接入接入)N/AN/AN/AN/A-10.4(1)10.4(1)及以上及以上S2600(S2600(接入接入)N/AN/A-10.4(1)10.4(1)及以上及以上S2900(S2900(接入接入)N/AN/A-10.4(1)10.4(1)及以上及以上S3250(S3250(接入接入)N/AN/A-10.4(1)10.4(1)及以上及以上S3750S3750(汇聚)汇聚)-10.2(4)10.2(4)及以上及以上S3760S3760(汇聚)汇聚)-10.2(4)10.2(4)及以上及以上S5750S5750(汇聚)汇聚)-10.2(4)10.2(4)及以上及以上S5760S5760(汇聚)汇聚)-10.2(4)10.2(4)及以上及以上53THANKSTHANKS!