低端交换机安全技术原理以及配置精选PPT.ppt-得力文库

资源描述

《低端交换机安全技术原理以及配置精选PPT.ppt》由会员分享，可在线阅读，更多相关《低端交换机安全技术原理以及配置精选PPT.ppt（64页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、低端交换机安全技术低端交换机安全技术原理以及配置原理以及配置第1页，此课件共64页哦n第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置n第三节第三节端口隔离技术及配置端口隔离技术及配置n第四节第四节端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录第2页，此课件共64页哦802.1x协议起源协议起源 802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的全称是基于端口的访问控制协议，主要目的是为了解决无线局域网用户的接入认证

2、问题，它通过控制端口访问节点来提供无线局域网用户接入认证和安全性，随着局域网宽带接入的不断普及，局域网接入用户需要进行认证的要求越发迫切，802.1x现在已经开始被应用于一般的有线LAN的接入。第3页，此课件共64页哦802.1x协议简介协议简介l802.1x协议首先是一个认证协议，是一种对用户进行认证的方法和策略l802.1x协议是IEEE为了解决基于端口的接入控制而定义的一个标准l802.1x的认证的最终目的就是确定一个端口是否可用，对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1x的认证报文EAPOL(Ex

3、tensible Authentication Protocol over LAN)通过。第4页，此课件共64页哦802.1x协议简介协议简介802.1x认证系统组成认证系统组成SupplicantEAPOLAuthenticatorAuthentication ServerEAP Over Radius OR Standard Radius第5页，此课件共64页哦802.1x体系结构体系结构Supplicant SystemAuthenticator SystemAuthentication Server SystemPAE：认证机制中负责处理算法和协议的实体。EAP：Extensible

4、Authentication Protocol第6页，此课件共64页哦802.1x体系结构体系结构受控端口受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚端口：受控端口和非受控端口1.非受控端口:始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接受认证。2.受控端口:在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开状态，禁止传递任何报文。第7页，此课件共64页哦802.1x体系结构体系结构端口受控方向端口受控方向192.168.1.1192.168.1.2E3/0/1E3/0/2单向双向Internet我司产品在实现时，对端口在非

5、授权状态下，实行入方向单向受控，即禁止从客户端接收帧，但允许向客户端发送帧。因此常常会发现，端口由授权状态转变成非授权状态后，用户主机的IPTV客户端仍然可以持续播放视频几分钟，就是这个原因。但由于收不到用户主机发来的组播组成员报告，随着组播组的老化被删除，最终IPTV被中断双向受控双向受控单向受控单向受控双向受控对受控端口的输入流和输出流都进行控制，在端口未授权前两个方向的流量都不能通过受控端口第8页，此课件共64页哦802.1x的工作方式的工作方式1.客户端和设备端通过EAPOL帧来交互消息2.设备端和认证服务器端可以通过EAP中继方式或EAP终结方式交互信息3.设备端和认证服务器端可以

6、分布在两个不同的实体上也可以集中在同一个实体上客户端PAE设备端PAE认证服务器EAPOLRADIUS 协议承载的EAP/PAP/CHAP 交换第9页，此课件共64页哦802.1x端口受控方式端口受控方式基于基于MAC的认证方式的认证方式启用802.1X认证的端口下只要有一个用户通过了认证则该端口打开，其余下挂在这个端口下的用户也可以通过这个端口传输数据基于端口的认证方式基于端口的认证方式两种端口受控方式：1.基于端口的认证：只要该物理端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，当第一个用户下线后，其他用户也会被拒绝使用网络。2.基于MAC地址认证：该物理端口下的所有接

7、入用户都需要单独认证。当某个用户下线时，也只有该用户无法使用网络。通过认证的用户可以使用网络资源，没有通过的用户则不能，即使他们都接入了同一个端口第10页，此课件共64页哦802.1x报文发送方式报文发送方式AssignmentValuePAE group address01-80-C2-00-00-03组播方式组播方式客户端程序可以选择采用组播报文发送，此时客户端发送的所有EAPoL报文封装组播地址，有些情况下客户端程序也可以选择单播报文发送，此时客户端初次发送EAPoL-Start报文封装组播地址，回应设备端的response报文封装设备的端口地址采用单播发送，对于设备端发送的报文，若设备

8、端知道客户端的地址，则封装客户端的地址采用单播发送，否则封装组播地址，采用组播发送广播方式广播方式客户端也可以选择广播方式发送报文，这时客户端初次发送EAPoL-Start报文封装广播地址，其余报文可以采用单播发送第11页，此课件共64页哦802.1x报文封装报文封装EAPOL的报文格式的报文格式PAE Ethernet typeProtocol versionTypeLengthPacket Body2 3 4 6 N0PAE Ethernet Type占2字节，固定为0 x888EProtocol Version占1字节，固定为1Type占1字节，EAP-Packet（00EAPOL-St

9、art（01）EAPOL-Logoff（02）EAPOL-Key（03）EAPOL-Encapsulated-ASF-Alert（04)Length占2字节，指定packet body字段的长度Packet Body当Packet Type字段为EAPoL-Start或EAPoL-Logoff时，此字段为空第12页，此课件共64页哦802.1x报文封装报文封装EAPOL报文示例报文示例第13页，此课件共64页哦802.1x报文封装报文封装EAP的报文格式的报文格式Code域为一个字节，表示了EAP数据包的类型，EAP的Code的值指定意义如下 Code1Request Code2Respons

10、e Code3Success Code4FailureIndentifier域为一个字节，辅助进行request和response的匹配。每一个request都应该有一个response相对应，这样的一个Indentifier域就建立了一个对应关系Length域为两个字节，表明了EAP数据包的长度，包括Code、Identifier、Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充（padding）在接收时将被忽略掉。Data域为0个或者多个字节，Data域的格式由Code的值来决定。当Code为3或4时，data域为0个字节。CodeIdentifierLe

11、ngthData0 1 2 4 N第14页，此课件共64页哦802.1x报文封装报文封装Request/Respone报文报文Data域域Type：占1个字节，该字段值指定Request或Response的类型。在 EAP的Request或Response中必须出现且仅出现一个Type 1 Identity 2 Notification 3 Nak(Response only)4 MD5-Challenge 5 One-Time Password(OTP)(RFC 1938)6 Generic Token CardType data：内容随不同类型的Request和Response而不同。T

12、ypeType Data0 1 N第15页，此课件共64页哦802.1x报文封装报文封装EAP报文示例报文示例第16页，此课件共64页哦802.1x认证过程认证过程两种两种EAP认证方式认证方式EAP中继方式中继方式EAP终结方式终结方式用来对用户口令信息进行加密处理的随机加密字由Radius服务器生成，交换机只是负责将EAP报文透传Radius服务器，EAP中继方式要求Radius服务器支持EAP属性：EAP-Message（值为79）和Message-Authenticator（值为80）,整个认证处理都由Radius服务器来完成。EAP中继方式有四种认证方法：EAP-MD5、EAP-TL

13、S（Transport Layer Security，传输层安全）、EAP-TTLS（Tunneled Transport Layer Security，隧道传输层安全）和PEAP（Protected Extensible Authentication Protocol，受保护的扩展认证协议）。用来对用户口令信息进行加密处理的随机加密字由交换机生成，之后交换机会通过标准Radius报文把用户名、随机加密字和客户端加密后的口令信息一起送给Radius服务器，进行相关的认证处理。第17页，此课件共64页哦802.1x认证过程认证过程EAP中继方式中继方式客户端交换机RADIUS服务器EAPOLEA

14、POREAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5 ChallengeEAP-SuccessEAP-Response/MD5 ChallengeRADIUS Access-Request(EAP-Response/Identity)RADIUS Access-Challenge(EAP-Request/MD5 Challenge)RADIUS Access-Accept(EAP-Success)RADIUS Access-Request(EAP-Response/MD5 Challenge)端口被授权握手

15、定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff.端口非授权第18页，此课件共64页哦802.1x认证过程认证过程EAP终结方式终结方式客户端交换机RADIUS服务器EAPOLRADIUSEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5 ChallengeEAP-SuccessEAP-Response/MD5 ChallengeRADIUS Access-Request(CHAP-Response/MD5 Challe

16、nge)RADIUS Access-Accept(CHAP-Success)端口被授权握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff.端口非授权第19页，此课件共64页哦802.1X典型配置案例典型配置案例第20页，此课件共64页哦802.1X典型配置案例典型配置案例#开启全局802.1x 特性。system-viewSystem View:return to User View with Ctrl+Z.Sysname dot1x#开启指定端口Ethernet 1/0/1 的802.1x 特性。S

17、ysname dot1x interface Ethernet 1/0/1#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC 地址的）。Sysname dot1x port-method macbased interface Ethernet 1/0/1#创建RADIUS 方案radius1 并进入其视图。Sysname radius scheme radius1第21页，此课件共64页哦802.1X典型配置案例典型配置案例#设置主认证/计费RADIUS 服务器的IP 地址。Sysname-radius-radius1 primary authenticatio

18、n 10.11.1.1Sysname-radius-radius1 primary accounting 10.11.1.2#设置备份认证/计费RADIUS 服务器的IP 地址。Sysname-radius-radius1 secondary authentication 10.11.1.2Sysname-radius-radius1 secondary accounting 10.11.1.1#设置系统与认证RADIUS 服务器交互报文时的加密密码。Sysname-radius-radius1 key authentication name#设置系统与计费RADIUS 服务器交互报文时的加密

19、密码。Sysname-radius-radius1 key accounting money#设置系统向RADIUS 服务器重发报文的时间间隔与次数。Sysname-radius-radius1 timer 5Sysname-radius-radius1 retry 5第22页，此课件共64页哦802.1X典型配置案例典型配置案例#设置系统向RADIUS 服务器发送实时计费报文的时间间隔。Sysname-radius-radius1 timer realtime-accounting 15#指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器。Sysname-radius-radiu

20、s1 user-name-format without-domainSysname-radius-radius1 quit#创建域并进入其视图。Sysname domain #指定radius1 为该域用户的RADIUS 方案，若RADIUS 服务器无效，则使用本地认证方案。Sysname-isp- scheme radius-scheme radius1 local#设置该域最多可容纳30 个用户。Sysname-isp- access-limit enable 30第23页，此课件共64页哦802.1X典型配置案例典型配置案例#启动闲置切断功能并设置相关参数。Sysname-isp- i

21、dle-cut enable 20 2000Sysname-isp- quit#配置域为缺省用户域。Sysname domain default enable #添加本地接入用户。Sysname local-user localuserSysname-luser-localuser service-type lan-accessSysname-luser-localuser password simple localpass第24页，此课件共64页哦l第一节第一节 802.1X认证基本原理及配置认证基本原理及配置l第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置l第三节第三节

22、端口隔离技术及配置端口隔离技术及配置l第四节第四节端口绑定技术及配置端口绑定技术及配置l第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录第25页，此课件共64页哦MAC地址认证概述地址认证概述第26页，此课件共64页哦两种认证方式的的工作流程两种认证方式的的工作流程第27页，此课件共64页哦MAC地址认证的配置命令地址认证的配置命令第28页，此课件共64页哦MAC认证的典型配置案例认证的典型配置案例#开启指定端口Ethernet 1/0/2 的MAC 地址认证特性。system-viewSysname mac-authentication interface Ether

23、net 1/0/2#配置采用MAC 地址用户名进行认证，并指定使用带有分隔符的小写形式的MAC 地址作为验证的用户名和密码。Sysname mac-authentication authmode usernameasmacaddress usernameformat with-hyphenlowercase第29页，此课件共64页哦MAC认证的典型配置案例认证的典型配置案例#添加本地接入用户。配置本地用户的用户名和密码：Sysname local-user 00-0d-88-f6-44-c1Sysname-luser-00-0d-88-f6-44-c1 password simple 00-0

24、d-88-f6-44-c1设置本地用户服务类型为lan-access：Sysname-luser-00-0d-88-f6-44-c1 service-type lan-accessSysname-luser-00-0d-88-f6-44-c1 quit#创建MAC 地址认证用户所使用的域。Sysname domain New Domain added.#配置域采用本地认证方式。Sysname-isp- scheme localSysname-isp- quit第30页，此课件共64页哦MAC认证的典型配置案例认证的典型配置案例#配置MAC 地址认证用户所使用的域名为。Sysname mac-

25、authentication domain #开启全局MAC 地址认证特性（接入控制相关特性一般将全局配置开启放在最后，否则相关参数未配置完成，会造成合法用户无法访问网络）。Sysname mac-authentication第31页，此课件共64页哦l第一节第一节 802.1X认证基本原理及配置认证基本原理及配置l第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置l第三节第三节端口隔离技术及配置端口隔离技术及配置l第四节第四节端口绑定技术及配置端口绑定技术及配置l第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录第32页，此课件共64页哦端口隔离简介端口隔

26、离简介第33页，此课件共64页哦端口隔离基本配置端口隔离基本配置第34页，此课件共64页哦端口隔离配置举例端口隔离配置举例第35页，此课件共64页哦l第一节第一节 802.1X认证基本原理及配置认证基本原理及配置l第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置l第三节第三节端口隔离技术及配置端口隔离技术及配置l第四节第四节端口绑定技术及配置端口绑定技术及配置l第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录第36页，此课件共64页哦端口绑定技术简介端口绑定技术简介第37页，此课件共64页哦端口绑定基本配置端口绑定基本配置第38页，此课件共64页哦端口绑

27、定典型配置举例端口绑定典型配置举例第39页，此课件共64页哦l第一节第一节 802.1X认证基本原理及配置认证基本原理及配置l第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置l第三节第三节端口隔离技术及配置端口隔离技术及配置l第四节第四节端口绑定技术及配置端口绑定技术及配置l第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录第40页，此课件共64页哦ARPARP攻击原理介绍攻击原理介绍l ARPAddress Resolution Protocol地址解释协议帧类型0 x0806ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的l通过伪造虚假源IP

28、-MAC对应的ARP报文，导致网关或主机无法找到正确的通信对象l利用ARP协议本身的缺陷来实现可以利用帧类型来识别ARP报文第41页，此课件共64页哦ARPARP攻击来源分析攻击来源分析l一、病毒和木马一、病毒和木马瑞星2007上半年电脑病毒排名1、帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫）2、威金蠕虫（Worm.Viking）3、熊猫烧香（Worm.Nimaya；又称尼姆亚）4、网络游戏木马（Trojan.PSW.OnlineGames）5、QQ通行证（Trojan.PSW.QQPass）6、ARP病毒（具有ARP攻击行为的多个病毒）二、黑客攻击软件二、黑客攻击软件网

29、络执法官等据瑞星统计：上半年全国约有3500多万台电脑曾经被病毒感染第42页，此课件共64页哦常见常见ARPARP攻击类型攻击类型l 仿冒网关仿冒网关 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关l 仿冒终端用户仿冒终端用户/服务器服务器欺骗网关发送错误的终端用户的IPMAC的对应关系给网关，导致网关无法和合法终端用户正常通信欺骗终端用户发送错误的终端用户/服务器的IPMAC的对应关系给受害的终端用户，导致两个终端用户之间无法正常通信l 其他其他ARP FLOODING 攻击第43页，此课件共64页哦攻击实验环境介绍攻击实验环境介绍正常用户A网

30、关攻击者攻击者B B接入交换机正常用户C网络执法官我是攻击者我是攻击者我是受害者我是受害者典型局域网，利用网络执法官来实现常见ARP攻击第44页，此课件共64页哦ARPARP欺骗攻击欺骗攻击11仿冒网关仿冒网关n攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。n主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。正常用户A网关G网关网关MACMAC更新了更新了网关网关ARPARP表项已更表项已更新新攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1.1.1.1(网关)1-1-1DynamicIP Addre

31、ssMACType1.1.1.1（网关）2-2-2DynamicARP表项更新为这种攻击为最为常见的攻击类型这种攻击为最为常见的攻击类型访问外网数据发向访问外网数据发向错误的网关错误的网关第45页，此课件共64页哦攻击现象攻击现象一、网络执法官向受害主机发送网关的欺骗ARP报文二、受害主机网关信息被欺骗，网络无法正常访问间隔时间非常短第46页，此课件共64页哦ARPARP欺骗攻击欺骗攻击2 2欺骗网关欺骗网关n攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新n网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网正常用户A网关G用户

32、用户A A的的MACMAC更新更新了了用户用户A A的的ARPARP表表项已更新项已更新发送伪造ARP信息攻击者BIP AddressMACType1.1.1.53-3-3DynamicIP AddressMACType1.1.1.52-2-2DynamicARP表项更新为IP Address AMAC A1.1.1.53-3-3外网来的数据流被转发到错外网来的数据流被转发到错误的终端误的终端第47页，此课件共64页哦一、受害主机上正确绑定网关信息二、网络还是无法正常访问攻击现象攻击现象第48页，此课件共64页哦ARPARP欺骗攻击欺骗攻击3 3欺骗终端用户欺骗终端用户n攻击者以伪造虚假的AR

33、P报文，欺骗相同网段内的其他主机，某一合法用户的MAC地址已经更新n网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1.1.1.19-9-9DynamicIP AddressMACType1.1.1.12-2-2Dynamic用户用户CC的的MAC is 2-2-2MAC is 2-2-2ARP表项更新为目的MAC源MAC2-2-23-3-3IP Address AMAC A1.1.1.53-

34、3-3数据流被中断IP Address BMAC B1.1.1.205-5-5IP Address CMAC C1.1.1.89-9-9正常用户C第49页，此课件共64页哦ARPARP泛洪攻击泛洪攻击n攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3的MAC更新了已更新发送大量伪造ARP信息攻击者BIP Address GMAC G1.1.0.11-1-1IP AddressMACType1.1.0.22-2-2Dynamic1.1.0.32-2-3Dynamic1.

35、1.0.42-2-4Dynamic1.1.0.52-2-5Dynamic1.1.0.62-2-6Dynamic.Dynamic1.1.0.2 MAC is 2-2-21.1.0.2 MAC is 2-2-2ARP表项被占满IP Address AMAC A1.1.1.1033-3-3ARP表项无法学习IP Address BMAC B1.1.1.205-5-51.1.0.3 MAC is 2-2-31.1.0.3 MAC is 2-2-31.1.0.4 MAC is 2-2-41.1.0.4 MAC is 2-2-41.1.1.103 MAC is 3-3-31.1.1.103 MAC is

36、3-3-3第50页，此课件共64页哦ARPARP攻击防御的三个控制点攻击防御的三个控制点网关G用户接入设备l 网关防御网关防御l 合法ARP绑定，防御网关被欺骗l VLAN内的ARP学习数量限制，防御ARP泛洪攻击1 1 接入设备防御接入设备防御l 将合法网关IP/MAC进行绑定，防御仿冒网关攻击l 合法用户IP/MAC绑定，过滤掉仿冒报文l ARP限速l 绑定用户的静态MAC2 2l 客户端防御客户端防御l 合法ARP绑定，防御网关被欺骗3 3l根据前述根据前述ARPARP攻击原理得出解决攻击原理得出解决ARPARP攻击的三个控制点如下：攻击的三个控制点如下：第51页，此课件共64页哦防御思

37、路防御思路1 1认证模式认证模式网关接入交换机利用认证途径来获取合法用户的IP-MAC关系，在接入交换机和网关上进行绑定。利用认证客户端在终端上绑定网关ARP表项。CAMS 认证服务器利用802.1x或者Portal认证机制将合法用户的IP-MAC关系上传到认证服务器认证服务器将获取到的IP-MAC对应关系下发到网关认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点123X认证通过后，CAMS将网关的IP-MAC对应关系下发给客户端进行静态绑定关键点第52页，此课件共64页哦认证模式之接入绑定认证模式之接入绑定利用认证途径来获取合法用户的IP-MAC关系，在接入交换机（认证设备）进

38、行绑定。不匹配绑定关系的ARP报文统统丢弃，并上报给管理员网关接入交换机 CAMS 认证服务器认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点2X想发送欺骗报文，丢弃攻击者第53页，此课件共64页哦防御思路防御思路2 2 DHCP DHCP 监控模式监控模式网关接入交换机监控DHCP交互报文获取合法用户的IP-MAC-port关系在接入交换机上绑定下挂终端的IP-MAC对应关系，并对接收到的ARP报文进行检查，过滤掉所有非法报文。全网部署后，有效防止所有ARP常见攻击类型DHCP服务器接入交换机解析客户端和DHCP服务器之间的交互报文，获得合法用户的IP-MAC-port对应关系

39、接入交换机将获取到的合法用户的IP-MAC-port绑定在入接口上控制点1X想发送欺骗报文？丢弃关键点攻击者第54页，此课件共64页哦认证绑定认证绑定 Vs.DHCP SNOOPINGVs.DHCP SNOOPINGl 对网络设备的依赖小，对接入交换机和网关的绑定可以根据网络状况分别使用。l 适应静态IP地址的环境使用，适合目前多数学校现状。认证绑认证绑定模式定模式DHCP DHCP SNOOPINGSNOOPING模式模式优点优点局限性局限性l需要安装客户端l需要采用H3C认证方式l可以保证网络无非法ARP报文传播，从根本防御ARP攻击l 纯网络层面实现，不需要用户安装客户端。对用户应用没有

40、影响l要求用户采用DHCP动态获取IP的方式l以过滤非法报文为防御措施，要求同网段全网部署l 对接入交换机的型号、版本有很强的依赖优点优点局限性局限性第55页，此课件共64页哦DHCP SnoopingDHCP Snooping模式的部署模式的部署网关接入设备接入设备接入设备接入设备监控DHCP报文信息，绑定用户MAC-IP-PORT关系1保护屏障保护屏障DHCP响应响应DHCP请求请求配置命令：全局模式：dhcpsnooping（全局开关）VLAN模式：ARP detection enable：（使能ARP detection enable检测，限制ARP报文数量）上行接口：ARP dete

41、ction trust（将上行口配置为信任接口不检查ARP）DHCP第56页，此课件共64页哦认证模式的部署认证模式的部署网关接入设备接入设备接入设备接入设备认证客户端绑定网关的IP-MAC对应关系3iNode客户端客户端 iNode客户端客户端 iNode客户端客户端 iNode客户端客户端 CAMS服务器服务器 IP Address GMAC G1.2.2.100-e0-fc-00-00-04 静态静态ARPARP绑定：绑定：第57页，此课件共64页哦H3C“H3C“全面防御，模块定制全面防御，模块定制”ARPARP防御总结防御总结H3C低端交换机针对低端交换机针对ARP防御方案：防御方案

42、：1.防止泛洪攻击配置ARP 源抑制功能配置 ARP 黑洞路由功能配置 ARP 报文限速功能2.防止仿冒用户、仿冒网关攻击配置源 MAC 地址固定的ARP 攻击检测功能配置 ARP 报文源MAC 地址一致性检查功能配置 ARP 主动确认功配置 ARP Detection 功能配置ARP 自动扫描、固化功能配置 ARP 网关保护功能配置 ARP 过滤保护功能第58页，此课件共64页哦H3C ARPH3C ARP防御方案防御方案配置ARP防止IP报文攻击功能如果网络中有主机通过向设备发送大量目标 IP 地址不能解析的IP 报文来攻击设备，可通过以下两种方案来防止ARP攻击。如果发送攻击报文的源是固

43、定的，可以采用ARP 源抑制功能；如果发送攻击报文的源不固定，可以采用ARP 黑洞路由功能。1.配置ARP源抑制功能使能ARP 源抑制功能arp source-suppression enable配置 ARP 源抑制的阈值arp source-suppression limit limit-value（缺省情况下，ARP 源抑制的阈值为10）2.配置ARP黑洞路由功能使能 ARP 黑洞路由功能arp resolving-route enable（ARP 黑洞路由功能处于开启状态）第59页，此课件共64页哦H3C ARPH3C ARP防御方案防御方案配置配置ARP Detection功能功能AR

44、P Detection 功能主要应用于接入设备上，对于合法用户的ARP 报文进行正常转发，否则直接丢弃，从而防止仿冒用户、仿冒网关的攻击。ARP Detection 包含三个功能：用户合法性检查、ARP 报文有效性检查、ARP 报文强制转发。1.用户合法性检查对于 ARP 信任端口，不进行用户合法性检查；对于ARP 非信任端口，需要进行用户合法性检查，以防止仿冒用户的攻击。用户合法性检查是根据 ARP 报文中源IP 地址和源MAC 地址检查用户是否是所属VLAN 所在端口上的合法用户，包括基于IP Source Guard 静态绑定表项的检查、基于DHCP Snooping 安全表项的检查、基

45、于802.1X 安全表项的检查和OUI MAC 地址的检查。(1)首先进行基于IP Source Guard 静态绑定表项检查。如果找到了对应源IP 地址和源MAC 地址的静态绑定表项，认为该ARP 报文合法，进行转发。如果找到了对应源IP 地址的静态绑定表项但源MAC 地址不符，认为该ARP 报文非法，进行丢弃。如果没有找到对应源IP 地址的静态绑定表项，继续进行DHCP Snooping 安全表项、802.1X 安全表项和OUI MAC 地址检查。(2)在基于IP Source Guard 静态绑定表项检查之后进行基于DHCP Snooping 安全表项、802.1X安全表项和OUI MA

46、C 地址检查，只要符合三者中任何一个，就认为该ARP 报文合法，进行转发。(3)如果所有检查都没有找到匹配的表项，则认为是非法报文，直接丢弃。第60页，此课件共64页哦H3C ARPH3C ARP防御方案防御方案配置配置ARP Detection功能功能使能ARP Detection 功能arp detection enable（缺省情况下，ARP Detection 功能处于关闭状态，该命令在VLAN视图配置）配置为ARP 信任端口arp detection trust（缺省情况下，端口为 ARP 非信任端口，一般上行端口配置为trust端口）使能ARP 报文有效性检查功能arp dete

47、ction validat dst-mac|ip|src-mac（缺省情况下，ARP 报文有效性检查功能处于关闭状态，该命令在系统视图配置）使能ARP 报文强制转发功能arp restricted-forwarding enable（缺省情况下，ARP 报文强制转发功能处于关闭状态，该命令在VLAN视图配置）第61页，此课件共64页哦H3C ARPH3C ARP防御方案防御方案配置配置ARP报文限速功能报文限速功能ARP 报文限速功能是指对上送CPU 的ARP 报文进行限速，可以防止大量ARP 报文对CPU 进行冲击。例如，在配置了ARP Detection 功能后，设备会将收到的ARP 报文

48、重定向到CPU 进行检查，这样引入了新的问题：如果攻击者恶意构造大量ARP 报文发往设备，会导致设备的CPU 负担过重，从而造成其他功能无法正常运行甚至设备瘫痪，这个时候可以启用ARP 报文限速功能来控制上送CPU 的ARP 报文的速率。推荐用户在配置了 ARP Detection、ARP Snooping、MFF，或者发现有ARP 泛洪攻击的情况下，使用ARP 报文限速功能。开启ARP报文限速Trap 功能snmp-agent trap enable arp rate-limit（缺省情况下，ARP 报文限速Trap 功能处于开启状态）配置ARP 报文限速功能arp rate-limit d

49、isable|rate pps drop（缺省情况下，ARP 报文限速功能处于关闭状态）第62页，此课件共64页哦H3C ARPH3C ARP防御方案防御方案配置配置ARP网关保护功能网关保护功能在设备上不与网关相连的端口上配置此功能，可以防止伪造网关攻击。在端口配置此功能后，当端口收到 ARP 报文时，将检查ARP 报文的源IP 地址是否和配置的被保护网关的IP 地址相同。如果相同，则认为此报文非法，将其丢弃；否则，认为此报文合法，继续进行后续处理。配置被保护的网关IP 地址arp filter source ip-address（缺省情况下，ARP 网关保护功能处于关闭状态，该命令在接口视图下配置）。第63页，此课件共64页哦第64页，此课件共64页哦

展开阅读全文