|
安全特性 一. DHCP Snooping:[Huawei]dhcp snooping enable 开启DHCP-snooping功能 [Huawei-Vlanif1]vlan 1 [Huawei-vlan1]dhcp snooping enable--------在vlan1开启dhcp-snooping [Huawei-vlan1]inter g0/0/3 [Huawei-GigabitEthernet0/0/3]dhcp snooping trusted----将G0/0/3设置为信任端口(默认为untrust端口) 1.DHCP Snooping功能:DHCP有两个功能: ① 信任功能 ② 监听功能 (1)信任功能:管理员在部署网络时,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。 (2)监听功能:听过监听DHCP Server的DHCP ACK报文,生成DHCP Snooping五元组表项: 用来防范针对DHCP的一些攻击 2. 防范攻击:开启DHCP Snooping之后,可以防范以下攻击: ① 防止仿冒DHCP Server攻击 ② 防止非DHCP用户攻击 ③ 防止DHCP报文泛洪攻击 ④ 防止仿冒DHCP报文攻击 ⑤ 防止DHCP Server拒绝服务攻击 (1)防止仿冒DHCP Server攻击:由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。 针对这种攻击,在配置DHCP Snooping功能之后,管理员手工将连接DHCP Server的接口设置为Trust端口,实现IP的正常下发。而后续接入的攻击者仿冒的DHCP Server默认接口类型为Untrust,从Untrust接收到的DHCP Server应答报文,交换机不会将其转发,而直接丢弃。防止仿冒DHCP Server攻击。 注:Untrust端口只拦截DHCP Server的应答报文(Offer、ACK、NAK),不会阻拦Client的请求报文(Discovery、Request) Untrust接口只能拦截虚假DHCP Server的报文,但不能够定位DHCP Server仿冒者的位置, 使得网络中仍然存在着安全隐患。 通过配置DHCP Server探测功能,DHCP Snooping设备将会检查并在日志中记录所有DHCP 回应报文中携带的DHCP Server地址与接口等信息,此后网络管理员可根据日志来判定网络 中是否存在伪DHCP Server进而对网络进行维护。 [Huawei]dhcp server detect------使能DHCP Server探测 (2)防止非DHCP用户攻击:非DHCP用户可以静态配置IP地址,如果此地址和当前网络中的DHCP Server或Client地址冲突,则会刷新当前交换机的表项,存在危险性,所以可以在可能存在非法用户接入的接口下执行命令关闭该接口动态学习MAC表项的能力,并使设备可以根据DHCP Snooping绑定表、ND Snooping绑定表将从该接口动态学习到的Dynamic类型MAC表项转换成Snooping类型MAC表项(也是一种静态MAC表项)或者根据静态绑定表直接生成Snooping类型MAC表项。之后,该接口收到的IP报文,只有在报文源MAC地址与静态MAC表项(包括Static类型、Snooping类型等)相匹配的情况下才能够通过该接口,否则报文会被丢弃,这样可以有效防止非法MAC地址用户的攻击。 [Huawei]port-group group-member g0/0/1 to g0/0/24 [Huawei-port-group]user-bind ip sticky-mac [Huawei-port-group]mac-address learning disable----关闭所有接口动态学习MAC表项功能 注:如果存在静态IP的合法用户,使用静态DHCP SNooping命令或静态MAC表项配置配置静态绑定表项: [Huawei]user-bind static ip-address 192.168.1.10 interface g0/0/2 vlan 1 [Huawei]mac-address static 1111-1111-1111 g0/0/1 vlan 1 (3)防止DHCP报文泛洪攻击:在DHCP网络环境中,若存在DHCP用户短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。 [Huawei-vlan1]dhcp snooping check dhcp-rate enable---------使能对DHCP报文上送DHCP报文 处理单元的速率进行检测功能 [Huawei-vlan1]dhcp snooping check dhcp-rate 100--------配置速率大小(PPS) 注:速率上限限制可以在全局、VLAN下、接口下分别配置 [Huawei]dhcp snooping alarm dhcp-rate enable—开启告警信息(只能配置在全局和接口下) (4)防止仿冒DHCP报文攻击:在DHCP网络环境中: Ø 若攻击者仿冒合法用户的DHCP Request报文发往DHCP Server,将会导致用户的IP地址租约到期之后不能够及时释放,以致合法用户无法使用该IP地址 Ø 若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。 在生成DHCP Snooping绑定表后,设备可根据绑定表项,对DHCP Request报文或DHCP Release报文进行匹配检查,只有匹配成功的报文设备才将其转发,否则将丢弃。这将能有效的防止非法用户通过发送伪造DHCP Request或DHCP Release报文冒充合法用户续租或释放IP地址。 注:默认只匹配单播Request报文(续租)和Release报文,不会匹配广播Request报文,因为广播的Request报文用于第一次IP地址分配的请求信息,此时交换机还没有生成此分配IP地址的DHCP Snooping表项,如果广播Request也进行匹配的话不会找到此DHCP Snooping表项,则认为此为DHCP攻击报文,所以在开启防止仿冒DHCP报文攻击功能后,值检测单播Request报文和Release报文 [Huawei]dhcp snooping check dhcp-request enable vlan 1---对当前Vlan1的所有报文进行DHCP Snooping表项的匹配 注:可以在全局下、VLAN下、接口下分别配置 [Huawei-GigabitEthernet0/0/1]dhcp snooping alarm dhcp-request enable---开启告警信息(只能在接口下配置) (5)防止DHCP Server拒绝服务攻击:若在网络中存在DHCP用户恶意申请IP地址,将会导致IP地址池中的IP地址快速耗尽以致DHCP Server无法为其他合法用户分配IP地址。另一方面,DHCP Server通常仅根据CHADDR(client hardware address)字段来确认客户端的MAC地址。如果攻击者通过不断改变DHCP Request报文中的CHADDR字段向DHCP Server申请IP地址,将会导致DHCP Server上的地址池被耗尽,从而无法为其他正常用户提供IP地址。 为了防止某些端口的DHCP用户恶意申请IP地址,可配置接口允许学习的DHCP Snooping绑定表项的最大个数来控制上线用户的个数,当用户数达到该值时,则任何用户将无法通过此接口成功申请到IP地址。为了防止攻击者不断改变DHCP Request报文中的CHADDR字段进行攻击,可使能检测DHCP Request报文帧头MAC地址与DHCP数据区中CHADDR字段是否相同的功能,相同则转发报文,否则丢弃。 ① 针对攻击者发送大量的虚假DHCP Discovery报文请求IP地址,在交换机上开启检查CHADDR字段和源MAC是否相同,不相同则为拒绝服务攻击报文,直接丢弃 [Huawei]dhcp snooping check dhcp-chaddr enable vlan 1 注:可配置在全局、接口、VLAN下 ② 如果攻击者发送的虚假DHCP Discovery报文源MAC和CHADDR相同,则无法检测出是否为攻击报文,可以在接入层交换机配置最大申请的IP地址数量(可为1) [Huawei]dhcp snooping max-user-number 1 注:可配置在全局、接口、VLAN下 3. 联动功能:(1)联动ARP:DHCP Snooping设备在收到DHCP用户发出的DHCP Release报文时将会删除该用户对应的绑定表项,但若用户发生了异常下线而无法发出DHCP Release报文时,DHCP Snooping设备将不能够及时的删除该DHCP用户对应的绑定表。 使能ARP与DHCP Snooping的联动功能,如果DHCP Snooping表项中的IP地址对应的ARP表项达到老化时间,则DHCP Snooping设备会对该IP地址进行ARP探测,如果在规定的探测次数内探测不到用户,设备将删除用户对应的ARP表项。之后,设备将会再次按规定的探测次数对该IP地址进行ARP探测,如果最后仍不能够探测到用户,则设备将会删除该用户对应的绑定表项。 注:只有设备作为DHCP Relay时,才支持ARP与DHCP Snooping的联动功能 [Huawei]arp dhcp-snooping-detect enable (2)联动IPSG:IP源防攻击IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。所以可以联动IPSG(IP Source Grade)生成MAC转发表项,对当前网络中的报文进行检测,不符合DHCP Snooping表项的数据包会被丢弃。 [Huawei]vlan 1 [Huawei-vlan1]ip source check user-bind enable------------使能IP报文检查功能 注:如果存在静态IP的合法用户,使用静态DHCP SNooping命令配置静态绑定表项: [Huawei]user-bind static ip-address 192.168.1.10 interface g0/0/2 vlan 1 二. ARP安全:ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。 1. ARP攻击:ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。在网络中,常见的ARP攻击方式主要包括: (1)ARP泛洪攻击:也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景: ① 设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。 ② 攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。 (2)ARP欺骗攻击:是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项, 造成用户或网络的报文通信异常。 2. ARP攻击危害:ARP攻击行为存在以下危害: ① 会造成网络连接不稳定,引发用户通信中断,导致严重的经济损失。 ② 利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。 3. ARP安全手段:(1)针对ARP泛洪攻击解决方案:① ARP报文限速: 如果设备对收到的大量ARP报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。因此,在处理之前,设备需要对ARP报文进行限速,以保护CPU资源。 设备提供了如下几类针对ARP报文的限速功能: a) 根据源MAC地址或源IP地址进行ARP报文限速 b) 针对全局、VLAN和接口的ARP报文限速 a) 根据源MAC地址或源IP地址进行ARP报文限速: 当设备检测到某一个用户在短时间内发送大量的ARP报文,可以针对该用户配置基于源MAC地址或源IP地址的ARP报文限速。在1秒时间内,如果该用户的ARP报文数目超过设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文。 Ø 根据源MAC地址进行ARP报文限速: 如果指定MAC地址,则针对指定源MAC地址的ARP报文根据限速值进行限速;如果不指定MAC地址,则针对每一个源MAC地址的ARP报文根据限速值进行限速。 Ø 根据源IP地址进行ARP报文限速: 如果指定IP地址,则针对指定源IP地址的ARP报文根据限速值进行限速;如果不指定IP地址,则针对每一个源IP地址的ARP报文根据限速值进行限速。 b) 针对全局、VLAN和接口的ARP报文限速: 设备支持在全局、VLAN和接口下配置ARP报文的限速值和限速时间,当同时在全局、VLAN和接口下配置ARP报文的限速值和限速时间时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。 另外,在接口下还可以指定阻塞ARP报文的时间段。如果设备的某个接口在ARP报文限速时间内接收到的ARP报文数目超过了设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文,并在接下来的一段时间内(即阻塞ARP报文时间段)持续丢弃该接口下收到的所有ARP报文。 Ø 针对全局的ARP报文限速:在设备出现ARP攻击时,限制全局处理的ARP报文数量。 Ø 针对VLAN的ARP报文限速:在某个VLAN内的所有接口出现ARP攻击时,限制处理收到的该VLAN内的ARP报文数量,配置本功能可以保证不影响其他VLAN内所有接口的ARP学习。 Ø 针对接口的ARP报文限速:在某个接口出现ARP攻击时,限制处理该接口收到的ARP报文数量,配置本功能可以保证不影响其他接口的ARP学习。 ② ARP Miss消息限速:如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文(即ARP Miss报文)会被上送到CPU进行处理,设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文,这样就增加了设备CPU的负担,同时严重消耗目的网络的带宽资源。 为了避免这种IP报文攻击所带来的危害,设备提供了如下几类针对ARP Miss消息的限速功能: a) 根据源IP地址进行ARP Miss消息限速 b) 针对全局、VLAN和接口的ARP Miss消息限速 c) 通过设定临时ARP表项的老化时间控制ARP Miss消息的触发频率 a) 根据源IP地址进行ARP Miss消息限速: 当设备检测到某一源IP地址的IP报文在1秒内触发的ARP Miss消息数量超过了ARP Miss消息限速值,就认为此源IP地址存在攻击。 此时如果设备对ARP Miss报文的处理方式是block方式,设备会丢弃超出限速值部分的ARP Miss消息,即丢弃触发这些ARP Miss消息的ARP Miss报文,并下发一条ACL来丢弃该源IP地址的后续所有ARP Miss报文;如果是none-block方式,设备只会通过软件限速的方式丢弃超出限速值部分的ARP Miss消息,即丢弃触发这些ARP Miss消息的ARP Miss报文。 如果指定了IP地址,则针对指定源IP址的ARP Miss消息根据限速值进行限速;如果不指定IP地址,则针对每一个IP地址的ARP Miss消息根据限速值进行限速。 b) 针对全局、VLAN和接口的ARP Miss消息限速 设备支持在全局、VLAN和接口下配置ARP Miss消息限速,有效顺序为接口优先,VLAN其次,最后为全局。 Ø 针对全局的ARP Miss消息限速:在设备出现目标IP地址不能解析的IP报文攻击时,限制全局处理的ARP Miss消息数量。 Ø 针对VLAN的ARP Miss消息限速:在某个VLAN内的所有接口出现目标IP地址不能解析的IP报文攻击时,限制处理该VLAN内报文触发的ARP Miss消息数量,配置本功能可以保证不影响其他VLAN内所有接口的IP报文转发。 Ø 针对接口的ARP Miss消息限速:在某个接口出现目标IP地址不能解析的IP报文攻击时,限制处理该接口收到的报文触发的ARP Miss消息数量,配置本功能可以保证不影响其他接口的IP报文转发。 c) 通过设定临时ARP表项的老化时间控制ARP Miss消息的触发频率 当IP报文触发ARP Miss消息时,设备会根据ARP Miss消息生成临时ARP表项,并且向目的网段发送ARP请求报文。 Ø 在临时ARP表项老化时间范围内: i. 设备收到ARP应答报文前,匹配临时ARP表项的IP报文将被丢弃并且不会触发ARP Miss消息。 ii. 设备收到ARP应答报文后,则生成正确的ARP表项来替换临时ARP表项。 Ø 当老化时间超时后,设备会清除临时ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项,则会重新触发ARP Miss消息并生成临时ARP表项,如此循环重复。 Ø 当判断设备受到攻击时,可以增大临时ARP表项的老化时间,减小设备ARP Miss消息的触发频率,从而减小攻击对设备的影响。 ③ ARP表项严格学习:如果大量用户在同一时间段内向设备发送大量ARP报文,或者攻击者伪造正常用户的ARP报文发送给设备,则会造成下面的危害: a) 设备因处理大量ARP报文而导致CPU负荷过重,同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目,进而导致用户无法正常通信。 b) 伪造的ARP报文将错误地更新设备的ARP表项,导致用户无法正常通信。 为避免上述危害,可以在网关设备上部署ARP表项严格学习功能。ARP表项严格学习是指只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。 通常情况下,当UserA向Gateway发送ARP请求报文后,Gateway会向UserA回应ARP应答报文,并且添加或更新UserA对应的ARP表项。当Gateway配置ARP表项严格学习功能以后: a) 对于Gateway收到UserA发送来的ARP请求报文,Gateway不添加也不更新UserA对应的ARP表项。如果该请求报文请求的是Gateway的MAC地址,那么Gateway会向UserA回应ARP应答报文。 b) 如果Gateway向UserB发送ARP请求报文,待收到与该请求对应的ARP应答报文后,Gateway会添加或更新UserB对应的ARP表项。 ④ ARP表项限制:ARP表项限制功能应用在网关设备上,可以限制设备的某个接口学习动态ARP表项的数目。默认状态下,接口可以学习的动态ARP表项数目规格与全局的ARP表项规格保持一致。当部署完ARP表项限制功能后,如果指定接口下的动态ARP表项达到了允许学习的最大数目,将不再允许该接口继续学习动态ARP表项,以保证当一个接口所接入的某一用户主机发起ARP攻击时不会导致整个设备的ARP表资源都被耗尽。 ⑤ 禁止接口学习ARP表项:当某接口下学习了大量动态ARP表项时,出于安全考虑可以配置禁止该接口的动态ARP表项学习功能,以防止该接口下所接入的用户主机发起ARP攻击使整个设备的ARP表资源都被耗尽。 禁止接口学习ARP表项功能和ARP表项严格学习功能配合起来使用,可以使设备对接口下动态ARP的学习进行更加细致的控制。 (2)针对ARP欺骗攻击解决方案:① ARP表项固化:如图1所示,Attacker仿冒UserA向Gateway发送伪造的ARP报文,导致Gateway的ARP表中记录了错误的UserA地址映射关系,造成UserA接收不到正常的数据报文。 为了防御这种欺骗网关攻击,可以在网关设备上部署ARP表项固化功能。网关设备在第一次学习到ARP以后,不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息,或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。 设备提供的三种ARP表项固化模式: a) fixed-all模式: 如果设备收到的ARP报文中的MAC地址、接口或VLAN信息和ARP表中的信息不匹配,则直接丢弃该ARP报文。此模式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。 b) fixed-mac模式: 如果设备收到的ARP报文中的MAC地址与ARP表中对应条目的MAC地址不匹配,则直接丢弃该ARP报文;如果匹配,但是收到报文的接口或VLAN信息与ARP表中对应条目不匹配,则可以更新对应ARP条目中的接口和VLAN信息。此模式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。 c) send-ack模式: 如果设备收到的ARP报文A涉及ARP表项MAC地址、接口或VLAN信息的修改,设备不会立即更新ARP表项,而是先向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文进行确认。 Ø 如果在随后的3秒内设备收到ARP应答报文B,且当前ARP条目中的IP地址、MAC地址、接口和VLAN信息与ARP应答报文B的一致,则认为ARP报文A为攻击报文,不更新该ARP条目。 Ø 如果在随后的3秒内设备未收到ARP应答报文,或者收到ARP应答报文B与当前ARP条目中的IP地址、MAC地址、接口和VLAN信息不一致,设备会再向刚才收到的ARP报文A对应的源MAC发送一个单播ARP请求报文。 i. 如果在随后的3秒内收到ARP应答报文C,且ARP报文A与ARP应答报文C的源IP地址、源MAC地址、接口和VLAN信息一致,则认为现有ARP条目已经无效且ARP报文A是可以更新该ARP条目的合法报文,并根据ARP报文A来更新该ARP条目。 ii. 如果在随后的3秒内未收到ARP应答报文,或者ARP报文A与收到的ARP应答报文C的源IP地址、源MAC地址、接口和VLAN信息不一致,则认为ARP报文A为攻击报文,设备会忽略收到的ARP报文A,ARP条目不会更新。 此模式适用于用户的MAC地址和接入位置均频繁变动的场景。 ② 动态ARP检测:网络中针对ARP的攻击层出不穷,中间人攻击是常见的ARP欺骗攻击方式之一。 如图1所示,是中间人攻击的一个场景。攻击者主动向UserA发送伪造UserB的ARP报文,导致UserA的ARP表中记录了错误的UserB地址映射关系,攻击者可以轻易获取到UserA原本要发往UserB的数据;同样,攻击者也可以轻易获取到UserB原本要发往UserA的数据。这样,UserA与UserB间的信息安全无法得到保障。 为了防御中间人攻击,可以在Switch上部署动态ARP检测DAI(Dynamic ARP Inspection)功能。 动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。 注:动态ARP检测功能仅适用于DHCP Snooping场景。设备使能DHCP Snooping功能后,当DHCP用户上线时,设备会自动生成DHCP Snooping绑定表;对于静态配置IP地址的用户,设备不会生成DHCP Snooping绑定表,所以需要手动添加静态绑定表。 当Switch上部署动态ARP检测功能后,如果攻击者连接到Switch并试图发送伪造的ARP报文,Switch会根据绑定表检测到这种攻击行为,对该ARP报文进行丢弃处理。如果Switch上同时使能了动态ARP检测丢弃报文告警功能,则当ARP报文因不匹配绑定表而被丢弃的数量超过了告警阈值时,Switch会发出告警通知管理员。 ③ ARP防网关冲突:如图1所示,用户主机直接接入网关,Attacker将伪造网关的ARP报文发送给UserA和UserB,使UserA和UserB误以为攻击者即为网关。UserA和UserB的ARP表中会记录错误的网关地址映射关系,这样就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到UserA和UserB发送的数据内容。 为了防范攻击者仿冒网关,可以在网关设备上使能ARP防网关冲突功能。当设备收到的ARP报文存在下列情况之一: a) ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同 b) ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRP虚MAC 注:一个VRRP备份组,被当作一个共享局域网内主机的缺省网关,即虚拟交换机。一个虚拟交换机拥有一个VRRP虚MAC,VRRP虚MAC根据虚拟交换机ID生成,格式为:00-00-5E-00-01-{VRID}(VRRP)。当虚拟交换机回应ARP请求时,使用的是VRRP虚MAC地址,而不是接口的真实MAC地址。 设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在 后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样可以防止 与网关地址冲突的ARP报文在VLAN内广播。此时,还可以在设备上使能发送免费ARP报文 功能,通过广播发送正确的免费ARP报文到所有用户,迅速将已经被攻击的用户记录的错 误网关地址映射关系修改正确。 ④ 发送免费ARP报文:如图1所示,Attacker仿冒网关向UserA发送了伪造的ARP报文,导致UserA的ARP表中记录了错误的网关地址映射关系,从而正常的数据不能被网关接收。 为了避免上述危害,可以在网关设备上部署发送免费ARP报文功能,定期更新用户的ARP表项,使得用户ARP表项中记录的是正确的网关MAC地址。 ⑤ ARP报文内MAC地址一致性检查:ARP报文内MAC地址一致性检查功能主要应用于网关设备上,可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同的ARP攻击。 部署本功能后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。 ⑥ ARP报文合法性检查:ARP报文合法性检查功能可以部署在接入设备或网关设备上,用来对MAC地址和IP地址不合法的报文进行过滤。设备支持以下三种可以任意组合的检查。 a) 源MAC地址检查: 设备会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致,一致则认为合法,否则丢弃报文; b) 目的MAC地址检查: 设备会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致,一致则认为合法,否则丢弃报文; c) IP地址检查: 设备会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。 ⑦ DHCP触发ARP学习:在DHCP用户场景下,当DHCP用户数目很多时,设备进行大规模ARP表项的学习和老化会对设备性能和网络环境形成冲击。 为了避免此问题, 可以在网关设备上部署DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址,网关设备会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。该功能生效的前提是使能DHCP Snooping功能。 网关设备上还可同时部署动态ARP检测功能,防止DHCP用户的ARP表项被伪造的ARP报文恶意修改。 三. AAA:1. 接入问题:(1)传统接入问题:① 传统接入问题:在用户接入网络的时候,运营商就不得不面临以下的问题。 a) 如何确定用户是否有权限进入网络。运营商需要防止非法用户访问网络,以保 护自身和合法用户的权益。 b) 如何确定用户使用服务的范围。 c) 如何对上线的用户进行准确的计费。 ② 传统接入解决方案:可以使用AAA 解决以上问题。AAA 提供对用户进行认证、授权和计费三种安全功 能,能够比较全面的处理上述问题。如图1-1 所示。 (2)多用户接入问题:① 多用户接入问题:大量用户接入网络时,如果由路由器负责对其进行处理的话,首先,路由器需要维 护一个比较大的数据库。其次,路由器需要对接入的用户进行控制,防止非法访 问。显然,对大量不同类型的用户进行实时控制,会让路由器消耗大量的资源。 如果多用户接入的业务完全由路由器来承担的话,路由器上的负担就会过重,甚至 影响其它业务的正常运行。 ② 多用户接入解决方案:对用户采用域管理,所有用户都属于某个域。一个域中的所有用户都具有类似的属 性。采用RADIUS/TACACS 服务器对域下的用户进行认证、授权和计费,而不使 用路由器对用户的上下线进行管理。如图1-2 所示。 ③ AAA针对多用户接入的优点:a) 路由器上的压力减轻,不需要建立一个较大的数据库,更加专注于报文的转发。 b) 支持的用户数量较多,同时用户的请求能够得到实时的响应。 c) 用户的安全性得到了较大的保障。 2. AAA框架:AAA 是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称。 它提供对用户进行认证、授权和计费三种安全功能 AAA 通常采用“客户端—服务器”结构。这种结构既具有良好的可扩展性,又便于用 户信息的集中管理。如图1-3 所示。 (1)认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。 AAA 支持以下认证方式: ① 不认证:对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。 ② 本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在网络接入服务器上。本地认证的优点是速度快,可以为运营降低成本;缺点是存储信息量受设备硬件条件限制。 ③ 远端认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。支持通过RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS (HuaWei Terminal Access Controller Access Control System)协议进行远端认证,由网络接入服务器NAS(Network Access Server)做为客户端,与RADIUS 服务器或TACACS 服务器通信。对于RADIUS 协议,可以采用标准RADIUS 协议或华为公司的扩展RADIUS 协议,与iTELLIN/CAMS(Comprehensive Access Management Server)等设备配合完成认证。 (2)授权(Authorization):① 不授权:不对用户进行授权处理。 ② 直接授权:对用户非常信任,直接授权通过。 ③ 本地授权:根据网络接入服务器上为本地用户帐号配置的相关属性进行授权。 ④ HWTACACS 授权:由TACACS 服务器对用户进行授权。 ⑤ if-authenticated 授权:如果用户通过了认证,而且使用的认证模式不是不认证,则用户授权通过。 ⑥ RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能单独使用RADIUS 进行授权。 (3)计费(Accounting):记录用户使用网络资源的情况。 ① 不计费:不对用户计费。 ② 本地计费:本地计费主要实现对用户话单的备份和管理,是对远端计费的一种保护 性措施,也可以代替远端服务器在本地实现对用户的计费功能。 ③ 远端计费:支持通过RADIUS 服务器或TACACS 服务器进行远端计费。 ④ 本地和远端同时计费:支持同时向本地和RADIUS 服务器发送计费报文,或同时向 本地和TACACS 服务器发送计费报文。采用本地和远端同时计费可以提高计费的 可靠性。 3. RADIUS:(1)RADIUS:① 描述:AAA 可以用多种协议来实现,最常用的是RADIUS 协议。RADIUS 最初用来管理使用 串口和调制解调器的大量分散用户,后来广泛应用于网络接入服务器NAS(Network Access Server)系统。 当用户想要通过某个网络(如电话网络)与NAS 建立连接从而取得访问其他网络的权 利或取得使用某些网络资源的权利时,NAS 起到了认证用户或对应连接的作用。 NAS 负责把用户的认证、授权和计费信息传递给RADIUS 服务器。RADIUS 协议规定 了NAS 与RADIUS 服务器之间如何传递用户信息和计费信息。RADIUS 服务器负责接 收用户的连接请求,完成认证,并把用户所需的配置信息返回给NAS。 NAS 和RADIUS 之间的验证信息的传递是通过密钥的参与来完成的,以避免用户的密 码在不安全的网络上传输时被窃取。 a) 用户登录路由器或接入服务器等网络设备时,会将用户名和密码发送给该网络设备 b) 该网络设备中的RADIUS 客户端(路由器或接入服务器)接收用户名和密码,并向RADIUS 服务器发送认证请求 c) RADIUS 服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给客户端。 注:客户端和RADIUS 服务器之间的用户密码信息经过加密以后才在网络上传递,以避免用 户密码在不安全的网络上被窃取。 ② 特性:a) RADIUS 使用UDP(User Datagram Protocol)作为传输协议,具有良好的实时性;同时 也支持重传机制和备用服务器机制,从而具有较好的可靠性。 RADIUS 的实现比较简单,适用于大用户量时服务器端的多线程结构。 网络接入服务器作为RADIUS 协议的客户端,实现以下功能: Ø 标准RADIUS 协议及扩充属性,包括RFC2865、RFC2866。 Ø 华为扩展的RADIUS+1.1 协议。 Ø 对RADIUS 服务器状态的主动探测功能:收到AAA 的认证或计费消息后,如果当前服务器的状态为DOWN,启动服务器探测处理,将消息转换为报文后向当前服务器发送,该报文作为服务器的探测报文,如果收到RADIUS 服务器的回应,则认 为该服务器重新可用。 Ø 计费结束报文的本地缓存重传功能:计费结束报文在重传发送失败次数超过配置次 数后,将计费结束报文保存到计费结束报文缓存队列;系统定时器周期扫描该队列,如果存在计费结束缓存报文,则取出报文内容,向指定的服务器发送并启动定时器等待,如果发送失败或在超时时间内没有收到服务器回应,则重新入缓存队列。 Ø RADIUS 服务器的自动切换功能:如果当前发送的服务器的状态为不可发送,或者发送次数超过当前服务器的最大重传次数,则需要在配置的服务器组中选择另外的 服务器发送报文。
4. 基于域的用户管理:(1)概述:在目前AAA 的实现中,所有用户都属于某个域。用户属于哪个域是由用户名中带的“@”后的字符串来决定的,比如“user@hua”,就属于“hua”域;如果用户名中没有带“@”,就属于系统缺省的default 域。除了系统缺省的default 域外,AAA 允许用户最多创建254 个域。 (2)路由器对接入用户的管理:路由器通过域来进行用户管理,域下可以进行缺省授权配置、RADIUS/HWTACACS 模板配置、认证和计费方案的配置等。 所有对于接入用户的认证、授权、计费都是在域视图下应用认证方案、授权方案、计费方案来实现的,在AAA 视图下分别预先配置相应的认证模式、授权模式、计费模式。 AAA 有缺省的认证方案、授权方案、计费方案,分别采用本地认证、本地授权、不计费。如果新创建一个域,没有在域下应用认证方案、授权方案、计费方案,那么AAA对该域将采用缺省的认证方案、授权方案和计费方案。此外,如果要对用户采用RADIUS/HWTACACS 方案,必须预先在系统视图下配置RADIUS/HWTACACS 服务器模板,然后在用户所属域的视图下应用该服务器模板。 当域和域下的用户同时配置了某一属性时,基于用户的配置优先级高于域的配置优先级。域下配置的授权信息较AAA 服务器的授权信息优先级低,即,优先使用AAA 服务器下发的授权属性,在AAA 服务器无该项授权或不支持该项授权时,域的授权属性生效。这样处理的优点是:可以凭借域管理灵活增加业务,而不必受限于AAA 服务器提供的属性。 (3)AAA 对PPP 用户的地址分配原则:采用PPP 方式接入的用户,可以利用PPP 地址协商功能从网络接入服务器获得本端接 口的IP 地址。在网络接入服务器上,AAA 对PPP 用户的地址分配原则如下: ① 对于不认证的用户:a) 如果接口下配置为对端分配IP 地址,直接把该地址分配给对端。 b) 如果接口下配置从地址池中为对端分配地址,则从指定的全局地址池中为对端分配地址。 ② 对于认证通过的default 域用户:注:包括两种:不加@的,如“aaa”;用户名后加@default,如“aaa@default” a) 如果服务器下发了IP 地址,则直接把该地址分配给对端。 b) 如果服务器下发了地址池号,则用该地址池号通过域地址池或者全局地址池给对端分配地址。 c) 在服务器既没有下发IP 地址,也没有下发地址池号的情况下,如果接口下配置了给对端的IP 地址,直接把该地址分配给对端。如果接口下配置了从地址池中为对端分配地址,则从指定的全局地址池中为对端分配地址。 ③ 对于认证通过的普通域用户:a) 如果服务器下发了IP 地址,直接把该地址分配给对端。 b) 如果服务器下发了地址池号,则用该地址池号通过域地址池给对端分配地址。 c) 在服务器既没有下发IP 地址,也没有下发地址池号的情况下,从域下的第一个地址池开始遍历分配。 注:以上从地址池中分配地址的情况,全局地址池和域地址池都只遍历一遍。当指定的全局 地址池或域地址池分配完后,直接返回无效地址0,不去全局地址池遍历查找可用地址。 在配置地址池的时候,A 类地址中的XXX.255.255.255 和XXX.0.0.0,B 类地址中的XXX.XXX.255.255 和XXX.XXX.0.0,C 类地址中的XXX.XXX.XXX.255 和XXX.XXX.XXX.0 都不能够作为合法的地址池起始、结束地址。如果地址池里面含有这些地址,这些地址也不会被分配。 注:IP 地址协商的配置需要在客户端与服务器端分别进行。 (4)AAA 及用户管理的应用:① 使用RADIUS 对接入用户进行管理:使用RADIUS 对接入用户进行管理,如图1-9 所示。用户A、B、C 都属于某个域下的 用户,通过路由器接入Internet。路由器根据用户所属的域,选择具体的RADIUS 服务 器对其进行认证,如果认证通过,用户就可以访问Internet。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-10-22 04:18
