• CCSP--SECURE-2 局域网安全


    netyourlife.net

    DHCP Snooping

    DHCP的工作流程:

    1.主机向网络中发送广播包,用于确认是否存在DHCP服务器以及确认DHCP服务器的IP地址

    2.各DHCP服务器向该主机回应,回应包里包括分配的各种信息

    3.主机向中意的DHCP服务器发送request包

    4.中意的DHCP服务器接收request包并回复ACK或NAK包,不中意的DHCP服务器删除第二步分配的信息

    DHCP欺骗攻击的流程:

    1.干掉服务器,向真正的DHCP服务器发送大量的请求包,耗尽它的地址池--DHCP饥饿攻击(因为当一个网络中有多个DHCP服务器时,客户端认第一个回应的,饥饿攻击确保攻击成功)

    2.欺骗客户端,将其网关指向自己,跑软路由,实施中间人攻击

    3.实施数据侦听、篡改、会话劫持

    解决方案:

    DHCP Snooping

    1.开启DHCP Snooping后默认所有端口都是非信任端口,将连接DHCP服务器的端口设为信任端口。非信任端口不能接收DHCP的回应包

    2.控制DHCP单位时间内的申请数量,防止饥饿攻击

    f6475a7de1254a53b17672ae66a2739e

    配置:

    11913cb7fead45648952930f48da002a

    ip dhcp snooping limit rate 2    3750接口下配接收DHCP申请的最大速率

    show ip dhcp snooping

    show ip dhcp snooping binding

    在配置完DHCP snooping后,会强制在所有通过这台交换机发送的DHCP请求中插入一个82选项(中继代理选项--中继代理:跨VLAN申请DHCP的地址)。

    因为请求包中含有82选项,造成DHCP服务器不回应此请求包。(必须关掉)

    解决方案见 RSSEC.doc

    所有通过该交换机的DHCP申请记录都会记录在binding表里。

    ARP Control

    7183a288e03b4e66a728ecf6d72146d7

    解决方案:

    ARP Inspection

    1.开启ARP审查功能,通过对端口设定信任或非信任模式(默认非信任),丢弃非信任端口连接的设备发送的ARP数据包

    2.限制各个端口在单位时间内向外发送的ARP数据包数量

    ARP Inspection(ARP审查技术):防止ARP欺骗。分为DAI(动态ARP审查,需要DHCP环境,并且开启DHCP Snooping功能,因为要用到DHCP binding表)、SAI(静态ARP审查,可用在所有环境)。

    show ip arp inspection

    ARP审查只审查ARP过程

    ErrDisable    接口的逻辑down

    恢复必须得先shutdown,再no shutdown

    可以设定自动恢复(全局模式下):

    errdisable recovery cause ... interval ...

    SAI的部署:

    8d0dc1f244214e688576c269a7a0c27c

    1.手工写ARP审查表

    2.将写好的ARP审查表和指定VLAN绑定起来

    DAI利用DHCP binding表,所以不用手工创建ARP审查表。所以只要ip arp inspection vlan 10就行。

        接下来可以设置信任端口和各端口发送ARP数据包的数量/s

    手动写dhcp binding表,可以达到下列目的:

    一个端口下有多台主机,需要某些主机通过ARP审查或其它技术进行数据传输,某些则不需要。如果所有主机都配DHCP,则都过;如果都配静态,则都不过。

    IP Source Address Control

    9b8ae7498b28441aabe4b225d43c7d18

    IP Source Guard:若当前流量的接入端口 数据包的源IP地址和源MAC地址 跟DHCP Snooping binding表里一致的话,则转发,不一致则丢弃。

    DHCP Snooping审查的是DHCP数据包,ARP Inspection审查的是ARP数据包,IP Source Address Control审查的是真正的用户数据包

    源IP地址过滤:根据IP地址对IP流量执行过滤,只有当源IP地址与IP源绑定条目匹配,IP流量才准许通过。

    show ip verify source

    这个表的生成完全是依托DHCP Snooping binding表

    在DHCP Snooping的保护下,DHCP服务器能跟所有设备通信,顺利通过DHCP地址请求过程的设备也能跟其它设备通信,但是不是通过DHCP服务器申请的地址的设备无法与其它设备通信。

    不但继承DHCP Snooping binding表,还继承DHCP Snooping的信任关系。信任的端口下的设备可以跟其它设备做通信。

    一个端口下可以绑定多个主机,所以不一定要在接入端口部署此策略。

    其原理是每当DHCP为用户分配一条表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。这样用户自己配IP地址流量就不能通过此交换机了。

    PC没有发送DHCP请求时,其连接的交换机端口默认拒绝除了DHCP请求之外的所以数据包。

    在IP+MAC模式下,端口安全的违规处理功能将被关上。对于非法的二层报文,都将只是被基本的丢弃。要防止ARP攻击,必须用DAI来处理。

    配置见 RSSEC.doc

    除了配置以上3种技术,还得配置port-security。port-security提供接入控制,可防止MAC flood。

    STP 防护

    把一个port设置了portfast,就是让那个port不再使用STP的算法。

    portfast 的配置(接口模式):

    spanning-tree portfast

    BPDU guard的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态。被网络设计者用来加强STP域边界。

    BPDU guard的配置:

    spanning-tree portfast bpduguard default    全局模式下配置,在启用了portfast特性的端口上启用BPDUguard

    spanning-tree bpduguard enable    接口模式下配置,在没启用portfast特性的情况下启用BPDUguard

    ROOT guard:防止新加入的交换机(有更低根网桥ID)影响一个已经稳定了(已经存在根网桥)的交换网络,阻止未经授权的交换机成为根网桥。

    工作原理:当一个端口启动了此特性,当它收到了一个比根网桥优先值更优的BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。

    ROOT guard在DP(designated port)指定端口上做,该端口就不会改变了,只会是DP了,这样可以防止新加入的交换机成为root,该端口就变成了永久的DP了。若新加入的交换机想成为root,则它的端口不能工作,直到这个新交换机委曲求全做RP为止。  show spanning-tree inconsistentport

    ROOT guard 的配置(接口模式):

    spanning-tree rootguard    (3750:spanning-tree guard root)

    必须在所有永远不成为根交换机上的所有接口上配置该特性。

    eba8272273fa477195274bd8cdc8cef6

    BPDU Guard部署在交换机的各下连主机的端口,root guard部署在下连永远不会成为根交换机的端口。

    RSSEC.doc:

    http://download.csdn.net/detail/lbt52pk/7922297

  • 相关阅读:
    【BZOJ 2120】 数颜色
    【BZOJ 1878】 HH的项链
    【BZOJ 2038】小Z的袜子
    【BZOJ 2724】 蒲公英
    【POJ 2482】 Stars in Your Windows
    【POJ 2182】Lost Cows
    __align(num) 分析
    C# 获取图片某像素点RGB565值
    基于OpenCV的火焰检测(三)——HSI颜色判据
    基于OpenCV的火焰检测(一)——图像预处理
  • 原文地址:https://www.cnblogs.com/btlulu/p/3973938.html
Copyright © 2020-2023  润新知