收藏
下载资源 加入VIP免费专享

低端交换机安全技术原理以及配置.ppt

上传人:文库蛋蛋多 文档编号:2907329 上传时间:2023-03-02 格式:PPT 页数:64 大小:2.17MB
返回 下载 相关 举报
低端交换机安全技术原理以及配置.ppt_第1页
第1页 / 共64页
低端交换机安全技术原理以及配置.ppt_第2页
第2页 / 共64页
低端交换机安全技术原理以及配置.ppt_第3页
第3页 / 共64页
低端交换机安全技术原理以及配置.ppt_第4页
第4页 / 共64页
低端交换机安全技术原理以及配置.ppt_第5页
第5页 / 共64页
点击查看更多>>
资源描述

《低端交换机安全技术原理以及配置.ppt》由会员分享,可在线阅读,更多相关《低端交换机安全技术原理以及配置.ppt(64页珍藏版)》请在三一办公上搜索。

1、交换机端口安全技术,日期:,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,第一节 802.1X认证基本原理及配置第二节 MAC地址认证基本原理及配置第三节 端口隔离技术及配置第四节 端口绑定技术及配置第五节 ARP防攻击相关技术及配置,目录,802.1x协议起源,802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的全称是基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,它通过控制端口访问节点来提供无线局域网用户接入认证和安全性,随着局域网宽带接入的不断普及,局域网接入用户需要进行认证的要求越发迫切,802.1x现在已经开始被

2、应用于一般的有线LAN的接入。,802.1x协议简介,802.1x协议首先是一个认证协议,是一种对用户进行认证的方法和策略802.1x协议是IEEE为了解决基于端口的接入控制而定义的一个标准802.1x的认证的最终目的就是确定一个端口是否可用,对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。,802.1x协议简介,802.1x认证系统组成,802.1x体系结构,Supplicant System,

3、Authenticator System,Authentication Server System,PAE:认证机制中负责处理算法和协议的实体。EAP:Extensible Authentication Protocol,802.1x体系结构,受控端口,设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口非受控端口:始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。受控端口:在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。,802.1x体系结构,端口受控方向,我司产品在实现时,对端口在

4、非授权状态下,实行入方向单向受控,即禁止从客户端接收帧,但允许向客户端发送帧。因此常常会发现,端口由授权状态转变成非授权状态后,用户主机的IPTV客户端仍然可以持续播放视频几分钟,就是这个原因。但由于收不到用户主机发来的组播组成员报告,随着组播组的老化被删除,最终IPTV被中断,双向受控,单向受控,双向受控对受控端口的输入流和输出流都进行控制,在端口未授权前两个方向的流量都不能通过受控端口,802.1x的工作方式,客户端和设备端通过EAPOL帧来交互消息设备端和认证服务器端可以通过EAP中继方式或EAP终结方式交互信息设备端和认证服务器端可以分布在两个不同的实体上也可以集中在同一个实体上,80

5、2.1x端口受控方式,基于MAC的认证方式,启用802.1X认证的端口下只要有一个用户通过了认证则该端口打开,其余下挂在这个端口下的用户也可以通过这个端口传输数据,基于端口的认证方式,两种端口受控方式:基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证。当某个用户下线时,也只有该用户无法使用网络。,通过认证的用户可以使用网络资源,没有通过的用户则不能,即使他们都接入了同一个端口,802.1x报文发送方式,组播方式客户端程序可以选择采用组播报文发

6、送,此时客户端发送的所有EAPoL报文封装组播地址,有些情况下客户端程序也可以选择单播报文发送,此时客户端初次发送EAPoL-Start报文封装组播地址,回应设备端的response报文封装设备的端口地址采用单播发送,对于设备端发送的报文,若设备端知道客户端的地址,则封装客户端的地址采用单播发送,否则封装组播地址,采用组播发送广播方式客户端也可以选择广播方式发送报文,这时客户端初次发送EAPoL-Start报文封装广播地址,其余报文可以采用单播发送,802.1x报文封装,EAPOL的报文格式,2 3 4 6 N,0,802.1x报文封装,EAPOL报文示例,802.1x报文封装,EAP的报文格

7、式,Code域为一个字节,表示了EAP数据包的类型,EAP的Code的值指定意义如下 Code1Request Code2Response Code3Success Code4FailureIndentifier域为一个字节,辅助进行request和response的匹配。每一个request都应该有一个response相对应,这样的一个Indentifier域就建立了一个对应关系Length域为两个字节,表明了EAP数据包的长度,包括Code、Identifier、Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充(padding)在接收时将被忽略掉。Data

8、域为0个或者多个字节,Data域的格式由Code的值来决定。当Code为3或4时,data域为0个字节。,0 1 2 4 N,802.1x报文封装,Request/Respone报文Data域,Type:占1个字节,该字段值指定Request或Response的 类型。在 EAP的Request或Response中必须出现且仅出现一个Type 1 Identity 2 Notification 3 Nak(Response only)4 MD5-Challenge 5 One-Time Password(OTP)(RFC 1938)6 Generic Token CardType data:内

9、容随不同类型的Request和Response而不同。,0 1 N,802.1x报文封装,EAP报文示例,802.1x认证过程,两种EAP认证方式,EAP中继方式,EAP终结方式,用来对用户口令信息进行加密处理的随机加密字由Radius服务器生成,交换机只是负责将EAP报文透传Radius服务器,EAP中继方式要求Radius服务器支持EAP属性:EAP-Message(值为79)和Message-Authenticator(值为80),整个认证处理都由Radius服务器来完成。EAP中继方式有四种认证方法:EAP-MD5、EAP-TLS(Transport Layer Security,传输

10、层安全)、EAP-TTLS(Tunneled Transport Layer Security,隧道传输层安全)和PEAP(Protected Extensible Authentication Protocol,受保护的扩展认证协议)。,用来对用户口令信息进行加密处理的随机加密字由交换机生成,之后交换机会通过标准Radius报文把用户名、随机加密字和客户端加密后的口令信息一起送给Radius服务器,进行相关的认证处理。,802.1x认证过程,EAP中继方式,802.1x认证过程,EAP终结方式,802.1X典型配置案例,802.1X典型配置案例,#开启全局802.1x 特性。system-v

11、iewSystem View:return to User View with Ctrl+Z.Sysname dot1x#开启指定端口Ethernet 1/0/1 的802.1x 特性。Sysname dot1x interface Ethernet 1/0/1#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC 地址的)。Sysname dot1x port-method macbased interface Ethernet 1/0/1#创建RADIUS 方案radius1 并进入其视图。Sysname radius scheme radius1,802.1X

12、典型配置案例,#设置主认证/计费RADIUS 服务器的IP 地址。Sysname-radius-radius1 primary authentication 10.11.1.1Sysname-radius-radius1 primary accounting 10.11.1.2#设置备份认证/计费RADIUS 服务器的IP 地址。Sysname-radius-radius1 secondary authentication 10.11.1.2Sysname-radius-radius1 secondary accounting 10.11.1.1#设置系统与认证RADIUS 服务器交互报文时的

13、加密密码。Sysname-radius-radius1 key authentication name#设置系统与计费RADIUS 服务器交互报文时的加密密码。Sysname-radius-radius1 key accounting money#设置系统向RADIUS 服务器重发报文的时间间隔与次数。Sysname-radius-radius1 timer 5Sysname-radius-radius1 retry 5,802.1X典型配置案例,#设置系统向RADIUS 服务器发送实时计费报文的时间间隔。Sysname-radius-radius1 timer realtime-accoun

14、ting 15#指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器。Sysname-radius-radius1 user-name-format without-domainSysname-radius-radius1 quit#创建域 并进入其视图。Sysname domain#指定radius1 为该域用户的RADIUS 方案,若RADIUS 服务器无效,则使用本地认证方案。Sysname-isp-scheme radius-scheme radius1 local#设置该域最多可容纳30 个用户。Sysname-isp-access-limit enable 30,802.

15、1X典型配置案例,#启动闲置切断功能并设置相关参数。Sysname-isp-idle-cut enable 20 2000Sysname-isp-quit#配置域 为缺省用户域。Sysname domain default enable#添加本地接入用户。Sysname local-user localuserSysname-luser-localuser service-type lan-accessSysname-luser-localuser password simple localpass,第一节 802.1X认证基本原理及配置第二节 MAC地址认证基本原理及配置第三节 端口隔离技术

16、及配置第四节 端口绑定技术及配置第五节 ARP防攻击相关技术及配置,目录,MAC地址认证概述,两种认证方式的的工作流程,MAC地址认证的配置命令,MAC认证的典型配置案例,#开启指定端口Ethernet 1/0/2 的MAC 地址认证特性。system-viewSysname mac-authentication interface Ethernet 1/0/2#配置采用MAC 地址用户名进行认证,并指定使用带有分隔符的小写形式的MAC 地址作为验证的用户名和密码。Sysname mac-authentication authmode usernameasmacaddress username

17、format with-hyphenlowercase,MAC认证的典型配置案例,#添加本地接入用户。配置本地用户的用户名和密码:Sysname local-user 00-0d-88-f6-44-c1Sysname-luser-00-0d-88-f6-44-c1 password simple 00-0d-88-f6-44-c1设置本地用户服务类型为lan-access:Sysname-luser-00-0d-88-f6-44-c1 service-type lan-accessSysname-luser-00-0d-88-f6-44-c1 quit#创建MAC 地址认证用户所使用的域。Sy

18、sname domain New Domain added.#配置域 采用本地认证方式。Sysname-isp-scheme localSysname-isp-quit,MAC认证的典型配置案例,#配置MAC 地址认证用户所使用的域名为。Sysname mac-authentication domain#开启全局MAC 地址认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。Sysname mac-authentication,第一节 802.1X认证基本原理及配置第二节 MAC地址认证基本原理及配置第三节 端口隔离技术及配置第四节 端口

19、绑定技术及配置第五节 ARP防攻击相关技术及配置,目录,端口隔离简介,端口隔离基本配置,端口隔离配置举例,第一节 802.1X认证基本原理及配置第二节 MAC地址认证基本原理及配置第三节 端口隔离技术及配置第四节 端口绑定技术及配置第五节 ARP防攻击相关技术及配置,目录,端口绑定技术简介,端口绑定基本配置,端口绑定典型配置举例,第一节 802.1X认证基本原理及配置第二节 MAC地址认证基本原理及配置第三节 端口隔离技术及配置第四节 端口绑定技术及配置第五节 ARP防攻击相关技术及配置,目录,ARP攻击原理介绍,ARPAddress Resolution Protocol地址解释协议,帧类型

20、0 x0806,ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的,通过伪造虚假源IP-MAC对应的ARP报文,导致网关或主机无法找到正确的通信对象利用ARP协议本身的缺陷来实现,可以利用帧类型来识别ARP报文,ARP攻击来源分析,一、病毒和木马瑞星2007上半年电脑病毒排名1、帕虫(Worm.Pabug;金山:AV终结者;江民:U盘寄生虫)2、威金蠕虫(Worm.Viking)3、熊猫烧香(Worm.Nimaya;又称尼姆亚)4、网络游戏木马(Trojan.PSW.OnlineGames)5、QQ通行证(Trojan.PSW.QQPass)6、ARP病毒(具有ARP攻击行为的多个病毒

21、),二、黑客攻击软件 网络执法官等,据瑞星统计:上半年全国约有3500多万台电脑曾经被病毒感染,常见ARP攻击类型,仿冒网关 ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关 仿冒终端用户/服务器 欺骗网关发送错误的终端用户的IPMAC的对应关系给网关,导致网关无法和合法终端用户正常通信 欺骗终端用户发送错误的终端用户/服务器的IPMAC的对应关系给受害的终端用户,导致两个终端用户之间无法正常通信 其他ARP FLOODING 攻击,攻击实验环境介绍,正常用户A,网关,攻击者B,接入交换机,正常用户C,网络执法官,我是攻击者,我是受害者,典型局域网,利用

22、网络执法官来实现常见ARP攻击,ARP欺骗攻击1仿冒网关,攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。,正常用户A,网关G,网关MAC更新了,网关ARP表项已更新,攻击者B,ARP表项更新为,这种攻击为最为常见的攻击类型,访问外网数据发向错误的网关,攻击现象,一、网络执法官向受害主机发送网关的欺骗ARP报文,二、受害主机网关信息被欺骗,网络无法正常访问,ARP欺骗攻击2欺骗网关,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新网关发给该用户的所有数据全部重定向到一个错误的

23、MAC地址,导致该用户无法正常访问外网,正常用户A,网关G,用户A的MAC更新了,用户A的ARP表项已更新,发送伪造ARP信息,攻击者B,ARP表项更新为,外网来的数据流被转发到错误的终端,一、受害主机上正确绑定网关信息,二、网络还是无法正常访问,攻击现象,ARP欺骗攻击3欺骗终端用户,攻击者以伪造虚假的ARP报文,欺骗相同网段内的其他主机,某一合法用户的MAC地址已经更新网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访,正常用户A,网关G,用户C的MAC更新了,知道了,发送伪造ARP信息,攻击者B,用户C的MAC is 2-2-2,ARP表项更新为

24、,数据流被中断,正常用户C,ARP泛洪攻击,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网,正常用户A,网关G,用户A、A1、A2、A3的MAC更新了,已更新,发送大量伪造ARP信息,攻击者B,1.1.0.2 MAC is 2-2-2,ARP表项被占满,ARP表项无法学习,1.1.0.3 MAC is 2-2-3,1.1.0.4 MAC is 2-2-4,1.1.1.103 MAC is 3-3-3,ARP攻击防御的三个控制点,网关G,用户,接入设备,接入设备防御 将合法网关IP/MAC进行绑定,防御仿冒

25、网关攻击 合法用户IP/MAC绑定,过滤掉仿冒报文 ARP限速 绑定用户的静态MAC,2,根据前述ARP攻击原理得出解决ARP攻击的三个控制点如下:,防御思路1认证模式,网关,接入交换机,利用认证途径来获取合法用户的IP-MAC关系,在接入交换机和网关上进行绑定。利用认证客户端在终端上绑定网关ARP表项。,CAMS 认证服务器,利用802.1x或者Portal认证机制将合法用户的IP-MAC关系上传到认证服务器,认证服务器将获取到的IP-MAC对应关系下发到网关,认证设备将获取到的IP-MAC对应关系就地绑定,认证客户端,控制点,1,2,3,X,认证通过后,CAMS将网关的IP-MAC对应关系

26、下发给客户端进行静态绑定,关键点,认证模式之接入绑定,利用认证途径来获取合法用户的IP-MAC关系,在接入交换机(认证设备)进行绑定。不匹配绑定关系的ARP报文统统丢弃,并上报给管理员,网关,接入交换机,CAMS 认证服务器,认证设备将获取到的IP-MAC对应关系就地绑定,认证客户端,控制点,2,X,想发送欺骗报文,丢弃,攻击者,防御思路2 DHCP 监控模式,网关,接入交换机,监控DHCP交互报文获取合法用户的IP-MAC-port关系在接入交换机上绑定下挂终端的IP-MAC对应关系,并对接收到的ARP报文进行检查,过滤掉所有非法报文。全网部署后,有效防止所有ARP常见攻击类型,DHCP服务

27、器,接入交换机解析客户端和DHCP服务器之间的交互报文,获得合法用户的IP-MAC-port对应关系,接入交换机将获取到的合法用户的IP-MAC-port绑定在入接口上,控制点,1,X,想发送欺骗报文?丢弃,关键点,攻击者,认证绑定 Vs.DHCP SNOOPING,对网络设备的依赖小,对接入交换机和网关的绑定可以根据网络状况分别使用。适应静态IP地址的环境使用,适合目前多数学校现状。,认证绑定模式,优点,局限性,需要安装客户端需要采用H3C认证方式,可以保证网络无非法ARP报文传播,从根本防御ARP攻击 纯网络层面实现,不需要用户安装客户端。对用户应用没有影响,要求用户采用DHCP动态获取I

28、P的方式以过滤非法报文为防御措施,要求同网段全网部署 对接入交换机的型号、版本有很强的依赖,优点,局限性,DHCP Snooping模式的部署,网关,接入设备,接入设备,保护屏障,DHCP响应,DHCP请求,配置命令:全局模式:dhcpsnooping(全局开关)VLAN模式:ARP detection enable:(使能ARP detection enable检测,限制ARP报文数量)上行接口:ARP detection trust(将上行口配置为信任接口不检查ARP),DHCP,认证模式的部署,网关,接入设备,接入设备,iNode客户端,iNode客户端,iNode客户端,iNode客户

29、端,CAMS服务器,静态ARP绑定:,H3C“全面防御,模块定制”ARP防御总结,H3C低端交换机针对ARP防御方案:1.防止泛洪攻击配置ARP 源抑制功能配置 ARP 黑洞路由功能配置 ARP 报文限速功能2.防止仿冒用户、仿冒网关攻击配置源 MAC 地址固定的ARP 攻击检测功能配置 ARP 报文源MAC 地址一致性检查功能配置 ARP 主动确认功配置 ARP Detection 功能配置ARP 自动扫描、固化功能配置 ARP 网关保护功能配置 ARP 过滤保护功能,H3C ARP防御方案,配置ARP防止IP报文攻击功能如果网络中有主机通过向设备发送大量目标 IP 地址不能解析的IP 报文

30、来攻击设备,可通过以下两种方案来防止ARP攻击。如果发送攻击报文的源是固定的,可以采用ARP 源抑制功能;如果发送攻击报文的源不固定,可以采用ARP 黑洞路由功能。1.配置ARP源抑制功能使能ARP 源抑制功能arp source-suppression enable配置 ARP 源抑制的阈值arp source-suppression limit limit-value(缺省情况下,ARP 源抑制的阈值为10)2.配置ARP黑洞路由功能使能 ARP 黑洞路由功能arp resolving-route enable(ARP 黑洞路由功能处于开启状态),H3C ARP防御方案,配置ARP Det

31、ection功能ARP Detection 功能主要应用于接入设备上,对于合法用户的ARP 报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。ARP Detection 包含三个功能:用户合法性检查、ARP 报文有效性检查、ARP 报文强制转发。1.用户合法性检查对于 ARP 信任端口,不进行用户合法性检查;对于ARP 非信任端口,需要进行用户合法性检查,以防止仿冒用户的攻击。用户合法性检查是根据 ARP 报文中源IP 地址和源MAC 地址检查用户是否是所属VLAN 所在端口上的合法用户,包括基于IP Source Guard 静态绑定表项的检查、基于DHCP Snooping

32、 安全表项的检查、基于802.1X 安全表项的检查和OUI MAC 地址的检查。(1)首先进行基于IP Source Guard 静态绑定表项检查。如果找到了对应源IP 地址和源MAC 地址的静态绑定表项,认为该ARP 报文合法,进行转发。如果找到了对应源IP 地址的静态绑定表项但源MAC 地址不符,认为该ARP 报文非法,进行丢弃。如果没有找到对应源IP 地址的静态绑定表项,继续进行DHCP Snooping 安全表项、802.1X 安全表项和OUI MAC 地址检查。(2)在基于IP Source Guard 静态绑定表项检查之后进行基于DHCP Snooping 安全表项、802.1X安

33、全表项和OUI MAC 地址检查,只要符合三者中任何一个,就认为该ARP 报文合法,进行转发。(3)如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。,H3C ARP防御方案,配置ARP Detection功能 使能ARP Detection 功能arp detection enable(缺省情况下,ARP Detection 功能处于关闭状态,该命令在VLAN视图配置)配置为ARP 信任端口arp detection trust(缺省情况下,端口为 ARP 非信任端口,一般上行端口配置为trust端口)使能ARP 报文有效性检查功能arp detection validat ds

34、t-mac|ip|src-mac(缺省情况下,ARP 报文有效性检查功能处于关闭状态,该命令在系统视图配置)使能ARP 报文强制转发功能arp restricted-forwarding enable(缺省情况下,ARP 报文强制转发功能处于关闭状态,该命令在VLAN视图配置),H3C ARP防御方案,配置ARP报文限速功能ARP 报文限速功能是指对上送CPU 的ARP 报文进行限速,可以防止大量ARP 报文对CPU 进行冲击。例如,在配置了ARP Detection 功能后,设备会将收到的ARP 报文重定向到CPU 进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP 报文发往设备,会

35、导致设备的CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP 报文限速功能来控制上送CPU 的ARP 报文的速率。推荐用户在配置了 ARP Detection、ARP Snooping、MFF,或者发现有ARP 泛洪攻击的情况下,使用ARP 报文限速功能。开启ARP报文限速Trap 功能snmp-agent trap enable arp rate-limit(缺省情况下,ARP 报文限速Trap 功能处于开启状态)配置ARP 报文限速功能arp rate-limit disable|rate pps drop(缺省情况下,ARP 报文限速功能处于关闭状态),H3C ARP防御方案,配置ARP网关保护功能在设备上不与网关相连的端口上配置此功能,可以防止伪造网关攻击。在端口配置此功能后,当端口收到 ARP 报文时,将检查ARP 报文的源IP 地址是否和配置的被保护网关的IP 地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。配置被保护的网关IP 地址arp filter source ip-address(缺省情况下,ARP 网关保护功能处于关闭状态,该命令在接口视图下配置)。,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号