锐捷防ARP欺骗解决方案锐捷网络网络解决方案课件.ppt

锐捷防ARP欺骗解决方案,技术培训中心2009-09,修订记录,2,学习目标,掌握ARP协议及ARP欺骗原理掌握锐捷网络防ARP欺骗解决方案的应用场合掌握锐捷网络防ARP欺骗解决方案的配置,3,课程内容,第一章：ARP协议原理第二章：ARP欺骗攻击概述第三章：常见ARP欺骗“应付”手段第四章：锐捷网络ARP欺骗解决方案,4,ARP协议原理,ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。根据TCP/IP层次模型，在以太网中，一个主机要和另一个主机进行直接通信，必须知道目标主机的MAC地址。在现实环境中，一般采用IP地址标示通信的对象，而ARP的功能就是将IP翻译成对应的MAC地址。IP：姓名 MAC：姓名对应的手机号 ARP表：电话号码簿,5,ARP过程,6,正常的ARP通讯过程只需广播ARP Request和单播ARP Replay两个过程，简单的说就是一问一答：,ARP request,ARP reply,PC1,PC2,IP:192.168.0.1MAC:00d0.f800.0001,IP:192.168.0.2MAC:00d0.f800.0002,PC3,PCN,课程内容,第一章：ARP协议原理第二章：ARP欺骗攻击概述第三章：常见ARP欺骗“应付”手段第四章：锐捷网络ARP欺骗解决方案,7,正常情况下的ARP表,8,网关,PC2,PC1,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,192.168.0.254001a.a908.9f0b,PC与设备之间相互通信后形成的ARP表,ARP Request报文更新ARP表的条件ARP报文中Target IP为自己用ARP报文中的Sender MAC与Sender IP更新自己的ARP表,ARP表变化-ARP Request,9,网关,PC2,PC1,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,192.168.0.254001a.a908.9f0b,Cheat（ARP Request）,ARP表变化-ARP Reply,10,网关,PC2,PC1,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,192.168.0.254001a.a908.9f0b,Cheat（ARP Reply）,ARP Reply报文更新ARP表的条件ARP报文中Target IP为自己当前ARP表中已存在Sender IP的表项用ARP报文中的Sender MAC与Sender IP更新自己的ARP表,ARP表变化-Gratuitous ARP,11,网关,PC2,PC1,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,192.168.0.254001a.a908.9f0b,Cheat（Gratuitous ARP）,Gratuitous ARP报文更新ARP表的条件Gratuitous ARP是一种特殊的ARP Request/Replay报文，即Sender IP与Target IP一致ARP报文中Target IP为自己用ARP报文中的Sender MAC与Sender IP更新自己的ARP表,理解invalid ARP表项,Invalid ARP表项ARP表中的MAC地址为全零（Windows主机）或“No completed”（网络设备）产生原因发送ARP Request后，为接收ARP Reply做准备大量存在的原因同网段扫描（主机）跨网段扫描（网络设备）,12,IP地址发生冲突的条件收到Gratuitous ARP报文，且Sender/Target IP与当前IP一致，但Sender MAC与当前MAC不同当针对主机或网络设备发送上述报文时，即为IP冲突攻击,主机或网络设备怎样判断IP冲突,13,网关,PC2,PC1,192.168.0.100d0.f800.0001,192.168.0.100d0.f800.0002,Gratuitous ARP,Gratuitous ARP,ARP欺骗攻击分类-主机型,主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗,14,网关,欺骗者,嗨，我是网关,PC 1,ARP欺骗攻击分类-网关型,网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗,15,网关,欺骗者,嗨，我是PC1,PC 1,ARP欺骗攻击目的,为什么产生ARP欺骗攻击？表象：网络通讯中断真实目的：截获网络通讯数据,16,PC1,网关,主机型,网关型,欺骗者,ARP欺骗攻击缘何泛滥,屡禁不止的ARP欺骗ARP欺骗的目的是截获数据，例如银行卡、游戏帐户等，巨大的经济利益驱动了ARP欺骗的发展ARP欺骗实现原理简单，变种极多，通过病毒网页或木马程序即可传播，杀毒软件的更新不能及时跟上病毒的变种 ARP欺骗是由于协议缺陷造成的，业界鲜有良好的解决方案,17,判断ARP欺骗攻击-主机,怎样判断是否受到了ARP欺骗攻击？网络时断时续或网速特别慢在命令行提示符下执行“arp d”命令就能好上一会在命令行提示符下执行“arp a”命令查看网关对应的MAC地址发生了改变,18,判断ARP欺骗攻击-网关设备,网关设备怎样判断是否受到了ARP欺骗攻击？ARP表中同一个MAC对应许多IP地址,19,课程内容,第一章：ARP协议原理第二章：ARP欺骗攻击概述第三章：常见ARP欺骗“应付”手段第四章：锐捷网络ARP欺骗解决方案,20,1、常见ARP欺骗“应付”手段-双向绑定,手工设置静态ARP表项静态ARP优先级高于动态ARP表项分别在网关设备与用户主机上配置静态ARP表项工作维护量大，网关设备、用户都需要进行操作,21,可有效解决ARP欺骗,2、常见ARP欺骗“应付”手段-ARP防火墙,ARP防火墙软件定期向网关发送Gratuitous ARP，以通告自己正确的ARP信息发送频率过高严重占用网络带宽发送频率过低则达不到防范目的惹祸的ARP防火墙（摘录自部分著名院校网络中心通知）中国科技大学：对于异常多arp请求，请禁用xx防火墙的arp攻击防御功能中山大学：当打开xx防火墙的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个地址四川大学：装xx防火墙的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断,22,不能解决ARP欺骗,3、常见ARP欺骗“应付”手段-Cisco方案,DAI+PVLANDAI为动态ARP检测，网关通过DHCP Snooping确保网关ARP表的正确性，即防止了网关型ARP欺骗的发生PVLAN的isolate vlan方式将主机之间的通讯隔离，防止了主机型ARP欺骗的发生网关设备与接入设备必须同时支持相应的功能，同时主机之间将不能互访，致使很多局域网通讯失效。,23,支持DAI功能的网关设备,支持PVLAN的接入设备,可有效解决ARP欺骗,附：port-security能防范ARP吗,port-security处理流程当一个未带IP头部的报文（二层）经过port-security端口时，校验其DLC的MAC部分与配置的安全MAC是否一致当一个带IP头部（三层）的报文经过port-security端口时校验其DLC的MAC是否与配置的安全MAC一致校验其IP是否与配置的安全IP一致port-security处理ARP报文流程ARP报文不带IP头部port-security校验其DLC的MAC是否与配置的安全MAC一致,24,port-security不能解决ARP欺骗,课程内容,第一章：ARP协议原理第二章：ARP欺骗攻击概述第三章：常见ARP欺骗“应付”手段第四章：锐捷网络ARP欺骗解决方案,25,锐捷网络完美解决ARP欺骗,锐捷网络坚持走自主研发的发展道路，在整个业界对ARP欺骗感到比较头疼时，率先推出了一系列成熟的ARP欺骗解决方案。配置难吗？多数方案只需几条命令成本高吗？锐捷低端接入S21系列交换机即可。S21自推出已经有六年之久，通过不断更新软件版本实现新的功能，严格保护用户的投资。,26,S21系列交换机诞生于六年前,两个概念,安全地址主机真实的IP与MAC地址在主机发送ARP报文前获得ARP报文校验检查ARP报文中Senders MAC与安全地址中的MAC是否一致，否则丢弃检查ARP报文中Senders IP与安全地址中的IP是否一致，否则丢弃,27,防ARP欺骗原理,28,流程图,安全地址获取,丢弃,转发,ARP报文校验,ARP报文S/T字段是否与安全地址一致,ARP报文,是,否,安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段,安全地址,定义主机的真实信息IP+MAC地址组成获取方式手工指定port-security自动获取DHCP SnoopingDot1x认证,29,安全地址的处理,什么是ACE交换机端口形成的硬件资源表项通过硬件对报文的转发进行判断端口策略未配置安全地址时permit any any any any配置安全地址后permit mac1 ip1 any anypermit mac2 ip2 any anypermit macN ipN any anydeny any any any any,30,ACE,丢弃,转发,0/1比特位,ARP-check原理：提取ACE中IP+MAC对的信息在原有ACE（过滤IP+MAC）的基础上形成新的ACE（过滤ARP）应用后端口策略permit mac1 ip1 any anypermit arp 源MAC1 源IP1 any anydeny any any any any注意事项：ARP-check功能开启后，如果ACE中不存在安全地址，则所有的ARP报文将被丢弃,ARP报文校验方式一（ARP-check）,31,交换机端口,ACE,丢弃,转发,0/1比特位,ARP报文校验二（DAI）,DAI原理：提取DHCP Snooping表中的IP+MAC信息通过CPU过滤源MAC/源IP不在Snooping表中的ARP报文注意事项：DAI功能开启开启后，如果DHCP Snooping表为空，则所有的ARP报文将被丢弃,32,交换机端口,CPU,丢弃,转发,0/1比特位,1.1、port-security+ARP-check方案概述,原理通过port-security功能将用户正确的IP与MAC写入交换机端口ACE使用ARP-check功能校验ARP报文的正确性应用场景用户使用静态IP地址无安全认证措施缺点需要收集所有用户的IP、MAC，将其配置到端口上当用户接入端口发生变化时，需重新设置安全地址,33,网络拓扑主要配置（10.x平台）,1.2、port-security+ARP-check方案实施,34,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,Fa 0/1,Fa 0/2,interface FastEthernet 0/1 switchport port-security mac-address 00d0.0000.0001 ip-address 192.168.0.1 switchport port-security arp-check auto!interface FastEthernet 0/2 switchport port-security mac-address 00d0.0000.0002 ip-address 192.168.0.2 switchport port-security arp-check auto,2.1、DHCP Snooping+address-bind+ARP-check方案实施,原理通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表通过DHCP Snoopoing address-bind将DHCP Snooping表的写入交换机的ACE（类似端口安全）使用ARP-check功能校验ARP报文的正确性应用场景用户使用动态IP地址同样适用于SAM认证环境（限S21交换机）动态环境下如果使用安全通道，请勿在安全通道中允许ARP报文通过缺点无,35,网络拓扑主要配置（10.x平台）,2.2、DHCP Snooping+address-bind+ARP-check方案实施,36,DHCP00d0.f800.0001,DHCP00d0.f800.0002,Fa 0/1,Fa 0/2,ip dhcp snooping!interface FastEthernet 0/1 ip dhcp snooping address-bind arp-check auto!interface FastEthernet 0/2 ip dhcp snooping address-bind arp-check auto!interface FastEthernet 0/24 ip dhcp snooping trust,Uplink：Fa 0/24,2.3、DHCP Snooping+address-bind+ARP-check方案级联优化,37,Uplink,trust,trust,多台交换机级联时，为避免上面一台交换机针对下联交换机上的用户重复进行地址绑定与ARP报文校验，请将下联其他交换机的接口启用ip dhcp snooping trust,3.1、DHCP Snooping+IP Source guard+ARP-check方案实施,原理通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表通过IP Source guard将DHCP Snooping表的写入交换机的ACE（类似端口安全）使用ARP-check功能校验ARP报文的正确性应用场景用户使用动态IP地址同样适用于SAM认证环境动态环境下如果使用安全通道，请勿在安全通道中允许ARP报文通过缺点无,38,网络拓扑主要配置（10.x平台）,3.2、DHCP Snooping+IP Source guard+ARP-check方案实施,39,DHCP00d0.f800.0001,DHCP00d0.f800.0002,Fa 0/1,Fa 0/2,ip dhcp snooping!interface FastEthernet 0/1 ip verify source port-security arp-check auto!interface FastEthernet 0/2 ip verify source port-security arp-check auto!interface FastEthernet 0/24 ip dhcp snooping trust,Uplink：Fa 0/24,3.3、DHCP Snooping+IP Source guard+ARP-check方案级联优化,40,Uplink,trust,trust,多台交换机级联时，为避免上面一台交换机针对下联交换机上的用户重复进行地址绑定与ARP报文校验，请将下联其他交换机的接口启用ip dhcp snooping trust,4.1、DHCP Snooping+DAI方案概述,原理通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表使用DAI功能校验ARP报文的正确性应用场景用户使用动态IP地址同样适用于SAM认证环境动态环境下如果使用安全通道，请勿在安全通道中允许ARP报文通过缺点DAI功能需通过CPU处理，大量的ARP报文可能导致CPU过高,41,网络拓扑主要配置（10.x平台）,4.2、DHCP Snooping+DAI方案实施,42,DHCP00d0.f800.0001,DHCP00d0.f800.0002,Fa 0/1：VLAN 10,Fa 0/2：VLAN 10,ip dhcp snooping!ip arp inspection vlan 10!interface FastEthernet 0/1!interface FastEthernet 0/2!interface FastEthernet 0/24 ip dhcp snooping trust ip arp inspection trust,Uplink：Fa 0/24,4.3、DHCP Snooping+DAI方案级联优化,43,Uplink,trust,trust,多台交换机级联时，为避免上面一台交换机正对下联交换机上的用户重复进行dhcp snooping 与ARP报文校验，请将下联其他交换机的接口启用ip dhcp snooping trust及ip arp inspection trust,5.1、SAM+Supplicant授权方案概述,原理用户通过SAM认证后，交换机会将用户的MAC信息写入ACE交换机开启Supplicant授权，交换机会将用户的IP信息写入ACE使用ARP-check功能校验ARP报文的正确性应用场景用户使用静态IP地址用户使用SAM认证缺点不能使用安全通道功能,44,网络拓扑主要配置（10.x平台）,5.2、SAM+Supplicant授权方案实施,45,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,Fa 0/1：VLAN 10,Fa 0/2：VLAN 10,aaa authorization ip-auth-mode supplicant!interface FastEthernet 0/1 switchport access vlan 10 arp-check auto dot1x port-control auto!interface FastEthernet 0/2 switchport access vlan 10 arp-check auto dot1x port-control auto,附.1、ARP欺骗免疫（GSN）概述,原理用户认证后SMP服务器下发策略，通过Su建立网关静态ARP表项用户认证后SMP服务器下发策略，在网关建立用户的可信任ARP表项应用场景用户使用IP地址类型不限（动态或静态）用户使用GSN系统缺点ARP欺骗免疫与前面介绍的方案原理不同，该方案是在网关与客户之间自动建立静态ARP表项，而非杜绝用户发送欺骗报文该方案不能解决主机之间的欺骗需要网关设备支持ARP欺骗免疫功能,46,网络拓扑网关交换机主要配置,附.2、ARP欺骗免疫（GSN）方案实施,47,Static/DHCP00d0.f800.0001,Static/DHCP00d0.f800.0002,Fa 0/1：VLAN 10,Fa 0/2：VLAN 20,service trustedarp!interface VLAN 10 ip address 192.168.10.254 255.255.255.0!interface VLAN 20 ip address 192.168.20.254 255.255.255.0!snmp-server community smp rw,trunk,网关交换机vlan10：192.168.10.254vlan20：192.168.20.254,附.2、ARP欺骗免疫（GSN）方案实施（续）,SMP主要配置添加网关交换机模板添加网关交换机启用ARP欺骗免疫功能效果验证,48,ARP-check的模式,ARP-check的三种模式（RGOS平台）自动模式（缺省不显示在配置中）接口配置命令：arp-check auto接口存在安全地址生效接口不存在安全地址不生效强制打开接口配置命令：arp-check接口无论是否存在安全地址均生效强制关闭接口配置命令：no arp-check接口无论是否存在安全地址均不生效,49,S21交换机（非RGOS平台）配置注意事项,ARP-check基于全局配置，非基于端口生效配置命令：S2126G(config)#port-security arp-check缺省打开，类似RGOS平台的自动模式正式软件版不支持DAI功能,50,各种防ARP欺骗方案比较,51,注：静态地址环境下如果使用了安全通道功能，并在安全通道中允许ARP报文通过，则无法解决ARP欺骗。如需使用安全通道功能建议用户采购GSN。,注交换机软件请升级至上述版本，否则可能存在功能缺陷接入交换机中开启ARP-check功能时，S2300系列交换机推荐每端口一个用户，其他系列交换机每端口不超过20个用户，详细情况请咨询技术支持部二线工程师,各系列交换机支持情况一览,52,53,THANKS！,