采用的技术和安全防范功能:
设备配置 dhcp snooping 使得下面安全防范检查能够有数据库参考使用;通过动态 ARP 检查 (DAI - Dynamic ARP Inspection) 功能防止用户 ARP 欺骗攻击 另外,还可以启用下列附加功能 : 通过 IP Guard 技术可以防止伪造 IP 攻击(三层欺骗) 通过 Port Security 的最大 MAC 数量限制可以限制用户上网电脑数量,同时防范 MAC 泛滥攻击
3: IDC 属于非 DHCP 环境,即客户托管主机的 ip 地址都是手工静态 配置的。如何在现有环境下实现动态 ARP 检测,即 DAI ,示意如下:
就是根据以上数据库 , 使得 DAI 和 IP source-guard 可对用户数据包进行相应检查 ,符合的才能通过 !如果用户私自设置地址,由静态 DHCP snooping 数据库中没有相应数据, ip souce guard 检查中发现 mac 地址不符合设置,调用 port security 关闭端口,用户无法联网;
即使用户手动配置此物理端口正常用户 mac 地址,但是 ip 地址没有按照规范设置,会导致 DAI 检查失败,用户 arp 数据不会被其他正常用户收到,其他用户不会出现 ip 地址冲突告警; 同时由于 DAI 检查失败,用户无法学习到其他机器 ( 包括网关 ) 的 mac ,其他机器也无法收到用户的 mac 地址,导致用户和其他机器 ( 包括网关 ) 无法通讯,用户无法上网; 即使用户手动设定其他机器(包括网关) mac ,强行发送 ip 数据,由于 ip 源地址不对,也会被 ip source guard 拦截,导致攻击失败; 如果用户连接多余 1 台设备上网,由于设置只能允许 1 台电脑,导致端口自动 errordisable ,用户无法上网, 30s 后端口自动恢复,用户如果拔除多余电脑,端口正常; 同样用户如果伪造 ARP 攻击或者伪造 IP 攻击,均会导致 DAI 检查和 IP Source-guard 检查失败,从而伪造流量无法进入交换机; 由于通过 DAI 配置了 ARP 限制,用户如果发起 ARP 攻击,每秒也只能有 15 个 ARP 进入交换机,其他均丢弃; 由于配置了 Port-security 限制,同样防止了 MAC 泛洪攻击; 由于配置了 dhcp snooping 限制,用户无法私自架设 dhcp 服务器干扰; 由于配置 DHCP snooping 频率限制,用户同样无法发起大量 DHCP 请求攻击 dhcp 服务器;
4: DAI的技术特点:
Cisco 的上述解决方案有许多明显的技术优势:
不需要对托管主机进行任何额外配置和要求; 不需要 dhcp 服务支持, ip 地址固定; 可以同时限制每个用户上网的物理端口; 禁止用户私自配置 ip 非法地址上网; 禁止用户架设 dhcp 服务器干扰网络; 防止用户的 arp 二层攻击; 防止用户假冒 ip 地址攻击; 当然,我们需要注意以下两点: 需要手工在每台接入交换机配置上述静态绑定表; 由于绑定了 MAC 地址,托管主机不能随意更换网卡,否则需要通知网管;作者: 奥特曼 时间: 2010-8-24 17:15
又长知识了 呵呵