监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 2003|回复: 1
打印 上一主题 下一主题

数据中心ARP解决方案

  [复制链接]
跳转到指定楼层
1
发表于 2010-8-11 16:12:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
核心交换机采用的是 Cisco Catalyst 6500 ,而采用的接入交换机包括 Cisco Catalyst 3550 和华为 3952 (虽然接入交换机 Cisco Catalyst 3550 和华为 3952 均具备 Layer 3 转发功能,但在当前应用中只启用了 Layer 2 交换功能,并且连接接入交换机的托管主机 default gateway 默认网关都指向设置在 Catalyst 6509 上 HSRP 虚拟地址.

如果 IDC 的托管主机受到 ARP 病毒感染或是被黑客控制了,就可能出现了 ARP 欺骗攻击 - 通常,被感染或被控制的主机会向本网段广播伪造的 ARP 信息,这会导致同网段的其它托管主机或是网关的 ARP 表出现混乱,会造成这些主机无法进行正常通信,更有甚者则会导致这些主机上的通信被监听或窃取事件的发生等等问题

需要说明的是 ARP 欺骗是一种基于 Layer 2 的接入层攻击破坏行为,最好的办法就是在和主机相连的接入交换机上能够对 ARP 信息直接地进行识别并且消除掉其中那些非法的、仿造的 ARP 广播!

2.解决方案.动态ARP检测功能(DAI)
对于网络中可能出现的各种二层、三层等非法行为,包括 ARP 欺骗攻击, Cisco 在相应的产品和解决方案中都有充分的考虑和设计了相应的功能,可以进行有效防御。对于IDC 发生的 ARP 欺骗攻击,考虑到 IDC 的实际网络拓扑和应用情况,我们认为最好的办法就是在托管主机的接入层交换机上开启动态 ARP 检测功能 DAI ? 该功能就是针对 ARP 欺骗行为的,它可以监控相应端口的 ARP 广播,对其是否真伪、发送速度是否超出限制都进行实时监控,其会丢弃非法的 ARP 广播,并且对于上述非法行为进行限制、惩罚和进行日志记录,可以十分有效地解决上述问题.

采用的技术和安全防范功能:
设备配置 dhcp snooping 使得下面安全防范检查能够有数据库参考使用;通过动态 ARP 检查 (DAI - Dynamic ARP Inspection) 功能防止用户 ARP 欺骗攻击 另外,还可以启用下列附加功能 : 通过 IP Guard 技术可以防止伪造 IP 攻击(三层欺骗) 通过 Port Security 的最大 MAC 数量限制可以限制用户上网电脑数量,同时防范 MAC 泛滥攻击

3: IDC 属于非 DHCP 环境,即客户托管主机的 ip 地址都是手工静态 配置的。如何在现有环境下实现动态 ARP 检测,即 DAI ,示意如下:
就是根据以上数据库 , 使得 DAI 和 IP source-guard 可对用户数据包进行相应检查 ,符合的才能通过 !如果用户私自设置地址,由静态 DHCP snooping 数据库中没有相应数据, ip souce guard 检查中发现 mac 地址不符合设置,调用 port security 关闭端口,用户无法联网;

即使用户手动配置此物理端口正常用户 mac 地址,但是 ip 地址没有按照规范设置,会导致 DAI 检查失败,用户 arp 数据不会被其他正常用户收到,其他用户不会出现 ip 地址冲突告警; 同时由于 DAI 检查失败,用户无法学习到其他机器 ( 包括网关 ) 的 mac ,其他机器也无法收到用户的 mac 地址,导致用户和其他机器 ( 包括网关 ) 无法通讯,用户无法上网; 即使用户手动设定其他机器(包括网关) mac ,强行发送 ip 数据,由于 ip 源地址不对,也会被 ip source guard 拦截,导致攻击失败; 如果用户连接多余 1 台设备上网,由于设置只能允许 1 台电脑,导致端口自动 errordisable ,用户无法上网, 30s 后端口自动恢复,用户如果拔除多余电脑,端口正常; 同样用户如果伪造 ARP 攻击或者伪造 IP 攻击,均会导致 DAI 检查和 IP Source-guard 检查失败,从而伪造流量无法进入交换机; 由于通过 DAI 配置了 ARP 限制,用户如果发起 ARP 攻击,每秒也只能有 15 个 ARP 进入交换机,其他均丢弃; 由于配置了 Port-security 限制,同样防止了 MAC 泛洪攻击; 由于配置了 dhcp snooping 限制,用户无法私自架设 dhcp 服务器干扰; 由于配置 DHCP snooping 频率限制,用户同样无法发起大量 DHCP 请求攻击 dhcp 服务器;

4: DAI的技术特点:
Cisco 的上述解决方案有许多明显的技术优势:
不需要对托管主机进行任何额外配置和要求; 不需要 dhcp 服务支持, ip 地址固定; 可以同时限制每个用户上网的物理端口; 禁止用户私自配置 ip 非法地址上网; 禁止用户架设 dhcp 服务器干扰网络; 防止用户的 arp 二层攻击; 防止用户假冒 ip 地址攻击; 当然,我们需要注意以下两点: 需要手工在每台接入交换机配置上述静态绑定表; 由于绑定了 MAC 地址,托管主机不能随意更换网卡,否则需要通知网管;
我分享,我成长!系统集成 XTJC.COM

0

主题

7

帖子

16

积分

实习生

QQ
2
发表于 2010-8-24 17:15:43 | 只看该作者
华为金牌代理
又长知识了  呵呵
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-27 00:16 , Processed in 0.257810 second(s), 29 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表