华为数通 DHCP安全、DHCP Snooping、IPSG

安全层级解释

华为数通 DHCP安全、DHCP Snooping、IPSG
  • 端口安全 : 只针对MAC,防止MAC欺骗
  • DHCP Snooping : 可以防止客户端获取非法的dhcp饿死攻击和欺骗攻击,并建立一张dhcp-snooping表,DAI和IPSG都是通过该表进行配置。
  • DAI : 基于dhcp-snooping表维护ARP安全
  • IPSG :基于dhcp-snooping表维护IP源地址安全

技术原理

使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。

华为数通 DHCP安全、DHCP Snooping、IPSG
DHCP客户端以广播的形式发送discover报文,dhcp服务器就会回应一个offer报文,如果是攻击者频繁的发送discover报文,服务器对每一个discover做出回应,那么地址池中的地址则会被消耗殆尽
华为数通 DHCP安全、DHCP Snooping、IPSG
现如今的DHCP攻击分为两种,饿死攻击的方法就是如上图所说,频繁发送discover请求报文耗尽地址池,欺骗则是在网络中自建dhcp服务器,以达到抢先夺得客户端的dhcp请求,因为正常的dhcp服务器一般存在于汇聚层以上,如果攻击者搭建在二层,那么会比原有的dhcp服务器抢先的夺得客户端的请求。

DHCP Snooping

dhcp嗅探,保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
• 截获DHCP报文并进行分析处理。
• 建立和维护一个DHCP Snooping 绑定表(MAC、IP、租期、VLAN、接口)
• 对DHCP报文进行过滤和限速

DHCP Snooping 端口类型

  • 信任(Trusted) 正常转发接收到的DHCP应答报文,转发DHCP请求。
  • 非信任(Untrusted) 丢弃接收到的DHCP应答报文。
华为数通 DHCP安全、DHCP Snooping、IPSG
开启dhcp snooping功能,并设置上行dhcp服务器接口为信任端口,其余接口均会被设置为非信任端口,从非信任端口收到包含offer,ack,nak报文将会丢弃,也就直接阻止了欺骗攻击。

DHCP Snooping 绑定表

• 收到DHCP ACK报文后,会从该报文中提取关键信息。
• 建立MAC+IP+VLAN+Port的绑定关系。
• 只有接收到的报文的信息和绑定表中的内容一致才会被转发,否则报文被丢弃。

华为数通 DHCP安全、DHCP Snooping、IPSG

DHCP Snooping 配置

越靠近用户端越准确有效,正常的网络拓扑肯定不会只有几台设备,凡是dhcp上联有关的设备和接口,都需要在相应的接口开启dhcp snooping trusted信任接口,设备处需要全局开启dhcp enable和dhcp snooping enable,并且需要在接口或者vlan * 启用dhcp snooping enable功能。

  • dhcp snooping enable ipv4 # 开启DHCP Snooping功能仅处理IPv4,节省资源
  • dhcp snooping enable # 开启DHCP Snooping,VLAN或接口模式下
  • dhcp snooping trusted # 配置信任接口,配置信任接口后其他接口都会自动的变为非信任接口。
  • dhcp snooping check dhcp-rate enable # 开启DHCP速率检查功能,可选
  • dhcp snooping check dhcp-rate 5 # 配置速率上限,每秒几个请求报文,可选。通过速率上限和最大用户数可以有效的控制饿死攻击。
  • dhcp snooping max-user-number 3 # 配置最大用户数,该接口最大多少个ip,可选
  • dhcp snooping check dhcp-chaddr enable # 开启dhcp-chaddr检查功能,可选
  • dhcp snooping user-offline remove mac-address # 配置DHCP用户下线后及时清除对应用户的MAC表项功能,可选
  • arp dhcp-snooping-detect enable # 配置ARP和DHCP Snooping联动,可选

查看命令

  • display dhcp snooping configuration # 验证DHCP Snooping接口
  • display dhcp snooping user-bind all # 查看绑定表

IPSG

IPSG,ip source guard(IP源防攻击),是一种第2层接口特性,IPSG能够提供检测机制来确保单个接口所接受到的数据包能够被各个接口所接受。如果检查通过,就将许可数据包,否则就会发生违背策略活动.在同一网络中,如果别人占用了你的IP地址,就会被dhcp snooping binding表检查不通过,数据流传输就会被终止。

IPSG作用:能够确保2层网络中终端设备的IP地址不被劫持,而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或导致网络崩溃及瘫痪,有效的防止了内部网络乱改IP的现象,也有效的在第2层防止IP地址的欺骗攻击。

IPSG功能基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。

配置命令

动态:
[SW5]interface Ethernet0/0/1
[SW5-Ethernet0/0/1]dhcp  snooping enable    # 接口开启dhcp snooping,或者在vlan里面开启,比如这个接口默认属于vlan1那么就在vlan1配置dhcp  snooping enable,那么属于vlan1的接口都开启了snooping,自动绑定动态表项,谁先抢到该ip谁就优先。
[SW5-Ethernet0/0/1]ip source check user-bind enable    # 在接口处动态绑定表项

静态:
[SW]user-bind static ip-address 192.168.2.100 mac-address 000e-c6aa-1f62 vlan 2    # 静态写入绑定表项(这里还可以配置具体哪个接口),只要一个不匹配就无法转发。

作者:Zleoco,如若转载,请注明出处:https://www.zleoco.com/?p=1639

发表回复

您的电子邮箱地址不会被公开。