最近,刘帅的小日子并不太平,一直负责的公司网络出了点问题。员工出现了部分断网的情况,怎么排查刘帅也找不到根本原因(实际上是根本没有头绪),无奈只能求助于自己的大学室友,问问可能的原因。
简单描述了公司内部的网络环境和情况,室友提出了几个可能性:“会不会是内网遭受到了攻击,比如ARP攻击?会不会是网络中私接了设备,比如小路由器?”听着室友头头是道,刘帅赶紧记了下来,连夜学习相关技术,想要快速解决这个问题。通过一个晚上的学习,刘帅终于知道了,企业网内部也会有很多安全隐患。比如用户私接终端设备可能导致病毒的传播、用户私接家用无线路由器可能导致IP地址冲突/断网等、内网中也会存在ARP攻击来进行病毒扩散和致使其他主机断网等等一系列问题...之后两天,刘帅开始尝试解决这些问题。通过端口安全来进行合法主机的绑定、限制非法用户接入网络;使用DAI进行ARP的攻击防御;利用IPSG来限制非法主机接入内部网络...一切,都是为了保证内网安全。通过两天的查漏补缺,刘帅发现了很多自己技术的欠缺,也知道了内网安全的重要性,原来一个企业网也有这么多门道...解决问题之后,领导也表扬了刘帅,最近这小伙子的进步还是很可观的...你是不是也像刘帅一样,觉得企业网没啥技术含量可言?但是一旦遇到问题、尤其是涉及内网安全相关的问题总是无从下手?实际上,内网安全非常重要,是网工必须掌握的基础技术!号主为了帮助大家更加清晰的了解、掌握内网安全防护技术,拓宽知识面,解决求职难、升职难的问题!特别邀请了——
端口安全(Port Security),从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性。另外,端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。常见的端口安全有绑定其MAC地址,只允许本台物理设备访问网络,一般安全性较高的公司不允许私人电脑连接公司内网,即使连接上也是无法访问网络的。也有的限制其最大的连接数,当超过一定数量的MAC地址时,自动关闭端口来保护网络,这两种方法都能有效的防止MAC欺骗和泛洪攻击。
- Address Resolution Protocol。
- 在以太网环境中,节点之间互相通信,需知晓对方的MAC地址。
- 在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就是将IP“解析”到对应的MAC地址。
- ARP响应报文无需请求即可直接发送,这给攻击者留下巨大漏洞。
- 没有确认机制,任何人都可以发起arp请求或response。
泛洪攻击也叫拒绝服务攻击(Denial of Service)。主要场景:设备处理arp报文和维护arp表项都需要消耗系统资源,同时为了满足arp表项查询效率的要求,一般设备都会对arp表项规模有规格限制。攻击者连续向目的主机发送大量伪造的源ip和mac地址的arp请求,使得设备arp表资源被无效的arp条目耗尽,合法用户的arp报文不能继续生成arp条目,导致正常通信中断。分为基于单个交换机端口报文限速和基于源mac地址报文限速。可以防止设备因处理大量arp报文,导致cpu负荷过重而无法处理其他业务。(广播报文都要经过cpu,所以大量的广播报文会导致cpu占用较高)i)仅学习本机arp请求的应答,只有本设备主动发送的arp请求报文的应答报文才能触发本设备学习arp,其他设备主动向本设备发送的arp报文不能触发本设备学习arp。这可以防止设备收到大量arp攻击报文时,arp表被无效的arp条目占满。ii)免费arp主动丢弃,设备直接丢弃免费arp报文,可以防止设备因处理大量免费arp报文,导致cpu负荷过重而无法处理其他业务。iii)限制端口可学习的arp表项数量,设备接口只能学习到设定的最大动态arp表项数目。这可以防止当一个接口所接入的某一台用户主机发起arp攻击时整个设备的arp表资源都被耗尽。arp欺骗攻击是指攻击者通过发送伪造的arp报文,恶意修改设备或网络内其他用户主机的arp表项,造成用户或网络的报文通信异常。ii)伪造网关,导致内网用户上网异常或者截取用户报文,进而非法获取游戏、网银、文件服务等系统的账号和口令。设备在第一次学习到arp之后,用户更新此arp表项时通过发送arp请求报文的方式进行确认,以防止攻击者伪造arp报文修改正常用户的arp表项内容通过检查报文中的ip地址、mac地址,直接丢弃非法的arp报文,避免非法用户伪造arp报文,刻意的进行arp攻击当设备收到arp报文时,将此arp报文的源ip、源mac、收到arp报文的接口及vlan信息和绑定表的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的arp报文通过,否则认为是攻击,丢弃该arp报文。该功能仅适用于dhcp snooping场景。说明:如果pc采用静态配置ip,那它也不会有snooping绑定表项,如果在交换机上配置了DAI功能的话,交换机将丢弃这台pc发送的报文。丢弃源ip地址为网关设备ip地址的arp报文,防止攻击者仿冒网关,一般在网关设备上开启。
DAI(dynamic arp inspection)是一种能够验证网络中ARP数据包的安全特性,可以防止中间人攻击。DAI是一种与DHCP监听和IP源防护相结合的安全特性,DAI需要使用DHCP监听绑定表和配置的静态IP源防护绑定表(CAM表)(使用 ip source binding 命令),所以在配置DAI前交换机必须启用DHCP监听,另外目前只有三层交换机才支持DAI。通常需要和DHCP的snooping结合使用,因为要利用到DHCP snooping技术生成的绑定表。也可静态写IP和MAC的绑定表。原理:启用DAI后,将接口分为trusted和untrusted。对于untrusted接口,要进行ARP的检查,必须是和绑定表中的条目相匹配的ARP包才允许通过。
IPSG是IP Source Guard的简称。设备在作为二层设备使用时,利用绑定表来防御IP源欺骗的攻击。背景:随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、接口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发;否则认为是攻击报文,并丢弃该IP报文。如:用户通过DHCP上线。上线后,Switch根据DHCP ACK报文生成用户的绑定表,绑定表包括用户的源IP、源MAC、端口、VLAN信息。当用户发送IP报文时,SwitchA查找此IP报文是否和该用户的绑定表匹配,如果是相同的,则允许报文通过,否则丢弃该IP报文。这样,合法用户发送的IP报文会被允许通过,而攻击者发送虚假的IP报文,无法匹配到绑定表,报文被丢弃,无法攻击其他用户。内网安全是很多网工都会忽略的技术汇总点,但实则非常重要。是作为网工必须要掌握的网络技术,未来在项目中的应用是十分频繁的。如果你之前还对于这个模块比较陌生,不要错过这次机会,两个晚上,晴天老师带你搞定!不难,且很实用!
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
