DCN交换机在网络安全解决方案中的应用

DCN交换机在网络安全解决方案中的应用修改历史：2008-06-26，版本0.1。用户处可能面临各种各样的欺骗与攻击，以及网络各种异常事件。本文主要给出DCN-L2/L3交换机在使用过程中面临的一些攻击及可能的解决方法，该文档应当不断完善。来自内部的欺骗、攻击、维护脆弱性需求，首先可以在接入层解决：。MAC泛洪。非法DHCPserver、DHCP攻击。ARP欺骗、ARP扫描。STP攻击。端口形成环路。“冲击波”、“震荡波”、“红色代码”等病毒。ICMP攻击。IPFlood、。TCPSyncFlood。UDPFlood。各种DOS攻击。非法组播源汇聚层。常用配置方案:。DHCPserver/DHCPrelay/DHCPOption82。DHCPSnooping。Dot1x/Radius/TACACS+。FreeResource（=dot1xuserbasedadvanced）、ARP-Guard。防ARP扫描。关闭ARP/ND学习与更新、限制动态ARP/ND数量。ARPLocalProxy。AM。Isolate-port。Private-Vlan。IGMPSnooping。组播VLAN。DCSCM。ACL采用网络协议使系统更加可靠、安全地运行：。广播风暴抑制。带宽限速。STP/RSTP/MSTP。LACP。VRRP。端口环路检测（LoopbackDetection）。单向链路检测（ULDP）。虚拟线缆检测（VCT）。单播逆向路径转发（URPF）。黑洞路由。双向转发检测（BFD）1.防MAC泛洪攻击MAC泛洪攻击步骤：1:2层交换机是基于MAC地址去转发数据帧的。2:转发过程中依靠对CAM表的查询来确定正确的转发接口。3:一旦在查询过程中无法找到相关目的MAC对应的条目，此数据帧将作为广播帧来处理。4:CAM表的容量有限，只能储存不多的条目，当CAM表记录的MAC地址达到上限后，新的条目将不会添加到CAM表中。因而某台PC不断发送去往未知目的地的数据帧，且每个包的源MAC地址都不同，当这样的数据包发送的速度足够快之后，快到在刷新时间内将交换机的CAM表迅速填满。CAM表被这些伪造的MAC地址占据。（与攻击者连接着的相同VLAN的）无辜主机尝试与当前不在CAM表中的主机通信，由于CAM表中没有空间存储不存在项的主机，因此所有到该主机的通信都会以广播的形式来处理。化解攻击方法：采用端口安全管理特性。L2：switchportport-securitymaximumvalue或dot1x5950,76(68)00上：限制端口上动态MAC、ARP数量的限制z动态MAC数量限制，对于交换机已经动态学习到的MAC地址，如果大于等于允许学习的最大动态MAC数量时，则关闭该端口的MAC学习功能，如果少于允许学习的最大动态MAC数量时，这时仍然可以继续学习。（该功能与switchportport-securitymaximum命令的区别？？？）z动态ARP数量限制，对于交换机已经动态学习到的ARP/ND，如果大于等于允许学习的最大动态ARP/ND数量时，则关闭该端口的ARP/ND学习功能，如果少于允许学习的最大动态ARP/ND数量时，这时仍然可以继续学习。2DHCP采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些令网管人员比较头痛的问题，常见的有：攻击方式DHCPSnooping接入认证技术防护策略冒充DHCPserver攻击交换机上配置信任端口和不信任端口中间人攻击通过DHCPSnooping绑定表对攻击报文匹配过滤IP/MACSpoofing攻击通过DHCPSnooping绑定表对攻击报文匹配过滤配置静态IP地址造成网络地址冲突通过DHCPSnooping绑定表拒绝配置静态IP地址的冲突用户上网针对DHCPserver的Dos攻击限制单个端口或单个VLAN内的最大用户数以及检查DHCPRequest报文中CHADDR字段非法DHCP报文攻击对于字段异常的非法报文，由程序过滤掉2.1DHCPSnooping技术概况DHCPSnooping技术是DHCP安全特性，通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID、接口等信息，如下表所示：Switch#shipdhcpsnoopingbindingMacAddressIpAddressLease(sec)TypeVLANInterface--------------------------------------------------------------------------------08:00:46:AC:70:B8172.16.2.11692092dhcp-snooping2Ethernet1/47Totalnumberofbindings:1这张表不仅解决了DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还可以通过bindingdot1x和bindinguser-control将不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址的报文）直接丢弃，保证DHCP环境的真实性和一致性，参见2.1和2.2小节。还可以通过ipdhcpsnoopingbindingarp将绑定表项转换为静态ARP表项防止用户表项被虚假的ARP覆盖，参见2.3小节。2.2防范假冒的DHCPserver的方法由于DHCP的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。由于用户不小心配置了DHCP服务器引起的网络混乱非常常见，足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的DHCP服务器所能分配的IP地址耗尽，然后冒充合法的DHCP服务器。最为隐蔽和危险的方法是黑客利用冒充的DHCP服务器，为用户分配一个经过修改的DNSserver，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。在接入交换机上可配置信任端口和不信任端口。一旦交换机截获了从非信任端口收到的DHCPServer回应包（包括DHCPOFFER、DHCPACK和DHCPNAK），将Drop掉来自这些端口的非正常DHCP报文，发出警告，并相应做出反应（shutdown端口或下发BlackHole）。ipdhcpsnoopingaction{shutdown|blackhole}[recoverysecond]ipdhcpsnoopinglimit-ratepps2.3防范中间人攻击的方法中间人攻击是指中间人向客户端发带有自己MAC和服务器IP的报文，又同时向服务器发带有自己MAC和客户端IP的报文，最终使客户端和服务器分别学到自己的IP和MAC，使服务器发到客户端的报文都会经过中间人。IP/MACSpoofing攻击是指攻击者向服务器发送带有合法用户IP和MAC的报文，使服务器误以为已经学到这个合法用户的IP和MAC，但真正的合法用户不能从服务器获得服务。为隔离中间人攻击与IP/MACSpoofing攻击，使用DHCPSnooping绑定表对接口收到的报文进行检查。如果接口收到ARP或者IP报文，就用报文中的“源IP+源MAC”去匹配DHCPSnooping绑定表，如果绑定表中没有匹配项就丢弃该报文，否则正常转发，通过这样匹配方式，不仅可以防止上述攻击，也防止了设置静态IP的用户和IP盗用者。2.4防范针对DHCPserver的Dos攻击的方法DHCPServerDoS攻击也称为DHCP地址池耗尽攻击，即攻击者通过不断变换用户物理地址，尝试申请DHCP域中所有的IP地址，以耗尽DHCPServer地址池资源，导致其他正常用户无法获得地址，达到DoS的目的。我们可以在LAN端口上设置MACLimit数量来限制此类攻击。但攻击者倘若改变的不是数据帧头部的源MAC，而是改变DHCP报文中的CHADDR（ClientHardwareAddress）值来不断申请IP地址，那么“MAC地址限制”方案显然是行不通的。为保证业务的安全性，DHCPSnooping技术需要检查DHCPRequest报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配，便转发报文；否则，丢弃报文，有效阻止这类攻击。目前黑客采用的攻击方法通常如下：（1）重复执行ipconfig-release_all【解决方法】在实际情况中，重复执行ipconfig-releaseall。实际上只发出了DHCPRequest报文，并没有申请新的IP地址，DHCP服务器回一个DHCPAck报文允许用户继续使用该IP地址，攻击失败。（2）先执行一次正常的DHCP过程，用Etheral把报文截取下来，再修改MAC地址，把报文按顺序发出去，但没有发ARP广播报文，结果导致DHCPserver被骗去一个IP地址，黑客工具Azrael就是利用这个原理骗取IP地址。【解决方法】在正常情况下用户申请到动态IP地址后都要发一个ARP广播，目的IP地址是分配给它的IP，想看看是否有IP地址冲突。可以利用这一点检查用户动态申请IP地址后是否发ARP广播，如果不发就认为是假的用户，就通知DHCP服务器把该IP地址释放。（3）黑客在方法2的基础上再加一条ARP广播就可以骗过DHCPRelay，申请到的IP地址不会被释放，结果大量模拟发送这种报文就可以把DHCP地址池耗尽。星天平台的VlanDial可以实现这种原理的攻击。【解决方法】由于现在的网络主要是IP网，而IP网络中最盛行的是以太网。在以太网中为了抑制广播采用了VLAN技术，因此要从根本上防止DHCP地址池耗尽的攻击，可以采用限制单个VLAN上的用户数的方法，经过限制VLAN上的接入用户数，黑客工具再厉害也不能获得很多IP地址。从上面的攻击/防护中可以看出，在实际应用中，仅仅按照DHCP的标准协议内容来实现DHCP功能是远远不够的，除非在一个完全可以信任的网络中如企业内部网。在实际应用中除了实现DHCP的标准功能外，还必须考虑对于用户的控制，虽然这超出了DHCP协议本身的内容，但没有这些控制功能，连网络的安全性都无法保证，DHCP也就失去了意义。就目前来说，感觉最现实改动最少的方法还是在DHCPRELAY处进行用户认证。因为如果要在DHCPSERVR处实现用户认证，则就必须改动现存的DHCPSERVER软件。而目前DHCPSERVER软件都是集成在操作系统中的，如NT、UNIX，这意味着要改动操作系统，肯定不是短时间能够支持的。而DHCPRELAY是新增的附加软件，改动容易，在DHCPRELAY处实现用户认证后，DHCPSERVER完全不用改动。采用DHCPSnooping限制单个端口或单个VLAN内的最大用户数，以及检查DHCPRequest报文中CHADDR字段，就可以有效地防止DHCP地址池耗尽攻击。2.5非法DHCP报文攻击用户使用DHCPRelay，但由于程序中BUG使得在运行两天左右tDhcpRcv进程挂起，参见BUG[22031,22768]。当收到hlen字段值超过16的非法报文时，由于程序BUG使内存越界并破坏任务栈，导致tDhcpRcv进程挂起。增加dhcp报文的合法性检验，判断hlen字段值超过16的为非法报文，并丢弃之。2.6手工添加DHCPSnooping静态绑定表项用于在动态IP分配环境下有部分用户为固定的IP从固定端口上网，可在接入交换机上配置其静态绑定表项。ipdhcpsnoopingbindingusermacaddressipAddrmaskvlanvidinterface(ethernet|)ifname相关BUG[22713]。说明：DHCP_Snooping功能和DHCPSER