网络天下 路由万千(交换机).ppt

好好卖就是有意义，有意义就是好好卖 红海还是死海？ 品牌繁杂，竞争激烈 同质化竞争，卖点究竟是什么？ 技术实力待加强 一个都不能少! 交换机市场的领先者－H3C 行业应用 权威的认证测试 H3C S7500E 产品一览 局域网需求调研 安全易用局域网解决方案三步曲 什么是ARP，什么是免费ARP？ ARP欺骗进行中间人攻击－如何攻击 如何防范ARP欺骗－ARP入侵检测 什么是DHCP服务器欺骗攻击？ DHCP服务器欺骗攻击－如何攻击 如何防范DHCP服务器欺骗攻击－DHCP Snooping 信任端口 如何动态防范地址仿冒－IP Source Check MAC地址攻击－如何攻击 如何防范MAC地址攻击－端口安全 故障定位－虚电缆检测（VCT） 故障定位－端口环回监测 故障定位－设备连接检测（DLDP） 传统网管产品中的问题在哪里？ 企业网络安全威胁 企业内网面临复杂多样的威胁 非法用户随意接入公司内部网络 内部合法用户滥用权限 终端不能及时打系统补丁 员工私自安装软件、开启危险服务 …… 现有安全措施难以有效保护网络 无法检查网络内计算机的安全状况 缺乏对合法终端滥用网络资源的安全管理 无法防止恶意终端的蓄意破坏 …… 接入终端数量大、系统复杂，难以管理 企业内网缺乏有效安全监控、审计手段 系统软件安全漏洞修复不及时 系统缺乏行之有效的管理及紧急响应手段 无法及时掌握终端的更新和变化 …… 基于设备、用户、业务的融合管理 根据ARP 协议的实现原理，当一台主机收到的 ARP 应答并非自己所请求的，它也会对自己 ARP 缓存表进行其更新或加入操作。ARP协议没有对ARP报文的真实性提供验证机制，就给“ ARP 欺骗攻击”提供了可乘之机。 攻击的危害： 利用 ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。 根据ARP 协议的实现原理，当一台主机收到的 ARP 应答并非自己所请求的，它也会对自己 ARP 缓存表进行其更新或加入操作。ARP协议没有对ARP报文的真实性提供验证机制，就给“ ARP 欺骗攻击”提供了可乘之机。 攻击的危害： 利用 ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。 C友商的解决方案：DAI( Dynamic ARP Inspection) + ARP 限速 + DHCP Snooping。 我司的解决方案与C友商相似，目前我司S3600-SI可支持该特性，而友商需要更高一档的产品才支持。 应该说对于ARP Poisoning、ARP欺骗攻击，ARP入侵检测是最佳的方案。 ARP入侵检测（ARP Intrusion Inspection)过程： 1）以DHCP Snooping绑定表为基础； 2）对ARP报文的MAC地址有效性进行检查； 3）对ARP报文的IP地址有效性进行检查； 4）丢弃无效的ARP报文； 5）完全杜绝ARP欺骗中间人攻击。 MAC + IP + 端口 绑定是否可以解决ARP欺骗问题呢 ？答案是否定的。端口绑定（手工绑定、动态绑定、802.1x认证产生的绑定）能保证交换机端口在发送和接收数据报文时，只处理目的MAC/IP或者源MAC/IP匹配的数据报文。交换机端口收到的免费ARP报文，其源MAC地址是符合规则的，目的MAC地址是广播地址，其伪装的IP、MAC地址作为ARP报文中的数据，交换机识别不出来。 端口绑定虽然不能解决ARP中毒问题，但却可以阻止中间人攻击。 分配错误的DNS可导致什么后果呢？ 1）将你的Web请求转到虚假的网站； 2）骗取银行账号、密码； 3）骗取应用系统的用户名、口令。 分配错误的网关可导致什么后果呢？ 1）Man-in-the-Middle攻击 分配错误的DNS可导致什么后果呢？ 1）将你的Web请求转到虚假的网站； 2）骗取银行账号、密码； 3）骗取应用系统的用户名、口令。 分配错误的网关可导致什么后果呢？ 1）Man-in-the-Middle攻击 由于ARP入侵检测，只检查ARP报文，对于其它报文不作检测。而IP源地址保护功能，可以对所有经过定义的IP报文进行检测，因此可以比较有效地遏制MAC/IP地址欺骗攻击。 交换机上配置IP源地址保护(源IP地址过滤 )： 1)可使用DHCP Sooping地址绑定表信息 2)可静态配置IP地址 MAC地址、端口、VLAN对应表 3)发送的数据报文，跟以上绑定信息表进行匹配 4)如果匹配，正在通行，否则丢弃报文。 当交换机象