06.交换机基础安全功能原理与应用.pptVIP

欺骗原理 欺骗者伪造Send’s IP与Sender’s MAC 受骗主机用的Sender MAC与Sender IP更新自己的ARP表 ARP欺骗 * 网关 PC2 PC1 00d0.f800.0001 00d0.f800.0002 54 001a.a908.9f0b Cheat（ARP Request） ARP欺骗攻击目的 为什么产生ARP欺骗攻击？ 表象：网络通讯中断 真实目的：截获网络通讯数据 * PC1 网关 主机型 网关型 欺骗者 ARP-check 概述 ARP检查功能，防止ARP欺骗的产生 原理 利用FFP中IP+MAC过滤表项，生成ARP过滤表项 过滤ARP字段 Sender’s IP Sender’s MAC * Dest MAC Source MAC TYPE IP Source IP Dest IP 原FFP逻辑示意 新增FFP逻辑示意 Dest MAC Source MAC TYPE ARP Sender’s IP Sender’s MAC ARP-check的应用场合 场合 Port-Security IP Source Guard 802.1x + 授权 其他能形成IP+MAC过滤表项的功能 * ARP-check配置 开启ARP-check功能 Ruijie(config-FastEthernet 0/1)#arp-check 查看ARP-check表项 Ruijie(config)#show int arp list * DAI * 概述 动态ARP监测，用于防止ARP欺骗的发生 原理 提取DHCP Snooping数据库中的IP+MAC表项 利用CPU过滤ARP报文发送者字段(Sender’s IP/MAC) 如果ARP报文的发送者字段不存在于数据库中则丢弃该ARP报文 端口角色 非信任口：拒绝不存在于DHCP Snooping数据库ARP报文 信任口：允许所有ARP报文通过 默认角色：非信任口 DAI配置 指定DAI监测VLAN Ruijie(config)#ip arp inspection vlan 1 设置DAI信任接口 Ruijie(config-FastEthernet 0/1)#ip arp inspection trust 查看DAI配置 Ruijie#show ip arp inspection vlan 1 * ARP-chek与DAI的区别 IP、MAC来源 ARP-check：FFP中IP/MAC过滤表项 DAI：DHCP Snooping数据库 处理方式 ARP-check：FFP硬件处理 DAI：CPU软件处理 * 各种防ARP欺骗方案比较 * 环境/方案 Port-Security + ARP-check DHCP Snooping + IP Source guard + ARP-check DHCP Snooping + DAI Supplicant授权 + ARP-check 静态IP √ 　 　 　 静态IP+SAM 　 　 　 √ 动态IP 　 √ √ 　 动态IP+SAM 　 √ √ 　 注 接入交换机中开启ARP-check功能时，S2300系列交换机推荐每端口一个用户，其他系列交换机每端口不超过20个用户 各系列交换机支持情况一览 * 环境/方案 Port-Security + ARP-check DHCP Snooping + IP Source Guard +ARP-check DHCP Snooping + DAI Supplicant授权 + ARP-check S2300(接入) √ N/A √ √ S2600(接入) √ √ √ √ S2900(接入) √ √ √ √ S3250(接入) √ √ √ √ 总结 设备安全管理 密码 源地址限制 安全协议 接入安全 保护端口 全局地址绑定 端口安全 防攻击 DHCP Snooping IP Source Guard 防ARP：ARP-check DAI * * THANKS！ 培训目标： 8 * S2100系列交换机不支持 8 * ACL见公共技术课程 802.1x见SAM课程 8 * 保护端口适用于比较简单的场合，对于隔离要求较高的场合建议使用PVLAN，关于PVLAN技术请参考公共技术类课程 8 * 全局地址绑定无需将安全规则与端口对应 8 * S2100系列交换机address-bind功能的处理机制是： 只有过滤匹配IP却不匹配MAC的主机，其他主机不收约束 8 * protect：当IP/MAC过滤项个数满后，安全端口将丢所有新接入的用户数据流。该处理模式为默认的对违例的处理模式。 restrict：当违例产生时，将发送一个 T