DAI施工文件.pdfVIP

第二课堂网络技术论坛 DAI 施工文件 - 防 ARP/MAC 等,安全构建网络中关键的第 一步: 基础架构的安全 DAI施工文件 - 防ARP/MAC等,安全构建网络中关键的第一步: 基础 架构的安全 目录: DHCP 执行测试报告 1 1 拓扑图 1 2 使用 DHCP SNOOPING 、DAI、IP SOURCE GUARD 技术能解决的有关 问题 2 3 实施文档 4 3560 5 2960 15 4 技术参考 21 DHCP 执行测试报告 (实施文档和其他参考笔记,在本文档后面) 第二课堂网络技术论坛 本报告为*****DHCP 执行测试报告，目的在于测试利用思科 DHCP Snooping，Dynamic ARP Inspection (DAI)，IP Source Guard等技 术组合运用于交换机上，从而实现防止在交换环境中实施“中间人” 攻击、DHCP 攻击、地址欺骗等，更具意义的是通过上面技术的部署 可以简化地址管理，直接跟踪用户 IP 和对应的交换机端口；防止 IP 地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫 描、欺骗等特征的病毒可以有效的报警和隔离。 1 拓扑图 (具体施工的配置参见txt 文件,本图不全) [attach]666[/attach] 中心3560--楼层2960 中心后面将会扩到 6509 的核心 第二课堂网络技术论坛 2 使用 DHCP Snooping 、DAI、IP Source Guard 技术能解决的有关 问题 1．利用DHCP Snooping 防范DHCP 攻击 1.1 采用DHCP 管理的常见问题： 采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、 网关、 DNS 、 WINS 等网络参数，简化了用户网络设置，提高了管 理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题， 常见的有： • DHCP server 的冒充。 • DHCP server 的 Dos 攻击。 • 有些用户随便指定地址，造成网络地址冲突。 由于 DHCP 的运作机制，通常服务器和客户端没有认证机制，如 果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小 心配置了 DHCP 服务器引起的网络混乱非常常见，足可见故意人为破 坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽，然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方 法是黑客利用冒充的 DHCP 服务器，为用户分配一个经过修改的 DNS server ，在用户毫无察觉的情况下被引导在预先配置好的假金融网 第二课堂网络技术论坛 站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。 1.2 DHCP Snooping 技术概况 DHCP Snooping 技术是 DHCP 安全特性，通过建立和维护 DHCP Snooping绑定表过滤不可信任的DHCP 信息，这些信息是指来自不信 任区域的 DHCP 信息。DHCP Snooping 绑定表包含不信任区域的用户 MAC 地址、IP 地址、租用期、VLAN-ID 接口等信息，如下表所示： S3560#sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface 08:00:46:AC:70:B8 1 692092 dhcp-snooping 2 FastEthernet0/ 47 Total number of bindings: 1 这张表不仅解决了 DHCP 用户的 IP 和端口跟踪定位问题，为用户管 理提供方便，而且还供给动态ARP 检测DAI）和IP Source Guard 使 用。 1.3 防范方法 第二课堂网络技术论坛 定义交换机上的信任端口和不信任端口，对于不信任端口的 DHCP 报 文进行截获和嗅探， DROP 掉来自这些端口的非正常 DHCP 报文。通 过交换机的端口