企业网络设计及部署.pptVIP

DAI(动态ARP检测) ? DAI(Dynamic ARP Inspection) 保护ARP中毒(ettercap、dsniff 或arpspoof等)攻击 ? 使用DHCP Snooping的绑定表 ? 从DHCP交互中得到IP和MAC的 绑定关系 ? 丢弃免费ARP ? 防止ARP中毒和中间人(Man-In- Middle)攻击 ? 限制来自客户端端口的ARP请求 报文的速率；防止端口扫描 关于DAI ? DAI可以设置每个接口为信任或非信任状态。 ? 信任端口不进行DAI。 ? 非信任端口进行DAI校验。 ? 必须使用DHCP Snooping构建IP与MAC的 绑定表，用于DAI校验。 配置DAI ? 全局启用DHCP Snooping ? 在指定VLAN中启用DHCP Snooping ? 在指定VLAN中启用DAI ? 配置信任端口(缺省为非信任) IP源保护(IP Source Guard) 端口绑定,把IP和MAC绑定 ? 防止IP地址欺骗 ? 使用DHCP Snooping绑定表 ? 跟踪IP地址和接口的关联关系 ? 动态下发ACL丢弃来自非法IP地址的报文 IP Source Guard ? 必须配置DHCP Snooping来检查源IP地址。 ? DHCP Snooping结合端口安全性能够校验源IP 地址和MAC地址。 思科Catalyst交换机的安全配置 sw(config)#ip dhcp snooping sw(config)#ip dhcp snooping vlan 10,20 sw(config)#ip arp inspection vlan 10,20 sw(config)#interface fastethernet 0/1 sw(config-if)#description access port sw(config-if)#switchport mode access sw(config-if)#switchport access vlan 10 sw(config-if)#switchport port-security maximum 2 sw(config-if)#switchport port-security violation restrict sw(config-if)#switchport port-security sw(config-if)#ip chdp limit rate 50 sw(config-if)#ip verify source port-security sw(config)#interface fastethernet 0/24 sw(config-if)#description uplink sw(config-if)#switchport mode trunk sw(config-if)#switchport trunk allowed vlan 10,20 sw(config-if)#ip dhcp snooping trust sw(config-if)#ip arp inspection trust 总结 ? DHCP欺骗攻击发送未授权的应答给DHCP请求。 ? DHCP Snooping用于防止DHCP欺骗攻击。 ? 思科Catalyst交换机支持DHCP Snooping特性。 ? ARP欺骗能够将流量重定向到网络中一个未授权的设备。 ? DAI结合DHCP Snooping可以阻止ARP欺骗攻击。 为什么需要内部安全性？ ? 企业园区网由企业边缘的安全功能来保护 – 若企业边缘安全性失效，企业园区网将受到攻击 – 内部的攻击者能够获取企业园区网的物理访问 – 某些网络解决方案要求外部间接的访问园区网 ? 企业园区网中所有重要设备需要独立保护 非法设备 ? 非法网络设备可以是： – 交换机 – 无线AP – Hub ? 连接到接入层交换机的端口 ? 连接例如笔记本或打印机等设备 交换机攻击类型 ? 基于MAC地址的攻击 – MAC地址泛洪 ? VLAN攻击 – VLAN跳跃 ? 欺骗攻击 – DHCP、ARP和MAC地址欺骗等 ? 攻击交换机设备本身 – 思科发现协议(CDP) – 管理协议 MAC泛洪攻击 使用端口安全性阻止基于MAC的攻击 ? 问题： – 攻击者使用脚本黑客工具 伪造MAC地址攻击交换 机CAM表(MAC地址表) – 交换机CAM表只能存放 有限数量的MAC地址 ? 解决方法： – 端口安全性限制MAC泛 洪攻击并锁定端口 – 端口安全性产生SNMP Trap消息 – 只有允许的数据帧被转发