以太网安全技术交流.pptVIP

* * * * * * * * * 802.1X的受控端口（2） 受控端口支持三种认证授权模式 ForceAuthorized模式 端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源 ForceUnauthorized模式 端口一直维持非授权状态，忽略所有客户端发起的认证请求 Auto模式 端口初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源 第二十八页，共四十五页。 端口受控方式 H3C公司对802.1X协议的端口控制方式进行了扩展，除了支持基于端口的控制方式外，还在端口受控的基础上增加了基于MAC、VLAN的控制方式。缺省的认证控制方式为基于MAC。 基于端口的控制 一旦某端口上有一位用户通过了802.1X的认证，整个端口都将被授权，允许多台主机通过此端口访问网络资源 基于MAC地址的控制（端口＋源MAC） 某端口上有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，不允许其它主机通过此端口访问网络资源 第二十九页，共四十五页。 802.1X优势明显 802.1X PPPOE WEB认证 是否需要安装 客户端软件 业务报文效率 组播支持能力 有线网上的 安全性 设备端的要求 增值应用支持 是，XP不需要 是 否 高 好 扩展后可用 低 简单 复杂 复杂 高 较高 可用 可用 低，对设备要求高 好 低，有封装开销 高 结论： 802.1X适用于运营管理相对简单，业务复杂度较低的企业以及园区 是理想的低成本运营解决方案 第三十页，共四十五页。 典型应用（1） 802.1X应用在大中型网络——汇聚层设备集中认证 802.1X 设备端 802.1X 设备端 DNS DHCP AAA HUB 802.1X客户端 802.1X客户端 802.1X认证服务器 HUB 第三十一页，共四十五页。 典型应用（2） 802.1X应用在大中型网络——边缘设备分布认证 AAA/DHCP/DNS 802.1X 设备端 802.1X 设备端 802.1X客户端 802.1X认证服务器 802.1X客户端 第三十二页，共四十五页。 典型应用（3） 802.1X应用在小型网络 DHCP/DNS H3C S3600 802.1X设备端 802.1X设备端 802.1X客户端 802.1X客户端 802.1X设备端 802.1X客户端 AccessPoint 802.1X内置认证服务器设备端 第三十三页，共四十五页。 仿冒网关 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关 仿冒终端用户/服务器 欺骗网关 发送错误的终端用户的IP＋MAC的对应关系给网关，导致网关无法和合法终端用户正常通信 欺骗终端用户 发送错误的终端用户/服务器的IP＋MAC的对应关系给受害的终端用户，导致两个终端用户之间无法正常通信 其他 ARP FLOODING 攻击 ARP攻击防御 第三十四页，共四十五页。 网关G 用户 接入设备 网关防御 合法ARP绑定，防御网关被欺骗 VLAN内的ARP学习数量限制，防御ARP泛洪攻击 1 接入设备防御 将合法网关IP/MAC进行绑定，防御仿冒网关攻击 合法用户IP/MAC绑定，过滤掉仿冒报文 ARP限速 绑定用户的静态MAC 2 客户端防御 合法ARP绑定，防御网关被欺骗 3 ARP攻击防御的三个控制点 第三十五页，共四十五页。 动态获取IP地址的网络推荐DHCP Snooping模式 网关 接入设备 接入设备 监控DHCP报文信息，绑定用户MAC-IP-PORT关系 1 保护屏障 DHCP响应 DHCP请求 配置命令： 全局模式：dhcp－snooping（全局开关） VLAN模式：ARP detection enable：（使能ARP detection enable检测，限制ARP报文数量） 上行接口：ARP detection trust（ 将上行口配置为信任接口不检查ARP） DHCP 第三十六页，共四十五页。 启用接入认证的网络推荐认证模式 网关 接入设备 接入设备 认证客户端绑定网关的IP-MAC对应关系 3 iNode客户端 iNode客户端 iNode客户端 iNode客户端 CAMS服务器 IP Address G MAC G 00-e0-fc-00-00-04 静态ARP绑定： 第三十七页，共四十五页。 以太网常见的安全问题 几个以太网安全技术 以太网常用安全技术介绍 案例分析 目 录 第三十八页，共四十五页。 案例点评1：某大型企业总部网络 第三十九页，共四十五页。 大