以太網(wǎng)安全技術(shù)交流課件

全心為你，服務(wù)相隨H3Care俱樂部以太網(wǎng)安全H3C全球技術(shù)服務(wù)部趙文/p>

不斷變化的業(yè)務(wù)類型、不斷變化的網(wǎng)絡(luò)應(yīng)用、不斷變化的安全威脅，這些都讓當(dāng)前企業(yè)網(wǎng)絡(luò)處在需要不斷的自我調(diào)整、完善的狀態(tài)。如何保持網(wǎng)絡(luò)的安全可用，成為企業(yè)園區(qū)網(wǎng)絡(luò)運維面臨的挑戰(zhàn)。引入以太網(wǎng)常見的安全問題幾個以太網(wǎng)安全技術(shù)以太網(wǎng)常用安全技術(shù)介紹案例分析目錄假冒偽裝型攻擊假冒偽裝型攻擊ARP欺騙攻擊ARP入侵檢測arpsource-suppressionlimit{total|local|through}value端口隔離portisolateIsolate-User-VLANisolate-user-vlanenableMAC/IP欺騙攻擊DHCPrelaySecuritydhcp-securityip-addressmac-addressIP源地址保護(hù)ip-protectenableDHCP服務(wù)器欺騙攻擊DHCPSnoopingTrustdhcp-snoopingtrust根橋偽裝攻擊STP根保護(hù)stproot-protectionBPDU保護(hù)stpbpdu-protectionTCN攻擊TC-BPDU報文非立即處理機(jī)制stptc-protectionenable路由源偽裝攻擊OSPF/RIP路由MD5驗證ospfauthentication-modemd5key-idkey

ripauthentication-modemd5

rfc2082keykey-id設(shè)備控制權(quán)攻擊設(shè)備控制權(quán)攻擊用戶信息嗅探SSH2.0protolinboundsshSNMPv3snmp-agentsys-infoversionv3SFTPsenable管理人員泄密遠(yuǎn)程管理終端限制(TelnetVTY配置ACL)aclacl-numberinbound用戶分級levellevel-value暴力嘗試攻擊遠(yuǎn)程管理終端限制(TelnetVTY配置ACL)aclacl-numberinbound以太網(wǎng)常見的安全問題幾個以太網(wǎng)安全技術(shù)以太網(wǎng)常用安全技術(shù)介紹案例分析目錄DLDP技術(shù)在實際組網(wǎng)中，有時會出現(xiàn)一種特殊的現(xiàn)象——單向鏈路（即單通）。所謂單向鏈路是指本端設(shè)備可以通過鏈路層收到對端設(shè)備發(fā)送的報文，但對端設(shè)備不能收到本端設(shè)備的報文。單向鏈路會引起一系列問題，比如生成樹拓?fù)渲写嬖诃h(huán)路等。DLDP（DeviceLinkDetectionProtocol，設(shè)備鏈路檢測協(xié)議）可以監(jiān)控光纖或銅質(zhì)雙絞線的鏈路狀態(tài)。如果發(fā)現(xiàn)單向鏈路存在，DLDP會根據(jù)用戶配置，自動關(guān)閉或通知用戶手工關(guān)閉相關(guān)端口，以防止網(wǎng)絡(luò)問題的發(fā)生。AAAAAA是Authentication、Authorization、Accounting（認(rèn)證、授權(quán)、計費）的簡稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，提供了認(rèn)證、授權(quán)、計費三種安全功能。AAA一般采用客戶機(jī)/服務(wù)器結(jié)構(gòu)，客戶端運行于NAS（NetworkAccessServer，網(wǎng)絡(luò)接入服務(wù)器）上，服務(wù)器上則集中管理用戶信息。NAS對于用戶來講是服務(wù)器端，對于服務(wù)器來說是客戶端。SSHSSH是SecureShell（安全外殼）的簡稱。用戶通過一個不能保證安全的網(wǎng)絡(luò)環(huán)境遠(yuǎn)程登錄到設(shè)備時，SSH可以利用加密和強(qiáng)大的認(rèn)證功能提供安全保障，保護(hù)設(shè)備不受諸如IP地址欺詐、明文密碼截取等攻擊。設(shè)備支持SSH服務(wù)器功能，可以接受多個SSH客戶端的連接。同時，設(shè)備還支持SSH客戶端功能，允許用戶與支持SSH服務(wù)器功能的設(shè)備建立SSH連接，從而實現(xiàn)從本地設(shè)備通過SSH登錄到遠(yuǎn)程設(shè)備上。以太網(wǎng)常見的安全問題幾個以太網(wǎng)安全技術(shù)以太網(wǎng)常用安全技術(shù)介紹案例分析目錄以太網(wǎng)訪問列表主要作用:在整個網(wǎng)絡(luò)中分布實施接入安全性服務(wù)器部門A部門BIntranetInternet訪問列表對到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動作標(biāo)記訪問列表可作用于交換機(jī)的部分或所有端口訪問列表的主要用途：包過濾鏡像流量限制流量統(tǒng)計分配隊列優(yōu)先級訪問控制列表的構(gòu)成Rule（訪問控制列表的子規(guī)則）Time-range（時間段機(jī)制）ACL=rules+[time-range]（訪問控制列表由一系列子規(guī)則組成，必要時可以和時間段結(jié)合）訪問控制列表子規(guī)則:rule1子規(guī)則:rule2子規(guī)則:rule3...子規(guī)則:ruleN時間段的相關(guān)配置在系統(tǒng)視圖下，配置時間段:time-rangetime-name[start-timetoend-time]

[

days-of-the-week][from

start-timestart-date]

[to

end-timeend-date]

在系統(tǒng)視圖下，刪除時間段:undotime-rangetime-name[start-timetoend-time]

[

days-of-the-week][from

start-timestart-date]

[to

end-timeend-date]假設(shè)管理員需要在2002年12月1日上午8點到2003年1月1日下午18點的時間段內(nèi)實施安全策略，可以定義時間段名為denytime，具體配置如下:

[H3C]time-rangedenytimefrom8:0012-01-2002to18:0001-01-2003

定義訪問控制列表在系統(tǒng)視圖下，定義ACL并進(jìn)入訪問控制列表視圖:acl{numberacl-number|

name

acl-namebasic|advanced|link|user}[match-order{config|auto}]在系統(tǒng)視圖下，刪除ACL:undoacl

{number

acl-number|

name

acl-name|

all

}

端口操作符及語法TCP/UDP協(xié)議支持的端口操作符及語法操作符及語法含義eqportnumber等于portnumbergtportnumber大于portnumberltportnumber小于portnumberneqportnumber不等于portnumberrangeportnumber1portnumber2介于端口號portnumber1和portnumber2之間子規(guī)則匹配原則一條訪問控制列表往往會由多條子規(guī)則組成，這樣在匹配一條訪問控制列表的時候就存在著子規(guī)則匹配順序的問題。在H3C系列交換機(jī)產(chǎn)品上，支持下列兩種匹配順序：Config：指定匹配該子規(guī)則時按用戶的配置順序匹配Auto：指定匹配該子規(guī)則時系統(tǒng)自動排序（按“深度優(yōu)先”的規(guī)則）激活訪問控制列表在系統(tǒng)視圖下，激活A(yù)CL:packet-filter{user-group{acl-number|acl-name}[rulerule]|{ip-group{acl-number|acl-name}[rulerule]|link-group{acl-number|acl-name}[rulerule]}}在系統(tǒng)視圖下，取消激活A(yù)CL:undopacket-filter{user-group{acl-number|acl-name}[rulerule]|{ip-group{acl-number|acl-name}[rulerule]|link-group{acl-number|acl-name}[rulerule]}}802.1X的作用IEEE802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（Portbasednetworkaccesscontrolprotocol）該協(xié)議適用于接入的用戶設(shè)備與接入端口間點到點的連接方式，實現(xiàn)對局域網(wǎng)用戶接入的認(rèn)證與服務(wù)管理802.1X的認(rèn)證接入基于邏輯端口802.1X的系統(tǒng)組成傳輸介質(zhì)：點對點以太網(wǎng)（如果是共享式以太網(wǎng)需要采用加密的方式傳遞認(rèn)證信息）SupplicantAuthenticatorSystemServicesofferedbyAuthenticatorsSystemAuthenticatorPAEAuthenticatorServer非受控端口受控端口LANEAPOLEAPprotocolexchangescarriersinhigherlayerprotocolEAPOverSomethingAuthenticationServerAuthenticatorEAPOLSupplicant端口受控方式H3C公司對802.1X協(xié)議的端口控制方式進(jìn)行了擴(kuò)展，除了支持基于端口的控制方式外，還在端口受控的基礎(chǔ)上增加了基于MAC、VLAN的控制方式。缺省的認(rèn)證控制方式為基于MAC?；诙丝诘目刂埔坏┠扯丝谏嫌幸晃挥脩敉ㄟ^了802.1X的認(rèn)證，整個端口都將被授權(quán)，允許多臺主機(jī)通過此端口訪問網(wǎng)絡(luò)資源基于MAC地址的控制（端口＋源MAC）某端口上有用戶通過802.1X認(rèn)證時，僅授權(quán)給發(fā)起該認(rèn)證的主機(jī)通過此端口訪問網(wǎng)絡(luò)資源，不允許其它主機(jī)通過此端口訪問網(wǎng)絡(luò)資源802.1X優(yōu)勢明顯802.1XPPPOEWEB認(rèn)證是否需要安裝客戶端軟件業(yè)務(wù)報文效率組播支持能力有線網(wǎng)上的安全性設(shè)備端的要求增值應(yīng)用支持是，XP不需要是否高好擴(kuò)展后可用低簡單復(fù)雜復(fù)雜高較高可用可用低，對設(shè)備要求高好低，有封裝開銷高結(jié)論：802.1X適用于運營管理相對簡單，業(yè)務(wù)復(fù)雜度較低的企業(yè)以及園區(qū)是理想的低成本運營解決方案典型應(yīng)用（1）802.1X應(yīng)用在大中型網(wǎng)絡(luò)——匯聚層設(shè)備集中認(rèn)證802.1X設(shè)備端802.1X設(shè)備端DNSDHCPAAAHUB802.1X客戶端802.1X客戶端802.1X認(rèn)證服務(wù)器HUB典型應(yīng)用（2）802.1X應(yīng)用在大中型網(wǎng)絡(luò)——邊緣設(shè)備分布認(rèn)證AAA/DHCP/DNS802.1X設(shè)備端802.1X設(shè)備端802.1X客戶端802.1X認(rèn)證服務(wù)器802.1X客戶端典型應(yīng)用（3）802.1X應(yīng)用在小型網(wǎng)絡(luò)DHCP/DNSH3CS3600802.1X設(shè)備端802.1X設(shè)備端802.1X客戶端802.1X客戶端802.1X設(shè)備端802.1X客戶端AccessPoint802.1X內(nèi)置認(rèn)證服務(wù)器&設(shè)備端

仿冒網(wǎng)關(guān)

ARP病毒通過發(fā)送錯誤的網(wǎng)關(guān)MAC對應(yīng)關(guān)系給其他受害者，導(dǎo)致其他終端用戶不能正常訪問網(wǎng)關(guān)

仿冒終端用戶/服務(wù)器欺騙網(wǎng)關(guān)發(fā)送錯誤的終端用戶的IP＋MAC的對應(yīng)關(guān)系給網(wǎng)關(guān)，導(dǎo)致網(wǎng)關(guān)無法和合法終端用戶正常通信 欺騙終端用戶發(fā)送錯誤的終端用戶/服務(wù)器的IP＋MAC的對應(yīng)關(guān)系給受害的終端用戶，導(dǎo)致兩個終端用戶之間無法正常通信

其他ARPFLOODING攻擊ARP攻擊防御網(wǎng)關(guān)G用戶接入設(shè)備

網(wǎng)關(guān)防御合法ARP綁定，防御網(wǎng)關(guān)被欺騙

VLAN內(nèi)的ARP學(xué)習(xí)數(shù)量限制，防御ARP泛洪攻擊1

接入設(shè)備防御將合法網(wǎng)關(guān)IP/MAC進(jìn)行綁定，防御仿冒網(wǎng)關(guān)攻擊合法用戶IP/MAC綁定，過濾掉仿冒報文

ARP限速綁定用戶的靜態(tài)MAC2

客戶端防御合法ARP綁定，防御網(wǎng)關(guān)被欺騙3ARP攻擊防御的三個控制點動態(tài)獲取IP地址的網(wǎng)絡(luò)推薦DHCPSnooping模式網(wǎng)關(guān)接入設(shè)備接入設(shè)備監(jiān)控DHCP報文信息，綁定用戶MAC-IP-PORT關(guān)系1保護(hù)屏障DHCP響應(yīng)DHCP請求配置命令：全局模式：dhcp－snooping（全局開關(guān)）VLAN模式：ARPdetectionenable：（使能ARPdetection