H3C S12500 网络安全技术白皮书

1  概述

随着互联网技术的不断演进、网络规模的爆炸性发展,互联网应用已经从起初的科研领域逐渐延伸到当代社会生活的方方面面,越来越多基于网络的关键业务蓬勃兴起,网络成为人类提高生产力、提升生活质量的新的推动力。然而,互联网的技术基础,即IP网络,却在天然上存在着安全、服务质量、运营模式等方面的隐患。

IP网络的简单和开放在促成互联网迅猛发展的同时,也造成了IP网络容易引入安全漏洞的弱点。同时,随着技术的发展、信息传递的迅捷,针对IP网络安全攻击的技术难度越来越小,攻击工具自动化程度则越来越高,攻击技术趋向平民化。网络攻击事件数量每年都在大幅增加,造成的损失日益巨大,影响范围不再仅限于少数公司,甚至波及国家信息安全。网络安全威胁给网络世界进一步的发展蒙上了阴影。在这种情况下,网络设备自身的安全特性和防攻击能力显得越来越重要。

2  网络安全威胁

2.1  网络安全威胁的定义

所谓网络安全威胁,包括传输数据安全威胁和网络设备安全威胁。传输数据安全威胁指通过特定技术,对在网络、服务器和桌面上存储和传输的数据未经授权进行访问,甚至破坏或者修改这些数据;网络设备安全威胁指针对网络设备进行攻击,影响网络设备正常运行。

2.2  网络安全威胁的分类

IP网络的安全威胁分为两个方面:

l              主机(包括用户主机和应用服务器等)的安全;

l              网络自身(主要是网络设备,包括路由器、交换机等)的安全。

用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击,诸如病毒、木马。网络设备主要面对的是基于TCP/IP协议的攻击。本文主要讨论网络自身,即网络设备的安全问题。

2.3  网络设备的安全威胁

网络设备的功能可以分为以下几个层面:网络数据传送、网络控制信令、网络设备管理。相应地,网络设备的安全威胁即是针对于这几个层面展开的。

2.3.1  数据传送层面

网络数据传送层面的功能是负责处理进入设备的数据流。它有可能受到基于流量的攻击,如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间,造成正常的数据流量无法得到处理,使设备的可用性降低。由于网络数据传送层面负责用户数据的转发,因此也会受到针对用户数据的攻击,主要是对用户数据的恶意窃取、修改、删除等,使用户数据的机密性和完整性受到破坏。

2.3.2  控制信令层面

网络控制信令层面的主要功能是维护各层网络协议的运行,以控制数据流的路由和交换。这一层面受到的最主要威胁来自对路由信息的窃取,对IP地址的伪造等,这会造成网络路由信息的泄漏或滥用。

2.3.3  设备管理层面

网络设备管理层面提供了对设备的远程管理功能。威胁来自于两个方面,一个是系统管理所使用的协议(如Telnet协议、HTTP协议等)的漏洞,另一个是不严密的管理,如设备管理账号的泄露等。

3 安全能力介绍

H3C S12500系列高端路由交换机是基于Comware软件平台进行开发的。通过Comware平台的支持,以及H3C S12500独有的一些安全实现,H3C S12500能够提供丰富的安全特性。

3.1  数据转发层面的安全能力

3.1.1  URPF技术

URPF(Unicast Reverse Path Forwarding,单播反向路径转发)检查技术,主要用于防止基于源地址欺骗的网络攻击行为。

源地址欺骗攻击是指入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是管理员权限。即使被攻击设备的响应报文不能到达攻击者,同样也会对被攻击设备造成破坏。

图1 URPF检查示意图

如上图所示,在Device A上伪造源地址为2.2.2.1/8的报文,向Device B发起请求,Device B响应请求时将向真正的“2.2.2.1/8”,即Device C发送报文。这种非法报文对Device B和Device C都会造成攻击。

URPF检查技术可以应用在上述环境中,在Device B上根据报文的源IP地址查找该IP地址的出接口,判断该IP地址的出接口是否和报文的入接口一致,如果不一致则认为URPF检查不通过,并且对这种报文采取相应的处理动作。

S12500产品支持URPF技术,并且能够支持多种检查模式,用户可以根据当前网络安全等级及应用需要采用不同的URPF检查模式。

l              严格检查模式

严格检查模式不但需要检查报文的源IP地址是否在路由表中存在,还需要检查报文的入接口是否和源IP地址查找的路由表中的出接口一致,如果有一个出接口和报文入接口一致,则认为检查通过,否则认为检查不通过。

对于缺省路由、主机路由和网段路由,也同样支持严格模式的检查,必须检查路由表和出接口信息;对于等价路由,只需要符合等价路由的任意一条路由,则认为URPF检查成功,报文正常转发。

l              基于链路层检查模式

链路层检查模式先根据报文源IP地址查找路由表,获取下一跳地址,并且根据下一跳IP地址查找ARP表项,获取ARP表中的MAC地址,并且用该MAC地址和报文源MAC地址进行比较,如果相等则URPF检查通过,否则URPF检查失败。

基于链路层检查模式,是S12500产品基于高可靠、高安全核心层设备推出的安全特性之一,真正把数据链路层和IP层结合在一起,实现IP转发的链路层检查,相较于以往单纯的IP地址检查,更加科学和安全。

链路层检查模式不支持基于等价路由的检查。

 

3.1.2  非法报文过滤技术

网络中充斥的各种非法报文,不但占用宝贵的带宽资源,还对网络中的各种设备造成冲击。

S12500产品能够过滤各种非法报文,既包括内容错误的报文,也包括格式错误的报文,下面具体描述S12500产品能够识别并且过滤的各种非法报文:

1. 网络接入控制的过滤功能

检测并过滤各种物理层错误的报文,包括CRC错帧、超小帧、超大帧、帧丢失、奇偶检验错帧等。

2. 数据链路转发的过滤功能

S12500能够过滤如下数据链路层非法的报文:

l              端口收到报文的VLAN ID不在端口允许通过的范围内,直接丢弃;

l              非法源MAC地址的报文(报文源MAC地址为组播MAC地址),直接丢弃;

l              STP BLOCK的端口收到数据报文,直接丢弃。

3. IP转发的过滤功能

对于各种IP头和IP地址非法的报文,S12500设备能够检查并且过滤:

l              IPv4头校验和错误的报文,直接丢弃;

l              IPv4头版本号错误的报文,直接丢弃;

l              IPv4头长度错误的报文,直接丢弃;

l              IPv4源IP地址等于目的IP地址的报文,直接丢弃;

l              IPv4源IP地址为127.0.0.0/8或224.0.0.0/4的报文,直接丢弃;

l              IPv4目的IP地址为127.0.0.0/8或0.0.0.0的报文,直接丢弃;

l              IPv4报文目的MAC地址为单播地址,目的IP地址为组播地址,直接丢弃;

l              IPv4报文目的MAC地址为组播地址,目的IP地址为单播地址,直接丢弃;

l              IPv4 URPF检查失败的报文,直接丢弃;

l              IPv6头版本号错误的报文,直接丢弃;

l              IPv6源IP地址等于目的IP地址的报文,直接丢弃;

l              IPv6源IP地址为::1/128或FF::/8的报文,直接丢弃;

l              IPv6目的IP地址为::1/128或::的报文,直接丢弃;

l              IPv6报文目的MAC地址为单播地址,目的IP地址为组播地址,直接丢弃;

l              IPv6报文目的MAC地址为组播地址,目的IP地址为单播地址,直接丢弃。

3.1.3  ICMP分片报文过滤功能

一般来说网络中传输的ICMP报文都不大,而且对于不同的系统,能够发送和接收的ICMP报文的大小也不一样。通常,ICMP分片报文用于测试网络的运行状态,检测网络转发路径的稳定性。在网络正常运行中,一般不会出现ICMP分片报文,分片报文大部分是由于网络攻击导致,网络中存在大流量的ICMP分片报文,不但会占用宝贵的带宽资源,而且会导致被攻击者性能严重下降,甚至无法正常工作。

H3C S12500能够识别并且过滤ICMP分片报文(识别方法:IP头MF字段不为0或者IP头OFFSET字段不为0的ICMP报文),使能ICMP分片报文过滤功能后,正常转发和上送CPU的ICMP分片报文都会被直接丢弃。

3.1.4  TTL超时报文过滤功能

所谓TTL超时报文,是指IP报文中的TTL值为0或者为1,不在IP转发的正常范围内。当网络存在路由环路时,IP报文在设备间相互转发,每转发一跳则TTL值减一,最终导致TTL值超时。当网络设备收到TTL超时报文后,需要向源设备发送TTL超时通知,告知对端TTL超时,TraceRoute就是利用该功能达到路径检测的目的。过多的TTL超时报文,会冲击网络设备的控制平面,导致网络设备正常业务处理性能的下降。

H3C S12500产品支持TTL超时报文的检测和过滤功能,当设备收到TTL等于0或者等于1的IP报文时,直接丢弃,不进行转发或者上送CPU处理。

系统默认丢弃TTL等于0的报文,但是正常转发TTL等于1的报文。对于MPLS的TTL等于1报文,和IP报文相同处理。

3.1.5  Hop Limit超时报文过滤功能

Hop Limit超时报文和TTL超时报文类似,只不过TTL超时是IPv4报文,而Hop Limit超时是IPv6报文。

H3C S12500产品支持Hop Limit超时报文的检测和过滤功能,当设备收到Hop Limit等于0或者等于1的IP报文时,直接丢弃,不进行转发或者上CPU处理。

系统默认丢弃Hop Limit等于0的报文,但是正常转发Hop Limit等于1的报文。

3.1.6  地址扫描攻击防护能力

地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,网络设备会给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可能引起网络中断。

H3C S12500实现了地址扫描攻击的防护能力。当S12500交换机收到目的IP是直连网段的报文时,如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对目的地址下发一条丢弃表项,以防止后续报文持续冲击CPU。如果有ARP应答,则立即删除相应的丢弃表项,并添加正常的路由表项。否则,经过一段时间后丢弃表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业务流程的畅通。

H3C S12500还提供了相应的配置命令,用于控制地址扫描攻击防护功能是否启用。

3.1.7  广播/组播/未知单播报文速率限制

网络中存在大量的广播或者组播报文,会占用宝贵的网络带宽,从而严重影响网络设备的转发性能。而且当网络中某台设备存在环路时,广播和组播报文会在网络中泛滥,导致整个网络的瘫痪。

H3C S12500具有强大的广播、组播和未知单播报文过滤功能。既可以按照PPS来限制端口每秒允许通过的广播、组播和未知单播报文个数,也可以按照流量绝对值来限制端口允许通过的广播、组播和未知单播报文速率。当广播、组播和未知单播报文超过用户限制的门限值后,超出部分的报文将会被系统丢弃,确保广播/组播/未知单播流量所占的比例降低到限定的范围,保证网络业务的正常运行。

针对每种类型的报文,S12500分别提供命令进行控制,并且每种类型的报文都能够按照PPS或者Kbps进行限速。

3.1.8  MAC地址表容量攻击防护能力

所谓MAC地址表容量攻击,是指攻击源发送源MAC地址不断变化的报文,网络设备在收到这种报文后,会进行源MAC地址学习。由于MAC地址表容量是有限的,当MAC地址表项达到最大容量后,正常报文的MAC地址学习将无法完成。在进行二层转发时,这些报文将会在VLAN内广播,严重影响网络带宽,同时也会对网络设备下挂主机造成冲击。

H3C S12500提供设置单个端口或者单个VLAN允许学习的最大MAC地址数目的功能。用户可以根据端口或者VLAN下挂的主机数目来设置该端口或者VLAN最大允许学习的MAC地址数目,防止一个端口或者VLAN就把系统的MAC地址表项耗尽。在设置端口MAC地址最大学习数目时,还可以选择超过部分是否转发,防止未知单播报文在VLAN内广播,对其他设备造成冲击。

3.1.9  静态MAC地址表项和ARP表项绑定能力

H3C S12500提供配置静态MAC地址表项和静态ARP表项的功能。用户可以通过配置静态MAC地址表项,保证二层数据报文正确的转发;用户还可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。

同时,S12500设备支持黑洞MAC地址功能,配置黑洞MAC地址功能后,源MAC地址或者目的MAC地址匹配该MAC地址表项的报文将会被过滤,不会在设备中正常转发。

3.1.10  强大的ACL功能

在复杂的网络环境中,存在各种各样的攻击报文,可能攻击网络设备,也可能攻击网络设备下挂的主机。

H3C S12500提供强大而丰富的ACL功能,能够对报文的数据链路层、网络层、传输层各字段进行识别,在入方向和出方向采取各种处理动作。入方向ACL支持的处理动作为限速、过滤、统计、重定向、镜像等,出方向ACL支持的处理动作为过滤、限速、统计等。

通过ACL功能,管理者可以对非法流量进行有效的过滤。管理者可以在端口、VLAN或者全局模式下设置相应的ACL规则, 以满足不同的需要。S12500的ACL规则,不但可以根据IP协议类型、TCP端口号、UDP端口号、IP地址、MAC地址等常用字段对报文进行过滤或者限流,还可以根据用户自身的需求指定报文各字段进行过滤和限流。

3.2  CPU控制平面的安全能力

3.2.1  控制平面带宽管理技术

控制平面是交换机的神经中枢,在网络运行中,如果控制平面遭受攻击,会造成严重的后果,轻则影响网络协议的稳定,重则导致设备瘫痪。

H3C S12500产品针对控制平面的管理做了大量有效的工作,对上送CPU的各种报文进行分类和限流,确保CPU不受攻击报文的影响,具体表现在如下几个方面:

1. 自动识别

H3C S12500产品控制报文上送CPU遵循“按需分配”的原则,系统中某种协议没有启用时,交换机即使收到这种类型的协议报文,也不会送到控制平面(CPU)进行处理,保证控制平面不受垃圾报文的攻击;当某种协议启动后,交换机会根据协议类型及协议报文的特征识别该报文并且送CPU处理,并且根据协议运行的需要确定该协议报文是指定端口上送、指定VLAN上送还是全局上送。

通过这种方式,最大限度的防止网络中的垃圾报文冲击控制平面,对CPU起到保护作用。

2. 有效隔离

S12500产品协议报文上送CPU,会对各种类型的协议报文进行分类,并且对每种类型的协议报文分配相应的编号,通过该编号可以决定报文上送控制平面的速率和报文上送控制平面的队列。

通过编号区分协议报文,并且上送控制平面,保证协议报文之间互相不会受到干扰,每种协议报文都能够按照自身的速率门限(速率门限根据各功能支持的规格计算得出)送往控制平面,而不会由于某种协议遭受攻击导致其他协议受到影响。

3. 硬件限流

如上所述,每种类型的协议报文都分配有一个相应的编号,通过这个编号可以设置协议报文上送CPU的速率(限速单位PPS);同时,每个编号的协议报文都要入相应的队列(总共8个队列),对每个队列也进行相应的限速(限速单位PPS),确保每个队列送往控制平面的协议报文不会超出正常的应用要求;在CPU端口,也会对所有的报文进行端口流量整形,保证CPU不会因为协议报文的冲击而出现异常。

4. 优先级调度

协议报文送CPU时,存在8个队列,队列之间通过SP+WRR调度,确保每个队列的报文都能够得到调度;同时,在控制平面处理协议报文时,也根据一定的方式进行调度,读取上送CPU的协议报文,确保在一个CPU调度周期内能够处理各个队列的报文,同时也能够保证高优先级队列报文优先调度。

图2 控制平面带宽管理示意图

总之,通过如上的技术保护,H3C S12500产品控制平面的抗攻击能力大为提升,完全满足高端交换机的稳定性应用需要。

3.3  控制信令层面的安全能力

3.3.1  ARP协议攻击检测和防范技术

针对ARP协议攻击主要包含两种方式:ARP欺骗攻击和ARP泛洪攻击,而ARP欺骗攻击又包括仿冒网关、欺骗网关和欺骗终端用户等。

图3 ARP欺骗之仿冒网关攻击示意图

图4 ARP欺骗之欺骗网关攻击示意图

图5 ARP欺骗之欺骗终端用户攻击示意图

图6 ARP欺骗之ARP泛洪攻击示意图

下面介绍ARP攻击相关的一些功能,通过这些功能,S12500产品能够最大限度的防止ARP协议报文攻击,保护下挂网络不受ARP报文攻击影响。

1. ARP协议攻击防护能力

ARP协议没有任何验证方式,而ARP在数据转发中又是至关重要的,攻击者常伪造ARP报文进行攻击。

H3C S12500能够检测并且防范ARP报文的攻击。当攻击者采用某个或者某几个固定的攻击源,向设备发送大量的ARP报文进行攻击时,S12500能够检测并且防范这种ARP协议报文的攻击。

当S12500收到ARP报文时,会根据报文源MAC地址进行HASH计算,并且记录单位时间收到的ARP报文数目。当S12500检测到某些固定源MAC地址的ARP报文发送的速率超过预定速率,则认为该源MAC地址的主机在进行ARP攻击。如果用户启用ARP防攻击功能,则会打印提示信息并记录到日志信息中,并下发一条表项过滤此源MAC地址的报文,对该攻击源进行屏蔽。

2. 地址冲突检测和保护

所谓地址冲突,是指网络设备下挂的主机或者对接的其他网络设备的IP地址和该网络设备的接口IP地址冲突,网络设备如果无法检测到地址冲突,该网络设备下挂的其他主机的网关ARP表项有可能会被更新,导致下挂主机无法正常上网。

H3C S12500支持地址冲突检测功能。当S12500收到ARP报文时,会判断该报文的源IP地址和本网段接口IP地址是否相同。如果发现地址相同,则S12500会立即发送一个地址冲突报文和免费ARP广播报文。地址冲突报文是通知对端主机或者设备,该地址已经被占用;免费ARP广播报文,是通知本网段内其他主机和网络设备,纠正本网段内其他主机或者网络设备的ARP表项,防止ARP表项指向错误的MAC地址。同时,S12500会上报地址冲突的告警信息并同时记录日志,以便维护人员能够及时了解设备遭受的攻击。

3. ARP端口限速

当交换机中下挂的某个端口异常、存在大量ARP报文攻击时,有可能导致整个网络的ARP学习异常,从而导致整个网络下挂用户出现异常。

H3C S12500产品支持ARP报文端口限速功能,能够针对每个物理端口配置ARP报文限速速率。

4. ARP源MAC地址一致性检查

ARP报文中的源MAC地址信息包括以太网源地址和发送端以太网地址,这两个地址都表示请求发起者的MAC地址,网络设备和主机根据发送端以太网地址学习ARP表项。在正常情况下,这两个MAC地址是一致的。而在攻击源构造的地址扫描攻击报文中,由于以太网源地址是网卡驱动程序产生的,比较难以构造,通常攻击报文(病毒报文)的以太网源地址都是固定的,而发送端以太网地址是变化的,网络中经常存在该类型的ARP报文攻击。

H3C S12500产品能够自动检测ARP报文中的以太网源MAC地址和发送端以太网地址,对于经过交换机的ARP报文(包括正常转发或者上送CPU处理的ARP报文),如果检测到报文中的以太网源MAC地址和发送端以太网MAC地址不一致,则直接丢弃。

S12500产品支持命令行控制是否启用ARP源MAC地址一致性检查功能,默认系统不启用该功能。

在某些特殊应用场合,发送的ARP报文中的以太网源MAC地址和发送端以太网地址会不一致,此时需要关闭源MAC地址一致性检查功能。

 

5. ARP源抑制功能

如果网络中有主机通过向设备发送大量目的IP不能解析的IP报文来攻击设备,则会造成下面的危害:

l              设备向目的网段发送大量ARP请求报文,加重目的网段的负载。

l              设备会不断解析目标IP地址,增加CPU的负担。

为避免这种攻击所带来的危害,S12500设备提供ARP源抑制功能。开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文(当每5秒内的ARP请求报文的流量超过设置的阈值),对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理,从而避免了恶意攻击所造成的危害。

6. ARP主动确认机制

ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。H3C S12500产品支持ARP主动确认功能,在使能本功能之后,当收到的ARP报文中的源MAC地址和对应ARP表项中的不同时,设备首先判断ARP表项刷新时间是否超过1分钟,如果没有超过1分钟,则不更新ARP表项。否则向ARP表项对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到ARP应答报文,则忽略之前收到的ARP攻击报文;如果没有收到ARP应答报文,则向之前收到的ARP报文对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到了ARP应答报文,则根据之前收到的ARP报文更新ARP表项,否则ARP表项不会被修改。

7. ARP Detection功能

当设备作为二层接入设备时,正常情况下,用户发送的广播ARP请求将在VLAN内广播,ARP应答将进行二层转发。如果用户仿冒其他用户的IP地址,将会改写网关或者其他用户的ARP表项,导致被仿冒用户的报文错误的发送到发起攻击用户的主机上。

用户可以通过配置ARP Detection功能解决上述问题:对于合法用户的ARP报文进行正常转发,否则丢弃。

ARP Detection包含两个功能:用户合法性检查功能和ARP报文有效性检查功能。

l              用户合法性检查

用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,包括基于DHCP Snooping安全表项的检查、基于802.1x安全表项的检查和基于静态IP和MAC绑定表项的检查。用户可以任意选择使能哪些功能,各功能可以共存。如果使能多种功能,则设备先进行DHCP Snooping安全表项检查,然后进行802.1x检查,最后进行IP和MAC静态绑定表项检查。

l              基于DHCP Snooping安全表项的检查

主要针对仿冒用户的攻击。对于ARP非信任端口,打开DHCP Snooping安全表项检查模式且所属VLAN使能了ARP Detection功能,则从该端口上送的ARP报文需进行DHCP Snooping安全表项检查。如果查找到对应的表项,并且均与表项记录一致(IP地址,MAC地址,端口索引,VLAN ID等),则检查通过;如果参数不一致或者没有查找到对应的表项,则认为是攻击报文,检查不通过。对于信任端口,不进行DHCP Snooping安全表项检查。对于没有使能ARP Detection的VLAN,即使在ARP非信任端口上,也不进行DHCP Snooping安全表项检查。

l              基于802.1x安全表项的检查

主要针对仿冒用户的攻击。对于ARP非信任端口,打开802.1x安全表项检查模式且所属VLAN使能了ARP Detection功能,从该端口上送的ARP报文需进行802.1x安全表项检查。对于源IP地址+源MAC地址+端口索引+VLAN ID都一致或源IP地址不存在但源MAC地址为OUI MAC地址的情况,认为是合法报文检查通过;否则认为是攻击报文进行丢弃处理。

l              基于静态IP和MAC绑定表项的检查

主要针对仿冒网关的攻击。不论对于ARP非信任端口,还是信任端口,只要打开静态IP和MAC绑定表项检查模式且所属VLAN使能了ARP Detection功能后,从该端口上送的ARP报文需进行基于静态IP和MAC绑定表项检查。对于源IP存在绑定关系但是MAC地址不符的ARP报文,设备认为是非法报文进行丢弃处理;对于源IP不存在绑定关系和源IP存在绑定关系且MAC地址相符的ARP报文,设备认为是合法报文,检查通过。

l              ARP报文有效性检查

对于ARP信任端口,不进行报文有效性检查;对于ARP非信任端口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。

l              对于源MAC地址的检查模式,会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致认为有效,否则丢弃;

l              对于目的MAC地址的检查模式(只针对ARP应答报文),会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1和不一致的报文都是无效的,无效的报文需要被丢弃;

l              对于IP地址检查模式,会检查ARP报文中的源IP和目的IP地址,全0、全1或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

3.3.2  IP Source Guard技术

根据对校园网和企业网的调查显示,当前网络安全面临的一个主要问题是ARP地址攻击问题,主要表现为仿冒网关攻击、仿冒其他用户攻击和ARP泛洪,其中针对网关和其他用户的地址欺骗攻击尤为明显和难以防范。

H3C S12500支持IP Source Guard功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,提高端口的安全性。端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。

IP Source Guard支持的报文特征项包括:源IP地址、源MAC地址和VLAN标签。并且,可支持端口与如下特征项的组合(下文简称绑定表项):

l              IP、MAC、IP+MAC

l              IP+VLAN、MAC+VLAN、IP+MAC+VLAN

IP Source Guard支持两种触发绑定的机制:一种是通过手工配置方式提供绑定表项,称为静态绑定;另外一种由DHCP Snooping或者DHCP Relay提供绑定表项,称为动态绑定。而且,绑定是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。如下图所示,IP Source Guard和DHCP Snooping联动,在接入设备实现IP+MAC+PORT的绑定,防止接入用户进行ARP地址欺骗和地址扫描等攻击。

图7 IP Source Guard在接入设备使用示意图

3.3.3  DHCP服务安全技术

1. 地址盗用防护能力

所谓地址盗用,是指一个非法用户仿冒合法用户的IP地址,盗用合法用户的IP地址进行上网。网络设备会学习到错误的ARP表项,影响合法用户的正常上网。

H3C S12500具有防范非法用户盗用地址上网的能力。用S12500做DHCP Relay设备,当客户端申请合法的IP地址时,S12500会学习其IP地址和MAC地址,即DHCP Security表项;通过静态配置也可以添加DHCP Security表项。在S12500上开启Address Check功能,当交换机学习客户端ARP表项时,会去检查其IP和MAC地址对应关系是否合法。对于非法用户,交换机拒绝学习其ARP表项,从而不转发该客户端报文,使该客户端无法访问网络。

2. DHCP-Snooping Option 82

在传统的DHCP动态分配IP地址的方式中,同一VLAN的用户所拥有的权限是完全相同的,网络管理者不能对同一VLAN中特定的用户进行有效的控制。普通的DHCP中继代理(不支持Option82的)也不能够区分不同的客户端,从而无法结合DHCP动态分配IP地址的应用来控制客户端对网络资源的访问,给网络的安全控制提出了严峻的挑战。

S12500的DHCP Snooping Option82功能使上述问题得到了有效的解决。客户端经过S12500中继到DHCP服务器获得IP时,Option82功能可以在DHCP报文的Option82域中添加特定信息(Circuit ID和Remote ID),这样就能够让服务器识别该客户端是在哪个DHCP中继设备之下的。据此就可以给不同DHCP中继设备下的客户端分配不同权限的IP和不同的网络配置,从而达到安全管理的目的。

3. DHCP伪服务器检测

如果网络中有私自架设的DHCP服务器,当客户端申请IP地址时,这台DHCP服务器就会与DHCP客户端进行交互,导致客户端获得错误的IP地址。这种私设的DHCP服务器称为伪DHCP服务器。

S12500的DHCP Server detect特性可以及时发现客户私设服务器。当S12500收到来自网络上其他设备的DHCP Server发出的DHCP报文时,会自动识别出私设的DHCP服务器,并打印告警信息提示管理员。

4. DHCP伪服务器屏蔽

在网络中如果有私自架设的DHCP服务器,则可能导致用户得到错误的IP地址。

为了使用户能通过合法的DHCP服务器获取IP地址,DHCP Snooping将S12500的端口划分为信任端口和非信任端口,只有信任端口上的DHCP服务器可以给网络提供DHCP服务。对于非信任端口,上行的DHCP服务器报文将被拦截,使客户端不会通过非信任端口上的DHCP服务器获得IP,以保证客户端的IP都是从指定的信任端口上的合法DHCP服务器上分配的。

3.3.4  TCP连接保护和攻击防范技术

大部分路由协议和应用层协议都是通过TCP协议实现报文的交互,对于网络设备而言,TCP协议攻击已经成为网络不稳定的一个主要因素。

H3C S12500产品不但支持数据转发平面的TCP报文攻击保护(见3.1.3  节),而且支持控制平面的TCP攻击保护。

1. SYN Cookie功能

利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向服务器发送大量请求建立TCP连接的SYN报文,而不回应服务器的SYN ACK报文,导致服务器上建立了大量的TCP半连接,从而达到耗费服务器资源、使服务器无法处理正常业务的目的。对于网络设备而言,BGP、FTP、Telnet、SSH等协议都是通过TCP建立连接,如果网络设备遭受攻击建立大量无效的TCP半连接,会导致BGP、FTP、Telnet、SSH等协议无法正常建立连接,造成业务异常。

H3C S12500产品支持SYN Cookie功能,用来防止SYN Flood对设备发起的攻击。当交换机收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。交换机器接收到发起者回应的ACK报文后,才建立连接,并进入ESTABLISHED状态。通过这种方式,可以避免在交换机上建立大量的TCP半连接,防止交换机受到SYN Flood攻击。

2. 防止Naptha攻击

Naptha攻击类似于SYN Flood攻击,所不同的是Naptha攻击可利用TCP连接的CLOSING、ESTABLISHED、FIN_WAIT_1、FIN_WAIT_2、LAST_ACK和SYN_RECEIVED六种状态来达到攻击目的,而SYN Flood只是利用SYN_RECEIVED状态。

Naptha攻击通过控制大量主机与服务器建立TCP连接,并使这些连接处于同一种状态(上述六种状态中的一种),而不请求任何数据,从而达到消耗服务器的内存资源,导致服务器无法处理正常业务的目的。

H3C S12500产品支持防止Naptha攻击功能。交换机通过加速TCP状态的老化,来降低自身遭受Naptha攻击的风险。使能Naptha防攻击功能后,交换机周期性地检测处于上述六种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数,则加速该状态下TCP连接的老化。

3. 防止Land攻击

所谓Land攻击,指攻击者把TCP SYN报文的源地址和目的地址都设置成所攻击目标的IP地址,这将导致受害者在接收到自己发来的SYN消息后向自身发送SYN-ACK消息,而后又给自身发回ACK消息,这样的三次握手会创建一个空连接,消耗大量的TCP连接,从而导致正常的TCP连接无法建立。

H3C S12500产品能够抵御Land攻击,交换机在收到TCP SYN请求报文时,检测报文源IP地址和目的IP地址是否相同,如果发现二者的IP地址相同,则丢弃该TCP SYN请求报文,达到保护连接的目的。

3.3.5  STP协议保护技术

1. 协议报文过滤

在启用STP协议的设备中,如果某个端口STP去使能,则该端口不应该收到STP协议报文。但是,由于维护人员的配置错误或者该端口下存在STP协议攻击,STP协议报文从该端口收到后,如果交换机设备把它当作普通多播报文处理,在VLAN内进行广播并转发到对端启用STP的设备后,会导致对端设备根据该STP报文进行拓扑计算,继而影响整个网络的稳定性。

H3C S12500产品能够防止这种情况的发生,在全局启用STP协议或者GVRP协议后,如果端口没有使能STP或GVRP协议,则该端口收到STP/GVRP协议报文直接丢弃,不进行转发处理,防止报文转发到其他网络设备,影响整个网络的拓扑。

2. BPDU保护功能

对于接入设备,接入端口一般直接与用户终端(如PC机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接收到配置消息(BPDU报文)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑结构的变化。这些端口正常情况下应该不会收到STP的配置消息。如果有人伪造配置消息恶意攻击设备,就会引起网络震荡。

H3C S12500产品的MSTP特性提供BPDU保护功能来防止这种攻击:设备上启动BPDU保护功能后,如果边缘端口收到了配置消息,MSTP就将这些端口关闭,同时通知网管这些端口被MSTP关闭。被关闭的端口只能由网络管理人员恢复。

3. 根保护功能

生成树的根桥及备份根桥应该处于同一个域内,特别是对于CIST的根桥和备份根桥,网络设计时一般会把CIST的根桥和备份根桥放在一个高带宽的核心域内。但是,由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根桥有可能会收到优先级更高的配置消息,这样当前合法根桥会失去根桥的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞。

为了防止这种情况发生,S12500产品的MSTP提供根保护功能对根桥进行保护:对于设置了根保护功能的端口,其在所有实例上的端口角色只能保持为指定端口。一旦该端口收到某实例优先级更高的配置消息,立即将该实例端口设置为侦听状态,不再转发报文(相当于将此端口相连的链路断开)。当在2倍的Forward Delay时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。

4. 环路保护功能

依靠不断接收上游设备发送的BPDU报文,设备可以维持根端口和其它阻塞端口的状态。但是由于链路拥塞或者单向链路故障,这些端口会收不到上游设备的BPDU报文,此时下游设备会重新选择端口角色,收不到BPDU报文的下游设备端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。

对于配置了环路保护的端口,当接收不到上游设备发送的BPDU报文,环路保护生效时,如果该端口参与了STP计算,则不论其角色如何,该端口上的所有实例将一直被设置为Discarding状态。

5. TC-BPDU报文攻击保护

在启用STP情况下,当网络中某台设备端口的STP状态发生变化,会产生TC(网络拓扑改变)或者TCN(网络拓扑改变通知)报文。网络中其他设备收到TC或者TCN时,发现网络拓扑发生改变,需要删除MAC地址和ARP等转发表项,以防止学习到错误端口的表项,影响报文正常转发。但是当网络中TC或者TCN报文很多,频繁删除MAC地址表和ARP表项,会导致二层转发报文在VLAN内广播,三层转发报文出现丢包,也会影响业务正常运行。

H3C S12500能够防范TC/TCN攻击报文对业务产生的影响。在收到TC/TCN报文时,设备会删除MAC地址表项,但不会删除ARP表项。当设备重新学习MAC地址时,会根据MAC地址查询ARP表项,如果该MAC地址对应有相应的ARP,直接修改ARP表项中的出端口信息。通过MAC地址修改ARP表项,能够防止三层转发时出现的丢包现象。

网络拓扑频繁改变,会严重影响网络内所有设备的稳定运行。H3C S12500考虑到网络频繁变化的特殊情况,在收到第一个网络拓扑改变消息时,会进行相应处理。后续收到TC/TCN报文,并不立即处理,而是等待一段时间后再判断这段时间内是否收到TC/TCN报文,不管这段时间收到多少个TC/TCN报文,在超时后只处理一次MAC地址删除操作,起到保护设备稳定运行的作用。

3.3.6  路由协议攻击防护能力

路由协议攻击是指向不进行路由认证的路由器发送错误的路由更新报文,使路由表中出现错误的路由,严重的情况可以造成网络瘫痪,高明的攻击者可以用来进行更深层次的攻击实施。

H3C S12500能够对收到的各种路由协议进行认证。

l              OSPF协议,支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证;

l              IS-IS协议,支持接口间Level-1明文/MD5认证、接口Level-2明文/MD5认证、IS-IS区域内明文/MD5认证和IS-IS路由域上的明文/MD5认证;

l              BGP协议,支持邻居路由器之间和BGP区域内的MD5认证;

l              RIPv2协议,支持邻居路由器之间的明文/MD5认证。

3.4  设备管理层面的安全能力

3.4.1  管理用户分级分权

H3C S12500对登录用户采取分级机制,权限从低到高分为四级,依次为:访问级、监视级、系统级、管理级。对用户密码采用加密算法进行保存,并限制连续登录不成功的次数来防止口令被穷举得到,并在设备上设置警示性的登录提示。

3.4.2  支持安全的远程管理

H3C S12500支持SSH协议。通过使用SSH协议进行设备管理,可以保证远程管理的安全性。

3.4.3  支持安全审计

H3C S12500提供基本的安全审计功能。包括提供安全告警日志以及用户操作日志的能力。

3.4.4  安全接入控制

H3C S12500支持802.1x认证功能,能够基于端口或者MAC方式进行接入控制,实现局域网络的安全接入。

3.4.5  SFTP服务

H3C S12500支持SFTP服务,可以保证文件传输的安全性。所谓SFTP,是Secure FTP的简称,它使得用户可以从远端安全的登入交换机设备进行文件管理,这样使远程系统升级等需要进行文件传送的地方,增加了数据传输的安全性。同时,由于提供了Client功能,可以在本设备上安全登录到远程设备,进行文件的安全传输。

你可能感兴趣的:(交换机,信息安全,数据安全,交换机)