BMC PowerTrix 系列交换机防ARP攻击解决方案
BMC PowerTrix
系列交换机防ARP攻击解决方案
近年来,随着网络的普及,网络病毒泛滥,基于病毒的ARP攻击也愈演愈烈,对于单位管理人员和网络管理员对这类病毒攻击更是恨之入骨、苦不堪言。
为了能更好的对付ARP攻击,我们先简单了解一下它。
ARP
协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例,其ARP协议运行的主要交互机制如下:
1
. 如果A需要向B发起通信,A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有,则进行下面的步骤:
2
. A在局域网上广播一个ARP请求,查询B的IP地址所对应的MAC地址;
3
. 本局域网上的所有主机都会收到该ARP请求;
4
. 所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求,则发送一个ARP应答给A,告知A自己的MAC地址;
5
. 主机A收到B的ARP应答后,会在自己的 ARP缓存中写入主机B的ARP表项.
如上所述,利用ARP协议,可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制,从而导致针对ARP协议的欺骗攻击非常容易。
对于ARP攻击,可以简单分为两类:
1
、ARP欺骗攻击,又分为ARP仿冒网关攻击和ARP仿冒主机攻击。
2
、ARP泛洪(Flood)攻击,也可以称为ARP扫描攻击。
对于这两类攻击,攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与(或)源MAC地址,不同之处在于前者用自己的MAC地址进行欺骗,后者则大量发送虚假的ARP报文,拥塞网络。
针对传播广泛、日益泛滥的ARP攻击问题,BMC凭借深厚技术积累,推出具有增强的安全特性全系列交换机,从用户接入到网络汇聚、核心,提供完整全面安全体系架构,从而更加有效的防御ARP攻击。
1、
接入层防范
接入交换机是最接近用户侧的网络设备,也最适于通过它进行相关网络攻击防护。通过对接入交换机的适当设置,我们可以将很多网络威胁隔离在交换机的每端口内,而不至于对整网产生危害。
(1)
、AM功能
AM(access management)
又名访问管理,它利用收到数据报文的信息(源IP 地址
或者源IP+源MAC)与配置硬件地址池(AM pool)相比较,如果找到则转发,否则丢弃。
AM pool
是一个地址列表,每一个地址表项对应于一个用户。每一个地址表项包括了地址信息及其对应的端口。地址信息可以有两种:
.
IP
地址(ip-pool),指定该端口上用户的源IP 地址信息。
.
MAC-IP
地址(mac-ip pool),指定该端口上用户的源MAC 地址和源IP 地址信息。
当AM使能的时候,AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过)。
我们可以在交换机端口创建一个MAC+IP 地址绑定,放到地址池中。当端口下联主机发送的IP报文(包含ARP报文)中,所含的源IP+源MAC不符合地址池中的绑定关系,此报文就将被丢弃。
功能特点:
配置简单,除了可以防御ARP攻击,还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。
(2)
、ARP Guard功能
基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP报文,如果ARP报文的源IP地址是受到保护的IP地址(网关或服务器),就直接丢弃报文,不再转发,从而避免非法PC冒充网关或服务器进行ARP欺骗。
功能特点:
配置简单、快速部署,适用于ARP仿冒网关攻击防护。
(3)
、DHCP Snooping功能
实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。
功能特点:
被动侦听,自动绑定,对信息点数量没有要求,适用于IP地址动态分配环境下广泛实施。
(4)
、端口ARP限速功能
BMC
系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口,将切断攻击源头,保障网络的安全。
有两种方式来防ARP 扫描:基于端口和基于IP。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量,若超过了预先设定的阈值,则会down掉此端口。基于IP 的ARP 扫描则计算一段时间内从网段内某IP收到的ARP报文的数量,若超过了预先设置的阈值,则禁止来自此IP 的任何流量,而不是down 与此IP相连的端口。此两种防ARP 扫描功能可以同时启用。端口或IP被禁掉后,可以通过自动恢复功能自动恢复其状态。
功能特点:
全局使能,无须在端口模式下配置,配置简单。适用于对ARP扫描或者flood攻击防御,建议和交换机其它功能一起使用。
2
、 汇聚层防御
很多用户的网络经过多次升级、扩充,部署的接入交换机的品牌多、型号多。而其中不可网管、不支持ACL的交换机数量也不在少数。所以在保护用户现有投资、不升级接入交换机的前提下,全网防御ARP病毒攻击,成为了BMC产品的关注点。下面我们介绍一种通过BMC汇聚交换机实现全网防御ARP攻击的解决方案。
(1)
、端口隔离功能介绍
端口隔离是一个基于端口的独立功能,作用于端口和端口之间,隔离相互之间的流量,常用的方式是用户端口间相互隔离,每个用户端口仅能和上联端口通信。利用端口隔离的特性,可以实现VLAN内部的端口隔离,从而节省VLAN资源,增加网络的安全性,现在大多数接入交换机都具备此功能。
(2)
、Local ARP Proxy功能介绍
Local ARP proxy
:本地ARP代理功能。是指在一个VLAN内,通过使用一台三层交换机(一般为汇聚交换机),来作为指定的设备对另一设备作出ARP请求的应答,实现限制ARP报文在同一VLAN内的转发,从而引导数据流量通过交换机进行三层转发。
该功能通常需要和其他的安全功能配合使用,例如在汇聚交换机上配置local arp proxy,而在下连的二层交换机上配置端口隔离功能,这样将会引导所有的IP流量通过汇聚交换机上进行三层转发,二层交换机下联主机不能相互ARP欺骗。
(3)
、防御ARP攻击原理
如下图所示,端口Eth0/0/2和Eth0/0/3在Vlan100内,接入交换机开启端口隔离功能,主机A和主机B二层流量不可达。网关地址为192.168.1.1,汇聚交换机启用Local ARP proxy功能。
1.
接入交换机启用端口隔离功能;汇聚交换机启用ARP Local Proxy功能和端口ARP限速功能;
2.
动态IP环境中,汇聚交换机通过DHCP Snooping检测ARP;静态IP环境中,可以使用BMC专有的DHCP Snooping绑定工具,对汇聚交换机ARP表项进行初始化(静态地址环境下,还需要结合关闭交换机arp自动更新或者自动学习);
3.
由于主机A没有主机B的MAC地址,因此主机A发送ARP Request并广播出去;
4.
在启动ARP Local Proxy的情况下,交换机向主机A发送ARP Reply报文(填充自己的MAC地址);
5.
主机A收到该ARP Reply之后,创建ARP表项,发送IP报文,封装的以太网帧头的目的MAC为交换机的MAC;
6.
当交换机收到该IP报文之后,交换机查询路由表(创建路由缓存),并下发硬件表项;
7.
当交换机有主机B的ARP表项情况下,直接封装以太网头部并发送报文(目的MAC为主机B);如果交换机没有主机B的ARP表项,那么会请求主机B的ARP,然后发送IP报文。
(4)
、方案说明
对接入交换机要求低,只需要支持端口隔离功能即可;而且动态IP地址环境下配置简单,易于管理、实现。
3
、802.1X认证防御
BMC
交换机全面支持802.1X的认证机制,配合Radius服务器实施IP+MAC+端口号三重绑定,可以实现完美的ARP攻击防御。
1、
主机IP地址静态配置时,终端发给802.1x认证,Radius验证通过后,将该用户的IP、MAC等绑定信息自动下发给接入交换机。
2、
动态分配IP地址时,接入交换机启用DHCP Snooping侦听主机分配到的IP地址,并将此IP地址,以及对应的MAC地址、交换机端口发送给Radius服务器。
方案特点:
静态、动态IP地址混杂模式下,可以完美解决内网ARP攻击问题,并且人工配置量小,适用于信息点众多的大型办公网络。
BMC ARP
防御思路总结
接入层防御
・ 在接入层交换机上开启DHCP snooping功能,并配置与DHCP服务器相连的端口为DHCP snooping信任端口。
・ 在接入层交换机上为静态IP地址分配模式的主机或者服务器配置对应的IP静态绑定表项。
・ 在接入层交换机对应VLAN上开启ARP入侵检测功能,并配置该交换机的上行口为ARP信任端口。
・ 在接入层交换机的直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
汇聚层防御
・ 在接入层交换机上配置端口隔离功能
・ 在汇聚层交换机上开启Local ARP Proxy功能,隔离接入端口之间的ARP报文
・ 在汇聚层交换机上开启端口ARP限速功能,防御ARP Flood攻击
认证模式防御
・ 在接入交换机上开启802.1X认证,并配置Radius服务器端
・ 在接入交换机上开启DHCP Snooping,并配置信任端口
・ 在Radius上,手工设置IP+MAC+Port三重绑定