9.接入层安全课件.ppt

接入层网络安全 基础知识;FF.FF.FF.FF.FF.FF;攻击： MAC地址表空间是有限，MAC攻击会占满交换机地址表; 使得单播包在交换机内部也变成广播包, 向所有端口转发，每个连在端口上客户端都可以收到该报文; 交换机变成一个Hub，用户信息传输也没有安全保障.;;;交换机端口安全功能;交换机端口安全内容;端口安全配置示例;端口安全配置示例;验证命令;验证命令;交换机端口保护;课程议题;DHCP必要性;DHCP应用;DHCP的必要性;采用DHCP的好处;课程议题;什么是DHCP;;DHCP工作流程 ;课程议题;配置地址池 ;配置分配选项 ;查看DCHP 服务器信息;查看DCHP 客户端信息;DHCP配置示范（1）; ;配置DHCP服务器（1）;配置DHCP服务器（2）;;*;场景描述;防止DHCP攻击;DHCP snooping原理 开启DHCP snooping的交换机所有接口缺省为untrust口 只转发从trust口收到的DHCP响应报文（offer、ACK、NAK） 窥探并记录DHCP报文中的信息，记录用户IP、MAC、交换机端口、租约时间、vlanID等信息，做为安全检查的依据;结果查看 ;*;DHCP 地址耗尽攻击原理 Server基于client字段中的MAC地址为客户端分配地址，并且没有认证机制 客户端可以通过变更地址，不断的申请地址，耗尽服务器地址池中的地址 ;*;*;;*;如何防止用户私设IP 部署IPSG(ip source guard) IPSG维护IP源地址绑定数据库，该数据库来源于DHCP snooping数据库或者手工静态配置 开启IPSG的端口基于IP源地址绑定数据库，检查接收到的所有非DHCP的IP报文的源IP或源IP+MAC，丢弃不匹配的数据;部署IPSG防止用户私设IP 在DHCP snooping的untrust口开启IPSG功能 配置静态源地址绑定 ;结果查看 ;课堂练习 防止私设服务器，防止用户私设IP，其中f0/3接口连接的合法用户的地址是静态配置 ;; *;*;ARP Request报文更新ARP表的条件 ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表;*;*;ARP欺骗—主机型ARP欺骗 欺骗者主机冒充网关设备对其他主机进行欺骗;ARP欺骗—网关型ARP欺骗 欺骗者主机冒充其他主机对网关设备进行欺骗;为什么产生ARP欺骗攻击？ 表象：网络通讯中断 真实目的：截获网络通讯数据;怎样判断是否受到了ARP欺骗攻击？ 网络时断时续或网速特别慢 在命令行提示符下执行“arp –d”命令就能好上一会 在命令行提示符下执行“arp –a”命令查看网关对应的MAC地址发生了改变;网关设备怎样判断是否受到了ARP欺骗攻击？ ARP表中同一个MAC对应许多IP地址 ;防ARP欺骗原理 ARP欺骗就是伪造ARP报文中的sender IP和sender MAC 安全地址 主机真实的IP与MAC地址 在主机发送ARP报文前获得 可以动态学习或者手工配置 ARP报文校验 检查ARP报文中Sender’s MAC与安全地址中的MAC是否一致，否则丢弃 检查ARP报文中Sender’s IP与安全地址中的IP是否一致，否则丢弃 ;*;安全地址获取方式 主机的真实信息，由IP+MAC地址组成 手工指定 port-security 自动获取 DHCP Snooping Dot1x认证 ARP报文校验方法 ARP-check DAI ;什么是ACE 交换机端口形成的硬件资源表项 通过硬件对报文的转发进行判断 端口策略 未配置安全地址时 permit any any any any 配置安全地址后 permit mac1 ip1 any any permit mac2 ip2 any any permit macN ipN any any deny any any any any;ARP-check 原理： 提取ACE中IP+MAC对的信息 在原有ACE（过滤IP+MAC）的基础上形成新的ACE（过滤ARP） 应用后端口策略 permit mac1 ip1 any any permit arp 源MAC1 源IP1 any any deny any any any any 注意事项：ARP-check功能开启后，如果ACE中不存在安全地址，则所有的ARP报文将被丢弃 ;DAI 原理： 提取DHCP Snooping表中的IP+MAC信息 通过CPU过滤源MAC/源IP不在Snooping表中的ARP报文 注意事项：DAI功能开启开启后，如果DHCP Snooping表为空，则所有的ARP报文将被丢弃 缺省开