BMCPowerTrix系列交换机如何预防ARP攻击(2)
2、汇聚层防御
很多用户的网络经过多次升级、扩充,部署的接入交换机的品牌多、型号多。而其中不可网管、不支持ACL的交换机数量也不在少数。所以在保护用户现有投资、不升级接入交换机的前提下,全网防御ARP病毒攻击,成为了BMC产品的关注点。下面我们介绍一种通过BMC汇聚交换机实现全网防御ARP攻击的解决方案。
(1)、端口隔离功能介绍
端口隔离是一个基于端口的独立功能,作用于端口和端口之间,隔离相互之间的流量,常用的方式是用户端口间相互隔离,每个用户端口仅能和上联端口通信。利用端口隔离的特性,可以实现VLAN内部的端口隔离,从而节省VLAN资源,增加网络的安全性,现在大多数接入交换机都具备此功能。
(2)、Local ARP Proxy功能介绍
Local ARP proxy:本地ARP代理功能。是指在一个VLAN内,通过使用一台三层交换机(一般为汇聚交换机),来作为指定的设备对另一设备作出ARP请求的应答,实现限制ARP报文在同一VLAN内的转发,从而引导数据流量通过交换机进行三层转发。
该功能通常需要和其他的安全功能配合使用,例如在汇聚交换机上配置local arp proxy,而在下连的二层交换机上配置端口隔离功能,这样将会引导所有的IP流量通过汇聚交换机上进行三层转发,二层交换机下联主机不能相互ARP欺骗。
(3)、防御ARP攻击原理
如下图所示,端口Eth0/0/2和Eth0/0/3在Vlan100内,接入交换机开启端口隔离功能,主机A和主机B二层流量不可达。网关地址为192.168.1.1,汇聚交换机启用Local ARP proxy功能。
1. 接入交换机启用端口隔离功能;汇聚交换机启用ARP Local Proxy功能和端口ARP限速功能;
2. 动态IP环境中,汇聚交换机通过DHCP Snooping检测ARP;静态IP环境中,可以使用BMC专有的DHCP Snooping绑定工具,对汇聚交换机ARP表项进行初始化(静态地址环境下,还需要结合关闭交换机arp自动更新或者自动学习);
3. 由于主机A没有主机B的MAC地址,因此主机A发送ARP Request并广播出去;
4. 在启动ARP Local Proxy的情况下,交换机向主机A发送ARP Reply报文(填充自己的MAC地址);
5. 主机A收到该ARP Reply之后,创建ARP表项,发送IP报文,封装的以太网帧头的目的MAC为交换机的MAC;
6. 当交换机收到该IP报文之后,交换机查询路由表(创建路由缓存),并下发硬件表项;
7. 当交换机有主机B的ARP表项情况下,直接封装以太网头部并发送报文(目的MAC为主机B);如果交换机没有主机B的ARP表项,那么会请求主机B的ARP,然后发送IP报文。
(4)、方案说明
对接入交换机要求低,只需要支持端口隔离功能即可;而且动态IP地址环境下配置简单,易于管理、实现。
3、802.1X认证防御
BMC交换机全面支持802.1X的认证机制,配合Radius服务器实施IP+MAC+端口号三重绑定,可以实现完美的ARP攻击防御。
1、主机IP地址静态配置时,终端发给802.1x认证,Radius验证通过后,将该用户的IP、MAC等绑定信息自动下发给接入交换机。
2、动态分配IP地址时,接入交换机启用DHCP Snooping侦听主机分配到的IP地址,并将此IP地址,以及对应的MAC地址、交换机端口发送给Radius服务器。
方案特点:
静态、动态IP地址混杂模式下,可以完美解决内网ARP攻击问题,并且人工配置量小,适用于信息点众多的大型办公网络。
BMC ARP防御思路总结
接入层防御
·在接入层交换机上开启DHCP snooping功能,并配置与DHCP服务器相连的端口为DHCP snooping信任端口。
·在接入层交换机上为静态IP地址分配模式的主机或者服务器配置对应的IP静态绑定表项。
·在接入层交换机对应VLAN上开启ARP入侵检测功能,并配置该交换机的上行口为ARP信任端口。
·在接入层交换机的直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
汇聚层防御
·在接入层交换机上配置端口隔离功能
·在汇聚层交换机上开启Local ARP Proxy功能,隔离接入端口之间的ARP报文
·在汇聚层交换机上开启端口ARP限速功能,防御ARP Flood攻击
认证模式防御
·在接入交换机上开启802.1X认证,并配置Radius服务器端
·在接入交换机上开启DHCP Snooping,并配置信任端口
·在Radius上,手工设置IP+MAC+Port三重绑定