[分享]接入交换机安全技术

邬加加

安全控制技术详述网络中的安全问题大多数是由系统内部的漏洞引起，此文就数据传输和接入方面来探讨怎样提高整网的安全行。以预防不法分子的恶意攻击。

由于接入终端的不确定性因素，导致网络很容易遭到大规模分布式拒绝服务攻击，不仅会影响大量用户的正常网络使用，严重的甚至造成网络瘫痪，针对此类问题我们可以在网络的接口根据MAC、IP、端口、包长度、域名、时间等特征进行速隔，从而保护网络的安全；同时采用DAP技术来防范DDoS攻击，它可以在不影响正常业务的情况下，免受ICMP、SYN、UDP等病毒扫描攻击的威胁，使网络更加安全可靠。

下面主要结合实际应用情况来说明如何在数据接入网络上运用和部署上述技术。

Port Security技术：网络设备主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。MAC/CAM 攻击是指利用工具产生欺骗 MAC，快速填满CAM 表，网络设备CAM 表被填满后，网络设备以广播方式处理通过网络设备的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。

网络设备的Port Security feature 可以防止MAC和MAC/CAM攻击。通过配置Port Security可以控制：端口上学习或通过哪些IP地址或MAC 地址；端口上学习的最大MAC地址数。端口上学习或通过哪些MAC地址，可以通过静态手工定义，也可以在网络设备自动学习。网络设备动态学习端口MAC，直到指定的MAC地址数量，网络设备关机后重新学习。

DHCP Snooping技术：采用 DHCP server 可以自动为用户设置网络参数，简化了用户网络设置，提高了管理效率。但由于 DHCP的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见，足可见故意人为破坏的简单性。

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

DHCP Snooping技术不仅解决了 DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测DAI和IP Source Guard使用。

Dynamic ARP Inspection技术：ARP用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。

由于ARP无任何身份真实校验机制，攻击主机通过黑客程序发送ARP欺骗报文告诉请求某个IP地址的主机一个错误的MAC地址，随后使得网络流量流向恶意攻击者的主机，因此攻击主机变成某个局域网段IP会话的中间人，造成窃取甚至篡改正常数据传输的后果。

Dynamic ARP Inspection （DAI）在网络设备上提供IP地址和MAC地址的绑定， 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。

IP Source Guard技术：常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是攻击行为：如Ping Of Death、syn flood、ICMP unreacheable Storm。

IP Source Guard 技术通过下面机制可以防范 IP/MAC 欺骗：
• IP Source Guard 使用 DHCP snooping 绑定表信息。
• 配置在网络设备端口上，并对该端口生效。
• 运作机制类似 DAI，但是 IP Source Guard不仅仅检查ARP报文，所有经过定义IP Source Guard检查的端口的报文都要检测。
• IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表，如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82，同时使网络设备支持Option 82信息。

Filter过滤技术：Filter过滤技术可以有效防止合法的IP或MAC地址发起的大流量ARP、DHCP、IGMP攻击。

网络中存在这样一种情况：某个IP地址或MAC地址在某台网络设备某个端口是合法的，该PC由于某种原因向外发送大量的ARP请求/应答报文、IGMP组播报文或DHCP Discover报文，严重消耗网络网络设备CPU资源，利用率可达99%乃至死机。

此时，利用Filter技术定义一个统计周期，限定一个阀值，在规定的统计周期内相关报文数量超过阀值后，网络设备对相关MAC地址进行Block操作，Block时间可自定义。可有效防止合法主机（合法的IP地址和MAC地址）发出的大量合法但不正常的ARP、IGMP、DHCP攻击报文。

Strom-Control技术：风暴抑制防止网络设备的端口被局域网中的广播、多播或者一个物理端口上的单播风暴所破坏。当风暴抑制开启了时，网络设备监控所转发的报文是单播，组播还是广播。网络设备周期性统计广播组播和单播的数目，每1秒钟一个周期，当某种类型流量到达了门限值，这种流量就会被丢弃。这个门限可以用组播、广播使用的总的可用带宽百分比或者报文的个数（pps）来指定。

QoS技术：网络设备的QoS支持ARP报文识别，通过定义MAC ACL，以及QoS调用MAC ACL对ARP报文进行流量限速（action bandwidth）。
Logging and Warning技术：网络设备的Filter过滤功能，对ARP、DHCP、IGMP攻击进行过滤，某个MAC地址被Block后会提示一条信息，可以通过日志功能将该信息上传到日志服务器。便于查看并准确定位网络中存在的问题。

综上所述可以通过在网络设备上配置上述功能，来解决一些典型攻击和病毒的防范问题，也为传统 IP地址管理提供了新的思路。

[ 本帖最后由 tomtuo 于 2011-8-23 11:29 编辑 ]