以太網安全技術交流.ppt

全心為你，服務相隨,H3Care俱樂部,以太網安全 常用技術,H3C全球技術服務部 趙文瑞 133 3105 7630,不斷變化的業(yè)務類型、不斷變化的網絡應用、不斷變化的安全威脅，這些都讓當前企業(yè)網絡處在需要不斷的自我調整、完善的狀態(tài)。如何保持網絡的安全可用，成為企業(yè)園區(qū)網絡運維面臨的挑戰(zhàn)。,引入,以太網常見的安全問題 幾個以太網安全技術 以太網常用安全技術介紹 案例分析,目 錄,以太網常見的安全問題,假冒偽裝型攻擊,設備控制權攻擊,以太網常見的安全問題 幾個以太網安全技術 以太網常用安全技術介紹 案例分析,目 錄,端口隔離技術,為了實現(xiàn)報文之間的二層隔離，可以將不同的端口加入不同的VLAN，但會浪費有限的VLAN 資源。 采用端口隔離特性，可以實現(xiàn)同一VLAN 內端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實現(xiàn)隔離組內端口之間二層數據的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網方案。 端口隔離特性與端口所屬的VLAN 無關。同VLAN 下同一隔離組內相互隔離，同VLAN 不同隔離組或者隔離組內外不隔離，隔離組內的端口和隔離組外端口二層流量雙向互通。 為了使隔離組與隔離組外二層互通，隔離組內必須存在上行端口。VLAN 內非端口隔離組成員即為上行端口，隔離組內上行端口的數量沒有限制。,DLDP技術,在實際組網中，有時會出現(xiàn)一種特殊的現(xiàn)象單向鏈路（即單通）。所謂單向鏈路是指本端設備可以通過鏈路層收到對端設備發(fā)送的報文，但對端設備不能收到本端設備的報文。單向鏈路會引起一系列問題，比如生成樹拓撲中存在環(huán)路等。,DLDP（Device Link Detection Protocol，設備鏈路檢測協(xié)議）可以監(jiān)控光纖或銅質雙絞線的鏈路狀態(tài)。如果發(fā)現(xiàn)單向鏈路存在，DLDP 會根據用戶配置，自動關閉或通知用戶手工關閉相關端口，以防止網絡問題的發(fā)生。,AAA,AAA 是Authentication、Authorization、Accounting（認證、授權、計費）的簡稱，是網絡安全的一種管理機制，提供了認證、授權、計費三種安全功能。 AAA一般采用客戶機/服務器結構，客戶端運行于NAS（Network Access Server，網絡接入服務器）上，服務器上則集中管理用戶信息。NAS對于用戶來講是服務器端，對于服務器來說是客戶端。,SSH,SSH 是Secure Shell（安全外殼）的簡稱。用戶通過一個不能保證安全的網絡環(huán)境遠程登錄到設備時，SSH 可以利用加密和強大的認證功能提供安全保障，保護設備不受諸如IP 地址欺詐、明文密碼截取等攻擊。 設備支持SSH 服務器功能，可以接受多個SSH 客戶端的連接。同時，設備還支持SSH 客戶端功能，允許用戶與支持SSH 服務器功能的設備建立SSH 連接，從而實現(xiàn)從本地設備通過SSH 登錄到遠程設備上。,IP Source Guard,通過IP Source Guard 綁定功能，可以對端口轉發(fā)的報文進行過濾控制，防止非法報文通過端口，提高了端口的安全性。端口接收到報文后查找IP Source Guard 綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉發(fā)該報文，否則做丟棄處理。綁定功能是針對端口的，一個端口被綁定后，僅該端口被限制，其他端口不受該綁定影響。 IP Source Guard 支持的報文特征項包括：源IP 地址、源MAC 地址和VLAN 標簽。并且，可支持端口與如下特征項的組合： IP、MAC、IPMAC IPVLAN、MACVLAN、IPMACVLAN,以太網常見的安全問題 幾個以太網安全技術 以太網常用安全技術介紹 案例分析,目 錄,以太網訪問列表,主要作用:在整個網絡中分布實施接入安全性,訪問列表,對到達端口的數據包進行分類，并打上不同的動作標記 訪問列表可作用于交換機的部分或所有端口 訪問列表的主要用途： 包過濾 鏡像 流量限制 流量統(tǒng)計 分配隊列優(yōu)先級,流分類,通常選擇數據包的包頭信息作為流分類項 2層流分類項 以太網幀承載的數據類型 源/目的MAC地址 以太網封裝格式 Vlan ID 入/出端口 3/4層流分類項 協(xié)議類型 源/目的IP地址 源/目的端口號 DSCP,訪問控制列表的構成,Rule（訪問控制列表的子規(guī)則） Time-range（時間段機制） ACL=rules+ time-range （訪問控制列表由一系列子規(guī)則組成，必要時可以和時間段結合）,訪問控制列表 子規(guī)則:rule 1 子規(guī)則:rule 2 子規(guī)則:rule 3 . 子規(guī)則:rule N,時間段的相關配置,在系統(tǒng)視圖下，配置時間段: time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 在系統(tǒng)視圖下，刪除時間段: undo time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date ,假設管理員需要在2002年12月1日上午8點到2003年1月1日下午18點的時間段內實施安全策略，可以定義時間段名為denytime，具體配置如下: H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003,定義訪問控制列表,在系統(tǒng)視圖下，定義ACL并進入訪問控制列表視圖: acl number acl-number | name acl-name basic | advanced | link | user match-order config | auto 在系統(tǒng)視圖下，刪除ACL: undo acl number acl-number | name acl-name | all ,基本訪問控制列表的子規(guī)則配置,在基本訪問控制列表視圖下，配置相應的子規(guī)則 rule rule-id permit | deny source source-addr wildcard | any fragment time-range name 在基本訪問控制列表視圖下，刪除一條子規(guī)則 undo rule rule-id source fragment time-range ,端口操作符及語法,TCP/UDP協(xié)議支持的端口操作符及語法,操作符及語法,含義,eq portnumber,等于portnumber,gt portnumber,大于portnumber,lt portnumber,小于portnumber,neq portnumber,不等于portnumber,range portnumber1 portnumber2,介于端口號portnumber1和 portnumber2之間,子規(guī)則匹配原則,一條訪問控制列表往往會由多條子規(guī)則組成，這樣在匹配一條訪問控制列表的時候就存在著子規(guī)則匹配順序的問題。在H3C系列交換機產品上，支持下列兩種匹配順序： Config：指定匹配該子規(guī)則時按用戶的配置順序匹配 Auto：指定匹配該子規(guī)則時系統(tǒng)自動排序（按“深度優(yōu)先”的規(guī)則）,激活訪問控制列表,在系統(tǒng)視圖下，激活ACL: packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule 在系統(tǒng)視圖下，取消激活ACL: undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule ,訪問控制列表的維護和調試,顯示時間段狀況: display time-range all | name 顯示訪問控制列表的詳細配置信息: display acl config all | acl-number | acl-name 顯示訪問控制列表的下發(fā)應用信息: display acl running-packet-filter all 清除訪問控制列表的統(tǒng)計信息: reset acl counter all | acl-number | acl-name ,802.1X的作用,IEEE 802.1X定義了基于端口的網絡接入控制協(xié)議（Port based network access control protocol） 該協(xié)議適用于接入的用戶設備與接入端口間點到點的連接方式，實現(xiàn)對局域網用戶接入的認證與服務管理 802.1X的認證接入基于邏輯端口,802.1X的系統(tǒng)組成,傳輸介質：點對點以太網（如果是共享式以太網需要采用加密的方式傳遞認證信息）,EAP Over Something,Authentication Server,Authenticator,EAPOL,Supplicant,802.1X的受控端口（1）,根據組網情況決定哪些端口需要啟動802.1X使之成為受控端口。,802.1X客戶端軟件,（Supplicant）,端口啟動了802.1X，成為 受控端口，客戶只有在通 過802.1X認證后才能訪問 網絡資源,端口未啟動802.1X， 為非受控端口，通信 數據可以暢通無阻,H3C S3526,（Authenticator）,802.1X的受控端口（2）,受控端口支持三種認證授權模式 ForceAuthorized模式 端口一直維持授權狀態(tài)，下掛用戶無需認證過程就可訪問網絡資源 ForceUnauthorized模式 端口一直維持非授權狀態(tài)，忽略所有客戶端發(fā)起的認證請求 Auto模式 端口初始狀態(tài)為非授權狀態(tài)，僅允許EAPOL報文收發(fā)。802.1X認證通過后，將此端口狀態(tài)切換到授權狀態(tài)，用戶才能訪問網絡資源,端口受控方式,H3C公司對802.1X協(xié)議的端口控制方式進行了擴展，除了支持基于端口的控制方式外，還在端口受控的基礎上增加了基于MAC、VLAN的控制方式。缺省的認證控制方式為基于MAC。 基于端口的控制 一旦某端口上有一位用戶通過了802.1X的認證，整個端口都將被授權，允許多臺主機通過此端口訪問網絡資源 基于MAC地址的控制（端口源MAC） 某端口上有用戶通過802.1X認證時，僅授權給發(fā)起該認證的主機通過此端口訪問網絡資源，不允許其它主機通過此端口訪問網絡資源,802.1X優(yōu)勢明顯,802.1X,PPPOE,WEB認證,是否需要安裝 客戶端軟件,業(yè)務報文效率,組播支持能力,有線網上的 安全性,設備端的要求,增值應用支持,是，XP不需要,是,否,高,好,擴展后可用,低,簡單,復雜,復雜,高,較高,可用,可用,低，對設備要求高,好,低，有封裝開銷,高,結論： 802.1X適用于運營管理相對簡單，業(yè)務復雜度較低的企業(yè)以及園區(qū) 是理想的低成本運營解決方案,典型應用（1）,802.1X應用在大中型網絡匯聚層設備集中認證,802.1X 設備端,802.1X 設備端,DNS,DHCP,AAA,HUB,802.1X客戶端,802.1X客戶端,802.1X認證服務器,HUB,典型應用（2）,802.1X應用在大中型網絡邊緣設備分布認證,AAA/DHCP/DNS,802.1X 設備端,802.1X 設備端,802.1X客戶端,802.1X認證服務器,802.1X客戶端,典型應用（3）,802.1X應用在小型網絡,DHCP/DNS,H3C S3600 802.1X設備端,802.1X設備端,802.1X客戶端,802.1X客戶端,802.1X設備端,802.1X客戶端,AccessPoint,802.1X內置認證服務器&設備端,仿冒網關 ARP病毒通過發(fā)送錯誤的網關MAC對應關系給其他受害者，導致其他終端用戶不能正常訪問網關 仿冒終端用戶/服務器 欺騙網關 發(fā)送錯誤的終端用戶的IPMAC的對應關系給網關，導致網關無法和合法終端用戶正常通信 欺騙終端用戶 發(fā)送錯誤的終端用戶/服務器的IPMAC的對應關系給受害的終端用戶，導致兩個終端用戶之間無法正常通信 其他 ARP FLOODING 攻擊,ARP攻擊防御,網關G,用戶,接入設備,接入設備防御 將合法網關IP/MAC進行綁定，防御仿冒網關攻擊 合法用戶IP/MAC綁定，過濾掉仿冒報文 ARP限速 綁定用戶的靜態(tài)MAC,2,ARP攻擊防御的三個控制點,動態(tài)獲取IP地址的網絡推薦DHCP Snooping模式,網關,接入設備,接入設備,保護屏障,DHCP響應,DHCP請求,配置命令： 全局模式：dhcpsnooping（全局開關） VLAN模式：ARP detection enable：（使能ARP detection enable檢測，限制ARP報文數量） 上行接口：ARP detection trust（ 將上行口配置為信任接口不檢查ARP）,DHCP,啟用接入認證的網絡推薦認證模式,網關,接入設備,接入設備,iNode客戶端,iNode客戶端,iNode客戶端,iNode客戶端,CAMS服務器,靜態(tài)ARP綁定：,以太網常見的安全問題 幾個以太網安全技術 以太網常用安全技術介紹 案例分析,目 錄,案例點評