以太网安全技术交流.ppt

全心为你，服务相随,H3Care俱乐部,以太网安全 常用技术,H3C全球技术服务部 赵文瑞 133 3105 7630,不断变化的业务类型、不断变化的网络应用、不断变化的安全威胁，这些都让当前企业网络处在需要不断的自我调整、完善的状态。如何保持网络的安全可用，成为企业园区网络运维面临的挑战。,引入,以太网常见的安全问题 几个以太网安全技术 以太网常用安全技术介绍 案例分析,目 录,以太网常见的安全问题,假冒伪装型攻击,设备控制权攻击,以太网常见的安全问题 几个以太网安全技术 以太网常用安全技术介绍 案例分析,目 录,端口隔离技术,为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN 资源。 采用端口隔离特性，可以实现同一VLAN 内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。 端口隔离特性与端口所属的VLAN 无关。同VLAN 下同一隔离组内相互隔离，同VLAN 不同隔离组或者隔离组内外不隔离，隔离组内的端口和隔离组外端口二层流量双向互通。 为了使隔离组与隔离组外二层互通，隔离组内必须存在上行端口。VLAN 内非端口隔离组成员即为上行端口，隔离组内上行端口的数量没有限制。,DLDP技术,在实际组网中，有时会出现一种特殊的现象单向链路（即单通）。所谓单向链路是指本端设备可以通过链路层收到对端设备发送的报文，但对端设备不能收到本端设备的报文。单向链路会引起一系列问题，比如生成树拓扑中存在环路等。,DLDP（Device Link Detection Protocol，设备链路检测协议）可以监控光纤或铜质双绞线的链路状态。如果发现单向链路存在，DLDP 会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。,AAA,AAA 是Authentication、Authorization、Accounting（认证、授权、计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。 AAA一般采用客户机/服务器结构，客户端运行于NAS（Network Access Server，网络接入服务器）上，服务器上则集中管理用户信息。NAS对于用户来讲是服务器端，对于服务器来说是客户端。,SSH,SSH 是Secure Shell（安全外壳）的简称。用户通过一个不能保证安全的网络环境远程登录到设备时，SSH 可以利用加密和强大的认证功能提供安全保障，保护设备不受诸如IP 地址欺诈、明文密码截取等攻击。 设备支持SSH 服务器功能，可以接受多个SSH 客户端的连接。同时，设备还支持SSH 客户端功能，允许用户与支持SSH 服务器功能的设备建立SSH 连接，从而实现从本地设备通过SSH 登录到远程设备上。,IP Source Guard,通过IP Source Guard 绑定功能，可以对端口转发的报文进行过滤控制，防止非法报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard 绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。绑定功能是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。 IP Source Guard 支持的报文特征项包括：源IP 地址、源MAC 地址和VLAN 标签。并且，可支持端口与如下特征项的组合： IP、MAC、IPMAC IPVLAN、MACVLAN、IPMACVLAN,以太网常见的安全问题 几个以太网安全技术 以太网常用安全技术介绍 案例分析,目 录,以太网访问列表,主要作用:在整个网络中分布实施接入安全性,访问列表,对到达端口的数据包进行分类，并打上不同的动作标记 访问列表可作用于交换机的部分或所有端口 访问列表的主要用途： 包过滤 镜像 流量限制 流量统计 分配队列优先级,流分类,通常选择数据包的包头信息作为流分类项 2层流分类项 以太网帧承载的数据类型 源/目的MAC地址 以太网封装格式 Vlan ID 入/出端口 3/4层流分类项 协议类型 源/目的IP地址 源/目的端口号 DSCP,访问控制列表的构成,Rule（访问控制列表的子规则） Time-range（时间段机制） ACL=rules+ time-range （访问控制列表由一系列子规则组成，必要时可以和时间段结合）,访问控制列表 子规则:rule 1 子规则:rule 2 子规则:rule 3 . 子规则:rule N,时间段的相关配置,在系统视图下，配置时间段: time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 在系统视图下，删除时间段: undo time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date ,假设管理员需要在2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下: H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003,定义访问控制列表,在系统视图下，定义ACL并进入访问控制列表视图: acl number acl-number | name acl-name basic | advanced | link | user match-order config | auto 在系统视图下，删除ACL: undo acl number acl-number | name acl-name | all ,基本访问控制列表的子规则配置,在基本访问控制列表视图下，配置相应的子规则 rule rule-id permit | deny source source-addr wildcard | any fragment time-range name 在基本访问控制列表视图下，删除一条子规则 undo rule rule-id source fragment time-range ,端口操作符及语法,TCP/UDP协议支持的端口操作符及语法,操作符及语法,含义,eq portnumber,等于portnumber,gt portnumber,大于portnumber,lt portnumber,小于portnumber,neq portnumber,不等于portnumber,range portnumber1 portnumber2,介于端口号portnumber1和 portnumber2之间,子规则匹配原则,一条访问控制列表往往会由多条子规则组成，这样在匹配一条访问控制列表的时候就存在着子规则匹配顺序的问题。在H3C系列交换机产品上，支持下列两种匹配顺序： Config：指定匹配该子规则时按用户的配置顺序匹配 Auto：指定匹配该子规则时系统自动排序（按“深度优先”的规则）,激活访问控制列表,在系统视图下，激活ACL: packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule 在系统视图下，取消激活ACL: undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule ,访问控制列表的维护和调试,显示时间段状况: display time-range all | name 显示访问控制列表的详细配置信息: display acl config all | acl-number | acl-name 显示访问控制列表的下发应用信息: display acl running-packet-filter all 清除访问控制列表的统计信息: reset acl counter all | acl-number | acl-name ,802.1X的作用,IEEE 802.1X定义了基于端口的网络接入控制协议（Port based network access control protocol） 该协议适用于接入的用户设备与接入端口间点到点的连接方式，实现对局域网用户接入的认证与服务管理 802.1X的认证接入基于逻辑端口,802.1X的系统组成,传输介质：点对点以太网（如果是共享式以太网需要采用加密的方式传递认证信息）,EAP Over Something,Authentication Server,Authenticator,EAPOL,Supplicant,802.1X的受控端口（1）,根据组网情况决定哪些端口需要启动802.1X使之成为受控端口。,802.1X客户端软件,（Supplicant）,端口启动了802.1X，成为 受控端口，客户只有在通 过802.1X认证后才能访问 网络资源,端口未启动802.1X， 为非受控端口，通信 数据可以畅通无阻,H3C S3526,（Authenticator）,802.1X的受控端口（2）,受控端口支持三种认证授权模式 ForceAuthorized模式 端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源 ForceUnauthorized模式 端口一直维持非授权状态，忽略所有客户端发起的认证请求 Auto模式 端口初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源,端口受控方式,H3C公司对802.1X协议的端口控制方式进行了扩展，除了支持基于端口的控制方式外，还在端口受控的基础上增加了基于MAC、VLAN的控制方式。缺省的认证控制方式为基于MAC。 基于端口的控制 一旦某端口上有一位用户通过了802.1X的认证，整个端口都将被授权，允许多台主机通过此端口访问网络资源 基于MAC地址的控制（端口源MAC） 某端口上有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，不允许其它主机通过此端口访问网络资源,802.1X优势明显,802.1X,PPPOE,WEB认证,是否需要安装 客户端软件,业务报文效率,组播支持能力,有线网上的 安全性,设备端的要求,增值应用支持,是，XP不需要,是,否,高,好,扩展后可用,低,简单,复杂,复杂,高,较高,可用,可用,低，对设备要求高,好,低，有封装开销,高,结论： 802.1X适用于运营管理相对简单，业务复杂度较低的企业以及园区 是理想的低成本运营解决方案,典型应用（1）,802.1X应用在大中型网络汇聚层设备集中认证,802.1X 设备端,802.1X 设备端,DNS,DHCP,AAA,HUB,802.1X客户端,802.1X客户端,802.1X认证服务器,HUB,典型应用（2）,802.1X应用在大中型网络边缘设备分布认证,AAA/DHCP/DNS,802.1X 设备端,802.1X 设备端,802.1X客户端,802.1X认证服务器,802.1X客户端,典型应用（3）,802.1X应用在小型网络,DHCP/DNS,H3C S3600 802.1X设备端,802.1X设备端,802.1X客户端,802.1X客户端,802.1X设备端,802.1X客户端,AccessPoint,802.1X内置认证服务器&设备端,仿冒网关 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关 仿冒终端用户/服务器 欺骗网关 发送错误的终端用户的IPMAC的对应关系给网关，导致网关无法和合法终端用户正常通信 欺骗终端用户 发送错误的终端用户/服务器的IPMAC的对应关系给受害的终端用户，导致两个终端用户之间无法正常通信 其他 ARP FLOODING 攻击,ARP攻击防御,网关G,用户,接入设备,接入设备防御 将合法网关IP/MAC进行绑定，防御仿冒网关攻击 合法用户IP/MAC绑定，过滤掉仿冒报文 ARP限速 绑定用户的静态MAC,2,ARP攻击防御的三个控制点,动态获取IP地址的网络推荐DHCP Snooping模式,网关,接入设备,接入设备,保护屏障,DHCP响应,DHCP请求,配置命令： 全局模式：dhcpsnooping（全局开关） VLAN模式：ARP detection enable：（使能ARP detection enable检测，限制ARP报文数量） 上行接口：ARP detection trust（ 将上行口配置为信任接口不检查ARP）,DHCP,启用接入认证的网络推荐认证模式,网关,接入设备,接入设备,iNode客户端,iNode客户端,iNode客户端,iNode客户端,CAMS服务器,静态ARP绑定：,以太网常见的安全问题 几个以太网安全技术 以太网常用安全技术介绍 案例分析,目 录,案例点评