低端交换机安全技术原理以及配置

低端交换机安全技术原理以及配置第1页，课件共64页，创作于2023年2月第一节802.1X认证基本原理及配置第二节MAC地址认证基本原理及配置第三节端口隔离技术及配置第四节端口绑定技术及配置第五节ARP防攻击相关技术及配置目录第2页，课件共64页，创作于2023年2月802.1x协议起源802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的全称是基于端口的访问控制协议，主要目的是为了解决无线局域网用户的接入认证问题，它通过控制端口访问节点来提供无线局域网用户接入认证和安全性，随着局域网宽带接入的不断普及，局域网接入用户需要进行认证的要求越发迫切，802.1x现在已经开始被应用于一般的有线LAN的接入。第3页，课件共64页，创作于2023年2月802.1x协议简介802.1x协议首先是一个认证协议，是一种对用户进行认证的方法和策略802.1x协议是IEEE为了解决基于端口的接入控制而定义的一个标准802.1x的认证的最终目的就是确定一个端口是否可用，对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1x的认证报文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通过。第4页，课件共64页，创作于2023年2月802.1x协议简介802.1x认证系统组成SupplicantEAPOLAuthenticatorAuthenticationServerEAPOverRadiusORStandardRadius第5页，课件共64页，创作于2023年2月802.1x体系结构SupplicantSystemAuthenticatorSystemAuthenticationServerSystemPAE：认证机制中负责处理算法和协议的实体。EAP：ExtensibleAuthenticationProtocol第6页，课件共64页，创作于2023年2月802.1x体系结构受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚端口：受控端口和非受控端口非受控端口:始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接受认证。受控端口:在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开状态，禁止传递任何报文。第7页，课件共64页，创作于2023年2月802.1x体系结构端口受控方向E3/0/1E3/0/2单向双向Internet我司产品在实现时，对端口在非授权状态下，实行入方向单向受控，即禁止从客户端接收帧，但允许向客户端发送帧。因此常常会发现，端口由授权状态转变成非授权状态后，用户主机的IPTV客户端仍然可以持续播放视频几分钟，就是这个原因。但由于收不到用户主机发来的组播组成员报告，随着组播组的老化被删除，最终IPTV被中断

双向受控单向受控双向受控对受控端口的输入流和输出流都进行控制，在端口未授权前两个方向的流量都不能通过受控端口第8页，课件共64页，创作于2023年2月802.1x的工作方式客户端和设备端通过EAPOL帧来交互消息设备端和认证服务器端可以通过EAP中继方式或EAP终结方式交互信息设备端和认证服务器端可以分布在两个不同的实体上也可以集中在同一个实体上客户端PAE设备端PAE认证服务器EAPOLRADIUS协议承载的EAP/PAP/CHAP交换第9页，课件共64页，创作于2023年2月802.1x端口受控方式基于MAC的认证方式启用802.1X认证的端口下只要有一个用户通过了认证则该端口打开，其余下挂在这个端口下的用户也可以通过这个端口传输数据基于端口的认证方式两种端口受控方式：基于端口的认证：只要该物理端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，当第一个用户下线后，其他用户也会被拒绝使用网络。基于MAC地址认证：该物理端口下的所有接入用户都需要单独认证。当某个用户下线时，也只有该用户无法使用网络。通过认证的用户可以使用网络资源，没有通过的用户则不能，即使他们都接入了同一个端口第10页，课件共64页，创作于2023年2月802.1x报文发送方式AssignmentValuePAEgroupaddress01-80-C2-00-00-03组播方式客户端程序可以选择采用组播报文发送，此时客户端发送的所有EAPoL报文封装组播地址，有些情况下客户端程序也可以选择单播报文发送，此时客户端初次发送EAPoL-Start报文封装组播地址，回应设备端的response报文封装设备的端口地址采用单播发送，对于设备端发送的报文，若设备端知道客户端的地址，则封装客户端的地址采用单播发送，否则封装组播地址，采用组播发送广播方式客户端也可以选择广播方式发送报文，这时客户端初次发送EAPoL-Start报文封装广播地址，其余报文可以采用单播发送第11页，课件共64页，创作于2023年2月802.1x报文封装EAPOL的报文格式PAEEthernettypeProtocolversionTypeLengthPacketBody2346N0PAEEthernetType占2字节，固定为0x888EProtocolVersion占1字节，固定为1Type占1字节，EAP-Packet（00EAPOL-Start（01）EAPOL-Logoff（02）EAPOL-Key（03）EAPOL-Encapsulated-ASF-Alert（04)Length占2字节，指定packetbody字段的长度PacketBody当PacketType字段为EAPoL-Start或EAPoL-Logoff时，此字段为空第12页，课件共64页，创作于2023年2月802.1x报文封装EAPOL报文示例第13页，课件共64页，创作于2023年2月802.1x报文封装EAP的报文格式Code域为一个字节，表示了EAP数据包的类型，EAP的Code的值指定意义如下

Code＝1——RequestCode＝2——ResponseCode＝3——SuccessCode＝4——FailureIndentifier域为一个字节，辅助进行request和response的匹配。每一个request都应该有一个response相对应，这样的一个Indentifier域就建立了一个对应关系Length域为两个字节，表明了EAP数据包的长度，包括Code、Identifier、Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充（padding）在接收时将被忽略掉。Data域为0个或者多个字节，Data域的格式由Code的值来决定。当Code为3或4时，data域为0个字节。CodeIdentifierLengthData0124N第14页，课件共64页，创作于2023年2月802.1x报文封装Request/Respone报文Data域Type：占1个字节，该字段值指定Request或Response的类型。在EAP的Request或Response中必须出现且仅出现一个Type1Identity2Notification3Nak(Responseonly)4MD5-Challenge5One-TimePassword(OTP)(RFC1938)6GenericTokenCardTypedata：内容随不同类型的Request和Response而不同。TypeTypeData01N第15页，课件共64页，创作于2023年2月802.1x报文封装EAP报文示例第16页，课件共64页，创作于2023年2月802.1x认证过程两种EAP认证方式EAP中继方式EAP终结方式用来对用户口令信息进行加密处理的随机加密字由Radius服务器生成，交换机只是负责将EAP报文透传Radius服务器，EAP中继方式要求Radius服务器支持EAP属性：EAP-Message（值为79）和Message-Authenticator（值为80）,整个认证处理都由Radius服务器来完成。EAP中继方式有四种认证方法：EAP-MD5、EAP-TLS（TransportLayerSecurity，传输层安全）、EAP-TTLS（TunneledTransportLayerSecurity，隧道传输层安全）和PEAP（ProtectedExtensibleAuthenticationProtocol，受保护的扩展认证协议）。用来对用户口令信息进行加密处理的随机加密字由交换机生成，之后交换机会通过标准Radius报文把用户名、随机加密字和客户端加密后的口令信息一起送给Radius服务器，进行相关的认证处理。第17页，课件共64页，创作于2023年2月802.1x认证过程EAP中继方式客户端交换机RADIUS服务器EAPOLEAPOREAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5ChallengeEAP-SuccessEAP-Response/MD5ChallengeRADIUSAccess-Request(EAP-Response/Identity)RADIUSAccess-Challenge(EAP-Request/MD5Challenge)RADIUSAccess-Accept(EAP-Success)RADIUSAccess-Request(EAP-Response/MD5Challenge)端口被授权握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]EAPOL-Logoff......端口非授权第18页，课件共64页，创作于2023年2月802.1x认证过程EAP终结方式客户端交换机RADIUS服务器EAPOLRADIUSEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5ChallengeEAP-SuccessEAP-Response/MD5ChallengeRADIUSAccess-Request(CHAP-Response/MD5Challenge)RADIUSAccess-Accept(CHAP-Success)端口被授权握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]EAPOL-Logoff......端口非授权第19页，课件共64页，创作于2023年2月802.1X典型配置案例第20页，课件共64页，创作于2023年2月802.1X典型配置案例#开启全局802.1x特性。<Sysname>system-viewSystemView:returntoUserViewwithCtrl+Z.[Sysname]dot1x#开启指定端口Ethernet1/0/1的802.1x特性。[Sysname]dot1xinterfaceEthernet1/0/1#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。[Sysname]dot1xport-methodmacbasedinterfaceEthernet1/0/1#创建RADIUS方案radius1并进入其视图。[Sysname]radiusschemeradius1第21页，课件共64页，创作于2023年2月802.1X典型配置案例#设置主认证/计费RADIUS服务器的IP地址。[Sysname-radius-radius1]primaryauthentication[Sysname-radius-radius1]primaryaccounting#设置备份认证/计费RADIUS服务器的IP地址。[Sysname-radius-radius1]secondaryauthentication[Sysname-radius-radius1]secondaryaccounting#设置系统与认证RADIUS服务器交互报文时的加密密码。[Sysname-radius-radius1]keyauthenticationname#设置系统与计费RADIUS服务器交互报文时的加密密码。[Sysname-radius-radius1]keyaccountingmoney#设置系统向RADIUS服务器重发报文的时间间隔与次数。[Sysname-radius-radius1]timer5[Sysname-radius-radius1]retry5第22页，课件共64页，创作于2023年2月802.1X典型配置案例#设置系统向RADIUS服务器发送实时计费报文的时间间隔。[Sysname-radius-radius1]timerrealtime-accounting15#指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。[Sysname-radius-radius1]user-name-formatwithout-domain[Sysname-radius-radius1]quit#创建域

并进入其视图。[Sysname]domain#指定radius1为该域用户的RADIUS方案，若RADIUS服务器无效，则使用本地认证方案。[S]schemeradius-schemeradius1local#设置该域最多可容纳30个用户。[S]access-limitenable30第23页，课件共64页，创作于2023年2月802.1X典型配置案例#启动闲置切断功能并设置相关参数。[S]idle-cutenable202000[S]quit#配置域

为缺省用户域。[Sysname]domaindefaultenable#添加本地接入用户。[Sysname]local-userlocaluser[Sysname-luser-localuser]service-typelan-access[Sysname-luser-localuser]passwordsimplelocalpass第24页，课件共64页，创作于2023年2月第一节802.1X认证基本原理及配置第二节MAC地址认证基本原理及配置第三节端口隔离技术及配置第四节端口绑定技术及配置第五节ARP防攻击相关技术及配置目录第25页，课件共64页，创作于2023年2月MAC地址认证概述第26页，课件共64页，创作于2023年2月两种认证方式的的工作流程第27页，课件共64页，创作于2023年2月MAC地址认证的配置命令第28页，课件共64页，创作于2023年2月MAC认证的典型配置案例#开启指定端口Ethernet1/0/2的MAC地址认证特性。<Sysname>system-view[Sysname]mac-authenticationinterfaceEthernet1/0/2#配置采用MAC地址用户名进行认证，并指定使用带有分隔符的小写形式的MAC地址作为验证的用户名和密码。[Sysname]mac-authenticationauthmodeusernameasmacaddressusernameformatwith-hyphenlowercase第29页，课件共64页，创作于2023年2月MAC认证的典型配置案例#添加本地接入用户。配置本地用户的用户名和密码：[Sysname]local-user00-0d-88-f6-44-c1[Sysname-luser-00-0d-88-f6-44-c1]passwordsimple00-0d-88-f6-44-c1设置本地用户服务类型为lan-access：[Sysname-luser-00-0d-88-f6-44-c1]service-typelan-access[Sysname-luser-00-0d-88-f6-44-c1]quit#创建MAC地址认证用户所使用的域。[Sysname]domainNewDomainadded.#配置域

采用本地认证方式。[S]schemelocal[S]quit第30页，课件共64页，创作于2023年2月MAC认证的典型配置案例#配置MAC地址认证用户所使用的域名为。[Sysname]mac-authenticationdomain#开启全局MAC地址认证特性（接入控制相关特性一般将全局配置开启放在最后，否则相关参数未配置完成，会造成合法用户无法访问网络）。[Sysname]mac-authentication第31页，课件共64页，创作于2023年2月第一节802.1X认证基本原理及配置第二节MAC地址认证基本原理及配置第三节端口隔离技术及配置第四节端口绑定技术及配置第五节ARP防攻击相关技术及配置目录第32页，课件共64页，创作于2023年2月端口隔离简介第33页，课件共64页，创作于2023年2月端口隔离基本配置第34页，课件共64页，创作于2023年2月端口隔离配置举例第35页，课件共64页，创作于2023年2月第一节802.1X认证基本原理及配置第二节MAC地址认证基本原理及配置第三节端口隔离技术及配置第四节端口绑定技术及配置第五节ARP防攻击相关技术及配置目录第36页，课件共64页，创作于2023年2月端口绑定技术简介第37页，课件共64页，创作于2023年2月端口绑定基本配置第38页，课件共64页，创作于2023年2月端口绑定典型配置举例第39页，课件共64页，创作于2023年2月第一节802.1X认证基本原理及配置第二节MAC地址认证基本原理及配置第三节端口隔离技术及配置第四节端口绑定技术及配置第五节ARP防攻击相关技术及配置目录第40页，课件共64页，创作于2023年2月ARP攻击原理介绍

ARP——AddressResolutionProtocol地址解释协议帧类型—0x0806 ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的通过伪造虚假源IP-MAC对应的ARP报文，导致网关或主机无法找到正确的通信对象利用ARP协议本身的缺陷来实现可以利用帧类型来识别ARP报文第41页，课件共64页，创作于2023年2月ARP攻击来源分析一、病毒和木马瑞星2007上半年电脑病毒排名1、帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫）

2、威金蠕虫（Worm.Viking）

3、熊猫烧香（Worm.Nimaya；又称尼姆亚）

4、网络游戏木马（Trojan.PSW.OnlineGames）

5、QQ通行证（Trojan.PSW.QQPass）

6、ARP病毒（具有ARP攻击行为的多个病毒）

二、黑客攻击软件网络执法官等据瑞星统计：上半年全国约有3500多万台电脑曾经被病毒感染第42页，课件共64页，创作于2023年2月常见ARP攻击类型

仿冒网关

ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关

仿冒终端用户/服务器欺骗网关发送错误的终端用户的IP＋MAC的对应关系给网关，导致网关无法和合法终端用户正常通信 欺骗终端用户发送错误的终端用户/服务器的IP＋MAC的对应关系给受害的终端用户，导致两个终端用户之间无法正常通信

其他ARPFLOODING攻击第43页，课件共64页，创作于2023年2月攻击实验环境介绍正常用户A网关攻击者B接入交换机正常用户C网络执法官我是攻击者我是受害者典型局域网，利用网络执法官来实现常见ARP攻击第44页，课件共64页，创作于2023年2月ARP欺骗攻击1——仿冒网关攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。正常用户A网关G网关MAC更新了网关ARP表项已更新攻击者BIPAddressGMACG1-1-1IPAddressMACType(网关)1-1-1DynamicIPAddressMACType（网关）2-2-2DynamicARP表项更新为这种攻击为最为常见的攻击类型访问外网数据发向错误的网关第45页，课件共64页，创作于2023年2月攻击现象一、网络执法官向受害主机发送网关的欺骗ARP报文二、受害主机网关信息被欺骗，网络无法正常访问间隔时间非常短第46页，课件共64页，创作于2023年2月ARP欺骗攻击2－欺骗网关攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网正常用户A网关G用户A的MAC更新了用户A的ARP表项已更新发送伪造ARP信息攻击者BIPAddressMACType3-3-3DynamicIPAddressMACType2-2-2DynamicARP表项更新为IPAddressAMACA3-3-3外网来的数据流被转发到错误的终端第47页，课件共64页，创作于2023年2月一、受害主机上正确绑定网关信息二、网络还是无法正常访问攻击现象第48页，课件共64页，创作于2023年2月ARP欺骗攻击3－欺骗终端用户攻击者以伪造虚假的ARP报文，欺骗相同网段内的其他主机，某一合法用户的MAC地址已经更新网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者BIPAddressGMACG1-1-1IPAddressMACType9-9-9DynamicIPAddressMACType2-2-2Dynamic用户C的MACis2-2-2ARP表项更新为目的MAC源MAC…2-2-23-3-3…IPAddressAMACA3-3-3数据流被中断IPAddressBMACB05-5-5IPAddressCMACC9-9-9正常用户C第49页，课件共64页，创作于2023年2月ARP泛洪攻击攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3…的MAC更新了已更新发送大量伪造ARP信息攻击者BIPAddressGMACG1-1-1IPAddressMACType2-2-2Dynamic2-2-3Dynamic2-2-4Dynamic2-2-5Dynamic2-2-6Dynamic………….DynamicMACis2-2-2ARP表项被占满IPAddressAMACA033-3-3ARP表项无法学习IPAddressBMACB05-5-5MACis2-2-3MACis2-2-4……03MACis3-3-3第50页，课件共64页，创作于2023年2月ARP攻击防御的三个控制点网关G用户接入设备

网关防御合法ARP绑定，防御网关被欺骗

VLAN内的ARP学习数量限制，防御ARP泛洪攻击1

接入设备防御将合法网关IP/MAC进行绑定，防御仿冒网关攻击合法用户IP/MAC绑定，过滤掉仿冒报文

ARP限速绑定用户的静态MAC2

客户端防御合法ARP绑定，防御网关被欺骗3根据前述ARP攻击原理得出解决ARP攻击的三个控制点如下：第51页，课件共64页，创作于2023年2月防御思路1－认证模式网关接入交换机利用认证途径来获取合法用户的IP-MAC关系，在接入交换机和网关上进行绑定。利用认证客户端在终端上绑定网关ARP表项。CAMS

认证服务器利用802.1x或者Portal认证机制将合法用户的IP-MAC关系上传到认证服务器认证服务器将获取到的IP-MAC对应关系下发到网关认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点123X认证通过后，CAMS将网关的IP-MAC对应关系下发给客户端进行静态绑定关键点第52页，课件共64页，创作于2023年2月认证模式之接入绑定利用认证途径来获取合法用户的IP-MAC关系，在接入交换机（认证设备）进行绑定。不匹配绑定关系的ARP报文统统丢弃，并上报给管理员网关接入交换机CAMS

认证服务器认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点2X想发送欺骗报文，丢弃攻击者第53页，课件共64页，创作于2023年2月防御思路2－DHCP监控模式网关接入交换机监控DHCP交互报文获取合法用户的IP-MAC-port关系在接入交换机上绑定下挂终端的IP-MAC对应关系，并对接收到的ARP报文进行检查，过滤掉所有非法报文。全网部署后，有效防止所有ARP常见攻击类型DHCP服务器接入交换机解析客户端和DHCP服务器之间的交互报文，获得合法用户的IP-MAC-port对应关系接入交换机将获取到的合法用户的IP-MAC-port绑定在入接口上控制点1X想发送欺骗报文？丢弃关键点攻击者第54页，课件共64页，创作于2023年2月认证绑定Vs.DHCPSNOOPING

对网络设备的依赖小，对接入交换机和网关的绑定可以根据网络状况分别使用。适应静态IP地址的环境使用，适合目前多数学校现状。认证绑定模式DHCPSNOOPING模式优点局限性需要安装客户端需要采用H3C认证方式可以保证网络无非法ARP报文传播，从根本防御ARP攻击纯网络层面实现，不需要用户安装客户端。对用户应用没有影响要求用户采用DHCP动态获取IP的方式以过滤非法报文为防御措施，要求同网段全网部署对接入交换机的型号、版本有很强的依赖优点局限性第55页，课件共64页，创作于2023年2月DHCPSnooping模式的部署网关接入设备接入设备监控DHCP报文信息，绑定用户MAC-IP-PORT关系1保护屏障DHCP响应DHCP请求配置命令：全局模式：dhcp－snooping（全局开关）VLAN模式：ARPdetectionenable：（使能ARPdetectionenable检测，限制ARP报文数量）上行接口：ARPdetectiontrust（将上行口配置为信任接口不检查ARP）DHCP第56页，课件共64页，创作于2023年2月认证模式的部署网关接入设备接入设备认证客户端绑定网关的IP-MAC对应关系3iNode客户端

iNode客户端

iNode客户端

iNode客户端

CAMS服务器

IPAddressGMACG00-e0-fc-00-00-04静态ARP绑定：第57页，课件共64页，创作于2023年2月H3C“全面防御，模块定制”ARP防御总结H3C低端交换机针对ARP防御方案：1.防止泛洪攻击配置ARP源抑制功能配置ARP黑洞路由功能配置ARP报文限速功能2.防止仿冒用户、仿冒网关攻击配置源MAC地址固定的ARP攻击检测功能配置ARP报文源MAC地址一致性检查功能配置ARP主动确认功配置ARPDetection功能配置ARP自动扫描、固化功能配置ARP网关保护功能配置ARP过滤保护功能第58页，课件共64页，创作于2023年2月H3CARP防御方案配置ARP防止IP报文攻击功能如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备，可通过以下两种方案来防止ARP攻击。如果发送攻击报文的源是固定的，可以采用ARP源抑制功能；如果发送攻击报文的源不固定，可以采用ARP黑洞路由功能。1.配置ARP源抑制功能使能ARP源抑制功能arpsource-suppressionenable配置ARP源抑制的阈值arpsource-suppressionlimitlimit-value（缺省情况下，ARP源抑制的阈值为10）2.配置ARP黑洞路由功能使能ARP黑洞路由功能arpresolving-routeenable（ARP黑洞路由功能处于开启状态）第59页，课件共64页，创作于2023年2月H3CARP防御方案配置ARPDetection功能ARPDetection功能主要应用于接入设备上，对于合法用户的ARP报文进行正常转发，否则直接丢弃，从而防止仿冒用户、仿冒网关的攻击。ARPDetection包含三个功能：用户合法性检查、ARP报文有效性检查、ARP报文强制转发。1.用户合法性检查对于ARP信任端口，不进行用户合法性检查；对于ARP非信任端口，需要进行用户合法性检查，以防止仿冒用户的攻击。用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户，包括基于IPSourceGuard静态绑定表项的检查、基于DHCPSnooping安全表项的检查、基于802.1X安全表项的检查和OUIMAC地址的检查。(1)首先进行基于IPSourceGuard静态绑定表项检查。如果找到了对应源IP地址和源MAC地址的静态绑定表项，认为该ARP报文合法，进行转