今天海翎光電的小編來給大家聊聊以太網交換機安全功能。 交換機作為局域網中最常見的設備,在安全上面臨著重大威脅,這些威脅有的是針對交換機管理上的漏洞,攻擊者試圖控制交換機。有的針對的是交換機的功能,攻擊者試圖擾亂交換機的正常工作,從而達到破壞甚至竊取數據的目的。針對交換機的攻擊主要有以下幾類:
交換機的訪問安全為了防止交換機被攻擊者探測或控制,必須在交換機上配置基本的安全:
8、關閉 SNMP 或使用 SNMP V3
交換機依賴 MAC 地址表轉發數據幀,如果 MAC 地址不存在,則交換機將幀轉發到交換機上的每一個端口(泛洪),然而 MAC 地址表的大小是有限的。MAC 泛洪攻擊利用這一限制用虛假源 MAC 地址轟炸交換機,直到交換機 MAC地址表變滿。交換機隨后進入稱為 “失效開放” (Fail-open)的模式,開始像集線器一樣工作,將數據包廣播到網絡上的所有機器。 因此,攻擊者可看到發送到無 MAC 地址表條目的另一臺主機的所有幀。要防止MAC 泛洪攻擊,可以配置端口安全特性,限制端口上所允許的有效 MAC 地址的數量,并定義攻擊發生時端口的動作:關閉、保護、限制。 當交換機開啟了 DHCP-Snooping 后,會對 DHCP 報文進行偵聽,并可以從接收到的 DHCP Request 或 DHCP Ack 報文中提取并記錄 IP 地址和 MAC 地址信息。另外,DHCP-Snooping 允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉發 DHCP Offer 報文,而不信任端口會將接收到的 DHCPOffer 報文丟棄。
這樣,可以完成交換機對假冒 DHCP Server 的屏蔽作用,確保客戶端從合法的DHCP Server 獲取 IP 地址。
1、dhcp-snooping 的主要作用就是隔絕非法的 dhcp server,通過配置非信任端口。
2、與交換機 DAI 的配合,防止 ARP 病毒的傳播。
3、建立和維護一張 dhcp-snooping 的綁定表,這張表一是通過 dhcp ack 包中的 ip 和 mac 地址生成的,二是可以手工指定。這張表是后續 DAI(dynamic arpinspect)和 IPSource Guard 基礎。這兩種類似的技術,是通過這張表來判定 ip或者 mac 地址是否合法,來限制用戶連接到網絡的。
4、通過建立信任端口和非信任端口,對非法 DHCP 服務器進行隔離,信任端口正常轉發 DHCP 數據包,非信任端口收到的服務器響應的 DHCP offer 和 DHCPACK后,做丟包處理,不進行轉發。
DAI
動態 ARP 檢查(Dynamic ARP Inspection, DAI)可以防止 ARP 欺騙,它可以幫助保證接入交換機只傳遞“合法的"ARP 請求和應答信息。
DAI 基于 DHCP Snooping 來工作,DHCP Snooping 監聽綁定表,包括 IP 地址與 MAC 地址的綁定信息,并將其與特定的交換機端口相關聯,動態 ARP 檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任端口的 ARP 請求和應答(主動式 ARP 和非主動式 ARP) ,確保應答來自真正的 MAC 所有者。交換機通過檢查端口紀錄的 DHCP 綁定信息和 ARP 應答的 IP 地址決定其是否是真正的 MAC 所有者,不合法的 ARP 包將被拒絕轉發。
DAI 針對 VLAN 配置,對于同一 VLAN 內的接口,可以開啟 DAI 也可以關閉,如果ARP 包是從一個可信任的接口接受到的,就不需要做任何檢查;如果 ARP 包是從一個不可信任的接口上接收到的,該包就只能在綁定信息被證明合法的情況下才會被轉發出去。這樣,,DHCP Snooping 對于 DAI 來說也成為必不可少的。 DAI 是動態使用的,相連的客戶端主機不需要進行任何設置上的改變。對于沒有使用 DHCP 的服務器,個別機器可以采用靜態添加 DHCP 綁定表或 ARP access-list的方法實現。 另外,通過 DAI 可以控制某個端口的 ARP 請求報文頻率。一旦 ARP 請求頻率超過預先設定的閾值,立即關閉該端口。該功能可以阻止網絡掃描工具的使用,同時對有大量 ARP 報文特征的病毒或攻擊也可以起到阻斷作用。 海翎光電公司積極響應國家戰略布局,重點推進自主可控國產化產品的開發與應用。為加強自主可控產業在各領域的競爭力,豐富產品類型的廣度與深度,聯合高校成立技術研發中心,完成了基于全國產系列 的網絡通信產品、嵌入式單板計算機產品,同時在結合原有技 術的基礎上構建起智能健康診斷平臺、智能巡檢平臺、大數據 處理平臺等。產品深入軍工、電力、能源、交通、船舶、環保、 煤炭、石油化工、工業控制等領域。
