以太网安全技术交流课件

1、以太网安全技术交流1 全心为你，服务相随 H3Care俱乐部俱乐部 以太网安全以太网安全 H3CH3C全球技术服务部全球技术服务部 赵文瑞赵文瑞 133 3105 7630133 3105 7630 以太网安全技术交流2 不断变化的业务类型、不断变化的网络应用、不断变化的业务类型、不断变化的网络应用、 不断变化的安全威胁，这些都让当前企业网络处在不断变化的安全威胁，这些都让当前企业网络处在 需要不断的自我调整、完善的状态。如何保持网络需要不断的自我调整、完善的状态。如何保持网络 的安全可用，成为企业园区网络运维面临的挑战。的安全可用，成为企业园区网络运维面临的挑战。 引入引入 以太网安全技术交

2、流3 n以太网常见的安全问题以太网常见的安全问题 n几个以太网安全技术几个以太网安全技术 n以太网常用安全技术介绍以太网常用安全技术介绍 n案例分析案例分析 目目 录录 以太网安全技术交流4 以太网常见的安全问题以太网常见的安全问题 攻击类型攻击类型攻击行为攻击行为交换机安全特性交换机安全特性参考指令参考指令 资源耗尽型攻 击 MAC表攻击 端口MAC数限制mac-address max-mac-count conut-value 禁止某个VLAN的MAC地址学习 静态MAC表 mac-address mac-learning disable mac-address static mac-ad

3、dress interface interface-type interface- number 端口安全port-security enable MAC + IP + 端口绑定, 端口安全中的1个特性 am user-bind mac-addr mac-address ip- addr ip-address interface interface- type interface-number DHCP DOS攻击 DHCP Relay Option 82dhcp server relay information enable DHCP Snooping Option 82dhcp-snoop

4、ing information enable CPU恶意冲击ARP限速 arp source-suppression limit total|local|through value 防范攻击的其 它特性 广播风暴抑制broadcast-suppression ratio 环路检测loopback detection enable EAD特性security-policy-server ip-address 802.1x dot1x enable 端口安全特性port-security enable 以太网安全技术交流5 假冒伪装型攻击假冒伪装型攻击 假冒伪装型攻 击 ARP欺骗攻击 ARP入侵

5、检测 arp source-suppression limit total|local|through value 端口隔离port isolate Isolate-User-VLANisolate-user-vlan enable MAC/IP欺骗攻 击 DHCP relay Securitydhcp-security ip-address mac-address IP源地址保护ip-protect enable DHCP服务器欺 骗攻击 DHCP Snooping Trustdhcp-snooping trust 根桥伪装攻击 STP根保护stp root-protection BPDU保

6、护stp bpdu-protection TCN攻击TC-BPDU报文非立即处理机制stp tc-protection enable 路由源伪装攻 击 OSPF/RIP路由MD5验证 ospf authentication-mode md5 key-id key rip authentication-mode md5 rfc2082 key key-id 以太网安全技术交流6 设备控制权攻击设备控制权攻击 设备控制权攻 击 用户信息嗅探 SSH2.0protol inbound ssh SNMPv3snmp-agent sys-info version v3 SFTPs enable 管理人员

7、泄密 远程管理终端限制(Telnet VTY 配置ACL)acl acl-number inbound 用户分级level level-value 暴力尝试攻击 远程管理终端限制(Telnet VTY 配置ACL)acl acl-number inbound 以太网安全技术交流7 n以太网常见的安全问题以太网常见的安全问题 n几个以太网安全技术几个以太网安全技术 n以太网常用安全技术介绍以太网常用安全技术介绍 n案例分析案例分析 目目 录录 以太网安全技术交流8 端口隔离技术端口隔离技术 为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费 有限的VLAN 资源。 采用端口

8、隔离特性，可以实现同一VLAN 内端口之间的隔离。用户只需要将端口 加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功 能为用户提供了更安全、更灵活的组网方案。 端口隔离特性与端口所属的VLAN 无关。同VLAN 下同一隔离组内相互隔离，同 VLAN 不同隔离组或者隔离组内外不隔离，隔离组内的端口和隔离组外端口二层 流量双向互通。 为了使隔离组与隔离组外二层互通，隔离组内必须存在上行端口。VLAN 内非端 口隔离组成员即为上行端口，隔离组内上行端口的数量没有限制。 以太网安全技术交流9 DLDPDLDP技术技术 在实际组网中，有时会出现一种特殊的现象单向链路（即单通）。所谓单

9、 向链路是指本端设备可以通过链路层收到对端设备发送的报文，但对端设备不 能收到本端设备的报文。单向链路会引起一系列问题，比如生成树拓扑中存在 环路等。 DLDP（Device Link Detection Protocol，设备链路检测协议）可以监控光 纤或铜质双绞线的链路状态。如果发现单向链路存在，DLDP 会根据用户配置， 自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。 以太网安全技术交流10 AAAAAA AAA 是Authentication、Authorization、Accounting（认证、授权、计费） 的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安

10、全功能。 AAA一般采用客户机/服务器结构，客户端运行于NAS（Network Access Server， 网络接入服务器）上，服务器上则集中管理用户信息。NAS对于用户来讲是服 务器端，对于服务器来说是客户端。 以太网安全技术交流11 SSHSSH SSH 是Secure Shell（安全外壳）的简称。用户通过一个不能保证安全的网络 环境远程登录到设备时，SSH 可以利用加密和强大的认证功能提供安全保障， 保护设备不受诸如IP 地址欺诈、明文密码截取等攻击。 设备支持SSH 服务器功能，可以接受多个SSH 客户端的连接。同时，设备还支 持SSH 客户端功能，允许用户与支持SSH 服务器功能

11、的设备建立SSH 连接，从 而实现从本地设备通过SSH 登录到远程设备上。 以太网安全技术交流12 IP Source GuardIP Source Guard 通过IP Source Guard 绑定功能，可以对端口转发的报文进行过滤控制，防止 非法报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard 绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端 口转发该报文，否则做丢弃处理。绑定功能是针对端口的，一个端口被绑定后， 仅该端口被限制，其他端口不受该绑定影响。 IP Source Guard 支持的报文特征项包括：源IP 地址、源MAC 地址和

12、VLAN 标 签。并且，可支持端口与如下特征项的组合： IP、MAC、IPMAC IPVLAN、MACVLAN、IPMACVLAN 以太网安全技术交流13 n以太网常见的安全问题以太网常见的安全问题 n几个以太网安全技术几个以太网安全技术 n以太网常用安全技术介绍以太网常用安全技术介绍 n案例分析案例分析 目目 录录 以太网安全技术交流14 以太网访问列表以太网访问列表 主要作用主要作用: :在整个网络中分布实施接入安全性在整个网络中分布实施接入安全性 Internet 以太网安全技术交流15 访问列表访问列表 以太网安全技术交流16 流分类流分类 以太网安全技术交流17 访问控制列表的构成访

13、问控制列表的构成 以太网安全技术交流18 时间段的相关配置时间段的相关配置 undo time-range undo time-range time-name start-time to to end-time days-of-the-week fromfrom start-time start-date toto end-time end-date 以太网安全技术交流19 定义访问控制列表定义访问控制列表 以太网安全技术交流20 基本访问控制列表的子规则配置基本访问控制列表的子规则配置 以太网安全技术交流21 端口操作符及语法端口操作符及语法 以太网安全技术交流22 子规则匹配原则子规则匹配

14、原则 以太网安全技术交流23 激活访问控制列表激活访问控制列表 以太网安全技术交流24 访问控制列表的维护和调试访问控制列表的维护和调试 以太网安全技术交流25 802.1X802.1X的作用的作用 以太网安全技术交流26 802.1X802.1X的系统组成的系统组成 EAP Over Something Authentication Server Authenticator EAPOL Supplicant 以太网安全技术交流27 802.1X802.1X的受控端口（的受控端口（1 1） 以太网安全技术交流28 802.1X802.1X的受控端口（的受控端口（2 2） 以太网安全技术交流29

15、 端口受控方式端口受控方式 以太网安全技术交流30 802.1X802.1X优势明显优势明显 以太网安全技术交流31 典型应用（典型应用（1 1） 以太网安全技术交流32 典型应用（典型应用（2 2） 以太网安全技术交流33 典型应用（典型应用（3 3） 以太网安全技术交流34 n 仿冒网关仿冒网关 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端 用户不能正常访问网关 n 仿冒终端用户仿冒终端用户/ /服务器服务器 n 欺骗网关 发送错误的终端用户的IPMAC的对应关系给网关，导致网关无法和合 法终端用户正常通信 n 欺骗终端用户 发送错误的终端用户/服务器的IPMAC的

16、对应关系给受害的终端用户， 导致两个终端用户之间无法正常通信 n 其他其他 nARP FLOODING 攻击 ARPARP攻击防御攻击防御 以太网安全技术交流35 网关G 用户 接入设备 n 网关防御网关防御 n 合法ARP绑定，防御网关被欺骗 n VLAN内的ARP学习数量限制，防御ARP泛洪 攻击 1 1 接入设备防御接入设备防御 n 将合法网关IP/MAC进行绑定，防御仿冒网关攻 击 n 合法用户IP/MAC绑定，过滤掉仿冒报文 n ARP限速 n 绑定用户的静态MAC 2 2 n 客户端防御客户端防御 n 合法ARP绑定，防御网关被欺骗 3 3 ARPARP攻击防御的三个控制点攻击防御

17、的三个控制点 以太网安全技术交流36 动态获取动态获取IPIP地址的网络推荐地址的网络推荐DHCP SnoopingDHCP Snooping模式模式 网关 接入设备接入设备 接入设备接入设备 监控DHCP报文信息，绑定 用户MAC-IP-PORT关系 1 保护屏障保护屏障 DHCPDHCP响应响应 DHCPDHCP请求请求 配置命令： 全局模式：dhcpsnooping（全局开关） VLAN模式：ARP detection enable：（使能ARP detection enable检测，限制ARP报文数量） 上行接口：ARP detection trust（ 将上行口配置为信任接口不检查A

18、RP） DHCP 以太网安全技术交流37 启用接入认证的网络推荐认证模式启用接入认证的网络推荐认证模式 网关 接入设备接入设备 接入设备接入设备 认证客户端绑定网关的 IP-MAC对应关系 3 iNode客户端客户端 iNode客户端客户端 iNode客户端客户端 iNode客户端客户端 CAMS服务器服务器 IP Address GIP Address GMAC GMAC G 00-e0-fc-00-00-00-e0-fc-00-00- 04 04 静态静态ARPARP绑定：绑定： 以太网安全技术交流38 n以太网常见的安全问题以太网常见的安全问题 n几个以太网安全技术几个以太网安全技术 n以太网常用安全技术介绍以太网常用安全技术介绍 n案例分析案例分析 目目 录录 以太网安全技术交流39 案例点评案例点评1 1：某大型企业总部网络：某大型企业总部网络 以太网安全技术交流40 大厦局域网大厦局域网 以太网安全技术交流41 案例点评案例点评2 2：某大型企业广域网：某大型企业广域网 以太网安全技术交流42 案例点评案例点评3 3：某大型企业数