华为整体网络解决方案
表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。
华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击(SAI/DAI功能)。
华为全系列交换机支持黑洞MAC功能,园区交换机收到报文时比较报文目的MAC地址,若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性,则可以在园区交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。
3.3 安全方案设计
3.3.1 园区网安全方案总体设计
从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御,对企业内部进行安全区域划分、隔离和权限控制,对企业外部
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 16
华为整体网络解决方案
用户访问进行安全控制、数据加密,防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。
3.3.2 园区内网安全设计
3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击
1) 防IP/MAC地址盗用
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,DHCP Snooping绑定表可以基于DHCP过程动态生成,也可以通过静态配置生成,此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。
园区交换机开启DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
2) 防ARP中间人攻击
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 17
华为整体网络解决方案
Dynamic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定, 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景,可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表,不能匹配则认为是仿冒网关回应的ARP响应报文,予以丢弃,从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。
3.3.2.2 防IP/MAC地址扫描攻击
1) 防IP扫描攻击
地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,触发ARP miss,使网络设备给该
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 18
华为整体网络解决方案
网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可引起网络中断。
园区交换机支持IP地址扫描攻击的防护能力,收到目的IP是直连网段的报文时,如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对目的地址下一条丢弃表项(弃后续所有目的地址为该直连网段的ARP报文),以防止后续报文持续冲击CPU。如果有ARP应答,则立即删除相应的丢弃表项,并添加正常的路由表项;否则,经过一段时间后丢弃表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业务流程的畅通。
在上述基础上,交换机还支持基于接口设置ARP miss的速率。当接口上触发的ARP miss超过设置的阈值时,接口上的ARP miss不再处理,直接丢弃。
如果用户使用相同的源IP进行地址扫描攻击,交换机还可以基于源IP做ARP miss统计。如果ARP miss的速率超过设定的阈值,则下发ACL将带有此源IP的报文进行丢弃,过一段时间后再允许通过。
2) 防MAC地址扫描攻击
以太网交换机的MAC地址转发表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文,园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项,由于MAC地址转发表的规格有限,会因为MAC扫描攻击而很快填充满,无法再学习生成新的MAC转发表,已学习的MAC表条目需通过老化方式删除,这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送,导致园区网络中产生大量的二层广播报文,消耗网络带宽、引发网络业务中断异常。
交换机二层MAC转发表是全局共享资源,单板内各端口/VLAN共享一份MAC转发表,华为园区交换机支持基于端口/VLAN的MAC学习数目限制,同时支持MAC表学习速率限制,有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时,会进行丢弃/转发/告警等动作(动作策略可
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 19
华为整体网络解决方案
定制、可叠加)。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。
3.3.2.3 广播/组播报文抑制
攻击者不停地向园区网发送大量恶意的广播报文,恶意广播报文占据了大量的带宽,传统的广播风暴抑制无法识别用户VLAN,将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的VLAN ID,通过基于VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。
同时园区网交换机支持组播报文抑制,可基于端口限制组播报文流量百分比或速率阈值。
3.3.3 园区网边界防御
企业园区网边界防御分为两个部分:园区出口边界防御、园区内部边界防御。 园区出口连接Internet和企业WAN网的接入,企业外部网路尤其Internet
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 20