时,可以利用核心交换机的ACL功能,下发特定的ACL规则对攻击报文进行过滤,保障下挂的主机和服务器正常运行。
3.1.3 广播/组播报文速率限制
网络中存在大量的广播或者组播报文,会占用宝贵的网络带宽,从而严重影响网络设备的转发性能。而且当网络中某台设备存在环路时,广播和组播报文会在网络中泛滥,导致整网的瘫痪。
H3C交换机具有强大的广播和组播报文过滤功能。可以按照绝对数值限制端口允许通过的广播和组播报文速率,也可以按照端口速率的百分比来限制端口允许通过的广播和组播报文速率。同时,还可以通过ACL规则设置特定端口广播、组播和未知单播报文允许通过的速率。
3.1.4 MAC地址表容量攻击防护能力
所谓MAC地址表容量攻击,是指攻击源发送源MAC地址不断变化的报文,网络设备在收到这种报文后,会进行源MAC地址学习。由于MAC地址表容量是有限的,当MAC地址表项达到最大容量后,正常报文的MAC地址学习将无法完成。在进行二层转发时,这些报文将会在VLAN内广播,严重影响网络带宽,同时也会对网络设备下挂主机造成冲击。
H3C交换机提供设置单个端口或者单个VLAN允许学习的最大MAC地址数目的功能。用户可以根据端口或者VLAN下挂的主机数目来设置该端口或者VLAN最大允许学习的MAC地址数目,防止一个端口或者VLAN就把系统的MAC地址表项耗尽。在设置端口MAC地址最大学习数目时,还可以选择超过部分是否转发,防止未知单播报文VLAN内广播,对其他设备造成冲击。
3.1.5 静态MAC地址表项和ARP表项绑定能力
H3C交换机提供配置静态MAC地址表项和静态ARP表项的功能。用户可以通过配置静态MAC地址表项,保证二层数据报文正确的转发;用户还可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。
3.1.6 强大的ACL能力
在复杂的网络环境中,存在各种各样的攻击报文,可能攻击网络设备,也可能攻击网络设备下挂的主机。H3C核心交换机提供强大而丰富的ACL功能,能够对报文的数据链路层、网络层、传输层各字段进行识别、限流和过滤。
通过ACL功能,管理者可以对非法流量进行有效的过滤。管理者可以在端口、VLAN或者全局模式下设置相应的ACL规则, 以满足不同的需要。H3C核心交换机的ACL规则,不但可以根据ICMP、IGMP、TCP端口号、UDP端口号、IP地址、MAC地址等常用字段对报文进行过滤或者限流,还可以根据TTL、BT-FLAG、VLAN_ID、EXP等字段对报文进行过滤和限流。
2016-9-22 第16页, 共51页
3.1.7 URPF(单播反向路径查找)检查能力
所谓URPF,即单播反向路径查找,主要用于防止基于源地址欺骗的网络攻击行为。
一般情况下,路由交换机针对目的地址查找路由,如果找到了就转发报文,否则丢弃该报文。在URPF功能启动后,通过获取报文的源地址和入接口,交换机以源地址为目的地址在转发表中查找路由,如果查到的路由出接口和接收该报文的入接口不匹配,交换机认为该报文的源地址是伪装的,丢弃该报文。通过URPF特性,交换机就能有效地防范网络中通过修改源地址而进行的恶意攻击行为。
3.2 控制信令层面的安全能力
3.2.1 ARP协议攻击防护能力
ARP协议没有任何验证方式,而ARP在数据转发中又是至关重要的,攻击者常伪造ARP报文进行攻击。H3C交换机能够检测并且防范ARP报文的攻击。当攻击者采用某个或者某几个固定的攻击源,向设备发送大量的ARP报文进行攻击时,H3C交换机能够检测并且防范这种ARP协议报文的攻击。
H3C交换机收到ARP报文时,会根据报文源MAC地址进行HASH,并且记录单位时间收到的ARP报文数目。当检测到单位时间内CPU收包出现丢包且某些固定源MAC地址的主机超出一定限度,认为该主机在进行ARP攻击。如果用户启用ARP防攻击功能,则会打印提示信息并记录到日志信息中,且下发一条源MAC地址丢弃的表项,对该攻击源进行屏蔽。
3.2.2 地址冲突检测能力
所谓地址冲突,是指网络设备下挂的主机或者对接的其他网络设备设置的IP地址和该网络设备的接口IP地址冲突,网络设备如果无法检测到地址冲突,该网络设备下挂的其他主机的网关ARP地址有可能会被更新,导致下挂主机无法正常上网。
H3C交换机支持地址冲突检测功能。当H3C交换机收到ARP报文时,会判断该报文的源IP地址和本网段接口IP地址是否相同。如果发现地址相同,则H3C交换机会立即发送一个地址冲突报文和免费ARP广播报文。地址冲突报文是通知对端主机或者设备,该地址已经被占用;免费ARP广播报文,是通知本网段内其他主机和网络设备,纠正本网段内其他主机或者网络设备的ARP表项,防止ARP表项指向错误的MAC地址。同时,H3C交换机会上报地址冲突的告警信息并同时记录日志,以便维护人员能够及时了解设备遭受的攻击。
3.2.3 TC/TCN攻击防护能力
在启用STP情况下,当网络中某台设备端口的STP状态发生变化,会产生TC(网络拓扑改变)或者TCN(网络拓扑改变通知)报文。网络中其他设备收到TC或者TCN时,发现网络拓扑发生改变,需要删除MAC地址和ARP等转发表项,以防止这些表项学习在错误的端口,影响报文正常转发。但是当网络中TC或者TCN报文很多,频繁删除MAC地址表和ARP表项,会导致二层转发报文在VLAN
2016-9-22
第17页, 共51页
内广播,三层转发报文出现丢包,也会影响业务正常运行。
H3C交换机能够防范TC/TCN攻击报文对业务产生的影响。在收到TC/TCN报文时,设备会删除MAC地址表项,但不会删除ARP表项。当设备重新学习MAC地址时,会根据MAC地址查询ARP表项,如果该MAC地址对应有相应的ARP,直接修改ARP表项中的出端口信息。通过MAC地址修改ARP表项,能够防止三层转发时出现的丢包现象。
网络拓扑频繁改变,会严重影响网络内所有设备的稳定运行。H3C交换机考虑到网络频繁变化的特殊情况,在收到第一个网络拓扑改变消息时,会进行相应处理。后续收到TC/TCN报文,并不立即处理,而是等待一段时间后再判断这段时间内是否收到TC/TCN报文,不管这段时间收到多少个TC/TCN报文,在超时后只处理一次MAC地址删除操作,起到保护设备稳定运行的作用。
3.2.4 地址盗用防护能力
所谓地址盗用,是指一个非法用户仿冒合法用户的IP地址,盗用合法用户的IP地址进行上网。网络设备会学习到错误的ARP表项,影响合法用户的正常上网。
H3C交换机具有防范非法用户盗用地址上网的能力。只需要在交换机上面配置MAC地址和IP地址绑定的安全地址表项,交换机在学习ARP表项时会根据该安全地址表项进行检查,满足条件则学习ARP表项,不满足条件不学习。
3.2.5 路由协议攻击防护能力
路由协议攻击是指向不进行路由认证的路由器发送错误的路由更新报文,使路由表中出现错误的路由,严重的情况可以造成网络瘫痪,高明的攻击者可以用来进行更深层次的攻击实施。
H3C交换机基于Comware路由通用平台,能够对收到的各种路由协议进行认证。 1)OSPF协议,支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证; 2)IS-IS协议,支持接口间Level-1明文/MD5认证、接口Level-2明文/MD5认证、IS-IS区域内明文/MD5认证和IS-IS路由域上的明文/MD5认证;
3)BGP协议,支持邻居路由器之间和BGP区域内的MD5认证; 4)RIPv2协议,支持邻居路由器之间的明文/MD5认证
3.3 设备管理层面的安全能力
3.3.1 管理用户分级分权
H3C交换机对登录用户采取分级机制,权限从低到高分为四级,依次为:访问级、监视级、系统级、管理级。对用户密码采用加密算法进行保存,并限制一次连接登录不成功的次数来防止口令被穷举得到,并在设备上设置警示性的登录提示。
2016-9-22 第18页, 共51页
3.3.2 支持安全的远程管理 H3C交换机支持SSH协议。通过使用SSH协议进行设备管理,可以保证远程管理的安全性。 3.3.3 支持安全审计 H3C交换机提供基本的安全审计功能。包括提供安全告警日志以及用户操作日志的能力。 3.3.4 安全接入控制 H3C交换机支持802.1x认证功能,能够基于端口或者MAC方式进行接入控制,实现局域网络的安全接入。 3.3.5 SFTP服务 所谓SFTP,是Secure FTP的简称,它使得用户可以从远端安全的登入交换机设备进行文件管理,这样使远程系统升级等需要进行文件传送的地方,增加了数据传输的安全性。同时,由于提供了Client功能,可以在本设备上安全登录到远程设备,进行文件的安全传输。 H3C交换机支持SFTP服务,可以保证文件传输的安全性。 攻击攻击行为 类型 端口MAC数限制 禁止某个VLAN的MAC地址学习 + 静态MAC表 MAC表攻击 端口安全 MAC + IP + 端口绑定, DHCP Relay Option 82 DHCP DOS攻击 资源耗尽型攻击 CPU恶意冲击 DHCP报文限速 ARP限速 广播风暴抑制 环路检测 防范攻击的其它特性 EAD特性 802.1x 端口安全特性 假冒伪装ARP欺骗攻击 型攻击 端口隔离 ARP入侵检测 DHCP Snooping Option 82 交换机安全特性 2016-9-22 第19页, 共51页
Isolate-User-VLAN DHCP relay Security MAC/IP欺骗攻击 IP源地址保护 DHCP服务器欺骗攻击 根桥伪装攻击 BPDU保护 TCN攻击 路由源伪装攻击 TC-BPDU报文非立即处理机制 OSPF/RIP路由MD5验证 SSH2.0 用户信息嗅探 设备控制权攻击 管理人员泄密 用户分级 暴力尝试攻击 远程管理终端限制(Telnet VTY 配置ACL) SNMPv3 SFTP 远程管理终端限制(Telnet VTY 配置ACL) DHCP Snooping Trust STP根保护 3.4 ARP攻击简介 许多网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,许多单位深受其害。根据ARP攻击的特点,我们在办公网络中给出DHCP监控模式下的防ARP攻击解决方案,可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等园区网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化网络配置。 按照ARP协议设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。在园区网中,常见的ARP攻击有如下几种形式: 3.4.1 仿冒网关 攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。 2016-9-22 第20页, 共51页