1. 程式人生 > >22.內網安全部署之DHCP Snooping+DAI+IPSG 防止惡意DHCP與IP衝突等

22.內網安全部署之DHCP Snooping+DAI+IPSG 防止惡意DHCP與IP衝突等

拓撲

實戰

拓撲可以儲存到本地,然後擴大檢視,這樣才能看的更清楚。(拖動到新視窗開啟即可)

實現控制只能獲取企業內部合法的DHCP服務分配的地址,而其餘的DHCP伺服器則不能通過。

說明:為什麼需要該技術呢,因為DHCP的工作原理是最先響應的伺服器,PC就獲取該伺服器分配的IP地址,這樣的話有些惡意的人把閘道器指向自己的電腦,然後通過抓包工具等實現抓包分析等功能,這樣造成不安全,另外就是網段不一致了,導致訪問公司內網或外網出現問題,所以我們必須杜絕該問題的出現。

image001.png

正常情況下,內網的使用者都是通過內部部署的服務集叢集正確獲取到IP地址,但是如果有一個人無意或者惡意的放了一臺裝置在接入層,而該裝置正好附帶DHCP功能【比如無線路由器等】,那麼導致下面的使用者都會獲取到該伺服器提供的地址段,而不是內部規劃好的。 當有惡意DHCP伺服器出現的時候【檢視】

image002.jpg

image003.png

可以看到這次獲得了172.16.1.0網段,這個就是通過惡意的DHCP伺服器提供的。那麼導致的結果就是

image004.png

訪問都失敗。

解決辦法

(1)全域性 DHCP Snooping功能 [boss]dhcp enable [boss]dhcp snooping enable

(2)面向使用者的介面開啟DHCP Snooping功能 [boss]port-group 1 [boss-port-group-1]dhcp snooping enable 說明:該介面組之前已經定義過了,可以直接在裡面呼叫即可。

(3)上聯介面【連線DHCP伺服器介面】開啟Trust功能 [boss]port-group 2 [boss-port-group-2]dhcp snooping trusted 說明:上聯介面之前定義在port-group2中,開啟即可,注意這裡連線核心A與B介面都需要開啟。 (4)測試結果

image005.png

可以看到Renew一下後,又正常獲取到了IP地址了。

說明:DHCP Snooping的工作原理就是當開啟DHCP Snooping功能後,介面處於Trust的狀態則接收對應的DHCP ACK與Offer包,而其餘介面預設處於Untrust中,所以會丟棄這些包。

image006.png

可以看到有動態的表項,後續的安全部署可以根據這表項來進行安全控制。

部署使用者只能通過DHCP獲取的情況下,能夠訪問內網與外網,而人為定義則不行。

說明:有時候客戶會私自定義IP地址,但是客戶又不是非常懂,那麼導致可能與閘道器或者其他PC的地址衝突了,所以我們這裡必須杜絕該種情況出現,必須通過DHCP獲取地址才能訪問內網與外網。

image007.png

手動定義地址,進行訪問。

image008.png

可以看到可以正常訪問。

解決辦法

開啟DAI功能+ip source guead(1)部署DAI [boss]port-group 1 [boss-port-group-1]arp anti-attack check user-bind enable 說明:預設是檢查IP 、MAC、VLAN資訊,可以修改arp anti-attack check user-bind check-item ip-address mac-address vlan

可以看到當自己定義IP地址後,會不訪問。

image009.png

(2)部署ip source guead 說明:為什麼需要部署IP source guead呢,因為DAI有一個因為存在,DAI的功能是在PC第一次訪問的時候,需要放鬆ARP資訊,而DAI就是檢測ARP資訊的,如果本地沒有對應DHCP Snooping表項,就丟棄ARP報文。那麼如果客戶知道了閘道器的MAC 地址,然後手工定義一個ARP【對於懂一點技術的人來說,也是非常簡單的。】

image010.png

比如手動指定了一個靜態對映

image011.png

可以看到就可以訪問了。

[boss]port-group 1 [boss-port-group-1]ip source check user-bind enable 說明:開啟ip source功能,檢查,它會根據DHCP Snooping表項來檢查資料包的IP、MAC、VLAN是否與繫結表有,如果沒有就丟棄。

image012.png

可以看到,就直接丟棄了。

(3)靜態繫結表項 說明:為什麼需要靜態繫結呢,因為有時候有些印表機之類的是固定IP地址,所以必須允許它們通過。 [boss]user-bind static ip-address 192.168.44.1 mac-address 4422-1111-3423 vlan 40 新增一個靜態表項,這樣就可以通過了。

image013.png

可以看到沒問題了。