IPSG和DAI的區別及配置
阿新 • • 發佈:2019-01-04
IPSG即IP源保護,
DAI即動態ARP檢測
這2項技術部署的前提是DHCPSnooping
2種技術都是2層技術。區別可以從他們的名字中看出來,分別用於防範不同的攻擊型別:
IPSG用於同一個網路中,其他主機盜用自己的IP地址。如果配置了IPSG,那麼每個埠只能有一個IP地址,就算你的主機關機了,但是隻要別人沒有佔用你的埠,就不能用你的IP地址。這是一個很好的防止內部網路亂改IP的技術。預設IPSG只以源IP地址為條件過濾IP包,如果加上以源MAC地址為條件過濾的話,必須開啟DHCP SNOOPING INFORMAITON OPTION 82功能。
DAI主要是防範中間人攻擊的,中間人他並不會搶佔別人的IP,而是通過arp欺騙,引導2層資料流從自己這裡經過,從而可以截獲他人資訊。DAI利用snooping表中的埠和MAC項,來過濾非法的ARP應答,保證ARP請求可以得到正確的應答。
這樣可以看出,2項技術是針對不同需求的,為了網路更加安全,建議都要配置。呵呵
啟用這2項後,可能對交換機的CPU資源有一定影響,我們暫時使用沒有太大問題,就是交換機重啟時間要慢一些。(讀取DHCPSnooping表項會佔用時間),若有問題可以考慮將snooping表放到外部伺服器上。 ip dhcp snooping database flash:dhcpsnooping.text ,將 flash:dhcpsnooping.text 改為你伺服器的目錄即可,當然前提是要保證網路可達性! 相關配置: ---------------------------------------------------------------------------------------------------------------------------- 1、啟用DHCP SNOOPING 全域性命令:
ip dhcp snooping vlan 10,20,30
no ip dhcp snooping information option
ip dhcp snooping database flash:dhcpsnooping.text //將snooping表儲存到單獨文件中,防止掉電後消失。
ip dhcp snooping 介面命令:
ip dhcp snooping trust //將連線DHCP伺服器的埠設定為Trust,其餘unTrust(預設) 2、啟用DAI,防止ARP欺騙和中間人攻擊!通過手工配置或者DHCP監聽snooping,交換機將能夠確定正確的埠。如果ARP應答和snooping不匹配,那麼它將被丟棄,並且記錄違規行為。違規埠將進入err-disabled狀態,攻擊者也就不能繼續對網路進行進一步的破壞了! 全域性命令
ip arp inspection vlan 30 介面命令(交換機之間鏈路配置DAI信任埠,使用者埠則在預設的非信任埠):
ip arp inspection trust
ip arp inspection limit rate 100 3、啟用IPSG 前提是啟用IP DHCP SNOOPING,能夠獲得有效的源埠資訊。IPSG是一種類似於uRPF(單播反向路徑檢測)的二層介面特性,uRPF可以檢測第三層或路由介面。
介面命令: switchport mode acc switchport port-security
ip verify source vlan dhcp-snooping port-security
4、關於幾個靜態IP的解決辦法
可通過ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi0/8 通過arp access-list新增靜態主機:
arp access-list static-arp
permit ip host 192.168.1.1 mac host 0000.0000.0003
ip arp inspection filter static-arp vlan 30 DHCP 中繫結固定IP:
ip dhcp pool test
host 192.168.1.18 255.255.255.0 (分給使用者的IP)
client-identifier 0101.0bf5.395e.55(使用者端mac)
client-name test 總結 -------------------------------------------------------------------------------------------------------------------------------- DAI僅檢測和處理ARP報文而非所的資料包,如要防止IP源欺騙攻擊則還需要通過Source Guard來實現。
DAI的特點
1、在配置
DAI技術的介面上,使用者端不能採用指定地址地址將接入網路。
2、 由於 DAI檢查 DHCP snooping繫結表中的IP和MAC對應關係,無法實施中間人攻擊,攻擊工具失效。
3、 由於對 ARP請求報文做了速度限制,客戶端無法進行認為或者病毒進行的IP掃描、探測等行為,如果發生這些行為,交換機馬上報警或直接切斷掃描機器。
4、使用者獲取 IP地址後,使用者不能修改IP或MAC,如果使用者同時修改IP和MAC必須是網路內部合法的IP和MAC才可,對於這種修改可以使用下面講到的 IP Source Guard技術來防範。
IPSG的特點
1、IP Source Guard 使用 DHCP sooping 繫結表資訊。
2、配置在交換機埠上,並對該埠生效。
3、 運作機制類似 DAI,但是 IP Source Guard不僅僅檢查ARP報文,所有經過定義IP Source Guard檢查的埠的報文都要檢測。
4、IP Source Guard檢查 介面 所通過的流量的IP地址和MAC地址是否在DHCP sooping繫結表,如果不在繫結表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP伺服器支援Option 82,同時使路由器支援Option 82資訊。
5、 可以過濾掉非法的 IP地址,包含使用者故意修改的和病毒、攻擊等造成的。
6、解決 IP地址衝突問題。
7、 提供了動態的建立 IP+MAC+PORT的對應表和繫結關係,對於不使用DHCP的伺服器和一些特殊情況機器可以採用利用全域性命令靜態手工新增對應關係到繫結表中。
8、 配置 IP Source Guard的介面初始阻塞所有非DHCP流量。 ---------------------------------------------------------------------------------------------------------------------------- 其它: IP Source Guard是一種基於IP/MAC的埠流量過濾技術,它可以防止區域網內的IP地址欺騙攻擊。交換機內部有一個IP source binding table作為每個埠接受到的資料包的檢測標準,只有在兩種情況下,交換機會轉發資料——或者所接收到的IP包滿足IP source binding table中port/IP/MAC的對應關係,或者是接收到的是DHCP資料包,其餘資料包將被交換機做丟棄處理。IP source binding table可以由使用者在交換機上靜態的配置,也可以由交換機從DHCP Snooping自動學習獲得。靜態配置是一種簡單而固定的方式,靈活性很差,因此Cisco建議使用者最好結合DHCP Snooping使用IP Source Guard,由DHCP Snooping Binding Database生成IP source binding table。 以DHCP Snooping為前提講一下IP Source Guard技術的原理。在這種環境下,連線在交換機上的所有PC都配置自動獲取IP,PC作為DHCP Client通過廣播發送DHCP Request,DHCP server將含有IP地址資訊的DHCP Reply通過單播的方式傳送給DHCP Client,交換機作為連線DHCP Server和DHCP Client的中介,從經過其的DHCP Request和DHCP Reply資料包中提取關鍵資訊(包括IP Address,MAC Address, Vlan ID, Port,Released Time等)並把這些資訊儲存到DHCP Snooping Binding Database中,並由此生成IP source binding table,IOS根據這個表裡面的內容把ACL應用到各個對應的埠,由ACL來過濾所有IP流量。PC沒有傳送DHCP Request時,PC連線的交換機埠預設時拒絕除了DHCP之外的所有資料的,因此PC使用的靜態IP是無法連線網路的。PC傳送DHCP Request之後,交換機對PC連線的埠進行了IP/MAC/Port的繫結,僅僅只有指定的IP能夠連線網路,PC將自己的IP偽裝成其他主機的。如果DHCP Server設定了MAC/IP的對應關係,那麼每個PC的IP也就因此固定了,這是一種比較好的區域網IP地址解決方案。另外,由於IOS會對埠接收到的DHCP資料包進行處理,如果惡意的PC傳送大量的DHCP包讓交換機處理髮動DOS攻擊,會造成交換機的資源耗盡,考慮到這一點,IOS預設每個埠每秒鐘最多能接收1500個DHCP資料包。 實施DAI後的效果
在配置 DAI技術的介面上,如果沒有進行靜態繫結,使用者端不能採用指定靜態地址的方式將接入網路。
由於 DAI檢查 DHCP snooping繫結表中的IP和MAC對應關係,無法實施中間人攻擊,攻擊工具失效。
下表為實施中間人攻擊是交換機的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,
vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由於對 ARP請求報文做了速度限制,客戶端無法進行認為或者病毒進行的IP掃描、探測等行為,如果發生這些行為,
交換機馬上報警或直接切斷掃描機器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******報警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切斷埠
I49-4500-1#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
I49-4500-1#......
使用者獲取 IP地址後,使用者不能修改IP或MAC,如果使用者同時修改IP和MAC必須是網路內部合法的IP和MAC才可,
對於這種修改可以使用下面講到的 IP Source Guard技術來防範。下表為手動指定IP的報警:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30,
vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])
DAI即動態ARP檢測
這2項技術部署的前提是DHCPSnooping
2種技術都是2層技術。區別可以從他們的名字中看出來,分別用於防範不同的攻擊型別:
IPSG用於同一個網路中,其他主機盜用自己的IP地址。如果配置了IPSG,那麼每個埠只能有一個IP地址,就算你的主機關機了,但是隻要別人沒有佔用你的埠,就不能用你的IP地址。這是一個很好的防止內部網路亂改IP的技術。預設IPSG只以源IP地址為條件過濾IP包,如果加上以源MAC地址為條件過濾的話,必須開啟DHCP SNOOPING INFORMAITON OPTION 82功能。
DAI主要是防範中間人攻擊的,中間人他並不會搶佔別人的IP,而是通過arp欺騙,引導2層資料流從自己這裡經過,從而可以截獲他人資訊。DAI利用snooping表中的埠和MAC項,來過濾非法的ARP應答,保證ARP請求可以得到正確的應答。
這樣可以看出,2項技術是針對不同需求的,為了網路更加安全,建議都要配置。呵呵
啟用這2項後,可能對交換機的CPU資源有一定影響,我們暫時使用沒有太大問題,就是交換機重啟時間要慢一些。(讀取DHCPSnooping表項會佔用時間),若有問題可以考慮將snooping表放到外部伺服器上。 ip dhcp snooping database flash:dhcpsnooping.text ,將 flash:dhcpsnooping.text 改為你伺服器的目錄即可,當然前提是要保證網路可達性! 相關配置: ---------------------------------------------------------------------------------------------------------------------------- 1、啟用DHCP SNOOPING 全域性命令:
ip dhcp snooping vlan 10,20,30
no ip dhcp snooping information option
ip dhcp snooping database flash:dhcpsnooping.text //將snooping表儲存到單獨文件中,防止掉電後消失。
ip dhcp snooping 介面命令:
ip dhcp snooping trust //將連線DHCP伺服器的埠設定為Trust,其餘unTrust(預設) 2、啟用DAI,防止ARP欺騙和中間人攻擊!通過手工配置或者DHCP監聽snooping,交換機將能夠確定正確的埠。如果ARP應答和snooping不匹配,那麼它將被丟棄,並且記錄違規行為。違規埠將進入err-disabled狀態,攻擊者也就不能繼續對網路進行進一步的破壞了! 全域性命令
ip arp inspection vlan 30 介面命令(交換機之間鏈路配置DAI信任埠,使用者埠則在預設的非信任埠):
ip arp inspection trust
ip arp inspection limit rate 100 3、啟用IPSG 前提是啟用IP DHCP SNOOPING,能夠獲得有效的源埠資訊。IPSG是一種類似於uRPF(單播反向路徑檢測)的二層介面特性,uRPF可以檢測第三層或路由介面。
介面命令: switchport mode acc switchport port-security
ip verify source vlan dhcp-snooping port-security
4、關於幾個靜態IP的解決辦法
可通過ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi0/8 通過arp access-list新增靜態主機:
arp access-list static-arp
permit ip host 192.168.1.1 mac host 0000.0000.0003
ip arp inspection filter static-arp vlan 30 DHCP 中繫結固定IP:
ip dhcp pool test
host 192.168.1.18 255.255.255.0 (分給使用者的IP)
client-identifier 0101.0bf5.395e.55(使用者端mac)
client-name test 總結 -------------------------------------------------------------------------------------------------------------------------------- DAI僅檢測和處理ARP報文而非所的資料包,如要防止IP源欺騙攻擊則還需要通過Source Guard來實現。
DAI的特點
2、 由於 DAI檢查 DHCP snooping繫結表中的IP和MAC對應關係,無法實施中間人攻擊,攻擊工具失效。
3、 由於對 ARP請求報文做了速度限制,客戶端無法進行認為或者病毒進行的IP掃描、探測等行為,如果發生這些行為,交換機馬上報警或直接切斷掃描機器。
4、使用者獲取 IP地址後,使用者不能修改IP或MAC,如果使用者同時修改IP和MAC必須是網路內部合法的IP和MAC才可,對於這種修改可以使用下面講到的 IP Source Guard技術來防範。
IPSG的特點
1、IP Source Guard 使用 DHCP sooping 繫結表資訊。
2、配置在交換機埠上,並對該埠生效。
3、 運作機制類似 DAI,但是 IP Source Guard不僅僅檢查ARP報文,所有經過定義IP Source Guard檢查的埠的報文都要檢測。
4、IP Source Guard檢查 介面 所通過的流量的IP地址和MAC地址是否在DHCP sooping繫結表,如果不在繫結表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP伺服器支援Option 82,同時使路由器支援Option 82資訊。
5、 可以過濾掉非法的 IP地址,包含使用者故意修改的和病毒、攻擊等造成的。
6、解決 IP地址衝突問題。
7、 提供了動態的建立 IP+MAC+PORT的對應表和繫結關係,對於不使用DHCP的伺服器和一些特殊情況機器可以採用利用全域性命令靜態手工新增對應關係到繫結表中。
8、 配置 IP Source Guard的介面初始阻塞所有非DHCP流量。 ---------------------------------------------------------------------------------------------------------------------------- 其它: IP Source Guard是一種基於IP/MAC的埠流量過濾技術,它可以防止區域網內的IP地址欺騙攻擊。交換機內部有一個IP source binding table作為每個埠接受到的資料包的檢測標準,只有在兩種情況下,交換機會轉發資料——或者所接收到的IP包滿足IP source binding table中port/IP/MAC的對應關係,或者是接收到的是DHCP資料包,其餘資料包將被交換機做丟棄處理。IP source binding table可以由使用者在交換機上靜態的配置,也可以由交換機從DHCP Snooping自動學習獲得。靜態配置是一種簡單而固定的方式,靈活性很差,因此Cisco建議使用者最好結合DHCP Snooping使用IP Source Guard,由DHCP Snooping Binding Database生成IP source binding table。 以DHCP Snooping為前提講一下IP Source Guard技術的原理。在這種環境下,連線在交換機上的所有PC都配置自動獲取IP,PC作為DHCP Client通過廣播發送DHCP Request,DHCP server將含有IP地址資訊的DHCP Reply通過單播的方式傳送給DHCP Client,交換機作為連線DHCP Server和DHCP Client的中介,從經過其的DHCP Request和DHCP Reply資料包中提取關鍵資訊(包括IP Address,MAC Address, Vlan ID, Port,Released Time等)並把這些資訊儲存到DHCP Snooping Binding Database中,並由此生成IP source binding table,IOS根據這個表裡面的內容把ACL應用到各個對應的埠,由ACL來過濾所有IP流量。PC沒有傳送DHCP Request時,PC連線的交換機埠預設時拒絕除了DHCP之外的所有資料的,因此PC使用的靜態IP是無法連線網路的。PC傳送DHCP Request之後,交換機對PC連線的埠進行了IP/MAC/Port的繫結,僅僅只有指定的IP能夠連線網路,PC將自己的IP偽裝成其他主機的。如果DHCP Server設定了MAC/IP的對應關係,那麼每個PC的IP也就因此固定了,這是一種比較好的區域網IP地址解決方案。另外,由於IOS會對埠接收到的DHCP資料包進行處理,如果惡意的PC傳送大量的DHCP包讓交換機處理髮動DOS攻擊,會造成交換機的資源耗盡,考慮到這一點,IOS預設每個埠每秒鐘最多能接收1500個DHCP資料包。 實施DAI後的效果
在配置 DAI技術的介面上,如果沒有進行靜態繫結,使用者端不能採用指定靜態地址的方式將接入網路。
由於 DAI檢查 DHCP snooping繫結表中的IP和MAC對應關係,無法實施中間人攻擊,攻擊工具失效。
下表為實施中間人攻擊是交換機的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,
vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由於對 ARP請求報文做了速度限制,客戶端無法進行認為或者病毒進行的IP掃描、探測等行為,如果發生這些行為,
交換機馬上報警或直接切斷掃描機器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******報警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切斷埠
I49-4500-1#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
I49-4500-1#......
使用者獲取 IP地址後,使用者不能修改IP或MAC,如果使用者同時修改IP和MAC必須是網路內部合法的IP和MAC才可,
對於這種修改可以使用下面講到的 IP Source Guard技術來防範。下表為手動指定IP的報警:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30,
vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])