CISCO交換機的攻擊和防范

來源:本站原創 CISCO 超過1,298 views圍觀 0條評論

人為實施通常是指使用一些黑客的工具對網絡進行掃描和嗅探,獲取管理帳戶和相關密碼,在網絡上中安插木馬,從而進行進一步竊取機密文件。攻擊和欺騙過程往往比較隱蔽和安靜,但對于信息安全要求高的企業危害是極大的。而來自木馬或者病毒及蠕蟲的攻擊和往往會偏離攻擊和人為實施通常是指使用一些黑客的工具對網絡進行掃描和嗅探,獲取管理帳戶和相關密碼,在網絡上中安插木馬,從而進行進一步竊取機密文件。攻擊和欺騙過程往往比較隱蔽和安靜,但對于信息安全要求高的企業危害是極大的。而來自木馬或者病毒及蠕蟲的攻擊和往往會偏離攻擊和欺騙本身的目的,現象有時非常直接,會帶來網絡流量加大、設備 CPU 利用率過高、二層生成樹環路直至網絡癱瘓。
目前這類攻擊和欺騙工具已經非常成熟和易用,而目前企業在部署這方面的防范還存在很多不足,有很多工作要做。思科針對這類攻擊已有較為成熟的解決方案,主要基于下面的幾個關鍵的技術: Port Security feature DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard
下面部分主要針對目前非常典型的二層攻擊和欺騙說明如何在思科交換機上組合運用和部署上述技術,從而實現防止在交換環境中實施“中間人”攻擊、 MAC/CAM 攻擊、 DHCP 攻擊、地址欺騙等,更具意義的是通過上面技術的部署可以簡化地址管理,直接跟蹤用戶 IP 和對應的交換機端口;防止 IP 地址沖突。同時對于大多數對二層網絡造成很大危害的具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。
1 MAC/CAM攻擊的防范
1.1MAC/CAM攻擊的原理和危害
交換機主動學習客戶端的 MAC 地址,并建立和維護端口和 MAC 地址的對應表以此建立交換路徑,這個表就是通常我們所說的 CAM 表。 CAM 表的大小是固定的,不同的交換機的 CAM 表大小不同。 MAC/CAM 攻擊是指利用工具產生欺騙 MAC ,快速填滿 CAM 表,交換機 CAM 表被填滿后,交換機以廣播方式處理通過交換機的報文,這時攻擊者可以利用各種嗅探攻擊獲取網絡信息。 CAM 表滿了后,流量以洪泛方式發送到所有接口,也就代表 TRUNK 接口上的流量也會發給所有接口和鄰接交換機,會造成交換機負載過大,網絡緩慢和丟包甚至癱瘓。
1.2典型的病毒利用MAC/CAM攻擊案例
曾經對網絡照成非常大威脅的 SQL 蠕蟲病毒就利用組播目標地址,構造假目標 MAC 來填滿交換機 CAM 表。
1.3使用 Port Security feature 防范MAC/CAM攻擊
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻擊。通過配置 Port Security 可以控制:
端口上最大可以通過的 MAC 地址數量
端口上學習或通過哪些 MAC 地址
對于超過規定數量的 MAC 處理進行違背處理
端口上學習或通過哪些 MAC 地址,可以通過靜態手工定義,也可以在交換機自動學習。交換機動態學習端口 MAC ,直到指定的 MAC 地址數量,交換機關機后重新學習。目前較新的技術是 Sticky Port Security ,交換機將學到的 mac 地址寫到端口配置中,交換機重啟后配置仍然存在。
對于超過規定數量的 MAC 處理進行處理一般有三種方式(針對交換機型號會有所不同):
Shutdown 。這種方式保護能力最強,但是對于一些情況可能會為管理帶來麻煩,如某臺設備中了病毒,病毒間斷性偽造源 MAC 在網絡中發送報文。
Protect 。丟棄非法流量,不報警。
Restrict 。丟棄非法流量,報警,對比上面會是交換機 CPU 利用率上升但是不影響交換機的正常使用。推薦使用這種方式。

1.4配置
port-security 配置選項: Switch(config-if)# switchport port-security aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode
配置 port-security 最大 mac 數目,違背處理方式,恢復方法 Cat4507(config)#int fastEthernet 3/48 Cat4507 (config-if)#switchport port-security Cat4507 (config-if)#switchport port-security maximum 2 Cat4507 (config-if)#switchport port-security violation shutdown Cat4507 (config)#errdisable recovery cause psecure-violation Cat4507 (config)#errdisable recovery interval 30
通過配置 sticky port-security學得的MAC interface FastEthernet3/29 switchport mode access switchport port-security switchport port-security maximum 5 switchport port-security mac-address sticky switchport port-security mac-address sticky 000b.db1d.6ccd switchport port-security mac-address sticky 000b.db1d.6cce switchport port-security mac-address sticky 000d.6078.2d95 switchport port-security mac-address sticky 000e.848e.ea01
1.5使用 其它技術 防范MAC/CAM攻擊
除了 Port Security 采用 DAI 技術也可以防范 MAC 地址欺騙。
2 DHCP攻擊的防范
2.1采用DHCP管理的常見問題:
采用 DHCP server 可以自動為用戶設置網絡 IP 地址、掩碼、網關、 DNS 、 WINS 等網絡參數,簡化了用戶網絡設置,提高了管理效率。但在 DHCP 管理使用上也存在著一些另網管人員比較問題,常見的有:
DHCP server 的冒充。
DHCP server 的 Dos 攻擊。
有些用戶隨便指定地址,造成網絡地址沖突。
由于 DHCP 的運作機制,通常服務器和客戶端沒有認證機制,如果網絡上存在多臺 DHCP 服務器將會給網絡照成混亂。由于用戶不小心配置了 DHCP 服務器引起的網絡混亂非常常見,足可見故意人為破壞的簡單性。通常黑客攻擊是首先將正常的 DHCP 服務器所能分配的 IP 地址耗盡,然后冒充合法的 DHCP 服務器。最為隱蔽和危險的方法是黑客利用冒充的 DHCP 服務器,為用戶分配一個經過修改的 DNS server ,在用戶毫無察覺的情況下被引導在預先配置好的假金融網站或電子商務網站,騙取用戶帳戶和密碼,這種攻擊是非常惡劣的。
對于 DHCP server 的 Dos 攻擊可以利用前面將的 Port Security 和后面提到的 DAI 技術,對于有些用戶隨便指定地址,造成網絡地址沖突也可以利用后面提到的 DAI 和 IP Source Guard 技術。這部分著重介紹 DHCP 冒用的方法技術。
2.2DHCP Snooping技術概況
DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息,這些信息是指來自不信任區域的DHCP信息。DHCP Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息,如下表所示: cat4507#sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface —————— ————— ———- ——- —- —————– 00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7
這張表不僅解決了 DHCP用戶的IP和端口跟蹤定位問題,為用戶管理提供方便,而且還供給動態ARP檢測DA)和IP Source Guard使用

2.3基本防范
首先定義交換機上的信任端口和不信任端口,對于不信任端口的 DHCP 報文進行截獲和嗅探, DROP 掉來自這些端口的非正常 DHCP 報文,如下圖所示:
基本配置示例如下表:
IOS 全局命令: ip dhcp snooping vlan 100,200 /* 定義哪些 VLAN 啟用 DHCP 嗅探 ip dhcp snooping 接口命令 ip dhcp snooping trust no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps) /* 一定程度上防止 DHCP 拒絕服 /* 務攻擊 手工添加 DHCP 綁定表 ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000 導出 DHCP 綁定表到 TFTP 服務器 ip dhcp snooping database tftp:// 10.1.1 .1/directory/file
需要注意的是 DHCP 綁定表要存在本地存貯器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或導出到指定 TFTP 服務器上,否則交換機重啟后 DHCP 綁定表丟失,對于已經申請到 IP 地址的設備在租用期內,不會再次發起 DHCP 請求,如果此時交換機己經配置了下面所講到的 DAI 和 IP Source Guard 技術,這些用戶將不能訪問網絡。
2.3高級防范
通過交換機的端口安全性設置每個 DHCP 請求指定端口上使用唯一的 MAC 地址,通常 DHCP 服務器通過 DHCP 請求的報文中的 CHADDR 段判斷客戶端 MAC 地址,通常這個地址和客戶端的真是 IP 相同,但是如果攻擊者不修改客戶端的 MAC 而修改 DHCP 報文中 CHADDR ,實施 Dos 攻擊, Port Security 就不起作用了, DHCP 嗅探技術可以檢查 DHCP 請求報文中的 CHADDR 字段,判斷該字段是否和 DHCP 嗅探表相匹配。這項功能在有些交換機是缺省配置的,有些交換機需要配置,具體需要參考相關交換機的配置文檔。
3 ARP欺騙/ MITM(Man-In-The-Middle)攻擊原理和防范
3.1 MITM(Man-In-The-Middle) 攻擊原理
按照 ARP 協議的設計,為了減少網絡上過多的 ARP 數據通信,一個主機,即使收到的 ARP 應答并非自己請求得到的,它也會將其插入到自己的 ARP 緩存表中,這樣,就造成了“ ARP 欺騙”的可能。如果黑客想探聽同一網絡中兩臺主機之間的通信(即使是通過交換機相連),他會分別給這兩臺主機發送一個 ARP 應答包,讓兩臺主機都“誤”認為對方的 MAC 地址是第三方的黑客所在的主機,這樣,雙方看似“直接”的通信連接,實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內容,另一方面,只需要更改數據包中的一些信息,成功地做好轉發工作即可。在這種嗅探方式中,黑客所在主機是不需要設置網卡的混雜模式的,因為通信雙方的數據包在物理上都是發送給黑客所在的中轉主機的。
這里舉個例子,假定同一個局域網內,有 3 臺主機通過交換機相連: A 主機: IP 地址為 192.168.0.1 , MAC 地址為 01:01:01:01:01:01 ; B 主機: IP 地址為 192.168.0.2 , MAC 地址為 02:02:02:02:02:02 ; C 主機: IP 地址為 192.168.0.3 , MAC 地址為 03:03:03:03:03:03 。
B 主機對 A 和 C 進行欺騙的前奏就是發送假的 ARP 應答包,如圖 所示

在收到 B主機發來的ARP應答后,A主機應知道:
到 192.168.0.3 的數據包應該發到 MAC 地址為 020202020202 的主機; C 主機也知道:到 192.168.0.1 的數據包應該發到 MAC 地址為 020202020202 的主機。這樣, A 和 C 都認為對方的 MAC 地址是 020202020202 ,實際上這就是 B 主機所需得到的結果。當然,因為 ARP 緩存表項是動態更新的,其中動態生成的映射有個生命期,一般是兩分鐘,如果再沒有新的信息更新, ARP 映射項會自動去除。所以, B 還有一個“任務”,那就是一直連續不斷地向 A 和 C 發送這種虛假的 ARP 響應包,讓其 ARP緩存中一直保持被毒害了的映射表項。
現在,如果 A 和 C 要進行通信,實際上彼此發送的數據包都會先到達 B 主機,這時,如果 B 不做進一步處理, A 和 C 之間的通信就無法正常建立, B 也就達不到“嗅探”通信內容的目的,因此, B 要對“錯誤”收到的數據包進行一番修改,然后轉發到正確的目的地,而修改的內容,無非是將目的 MAC 和源 MAC 地址進行替換。如此一來,在 A 和 C 看來,彼此發送的數據包都是直接到達對方的,但在 B 來看,自己擔當的就是“第三者”的角色。這種嗅探方法,也被稱作“ Man-In-The-Middle ”的方法。如圖 所示。
3.2攻擊實例
目前利用 ARP原理編制的工具十分簡單易用,這些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過30種應用的密碼和傳輸內容。 下面是測試時利用工具捕獲的 TELNET 過程,捕獲內容包含了 TELNET 密碼和全部所傳的內容 :
不僅僅是以上特定應用的數據,利用中間人攻擊者可將監控到數據直接發給 SNIFFER等嗅探器,這樣就可以監控所有被欺騙用戶的數據。
還有些人利用 ARP原理 開發出網管工具,隨時切斷指定用戶的連接。這些工具流傳到搗亂者手里極易使網絡變得不穩定,通常這些故障很難排查。
3.3防范方法
思科 Dynamic ARP Inspection (DAI)在交換機上提供IP地址和MAC地址的綁定, 并動態建立綁定關系。DAI 以 DHCP Snooping綁定表為基礎,對于沒有使用DHCP的服務器個別機器可以采用靜態添加ARP access-list實現。DAI配置針對VLAN,對于同一VLAN內的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。通過這些技術可以防范“中間人”攻擊。

3.3配置示例
IOS 全局命令: ip dhcp snooping vlan 100,200 no ip dhcp snooping information option ip dhcp snooping ip arp inspection vlan 100,200 /* 定義對哪些 VLAN 進行 ARP 報文檢測 ip arp inspection log-buffer entries 1024 ip arp inspection log-buffer logs 1024 interval 10
IOS 接口命令: ip dhcp snooping trust ip arp inspection trust /* 定義哪些接口是信任接口,通常是網絡設備接口, TRUNK 接口等 ip arp inspection limit rate 15 (pps) /* 定義接口每秒 ARP 報文數量
對于沒有使用 DHCP 設備可以采用下面辦法: arp access-list static-arp permit ip host 10.66.227.5 mac host 0009.6b88.d387 ip arp inspection filter static-arp vlan 201
3.3配置DAI后的效果:
在配置 DAI技術的接口上,用戶端不能采用指定地址地址將接入網絡。
由于 DAI檢查 DHCP snooping綁定表中的IP和MAC對應關系,無法實施中間人攻擊,攻擊工具失效。下表為實施中間人攻擊是交換機的警告: 3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由于對 ARP請求報文做了速度限制,客戶端無法進行認為或者病毒進行的IP掃描、探測等行為,如果發生這些行為,交換機馬上報警或直接切斷掃描機器。如下表所示: 3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******報警 3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切斷端口 I49-4500-1#…..sh int f.5/30 FastEthernet5/30 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 I49-4500-1#……
用戶獲取 IP地址后,用戶不能修改IP或MAC,如果用戶同時修改IP和MAC必須是網絡內部合法的IP和MAC才可,對于這種修改可以使用下面講到的 IP Source Guard技術來防范。下表為手動指定IP的報警:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])
4 IP/MAC欺騙的防范
4.1常見的欺騙攻擊的種類和目的
常見的欺騙種類有 MAC欺騙、IP欺騙、IP/MAC欺騙,其目的一般為偽造身份或者獲取針對IP/MAC的特權。當目前較多的是攻擊行為:如Ping Of Death、syn flood、ICMP unreacheable Storm,另外病毒和木馬的攻擊也具有典型性,下面是木馬攻擊的一個例子。
4.2攻擊實例
下圖攻擊為偽造源地址攻擊,其目標地址為公網上的 DNS服務器,直接目的是希望通使DNS服務器對偽造源地址的響應和等待,造成DDOS攻擊,并以此擴大攻擊效果。該攻擊每秒鐘上萬個報文,中檔交換機2分鐘就癱瘓,照成的間接后果非常大。
4.3IP/MAC欺騙的防范
IP Source Guard 技術配置在交換機上僅支持在 2 層端口上的配置,通過下面機制可以防范 IP/MAC 欺騙:
IP Source Guard 使用 DHCP sooping 綁定表信息。
配置在交換機端口上,并對該端口生效。
運作機制類似 DAI,但是 IP Source Guard不僅僅檢查ARP報文,所有經過定義IP Source Guard檢查的端口的報文都要檢測。
IP Source Guard檢查 接口 所通過的流量的IP地址和MAC地址是否在DHCP sooping綁定表,如果不在綁定表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP服務器支持Option 82,同時使路由器支持Option 82信息。
通過在交換機上配置 IP Source Guard:
可以過濾掉非法的 IP地址,包含用戶故意修改的和病毒、攻擊等造成的。
解決 IP地址沖突問題。
提供了動態的建立 IP+MAC+PORT的對應表和綁定關系,對于不使用DHCP的服務器和一些特殊情況機器可以采用利用全局命令靜態手工添加對應關系到綁定表中。
配置 IP Source Guard的接口初始阻塞所有非DHCP流量。
不能防止“中間人攻擊”。
對于 IP欺騙在路由器上也可以使用urpf技術。
4.4配置示例:
檢測接口上的 IP+MAC
IOS 全局配置命令: ip dhcp snooping vlan 12,200 ip dhcp snooping information option ip dhcp snooping
接口配置命令: ip verify source vlan dhcp-snooping port-security switchport mode access switchport port-security switchport port-security limit rate invalid-source-mac N
/* 控制端口上所能學習源 MAC 的速率,僅當 IP+MAC 同時檢測時有意義。
檢測接口上的 IP
IOS 全局配置命令 ip dhcp snooping vlan 12,200 no ip dhcp snooping information option ip dhcp snooping
接口配置命令: ip verify source vlan dhcp-snooping
不使用 DHCP 的靜態配置
IOS 全局配置命令: ip dhcp snooping vlan 12,200 ip dhcp snooping information option ip dhcp snooping ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5
5 IP地址管理和病毒防范的新思路
5.1IP地址管理
綜上所述通過配置思科交換機的上述特征,不僅解決了一些典型攻擊和病毒的防范問題,也為傳統 IP地址管理提供了新的思路。
通過上面的幾項技術解決了傳統的利用DHCP服務器管理客戶端IP地址的問題:
故意不使用手工指定靜態 IP地址和DHCP分配地址沖突
配置 DHCP server
使用靜態指定 IP遇到的問題
不使用分配的 IP地址和服務器或其他地址沖突
不容易定位 IP地址和具體交換機端口對應表
使用靜態地址的重要服務器和計算機,可以進行靜態綁定 IP+MAC、IP+MAC+PORT,手工配置DAI和 IP Source Guard綁定表項, 來保護這些設備,同時也防止來自這些設備的攻擊。
目前對于網絡病毒的不斷爆發,越來越多的用戶開始重視對 PC的管理,用戶關注誰能訪問網絡、訪問以后能做什么、做了哪些事情、這就是我們常說的AAA認證,除了這些用戶希望能夠很快定位到用戶在哪臺交換機、哪個端口、以哪個IP和MAC登陸,這樣有有了”AAA+A”( Authenticate, Authorize,Account , Address )的概念。
通過上面的配置我們在網絡層面已經可以定位用戶了,加上 802.1X認證我們可以在網絡層面根據用戶的身份為用戶授權,從而實現”AAA+A”。
更進一步要審計用戶所使用電腦具備的條件,如系統補丁、所裝殺毒軟件及補丁、等條件可以考慮采用思科網絡準入控制 NAC。
5.2使用DHCP Snooping 、DAI、IP Source Guard技術能解決的有關病毒問題
由于大多數對局域網危害較大的網絡病毒都具有典型的欺騙和掃描,快速發包,大量 ARP 請求等特征,采用上述技術一定程度上可以自動切斷病毒源,及時告警,準確定位病毒源。

 

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=521轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏