2 DHCP
2.1
采用 DHCP server 能够自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数,简化了用户网络设置,提升了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有:
l DHCP server 的冒充。
l DHCP server 的 Dos ***。
l 有些用户随便指定地址,形成网络地址冲突。
因为 DHCP 的运做机制,一般服务器和客户端没有认证机制,若是网络上存在多台 DHCP 服务器将会给网络照成混乱。因为用户不当心配置了 DHCP 服务器引发的网络混乱很是常见,足可见故意人为破坏的简单性。一般******是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽,而后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是***利用冒充的 DHCP 服务器,为用户分配一个通过修改的 DNS server ,在用户毫无察觉的状况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户账户和密码,这种***是很是恶劣的。
对于 DHCP server 的 Dos ***能够利用前面将的 Port Security 和后面提到的 DAI 技术,对于有些用户随便指定地址,形成网络地址冲突也能够利用后面提到的 DAI 和 IP Source Guard 技术。这部分着重介绍 DHCP 冒用的方法技术。
2.2 DHCP Snooping
DHCP Snooping技术是DHCP安全特性,经过创建和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,以下表所示:
cat4507#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------- ---- --------------------
00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7
这张表不只解决了 DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,并且还供给动态ARP检测DA)和IP Source Guard使用。
2.3
首先定义交换机上的信任端口和不信任端口,对于不信任端口的 DHCP 报文进行截获和嗅探, DROP 掉来自这些端口的非正常 DHCP 报文,以下图所示:
基本配置示例以下表:
IOS 全局命令:
ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探
ip dhcp snooping
接口命令
ip dhcp snooping trust
no ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 10 (pps) /* 必定程度上防止 DHCP 拒绝服 /* 务***
手工添加 DHCP 绑定表
ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000
导出 DHCP 绑定表到 TFTP 服务器
ip dhcp snooping database tftp:// 10.1.1 .1/directory/file
须要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或导出到指定 TFTP 服务器上,不然交换机重启后 DHCP 绑定表丢失,对于已经申请到 IP 地址的设备在租用期内,不会再次发起 DHCP 请求,若是此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术,这些用户将不能访问网络。
2.4
目前利用 ARP原理编制的工具十分简单易用,这些工具能够直接嗅探和分析FTP、POP三、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。 下面是测试时利用工具捕获的 TELNET 过程,捕获内容包含了 TELNET 密码和所有所传的内容 :
不只仅是以上特定应用的数据,利用中间人***者可将监控到数据直接发给 SNIFFER等嗅探器,这样就能够监控全部被欺骗用户的数据。
还有些人利用 ARP原理 开发出网管工具,随时切断指定用户的链接。这些工具流传到捣乱者手里极易使网络变得不稳定,一般这些故障很难排查。
2.5
思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定, 并动态创建绑定关系。DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器能够采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口能够开启DAI也能够关闭。经过DAI能够控制某个端口的ARP请求报文数量。经过这些技术能够防范“中间人”***。
2.6
ip dhcp excluded-address 192.168.23.1 192.168.23.20
(
ip dhcp pool vlan23
(定义地址池
network 192.168.23.0 255.255.255.0
(定义地址池作用的网段及地址范围
default-router 192.168.23.1
(定义客户端的默认网关
domain-name sina.com.cn
(定义客户端所在域
dns-server 192.168.23.2
(定义客户端的
lease 5
(定义地址租约时间, 5天是为了在安全上考虑,客户端在可控的时间内相对固定
ip dhcp snooping
(打开dhcp snooping功能,不能省略, 不然在sh ip dhcp snooping binding时将看到一个空的绑定表, 客户端会时断时续
ip dhcp snooping vlan 23
(定义snooping做用的
ip dhcp snooping database flash:dhcp
(将绑定表保存在flash中,能够避免重启设备后,重新绑定
ip arp inspection vlan 23
(定义arp inspection 做用的vlan,它是根据dhcp snooping binding表作判断的)
ip arp inspection validate src-mac dst-mac ip
(侦测有效客户端须知足src-mac dst-mac ip 均无错)
ip arp inspection log-buffer entries 1024
(inspection 日志大小)
ip arp inspection log-buffer logs 1024 interval 300
(inspection 日志刷新时间,interval过小会占用大量cpu时间)
!
!
!
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause gbic-invalid
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
(上面全部的是在端口由于被errdidable 后能在一段时间内自动恢复, 其中包括dhcp snooping与arp inspection在端口中设限制形成的端口自动关闭)
no file verify auto
logging on
(有的设备是默认打开的,在这写是由于当logging关闭时3550,3560,3750等均会占用大量cpu资源,必定勿忘打开,经测试,打开后一台3550-48下连10台48口设备,2个lan,480台计算机,正常使用.不打开,2台设备90 台计算机就能让其死机)
no spanning-tree loopguard default
(最好不要打开,由于当spanning-tree结构稍有改变,它都会blocking,而后unblocking一些端口,形成时断时续的现象)
ip source binding 0060.B322.2C2A vlan 23 192.168.23.8 interface Gi1/0/2
(设备或计算机需用静态地址的,在这儿定义)
!
interface GigabitEthernet1/0/2
switchport trunk encapsulation dot1q
switchport mode trunk
(下连设备,因此定义为trunk口)
ip arp inspection limit none
(因为下连设备,为了不inspection让端口errdisable,因此对arp的侦测不作限制,若直接为接入设备, 可以使用ip arp inspection limit rate)
相关命令:
sh logging 查看Dymatic Arp Inspection (DAI) 是否生效.
sh ip dhcp snooping binding 查看snooping是否生效
sh ip dhcp binding 看dhcp server 是否生效.
sh arp 看arp信息是否与 dhcp snooping binding表一致.
下级设备若支持dhcp snooping 可这样配置
ip dhcp snooping
int g0/1
(上连端口)
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
(定义此端口为信任端口,今后口来的dhcp server数据有效,避免有人乱设dhcp server
不支持,根据设备用acl或其它禁止非信任端口发送dhcp server数据.
dhcp-server 0 ip 192.168.21.1
(定义dhcp server组)
dhcp-security static 192.168.21.1 000f-e231-72fb
dhcp-security static 192.168.21.11 0013-2015-b971
(定义设置静态地址的设备或计算机)
dhcp server ip-pool vlan21
network 192.168.21.0 mask 255.255.255.0
gateway-list 192.168.21.1
dns-list 192.168.21.1
domain-name sina.com.cn
expired day 5
(与cisco 相似)
interface Vlan-interface21
ip address 192.168.21.1 255.255.255.0
dhcp-server 0
(使用上面定义的dhcp server组)
address-check enable
(与ip arp inspection相似)
dhcp server forbidden-ip 192.168.21.0 192.168.21.10
(定义不禁dhcp server分配的地址)
interface GigabitEthernet1/0/1
(下连端口)
port link-type trunk
port trunk permit vlan all
下级设备若支持dhcp snooping 可这样配置
interface GigabitEthernet1/1/1
(上连端口)
port link-type trunk
port trunk permit vlan all
dhcp-snooping trust
至此,全部工做完成,还有一点值得一提,若是要收集日志,最好设备ntp服务同步时间,不管在安全性,可管理性上都是有所帮助的.至于日志服务器及日志分析工具的配备可根据本身的喜爱或须要自行选定.
Quidway S系列交换机采用DHCP Snooping防止伪DHCP服务器
Quidway S系列以太网交换机能够经过DHCP Snooping功能防止伪DHCP服务器的***。具体操做步骤以下:
全局开启DHCP Snooping:
[Quidway] dhcp-snooping enable
VLAN视图下使能DHCP Snooping:
[Quidway-VLAN2] dhcp-snooping enable
注:只有部分交换机须要在VLAN视图下使能DHCP Snooping
在链接合法DHCP Server的端口上配置信认端口:
[Quidway-Ethernet0/1] dhcp-snooping trust
注:部分交换机不支持配置端口为dhcp-snooping trust端口,请参考产品相应的《操做手册》和《命令手册》。
防网关***
6500(config)#arp access-list deny-arp
//只容许正确的网关IP地址和网关MAC对应的ARP包经过
6500(config-arp-nacl)#permit ip host 210.53.131.169 mac host 0015.fa87.3fc0
6500(config-arp-nacl)#deny ip host 210.53.131.169 mac any log
6500(config-arp-nacl)#permit ip any mac any
//将此ARP ACL应用到vlan 300上
6500(config)#ip arp access-list filter deny-arp vlan 300安全