【Seguridad de conmutación de Ethernet】--- Control de flujo de conmutación/Indagación DHCP/Protección de fuente IP

prefacio

Puntos de conocimiento relacionados con la seguridad de conmutación de Ethernet 总结完毕. A continuación 开始综合拓扑实验, este artículo cita imágenes y comandos del sitio web oficial de Huawei. La intención es facilitar su revisión y uso. Si hay alguna infracción, comuníquese para eliminarla.

1. Antecedentes del tráfico de conmutación

En el entorno de topología de red, es probable que se produzcan bucles. Por ejemplo, en circunstancias normales, una interfaz de dispositivo de capa 2 reenviará estos paquetes a otras interfaces de la misma vlan después de recibir transmisiones, pero si 某种报文流量过大puede causar un impacto en el dispositivo 使其无法正常处理其他业务, En este momento 交换机流量控制中的流量控制,
si se produce un bucle 广播风暴, causará problemas graves 降低设备转发性能. En este momento, es necesario controlar la tormenta de transmisión en el interruptor para mantener el rendimiento del dispositivo, por lo que se produce 交换机流量控制中的风暴控制.

Dos, cambiar el control de flujo dos métodos de implementación

2.1 Supresión del tráfico (parte sobrante descartada)

Supresión de tráfico: 原理类似acl, se puede configurar en la interfaz 入方向以及出方向( 依实际需求进行选择), y puede realizar la supresión de tráfico de 广播、单播、组播acuerdo con peer-to-peer, . También puede suprimir el tráfico. De manera similar, cuando la velocidad de los paquetes de transmisión de la vlan en el monitoreo excede el umbral especificado, el dispositivo suprimirá el tráfico en la vlan .百分比、包速率或者比特速率当流量超出我们所规定的阈值设备就会对超出部分流量进行丢弃，未超出部分正常转发
某个vlan超出规定部分将会被丢弃

2.2 Control de tormentas (bloqueo de paquetes en exceso)

El control de tormentas es principalmente 针对广播风暴进行设计, por lo que su forma de hacer las cosas es relativa a la supresión del tráfico 较狠, y controla directamente el puerto cuya tasa promedio de paquetes de puerto es mayor que el umbral máximo especificado 进行阻塞报文或者直接对接口进行关闭, para lograr 破除环路el propósito.

3. Descripción general y principio de implementación de DHCP Snooping

Todos conocemos DHCP, pero DHCP的安全性¿alguna vez has pensado en ello? No creas que DHCP puede causar problemas de seguridad importantes. A continuación, hablaremos sobre los posibles ataques a DHCP y cómo superar el DHCP Snooping.

3.1 Principio de implementación de la función de confianza de DHCP

• Función de confianza de DHCP: el dispositivo configurado con DHCP snooping configurará la interfaz como 信任接口Y 非信任接口, y la interfaz de confianza puede recibir paquetes DHCP ACK, DHCP NAK y DHCP Offer normalmente 不会向非信任接口进行转发. Los paquetes DHCP ACK, DHCP NAK y DHCP Offer también se enviarán a tiempo al entrar en el dispositivo.丢弃
• El principio de funcionamiento de la función de confianza de DHCP: cuando el dispositivo recibe un mensaje de solicitud de DHCP, lo 转发给所有信任接口hará 如没有信任接口将会直接丢弃. 只会将报文转发给开始DHCP snooping的接口，如果没有DHCP snooping就会直接丢弃
  3.2 Tabla de vinculación de DHCP Snooping El dispositivo con
  
  DHCP Snooping habilitado formará DHCP ACK报文（服务器响应报文）中提取关键信息（pc mac地址、分配的IP地址、租期等）una tabla de vinculación de DHCP con la información clave extraída, el número de interfaz y VLAN, etc. La tabla registra varias relaciones entre el cliente DHCP y el servidor DHCP, y puede verificar los paquetes de solicitud o falsificadores para evitar ataques de usuarios ilegales.

Al igual que ir al almacén a pedir prestado algo, debe completar varios datos relevantes para el registro, a fin de verificar si se trata de un empleado de la empresa o si se toma prestado repetidamente.

4. Métodos de ataque DHCP y medidas preventivas

4.1 Ataque de inanición de DHCP

Principio de ataque: El
principio es muy simple, es decir, si el hacker 持续大量solicita una dirección IP al servidor DHCP, no es suficiente 直到DHCP无可分发IP地址给正常用户.
Solución:
El principal problema es que es imposible distinguir si el solicitante es bueno o malo, y cuando solicita un equipo, envía estúpidamente la información de la solicitud. Por lo tanto, podemos habilitar la función de snooping de DHCP, verificar el campo CHADDR del paquete de solicitud, 检查内容就是你的CHADDR（硬件地址/mac地址）字段是否和你发起请求的mac地址相对应reenviarlo si corresponde y descartarlo si no corresponde, para garantizar que los usuarios legítimos puedan usar el servicio DHCP con normalidad.

Se puede entender que los huevos gratis se distribuyen en la calle y puede obtenerlos informando su nombre. Al principio, la gente quería aprovechar el nombre, solo decir su nombre y obtener los huevos arbitrariamente, pero luego emitió un nombre comercial aproximado, debe traer su propia tarjeta de identificación y luego informar Para su propio nombre, el emisor comparará el nombre informado por el destinatario con el nombre de la tarjeta de identificación.Si están de acuerdo, le darán huevos, y si son inconsistentes, no se darán.

4.2 La indagación de DHCP evita los ataques de intermediarios de DHCP

Principio de ataque:
el atacante usa ARP机制, 让Client学习到DHCP Server IP与Attacker MAC的映射关系para permitir que el servidor aprenda la relación de mapeo entre la IP del cliente y la Mac del atacante. De esta forma, los paquetes IP intercambiados entre el cliente y el servidor serán retransmitidos por el atacante y luego retransmitidos 由攻击者进行转发.

Solución:
Esencialmente, 中间人攻击是一种Spoofing IP/MAC攻击（电子欺骗）un man-in-the-middle explota una asignación falsa de dirección IP a MAC para suplantar tanto a los clientes como a los servidores DHCP.
Podemos usarlo 绑定表的工作模式para conocer la información clave del mensaje de solicitud y el mensaje de respuesta, además de la información de reenvío del dispositivo, y mezclarla en una tabla de vinculación de DHCP Snooping. --- descartar.
Nota: si hay usuarios en la tabla de vinculación mac地址、IP地址、vlan id、地址租期, verifique el mac de destino para encontrar al intermediario.

V. Descripción general de la tecnología IPSG

IPSG(IP Source Guard -IP源防攻击)IPSG es 应对攻击者伪造合法用户的ip进行上网窃取机密un tipo de comportamiento que 基于二层接口的源IP地址过滤技术puede identificar si la IP de origen del paquete de solicitud es legal, bloqueando así el acceso por IP ilegal.
Principio de implementación de IPSG:
IPSG 利用绑定表（源IP地址、源MAC地址、VLAN id、入接口）去匹配检查二层接口上收到的IP报文是否合法, solo los paquetes que coincidan con la tabla de enlace pueden pasar, y los demás paquetes se descartarán. Sin embargo, si el falsificador no solo falsifica la IP sino también la dirección MAC, no hay forma de hacerlo y solo puede estar restringido por otras políticas.
Las tablas de vinculación comunes son 静态绑定表y DHCP Snooping动态绑定表.

• El aislamiento de puertos implementa el aislamiento entre puertos dentro de la misma VLAN. Los modos de aislamiento de puertos son aislamiento de capa 2 e interfuncionamiento de capa 3, y aislamiento de capa 2 y capa 3.
• La tabla de direcciones MAC del conmutador se puede dividir en tabla de direcciones MAC estáticas, tabla de direcciones MAC de agujero negro y tabla de direcciones MAC dinámicas.
  La seguridad del puerto convierte la dirección MAC dinámica aprendida por la interfaz en una dirección MAC segura, que generalmente se usa junto con acciones de protección de seguridad.
• Habilitar la detección de fluctuaciones de dirección MAC en un conmutador ayuda a los ingenieros a manejar rápidamente las fallas de bucle del conmutador.
• MACsec define un método para la comunicación segura de datos basada en Ethernet y garantiza la seguridad de la transmisión de datos mediante el cifrado de datos entre dispositivos salto a salto.
• La principal diferencia entre la supresión de tráfico y el control de tormentas es que el control de tráfico solo limita la tasa de varios paquetes y los descarta después de superar el umbral, mientras que el control de tormentas puede tomar diferentes acciones de castigo según el tamaño de la tasa de paquetes, incluido el cierre de puertos o el bloqueo. paquetes artes.
• La tecnología de indagación de DHCP juega un papel importante en la defensa contra ataques de red en los que los dispositivos terminales obtienen automáticamente direcciones IP en Ethernet. Al configurar la función de puerto confiable de indagación de DHCP y la tabla de vinculación de indagación de DHCP, los ataques de red contra DHCP pueden prevenirse bien.
• Al verificar la tabla de vinculación del conmutador, IPSG evita los ataques de suplantación de direcciones IP y evita que los usuarios ilegales roben direcciones IP legales para atacar la red.

6. Comandos de configuración de supresión de tráfico

1. (Opcional) Configure el modo de supresión de tráfico

#缺省情况下，缺省的抑制模式为packets，在bits模式下，流量抑制的粒度更小、抑制更精确
[Huawei] suppression mode {
    
     by-packets | by-bits }

2. Configurar la supresión de tráfico

#接口下配置流量抑制时，抑制模式需与全局的流量抑制模式保持一致。
[Huawei-GigabitEthernet0/0/1] {
    
     broadcast-suppression | multicast-suppression | unicast-suppression} {
    
     percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

3. Configurar para bloquear paquetes en la dirección de salida de la interfaz

[Huawei-GigabitEthernet0/0/1] {
    
     broadcast-suppression | multicast-suppression | unicast-suppression } block outbound

4. Configure la tasa de supresión de transmisión de la VLAN

[Huawei-vlan2] broadcast-suppression threshold-value

Siete, comando de configuración de control de tormentas

1. Configurar el control de tormentas de interfaz para paquetes

#对接口上的广播、未知组播或未知单播报文进行风暴控制
[Huawei-GigabitEthernet0/0/1] storm-control {
    
     broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value

2. Configurar la acción de control de tormentas

[Huawei-GigabitEthernet0/0/1] storm-control action {
    
     block | error-down }

3. Configure el intervalo de detección para el control de tormentas

[Huawei-GigabitEthernet0/0/1] storm-control interval interval-value

4. Configure y habilite la recuperación automática del estado de la interfaz

#使能接口状态自动恢复为Up的功能，并设置接口自动恢复为Up的延时时间。
[Huawei-GigabitEthernet0/0/1] error-down auto-recovery cause storm-control interval interval-value

5. (Opcional) Configure la supresión de tráfico y la lista blanca de control de tormentas

[Huawei] storm-control whitelist protocol {
    
     arp-request | bpdu | dhcp | igmp | ospf }*

8. Función de indagación DHCP

1. Habilite DHCP Snooping globalmente

[Huawei] dhcp snooping enable [ ipv4 | ipv6 ]

2. Habilite la indagación de DHCP en la vista de VLAN

#在VLAN视图下执行此命令，则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效
[Huawei-vlan2] dhcp snooping enable

3. Configure la interfaz en el estado de "confianza" en la vista de VLAN

#在VLAN视图下执行此命令，则命令功能仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文生效。
[Huawei-vlan2] dhcp snooping trusted interface interface-type interface-number

4. Habilite la función de indagación DHCP en la
[Huawei-GigabitEthernet0/0/1] dhcp snooping enable
vista de interfaz 5. Establezca la interfaz en el estado "confiar" en la vista de interfaz

#缺省情况下，设备接口为非信任状态
[Huawei-GigabitEthernet0/0/1] dhcp snooping trusted

6. (Opcional) Deseche los paquetes DHCP con un campo GIADDR distinto de cero

#使能检测DHCP Request报文中GIADDR字段是否非零的功能。此命令同时可以在VLAN视图或接口视图下进行配置。
在VLAN视图下执行此命令，则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效；在接口下执行该命令，则对该接口下的所有DHCP报文命令功能生效
[Huawei] dhcp snooping check dhcp-giaddr enable vlan {
    
     vlan-id1 [ to vlan-id2 ] } 

Nueve, comando de configuración IPSG

1. Configurar entradas de enlace de usuario estáticas

#IPSG按照静态绑定表项进行完全匹配。
[Switch1] user-bind static ip-address 10.1.1.1 mac-address 5489-98C2-1486 

2. Habilitar la función IPSG

#使能接口或者VLAN的IP报文检查功能，VLAN视图配置与接口视图一致
[Huawei-GigabitEthernet0/0/1] ip source check user-bind enable

3. Habilite la función de alarma de inspección de paquetes IP

[Huawei-GigabitEthernet0/0/1] ip source check user-bind alarm enable

4. Configure el umbral de alarma de inspección de paquetes IP

#配置了IP报文检查告警功能后，当丢弃的IP报文超过告警阈值时，会产生告警提醒用户
[Huawei-GigabitEthernet0/0/1] ip source check user-bind alarm threshold threshold