slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
實驗二 網路設備之安全性設定與操作 PowerPoint Presentation
Download Presentation
實驗二 網路設備之安全性設定與操作

Loading in 2 Seconds...

play fullscreen
1 / 21

實驗二 網路設備之安全性設定與操作 - PowerPoint PPT Presentation


  • 173 Views
  • Uploaded on

實驗二 網路設備之安全性設定與操作. 實驗目的. 本實驗針對一般較常接觸到的設備 layer 2/3 交換器講解如何設定,抵禦下列幾項在區域網路下常見的攻擊: DHCP spoofing MAC address spoofing ARP spoofing 透過在交換器上啟用下列三種功能,能夠消除上述三種攻擊: DHCP Snooping IP Source Guard Dynamic ARP Inspection. 實驗場景. Internet. ASUS AP WL-520GU. IP: 192.168.2.1 DHCP pool

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '實驗二 網路設備之安全性設定與操作' - marlie


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2
實驗目的

實驗二 網路設備之安全性設定與操作

  • 本實驗針對一般較常接觸到的設備 layer 2/3 交換器講解如何設定,抵禦下列幾項在區域網路下常見的攻擊:
    • DHCP spoofing
    • MAC address spoofing
    • ARP spoofing
  • 透過在交換器上啟用下列三種功能,能夠消除上述三種攻擊:
    • DHCP Snooping
    • IP Source Guard
    • Dynamic ARP Inspection
slide3
實驗場景

實驗二 網路設備之安全性設定與操作

Internet

ASUS AP WL-520GU

IP: 192.168.2.1

DHCP pool

192.168.2.10 ~ 192.168.2.250

Cisco layer 3 switch 3560

FastEthernet0/24

FastEthernet0/1

FastEthernet0/2

Client1

Client2

dhcp spoofing
何謂 DHCP spoofing ?

實驗二 網路設備之安全性設定與操作

  • 何謂 DHCP spoofing ?
    • 在 DHCP 中,如果使用者是第一次使用或是重新登錄,通常都是以廣播的方式來取得 DHCP 伺服器的資訊,而且只會接受第一個回應的 DHCP 伺服器所提供的網路配置參數。如果在網路存在多台的 DHCP 伺服器 ( 可能有一台以上的 DHCP 伺服器是未經授權的 ) ,由於 DHCP 是採用誰先回應那麼使用者就採用先回應的 DHCP 伺服器所提供的網路配置參數,假如使用者先接收到未經授權 DHCP 伺服器的回應,這樣一來使用者所取得的網路配置參數即為非授權的網路配置參數,可能會被有心人士竊取到使用者通訊的相關資訊。
mac address spoofing
何謂 MAC address spoofing ?

實驗二 網路設備之安全性設定與操作

  • 何謂 MAC address spoofing ?
    • MAC address spoofing 的目的是藉由送出一個來源 MAC address 為攔截目標的 MAC address 的封包給交換器,讓交換器上的 CAM table 紀錄錯誤的訊息,讓其後要送給目標主機的訊息都傳送攻擊者所在的連接埠。

MAC address spoofing 攻擊範例

arp spoofing
何謂 ARP spoofing ?

實驗二 網路設備之安全性設定與操作

  • 何謂 ARP (Address Resolution Protocol) ?
    • ARP是將 IP 位址轉換成 MAC Address 的一種通訊協定,當某一台電腦要傳送資料到某個 IP 位址時,首先會先傳送 ARP 封包詢問網路上哪台電腦的 MAC Address 對應到這個 IP 位址,當目的主機接收到這個 ARP 封包之後便會回應給來源電腦進行資料傳送。
  • 何謂 ARP Cache ?
    • 過多的 ARP 封包也可能佔用到網路頻寬並造成網路擁塞,因此當有 ARP 封包經過時,電腦或是網路設備會儲存相對應的 IP 與 MAC Address,這就是 ARP Cache 。之後可不需要再發送 ARP 封包詢問便可直接傳輸資料,可減少對網路頻寬的影響。
  • 何謂 ARP 攻擊 (ARP Poisoning 、 ARP Spoofing) ?
    • 發送一個假的 ARP 封包並竄改 ARP Cache 使得資料無法正確傳輸到目的地,造成網路無法連結,便稱作 ARP 攻擊。由於一般的 ARP Cache 是根據經過的 ARP 封包不斷的變更本身的 ARP 列表,所以假設接收到的 ARP 封包所提供的資料是偽造的,就會讓資料無法傳輸到實際的目的地。甚至可能因為假造的 ARP 封包而將資料導向某特定電腦,駭客便可利用這種方式竊取封包資料或修改封包內容。
  • 如何預防ARP病毒攻擊?
    • 某些網路設備可以啟用 Dynamic ARP inspection 功能,該功能可以檢查 ARP 訊息並拒絕假的 ARP 封包。
dhcp snooping
DHCP Snooping 簡介

實驗二 網路設備之安全性設定與操作

  • DHCP Snooping 的目的
    • DHCP snooping 最主要的目的是防止因 DHCP spoofing 而造成的不當 DHCP 租用行為,其中包含非法 DHCP 伺服器的 IP 位址派送行為及 DHCP 租用者對 DHCP 伺服器的不當租用行為,甚至以不當的 DHCP 封包影響其他使用者的 DHCP 租用結果。
  • DHCP Snooping 的運作架構
    • 在 DHCP snooping 的架構中主要有 DHCP server、DHCP relay agent 及 DHCP client 三個角色。DHCP server 可以支援或不支援 option-82,單視是否需要從 option-82 提供的資訊去控管 IP 位址的發配;DHCP relay agent 為支援 DHCP relay 及 DHCP snooping 的 Switch ; DHCP client 指的是發送 DHCP request ,要求從 DHCP server 取得 IP 位址的主機。同時, DHCP snooping 的運行架構可以用防火牆的觀念來描述,以 DHCP relay agent 為中心(視為防火牆),接往 DHCP server 的介面稱為 trust interface ;所有接 DHCP client 的介面稱為 untrust interface 。
dhcp snooping1
DHCP Snooping 設定步驟

實驗二 網路設備之安全性設定與操作

  • DHCPSnooping
  • 用來過濾來路不明的 DHCP messages 並保護使用者不會從網路上不合法的 DHCP 伺服器取得錯誤的網路設定資訊。將連接埠與 vlan 分為 trust 或 untrust 的介面,只有 trust 的介面才可以收送 DHCP Offer 封包。

設定DHCP Snooping的指令如下:

switch(config)#

ip dhcp snooping

  • 在交換器上啟動 DHCP Snooping 的功能。

switch(config)#

ip dhcp snooping vlan [number or range]

設定哪些 vlan 需要被控管。

Switch(config-if)#

ip dhcp snooping trust

設定介面是 trust 還是 untrust 。

Switch(config-if)#

ip dhcp snooping limit rate rate

每秒最多能收多少 DHCP 封包。

資料來源 http://www.cisco.com

dhcp snooping2
DHCP Snooping 設定步驟

實驗二 網路設備之安全性設定與操作

  • 如下圖的設定,我們啟動了 DHCP Snooping 的功能監測 vlan 1 ,並且將交換器的第24埠設為 trust ,只有在該連接埠上的 DHCP Server 能夠配給使用者 IP 位址、閘道器位置、 DNS 伺服器等設定。

cisco3560#configure Terminal

Enter configuration commands, one per line. End with CNTL/Z.

cisco3560(config)#ip dhcp snooping

cisco3560(config)#ip dhcp snooping vlan 1

cisco3560(config)#int fa0/24

cisco3560(config-if)#ip dhcp snooping trust

cisco3560(config-if)#exit

cisco3560(config)#^Z

cisco3560#show ip dhcp snooping

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

1

DHCP snooping is configured on the following Interfaces:

Insertion of option 82 is enabled

circuit-id format: vlan-mod-port

remote-id format: MAC

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

FastEthernet0/24 yes unlimited

Cisco3560#

dhcp snooping3
DHCP Snooping 設定步驟

實驗二 網路設備之安全性設定與操作

  • 將 Client 1 設為自動取得 IP 位址,下圖1為 Client 1 經由 DHCP Server 取得的網路設定。
  • 如下圖2,使用 show ip dhcp snooping binding 指令查看現在有哪些 IP 位址是經由 DHCP Server 發給使用者。

圖1

cisco3560#show ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN Interface

------------------ --------------- ---------- ------------- ---- --------------------

00:60:97:14:A1:0D 192.168.2.11 86072 dhcp-snooping 1 FastEthernet0/1

Total number of bindings: 1

圖2

dhcp snooping4
DHCP Snooping 設定步驟

實驗二 網路設備之安全性設定與操作

  • 檢驗 DHCP snooping 是否有發揮功用。
    • 將 DHCP Server 移到交換器的第23連接埠, Client 1 試著重新使用自動取得 IP 位址的方式(請停用網路介面卡後再重新啟用)向 DHCP Server 索取 IP 位址,檢驗是否能夠取得網路設定,若不能的話,代表 DHCP Snooping 設定正確,接著將 DHCP Server 移回到交換器的第24連接埠。
    • 接著如下圖,自行指定 Client 1 的 IP 位址為192.168.2.12,其餘設定皆與經由 DHCP Server 取得的一樣,試看看能不能正常連線,如果不能正常連線代表實驗至此都是正確的(因為 DHCP Snooping binding table 中並沒有紀錄192.168.2.12)。
ip source guard
IP Source Guard 簡介

實驗二 網路設備之安全性設定與操作

  • IP Source Guard 的功能
    • 當網路管理人員試圖利用流量管制的方式管控每個使用者的流量,並進而對違法流量政策的使用者採取封鎖 IP 的處罰時,懂得 IP 設定的使用者便開始嘗試更改 IP 位址,造成被盜用者也無法使用網路,或是被盜用者也嘗試使用其他人的 IP 位址,造成網路管理的困擾,而 IP Source Guard 可以避免合法使用的 IP 位址被其他人盜用的情形。
  • IP Source Guard 的運作方式
    • IP Source Guard 運作上是依據 IP Source Binding Table 來檢視比對來自 untrust interface 的 Source IP或 Source IP/MAC-address 。而 IP Source Binding Table的來源是 DHCP Snooping 產生的 DHCP Snooping Binding Database 或手動設定的 IP Source Binding 。手動設定的 IP Source Binding 適用於網路環境並非是由 DHCP server 來配發 IP 位址,因此想要做到全面性的 IP/MAC-address Binding ,網管人員對於使用者的I P/MAC-address 資料蒐集必須非常完整。
ip source guard1
IP Source Guard 設定步驟

實驗二 網路設備之安全性設定與操作

  • 在前面的設定中設定了 DHCP snooping ,讓 Client 1 無法使用 DHCP Server 沒有發配出的 IP 位址,但若如下圖所示,自行指定 Client 1 的網路設定與透過 DHCP Server 取得的設定一樣,將 IP 位址設為192.168.2.11,並將 Client 的 MAC address 改成與原先的 MAC address 不同,此時仍然能夠正常的存取網路。
  • 因此為了消除這種情形,可以使用 IP Source Guard , IP Source Guard 利用 DHCP Snooping Binding Table 中紀錄的 IP 位址與 MAC address 來過濾不合法的封包。
ip source guard2
IP Source Guard 設定步驟

實驗二 網路設備之安全性設定與操作

  • IP Source Guard 有兩種封包過濾的方式:
    • ip verify source

僅檢查封包的 Source IP 位址是否存在 DHCP Snooping Binding Table 中,存在的話就讓該封包通過。

    • Ip verify source port-security

同時檢查封包的 Source IP 位址與 MAC address 的對映關係,對映關係正確才讓該封包通過。

資料來源 http://www.cisco.com

ip source guard3
IP Source Guard 設定步驟

實驗二 網路設備之安全性設定與操作

  • 因此要消除偽造MAC address的問題,需採用同時檢查 Source IP 位址與 MAC address 的方式,設定如下圖1:

cisco3560(config)#int fastEthernet 0/1

cisco3560(config-if)#ip verify source port-security

圖1

  • 檢查現在 IP 位址與 MAC address 的對映關係的指令如下圖2所示:

cisco3560#show ip verify source interface fa0/1

Interface Filter-type Filter-mode IP-address Mac-address Vlan

--------- ----------- ----------- --------------- ----------------- ----------

Fa0/1 ip-mac active 192.168.2.11 permit-all 1

圖2

ip source guard4
IP Source Guard 設定步驟

實驗二 網路設備之安全性設定與操作

  • 檢驗 IP Source Guard 是否有發揮功用
    • 如下圖所示,自行指定 Client 1 的網路設定與透過 DHCP Server 取得的設定一樣,將 IP 位址設為192.168.2.11,並將 Client 的 MAC address 改成與原先的 MAC address 不同,如果無法正常存取網路代表設定正確。
dynamic arp inspection dai
Dynamic ARP Inspection (DAI) 簡介

實驗二 網路設備之安全性設定與操作

  • Dynamic ARP Inspection 的功能
    • ARP 提供同一廣播領域中主機之間互相了解彼此 IP 與MAC Address對應的關係,然而在 ARP 的運作原理上會使用到廣播的方式,且 ARP 廣播的發送者對於回應的對象並不會作進一步的檢視動作,進一步造成安全上的漏洞。而 Dynamic ARP Inspection 的作用是避免同一個廣播領域中的惡意攻擊行為。
  • Dynamic ARP Inspection 的運作方式
    • Dynamic ARP Inspection 的作用就是記錄與檢視合法的 IP/MAC Address 對應表來防止不當散佈的ARP 資訊。
    • Switch 會先攔截所有在 untrust interface 上的 ARP request 與 ARP response 封包。
    • 在 Switch 的 ARP cache 更新及將 ARP 封包轉發出去之前,在 DHCP 的環境中, Switch 會先檢查攔截到的 ARP 封包是否符合正確 IP DHCP Snooping Binding Database;在非 DHCP 的環境中, Switch 檢查的依據為網管人員為每個使用者自行設定的 ARP ACL 。
    • 如果 Switch 同時存在 IP DHCP Snooping Binding Database 與 ARP ACL 的設定, ARP ACL 會優先被採用作為檢查的依據,且被 ARP AC L丟棄的封包將不會接受 DHCP Snooping Binding Database的檢查。 
    • 在檢查完後, Switch 會轉送所有與 Binding Database 或 ARP ACL 內容相符合的封包而丟棄所有不符合的 ARP 封包。
dynamic arp inspection dai1
Dynamic ARP Inspection (DAI) 設定步驟

實驗二 網路設備之安全性設定與操作

  • 最後,有了前面所設定的 DHCP Snooping 功能所得到的 Binding Table , DAI 會根據Binding Table 上的資訊檢查arp封包中的 IP 位址與 MAC address 的對映關係是否正確,用來防止 ARP spoofing ,消除了中間人攻擊的疑慮。

資料來源 http://www.cisco.com

dynamic arp inspection dai2
Dynamic ARP Inspection (DAI) 設定步驟

實驗二 網路設備之安全性設定與操作

  • 如圖1,設定監測來自 vlan 1 的arp封包,除了來自於設定為 trust 的arp封包不監測,在這邊我們要將 DHCP Server 所在的第24埠設為 trust ,否則網路無法連通。

cisco3560(config)#ip arp inspection vlan 1

cisco3560(config)# int fa0/24

cisco3560(config-if)#ip arp inspection trust

圖1

  • 在 Client 2 上使用 ettercap 這套軟體,嘗試使用 arp poisoning 來做中間人攻擊 (詳細步驟請參閱實驗1網路攻擊軟體之操作),啟動攻擊後,交換器偵測到異常的狀況,因此將 Client2 所在的連接埠關閉,如圖2。

圖2

slide20
總結

實驗二 網路設備之安全性設定與操作

  • 利用 DHCP Snooping 、 IP Source Guard 、 Dynamic ARP Inspection 這三個功能,在使用 DHCP 的方式取得 IP 位圵的網路環境下,不需要像以往一樣手動設定 port-security 等來對映 IP 位址與 MAC address 來抵禦 ARP spoofing 、 MAC address spoofing 、 DHCP spoofing,省下許多管理上的麻煩。
slide21
參考資料

實驗二 網路設備之安全性設定與操作

  • 「http://en.wikipedia.org/wiki/DHCP_snooping」
  • 「http://www.networkdictionary.com/security/d.php」
  • 「http://blog.yam.com/magicianlee/article/14018860」
  • 「 http://www.ringline.com.tw/epaper/Forum961101.htm 」
  • 「http://blog.chinaunix.net/u1/34087/showart_347267.html」
  • 「http://hi.baidu.com/yj88278/blog/item/34c341975ad0536554fb9621.html」
  • 「http://tw.trendmicro.com/tw/support/tech-support/board/tech/article/20070926085046.html」
  • 「http://pluscom.ru/cisco_product/cc/td/doc/product/lan/cat4000/12_2_25/conf/dynarp.htm#wp1039231」
  • 「http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_40_se/configuration/guide/swdynarp.html 」