隨著電力信息業(yè)務(wù)的飛速發(fā)展����,各級(jí)電力公司均在其營業(yè)范圍內(nèi)部署了由交換機(jī)組成的城域網(wǎng)絡(luò)�,為電力營銷�����、OA、EAM�����、CRM等業(yè)務(wù)的推廣提供了有利的支持��。不過隨著網(wǎng)絡(luò)邊界的延伸��,各種安全問題也擺在了電力信息主管們的案頭��。如非法訪問問題���、病毒入侵問題��、黑客攻擊問題等���,如何有效解決這些問題一直困擾著電力信息主管們�����。在此����,H3C依據(jù)自身產(chǎn)品的特性�����,結(jié)合在全國電力城域網(wǎng)規(guī)模部署的經(jīng)驗(yàn)推出系列較佳實(shí)踐和客戶一起分享���。本期介紹客戶比較關(guān)心的ARP攻擊防御技術(shù)����。
當(dāng)前ARP攻擊及欺騙攻擊嚴(yán)重影響了電力客戶網(wǎng)絡(luò)的運(yùn)行�����,主要表現(xiàn)為網(wǎng)絡(luò)慢(由于攻擊導(dǎo)致設(shè)備處理性能變低����,及中間人攻擊導(dǎo)致的性能瓶頸)、網(wǎng)絡(luò)中斷(中間人攻擊導(dǎo)致網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)路徑更改引起的臨時(shí)中斷�����,及ARP中毒引起網(wǎng)絡(luò)中斷)��。
H3C的S9500/S7500E/S5500/S3600系列交換機(jī)對(duì)于ARP攻擊/欺騙攻擊����,都有比較有效的防御手段。首先對(duì)于防御ARP攻擊�,交換機(jī)可以啟用ARP防攻擊功能。當(dāng)交換機(jī)收到ARP報(bào)文時(shí)���,會(huì)根據(jù)報(bào)文源MAC地址記錄單位時(shí)間收到的ARP報(bào)文數(shù)目��,當(dāng)檢測到單位時(shí)間內(nèi)某個(gè)源MAC地址的ARP報(bào)文數(shù)目超出一定限度���,認(rèn)為該主機(jī)在進(jìn)行ARP攻擊,就會(huì)對(duì)該攻擊源進(jìn)行屏蔽�。以城域網(wǎng)接入交換機(jī)為例,在該交換機(jī)上啟用ARP入侵檢測(ARP Intrusion Inspection)功能��,通過對(duì)ARP報(bào)文的MAC、IP進(jìn)行有效性檢驗(yàn)���,丟棄無效ARP報(bào)文�,從而在接入層杜絕ARP攻擊�。配置示例如下:
#進(jìn)入系統(tǒng)視圖
[H3C]dhcp-snooping
#進(jìn)入VLAN視圖
[H3C]arp detection enable
#ARP/DHCP速度限制
[H3C]dhcp rate-limit enable
[H3C]arp rate-limit enable
對(duì)于ARP欺騙攻擊,S9500等交換機(jī)具有ASD (ARP Spoofing Defence)ARP欺騙防御功能�,可支持三種方式進(jìn)行ARP欺騙攻擊防御:
1) 第一種為固定MAC地址方法,對(duì)于動(dòng)態(tài)ARP第一次學(xué)習(xí)到后就不允許再通過ARP學(xué)習(xí)對(duì)MAC地址進(jìn)行修改���,只有等ARP老化后才允許學(xué)習(xí)新的MAC;
2) 第二種為多元素固定法����,對(duì)于動(dòng)態(tài)ARP學(xué)習(xí)和已解析的短靜態(tài)ARP的MAC地址及其對(duì)應(yīng)的端口�����、VLAN都不允許修改�,只有等ARP老化后才允許學(xué)習(xí)新的MAC;
3) 主動(dòng)確認(rèn)方法:啟用主動(dòng)確認(rèn)方式防攻擊時(shí),在收到涉及MAC地址變化的ARP報(bào)文時(shí)���,不對(duì)此ARP直接進(jìn)行修改�����,而是先對(duì)原ARP表項(xiàng)對(duì)應(yīng)用戶發(fā)一個(gè)單播確認(rèn)����,如果收到應(yīng)答報(bào)文,則不允許修改ARP表;如果一定時(shí)間內(nèi)沒有收到應(yīng)答報(bào)文��,則允許修改ARP表���。
同時(shí),作為IToIP解決方案提供商��,H3C在網(wǎng)絡(luò)安全方面提供的是組合拳����、立體防御,后續(xù)我們將介紹EAD����、iSPN之IPS、NTA等多種特色方案��。
