校園網(wǎng)內(nèi)部網(wǎng)絡(luò)安全

1、校園網(wǎng)內(nèi)部網(wǎng)絡(luò)安全摘要：外部網(wǎng)絡(luò)威脅盡管形勢嚴(yán)峻，但來自內(nèi)部網(wǎng)絡(luò) 本身的威脅有時卻更難防范。該文探討如何發(fā)掘內(nèi)部網(wǎng)絡(luò)設(shè) 備（主要為二三層交換機(jī)）的功能，防范來自內(nèi)部網(wǎng)絡(luò)的威 脅。這些威脅主要為非法 DHCP 服務(wù)器、 ARP 欺騙、 用戶私 設(shè) IP 地址、 用戶私接交換機(jī)、 用戶連接失誤造成的網(wǎng)絡(luò)環(huán)路 等。從網(wǎng)絡(luò)設(shè)備層面杜絕這些威脅，會使內(nèi)部網(wǎng)絡(luò)本身更加 “安靜”，從而也更安全穩(wěn)定流暢。關(guān)鍵詞：網(wǎng)絡(luò)設(shè)備安全；交換機(jī)； DHCP-SNOOPING ； ARP-DETECTION ； IP； MSTP中圖分類號： TP393 文獻(xiàn)標(biāo)識碼： A 文章編號： 1009-3044（2014）17-40

2、04-05計算機(jī)網(wǎng)絡(luò)對來自外部 （internet ）網(wǎng)絡(luò)威脅的防范工作， 主要由路由防火墻來完成。不可否認(rèn)，防范外部網(wǎng)絡(luò)的威脅 非常重要。如何配置路由防火墻（及入侵檢測系統(tǒng)等）來防 范這些威脅，也已經(jīng)形成很多固定的模式，介紹探討這方面 的文章書籍也不在少數(shù)。不過來自內(nèi)部網(wǎng)絡(luò)的威脅同樣不可小視，俗話說，堡壘 最容易從內(nèi)部攻破。 內(nèi)部網(wǎng)絡(luò)的威脅主要包括非法 DHCP 服 務(wù)器、ARP欺騙、用戶私設(shè)IP地址、用戶私接交換機(jī)、用 戶連接失誤造成的網(wǎng)絡(luò)環(huán)路等。有些是用戶無意識的行為 （例如 ARP 攻擊， 用戶主機(jī)可能中了 ARP 病毒），但有些卻 有可能是有意為之（例如私設(shè) DHCP 服務(wù)器，造成其

3、他用戶 獲取到錯誤的 IP 地址）。這些威脅都能造成內(nèi)部網(wǎng)絡(luò)的不穩(wěn)定，使用戶的網(wǎng)絡(luò)使 用體驗變差。對于這些威脅的防范，路由防火墻通常無能為 力。但是，有一點，因為這些威脅是通過內(nèi)部網(wǎng)絡(luò)設(shè)備（主 要為交換機(jī)）在用戶主機(jī)之間形成干擾的，所以如果網(wǎng)絡(luò)設(shè) 備支持對這些威脅的防范（具有相應(yīng)的功能） ，我們就能在 用戶級別掐滅這些干擾因素。該文主要是基于此交換機(jī)層 面，來對如何防范這些威脅作一些探討。我校校園網(wǎng)初期的網(wǎng)絡(luò)設(shè)備主要來自北電（ Nortel ），因 為是其較早時期的設(shè)備（ 2004 年左右），所以基本上不具備 對此類威脅的防范（盡管也可網(wǎng)管，但不具備這些功能） 。 不過，于 2011年 1月份

4、期間，我校將所有的網(wǎng)絡(luò)設(shè)備都進(jìn) 行了更換，品牌主要為 H3C 。當(dāng)時廠商的技術(shù)人員僅僅是將 校園網(wǎng)絡(luò)調(diào)通，設(shè)備的很多安全功能并沒有啟用。我在仔細(xì) 閱讀了相關(guān)的技術(shù)文檔之后，發(fā)現(xiàn)這些設(shè)備均可對上述威脅 做到有效防范，于是逐漸啟用了這些功能。該文也是對此過 程中的一些心得體會，做一個歸納總結(jié)。本校校園網(wǎng)絡(luò)大致拓?fù)鋱D如圖 1 所示。因為這些功能的啟用主要是在交換機(jī)上進(jìn)行，所以本文 以核心交換機(jī)至 1 號樓主教學(xué)樓之間的交換機(jī)為例描述即 可，如圖 2 所示，圖中以主教學(xué)樓中的 5 臺交換機(jī)作為代表， 其中 s-build-1 為匯聚層，另外 4 臺為接入層，其余尚有十幾 臺未在圖中顯示的也屬于接入層。

5、其他樓層交換機(jī)相關(guān)的配 置大致相同。圖 1 本校校園網(wǎng)絡(luò)大致拓?fù)鋱D1 防范非法 DHCP 服務(wù)器用戶如果私設(shè) DHCP 服務(wù)器（不管是因為學(xué)習(xí) DHCP 而 無意的造成， 還是有意的搞破壞） ，將會對其端口所屬 VLAN 段中所有用戶主機(jī)形成干擾。我校在更換網(wǎng)絡(luò)設(shè)備以前，常 有這樣的情況發(fā)生。通過逐一查找交換機(jī)中的 mac-address 表，或許可以將 其“抓住”，但這樣太麻煩，嚴(yán)重增加管理工作量，而且是 一種事后被動的防范措施。而啟用交換機(jī)的 dhcp-snooping 功能，可以輕松地實現(xiàn)對非法 DHCP 服務(wù)器的主動防范。1.1 Dhcp-snooping 簡要原理分析Dhcp-sno

6、oping 的原理比較簡單。客戶端在與 DHCP 服 務(wù)器獲取 IP 地址的過程中，總共有 4 個階段。如果有非法 DHCP 服務(wù)器存在， 客戶端就可能接收到非法 DHCP 服務(wù)器 的“ DHCP-Offer ”及“ DHCP-ACK ”消息，從而獲取到錯誤 的 IP 地址。配置交換機(jī)的 dhcp-snooping 功能時，一般是將接入層和匯聚層交換機(jī)的上行端口設(shè)置為 trust 端口，其余端 口默認(rèn)為非 trust ，這樣非法 DHCP 服務(wù)器的“ DHCP-Offer 及“ DHCP-ACK ”消息將被隔離，不會被客戶端接收到，從 而起到了防范非法 DHCP 服務(wù)器的作用。1.2 配置交換

7、機(jī)的 dhcp-snooping 功能對應(yīng)到本校圖 2 中所示交換機(jī)的 dhcp-snooping 配置如 下：1) 在系統(tǒng)視圖模式下，啟用主教學(xué)樓中所有接入層交 換機(jī)的 dhcp-snooping 功能：system-view / 進(jìn)入系統(tǒng)視圖dhcp-snooping / 開啟 dhcp-snooping 功能2) 將這些交換機(jī)的上行端口設(shè)置為 trust 端口，以 s-teac-2 交換機(jī)為例，配置如下 ：interface GigabitEthernet1/1/1dhcp-snooping trust / 設(shè)置該端口為可信端口 啟用 dhcp-snooping 功能是本文后續(xù)其他防范措

8、施的前 提和基礎(chǔ)，這也是首先描述該功能的原因。2 防范 ARP 欺騙曾經(jīng)一段時期，防范ARP欺騙是一件令網(wǎng)絡(luò)管理員非常 頭疼的事情。 一臺中了 ARP 病毒的主機(jī)， 常常會攪得整個網(wǎng) 段中的主機(jī)不得安寧。典型表現(xiàn)是用戶感覺上網(wǎng)緩慢，且時 斷時續(xù)。2.1 防范 ARP 欺騙的原理分析開啟 ARP 入侵檢測功能后， 如果 ARP 報文中的源 MAC 地址、源 IP 地址、 接收 ARP 報文的端口編號以及端口所在 VLAN 與 DHCP Snooping 表或手工配置的 IP 靜態(tài)綁定表表 項一致，則認(rèn)為該報文是合法的 ARP 報文，進(jìn)行轉(zhuǎn)發(fā)， 否則 認(rèn)為是非法 ARP 報文，直接丟棄。 2.2

9、實施 ARP 欺 騙防范的過程步驟1） 開啟交換機(jī) ARP 入侵檢測功能開啟交換機(jī) ARP 入侵檢測功能的步驟如下（以圖 2 中 s-tea-2 交換機(jī)為例，其余接入層交換機(jī)配置與之相似，匯聚 層交換機(jī) s-build-1 不作此配置） ：? 開啟 dhcp-snooping 功能（這是前提）? vlan 11 / 進(jìn)入到 VLAN 視圖模式中? arp detection enable注：對屬于該 VLAN 的所有端口啟用 ARP 入侵檢測。 如果交換機(jī)中還有有他 vlan ，則重復(fù)上述命令即可。? interface g 1/1/1? arp detection trust 注：將上行接口

10、設(shè)置為 arp 可信任端口，不對進(jìn)入此接 口的 arp 報文進(jìn)行 arp 檢測。因為交換機(jī)要將 ARP 報文（不論是 request 還是 reponse類型的） 與 dhcp-snooping 表比較， 所以這也意味著客戶端主 機(jī)需要設(shè)置為自動獲取 IP 地址，否則不會在 dhcp-snooping 表中形成自己的記錄，自身將無法正常通信。這從另一個方 面也可以起到防止用戶私設(shè) IP 地址的功效。 如果某端口下所 接主機(jī)必需設(shè)置為靜態(tài) IP 地址（如電子顯示屏、 網(wǎng)絡(luò)打印機(jī) 等），只需將該端口設(shè)置為“ arp detection trust ”即可。2） 保護(hù)網(wǎng)關(guān)ARP 欺騙的各種行為中，最

11、喜歡的莫過于欺騙網(wǎng)關(guān)了。 這樣同網(wǎng)段中被欺騙主機(jī)的流量都會統(tǒng)統(tǒng)流向自己，以方便 盜取其他主機(jī)的隱私，這也正是其他主機(jī)感覺上網(wǎng)緩慢并時 斷時續(xù)的原因所在。開啟交換機(jī) ARP 網(wǎng)關(guān)防護(hù)功能的步驟如下（以圖 2 中 s-tea-2 交換機(jī)為例，其余同） ：? interface g 1/1/1 / 進(jìn)入接口視圖模式（上行接口）? arp filter binding 192.168.12.1 3ce5-a680-a342? arp filter binding 192.168.28.1 3ce5-a680-a342? arp filter binding 192.168.32.1 3ce5-a680

12、-a342 注：上述命令表明，凡進(jìn)入該接口的 ARP 報文，其源 IP 地址及源 MAC 地址不符合上述綁定的，均將被丟棄。經(jīng) 過實驗證實， 一個接口可以同時綁定最多 8條。注意 H3C 核 心交換機(jī)為其所有 VLAN 虛接口 IP 地址（即為各網(wǎng)段主機(jī) 的網(wǎng)關(guān)）提供的對應(yīng) MAC 地址都是一樣的（此處為 3ce5-a680-a342）,也許它認(rèn)為這樣足夠了，反正又不是屬于同一個網(wǎng)段。? interface e 1/0/1 / 進(jìn)入接口視圖模式（各下行接口）? arp filter source 192.168.12.1注：上述命令表明， 進(jìn)入接口 e1/0/1 的 ARP 報文， 如果 其源

13、IP地址為192.168.12.1，則被認(rèn)為是欺騙網(wǎng)關(guān) ARP報文， 并被丟棄，因為該接口下不可能出現(xiàn)源 IP 地址為192.168.12.1 的 ARP 報文。對各接口均運(yùn)行上述命令，注意 命令中 IP 地址要與該接口所屬的 VLAN 的虛接口 IP 地址相 一致。3）ARP 報文限速如果攻擊者惡意構(gòu)造大量 ARP 報文發(fā)往交換機(jī)的某一 端口，會導(dǎo)致 CPU 負(fù)擔(dān)過重， 從而造成其他功能無法正常運(yùn) 行甚至設(shè)備癱瘓（類似 DDOS ）。此時可以啟用交換機(jī)的端 口 ARP 報文限速功能，使受到攻擊的端口暫時關(guān)閉，來避 免此類攻擊對 CPU 的沖擊。其配置步驟如下（以圖 2 中 s-tea-2 交

14、換機(jī)為例，其余同） ：? interface e 1/0/1 / 進(jìn)入接口視圖模式（各下行接口）? arp rate-limit enable / 啟用 arp 限速? arp rate-limit 15 / 接口每秒接收的 arp 報文若超過 15 個，則丟棄后續(xù)的注：如果是匯聚層交換機(jī)的下行接口，可適當(dāng)調(diào)高 rate-limit 的值（例如 150，默認(rèn)值為 1 5）。對各下行接口均運(yùn)行上述命令? system-view / 退回至系統(tǒng)視圖模式? arp protective-down recover enable? arp protective-down recover interval

15、 300注：上述命令表明，如果接口接收到的 arp 報文的速率 超過 rate-limit 指定的值， 該接口將自動關(guān)閉， 并在 300 秒后 自動開啟。當(dāng)開啟此功能后，校園網(wǎng)內(nèi)確實有少數(shù)用戶受到影響， 這些用戶的感覺是，電腦會莫名其妙地斷網(wǎng)一段時間（其實 大約就是 5 分鐘了），然后又能連接上，然后又?jǐn)嚅_，如此 反復(fù)。經(jīng)檢查其系統(tǒng)確實有問題，經(jīng)過殺毒等措施處理后， 就正常了。說明交換機(jī)此功能確實有效，并沒有“冤枉”用 戶。4）防御 ARP 洪泛攻擊此防范主要在三層核心交換機(jī)的 vlan-interface 上實施。 通過配置允許學(xué)習(xí)動態(tài) ARP 表項的最大個數(shù)。當(dāng)該 VLAN 接口動態(tài)學(xué)習(xí)到

16、的 ARP 表項超過限定的最大值后， 將不進(jìn)行動態(tài)地址表項的學(xué)習(xí)，從而防止某一 VLAN 內(nèi)的 惡意用戶發(fā)動 ARP 泛洪攻擊造成的危害。開啟交換機(jī)防御 ARP 洪泛攻擊功能的步驟如下 （此配置 只在圖 2 的核心交換機(jī)上進(jìn)行） ：? interface Vlan-interface11 / 進(jìn)入到 vlan-interface 接口模? arp max-learning-num 256 / 配置最大 ARP 學(xué)習(xí)表項為 256注：如果與 VLAN 相應(yīng)的 IP 段為 C 類（或更小），則學(xué) 習(xí)表項最大值取 256 就足夠了。在核心交換機(jī)中對所有的 vlan-interface 運(yùn)行上述命令。

17、5） 開啟 ARP 報文源MAC 一致性檢查這是防范 ARP 欺騙報文的另一種有效措施。 在以太網(wǎng)中 （絕大部分的局域網(wǎng)） ， ARP 報文畢竟是要封裝在以太網(wǎng)幀（ethernet-frame）中傳遞的。正常 ARP報文的源 MAC地址 應(yīng)該與其外包裹的 ethernet-frame 中的源 MAC 地址相同， 否 則就是 ARP 欺騙報文。這就是 ARP 報文源 MAC 一致性檢 查的原理。其配置過程如下（以圖2中s-tea-2交換機(jī)為例，其余同）：? System-view / 進(jìn)入系統(tǒng)視圖模式? arp anti-attack valid-check enable /開啟 ARP 報文源

18、 MAC 一致性檢查對于防范 ARP 欺騙，還有一種情況值得考慮， 即接入層 交換機(jī)屬于非網(wǎng)管型交換機(jī)（或不支持上述功能） ，那么上 述防范 ARP 欺騙的措施都無法施行了。機(jī)房是這樣的一個典型例子。機(jī)房中的交換機(jī)大部分是 簡易不具備網(wǎng)管功能的。 事實上機(jī)房是被 ARP 欺騙騷擾最多的區(qū)域我對此的應(yīng)對措施是：多劃分 VLAN 。盡量每個機(jī)房分 別對應(yīng)一個 VLAN （當(dāng)然要在核心交換機(jī)上配置相應(yīng)虛接口 的 IP 地址）。這樣的話， 即便出現(xiàn) ARP 欺騙， 也頂多影響到 一個機(jī)房， 其他機(jī)房不受影響， 畢竟 ARP 偽造報文是按 OSI 第二層原理運(yùn)行的。 縮小了范圍， 尋找 ARP 欺騙的源

19、主機(jī)也 不再是難事。3 防止用戶私設(shè) IP 地址用戶私設(shè)靜態(tài) IP 地址的后果可能是： （1）造成 IP 地址 沖突；（2）破壞 IP 地址的分配原則； （ 3）IP 地址設(shè)置錯誤， 用戶上不了網(wǎng)。3.1 原理簡要分析 配置交換機(jī)，使其對進(jìn)入其接口的任何數(shù)據(jù)包，都要與 dhcp-snooping 表相對比， 若不符則丟棄。 用戶主機(jī)若不設(shè)置 自動獲取IP,則不會在dhcp-snooping表中形成自身的IP地 址表記錄，因而數(shù)據(jù)報文肯定被丟棄！3.2 配置步驟只在接入層交換機(jī)中實施， 以圖 2 中 s-tea-2 交換機(jī)為例， 其余同：? 開啟 dhcp-snooping 功能（這是前提）?

20、interface Ethernet1/0/1 / 進(jìn)入接口模式? ip check source ip-address mac-address /啟用源 IP 及MAC 地址檢查注：在所有需要啟用的接口上運(yùn)行上述命令。若接口下 所接主機(jī)需要靜態(tài) IP 地址，則不要啟用。4 防止用戶誤操作形成環(huán)路在圖 2 中，主機(jī) pc-tea-1 與主機(jī) pc-tea-5 有可能在一個 辦公室，而且其主人可能就隔了一張辦公桌。如果一條網(wǎng)線 就在這辦公桌下，一端在 pc-tea-1 主人的辦公桌處，另一端 剛好在 pc-tea-5 主人的辦公桌處，兩位主人都以為那個網(wǎng)線 頭是自己主機(jī)的，于是都插入到自己辦公桌

21、的網(wǎng)線模塊座 中。過了一會，所有老師的辦公電腦都斷網(wǎng)了！用戶很正常 的一個不經(jīng)意的動作，就可導(dǎo)致網(wǎng)絡(luò)癱瘓，這是讓人無法接 受的。這是本人所經(jīng)歷并解決的一次網(wǎng)絡(luò)事故。那時我認(rèn)識 到，網(wǎng)絡(luò)設(shè)備即便沒有設(shè)計為環(huán)狀（以提供冗余） ，僅僅只 是單一的樹狀分枝， 也是有必要啟用 STP 的（這可能就是思 科交換機(jī)默認(rèn)已啟用了 STP的原因吧）。H3C交換機(jī)默認(rèn)并 沒有啟用 STP！4.1 實施步驟將圖2主教學(xué)樓中所有的交換機(jī)啟用MSTP，并配置為一個 MSTP 區(qū)域（ zone） ，每個 VLAN 分別對應(yīng)一個 instance。 配置如下：system-viewstp enablestp region-

22、configuration / 進(jìn)入 region-configuration 模式 region-name building-1 revision-level 0? instance 1 vlan 11? instance 2 vlan 28? instance 3 vlan 32? active region-configuration在圖 2 所示主教學(xué)樓中所有的交換機(jī)上運(yùn)行上述相同命 令。然后在 s-build-1 中運(yùn)行下述命令 （ system-view 模式下）， 將其指定為該區(qū)域內(nèi)所有 instance 的主根。? stp instance 0 root primary? st

23、p instance 1 root primary? stp instance 2 root primary? stp instance 3 root primary 如果你不想麻煩，在所有交換機(jī)上只運(yùn)行一句“ stp enable”也是可以的。5 防止用戶私接交換機(jī) 實現(xiàn)此目的比較容易，啟用交換機(jī)的 port-security 可達(dá) 到目的。配置如下（只需在接入層交換機(jī)中實施，以圖 2 中 s-tea-2 交換機(jī)為例，其余同） ：? system-view? port-security enable / 啟用 port security? port-security timer disabl

24、eport 300 / 若有違反， 臨時禁用 端口 300 秒在所有要防止用戶私接交換機(jī)的端口上運(yùn)行下述命令。? interface e 1/0/1? port-security max-mac-count 1 / 只允許一臺主機(jī)接入? port-security port-mode autolearn? port-securityintrusion-mode disableport-temporarily6 網(wǎng)絡(luò)設(shè)備本身的安全校園網(wǎng)中，任何一臺主機(jī)運(yùn)行“ telnet 自己主機(jī)網(wǎng)關(guān)” ， 都能得到響應(yīng)。這個響應(yīng)當(dāng)然是來自核心交換機(jī)。 H3C 交換 機(jī)默認(rèn)情況下響應(yīng)任何對自己的 telnet 請求。用戶盡管不知 道用戶名和密碼，但讓惡意用戶這樣無休止的嘗試是不能讓 人接受的?？梢允褂迷L問控制列表來防范這種威脅，配置如下（以圖