局域网安全防护
目前主要使用的2种方式,基于是否有DHCP服务器而言
言下之意就是电脑主机的数量,因为涉及到绑定主机信息的过程(数量问题),由于每个厂商的英文简写不同,我以中文代替说明具体的意义
源认证+ARP检测(无DHCP)DHCP探测+源认证+ARP检测(有DHCP)设想主机需要通信要完成几个过程
主机接入(IP和MAC)源认证主机通讯(ARP)ARP检测主机怎么拿到属于自己的IP(使用人或管理员)DHCP探测源认证
针对源进入接口流量进行报文过滤控制,控制条件可以根据需求决定
IP+MAC+VLAN
IP绑定表项MAC绑定表项IP+MAC绑定表项IP+VLAN绑定表项MAC+VLAN绑定表项IP+MAC+VLAN绑定表项常见都是基于IP+MAC
控制条件实现方式
静态手动绑定 针对的是没有DHCP方式 动态自动绑定 针对有DHCP,因为可以借助DHCP的表项来实现动态绑定ARP检测
ARP检测属于ARP攻击防御模块的一个功能,针对二层最重要的协议,相对还有很多种防御功能
ARP协议的问题
ARP是主机通讯时第一个需要执行的协议,因为刚开始主机之间是不知道物理的主机位置,IP只是个逻辑地址,通过逻辑地址找到物理真实的主机,才能建立通讯,由于ARP这个协议没有任何的认证机制,从而会被利用攻击
中间人攻击网关欺骗ARP泛洪ARP检测能解决的是前2种,ARP泛洪需要参考其他技术解决
实现方式
基于源认证绑定信息基于DHCP探测生成的表项信息总结:说白了ARP检测就是人为的给ARP协议进行认证,只有管理员认准的才能通讯
DHCP探测
DHCP的作用
主机获取IP信息可以通过2种方式获取到
手动配置DHCP服务器自动给主机配置网络中出现DHCP的问题
网络中存在多个DHCP服务器会导致主机获取的IP信息错误,无法实现网络通讯网络中存在伪造DHCP续约报文DHCP饿死攻击目前常用都是基于第一种配置使用,可以根据实际需求增加配置功能
配置应用节点
主要三个节点
接口应用VLAN接口应用全局应用需要注意ARP检测信息需要基于全局应用的源认证绑定信息,所以往往手动绑定的不是基于全局的,需要配置2个节点一样的信息
vlan或接口+全局
基于2种方案的组个思考
源认证+ARP检测(无DHCP)
1、可以只配置源认证,不配置ARP检测
源认证确实解决了只有信任的主机才能通讯,但是不能解决其中一台机器如果中毒或者不怀好意,就会利用ARP协议攻击其他主机行为(中间人攻击可以窃取数据)
DHCP探测+源认证+ARP检测(有DHCP)
有DHCP情况下,往往需求是基于2者的,一部分需要DHCP获取地址减轻工作量,一部分重要的服务器需要配置具体的IP(或者公用设置,打印机等)
1、不配置没有源认证
因为基于动态绑定可以实现DHCP用户认证通讯,但是无法实现静态绑定,也不能防止恶意静态配置IP行为(提前知道IP信息的情况下)
