IP Source Guard (Защита от подмены IP-адресов) включает в себя функции Static Binding, DHCP Snooping и ARP Inspection. В статье приведена настройка функций защиты от подмены IP-адресов (IP Source Guard). Настройка статической привязки для защиты от подмены IP-адресов (Static Binding) Настройка отслеживания DHCP (DHCP Snooping) Настройка инспекции ARP-пакетов (ARP Inspection)
Функция IP Source Guard в Ethernet-коммутаторах предназначена для обеспечения дополнительной защиты от несанкционированных действий пользователей. IP Source Guard включает в себя функции Static Binding, DHCP Snooping и ARP Inspection.
1. Во многих сетях работают DHCP-сервера, которые автоматически присваивают IP-адреса клиентам. Однако клиент может самостоятельно назначить статический IP-адрес на своем компьютере из диапазона, используемого DHCP. Не зная об этом, DHCP-сервер выдаст такой же адрес другому компьютеру, что приведет к конфликту IP-адресов в сети.
Для защиты от подмены IP-адресов в сети в Ethernet-коммутаторах реализован механизм Static Binding, который устанавливает соответствие между IP-адресом, номером порта, MAC-адресом и VLAN ID.
2. В сетевой среде существует вероятность того, что несанкционированные DHCP-сервера могут появиться в сети случайно (непредумышленно). В этом случае некоторые клиенты будут получать IP-адреса от несанкционированного сервера DHCP, что приведет к отсутствию доступа в сеть. В таком случае администратору очень трудно обнаружить несанкционированные DHCP-сервера.
Для защиты от появления в сети несанкционированных DHCP-серверов в Ethernet-коммутаторах реализован механизм DHCP Snooping, который предназначен для отфильтровывания несанкционированных пакетов DHCP в сети и для динамического построения таблицы привязок.
3. В вашей сети может находиться злоумышленник, который будет выдавать себя за клиента сети и перехватывать данные. Один из методов, который может быть использован, – это ARP spoofing. В этом случае злоумышленник отправляет ложные ARP-пакеты в сеть, и сетевые устройства в сети считают, что его компьютер принадлежит этой сети. В результате злоумышленник может вести перехват пакетов в сети.
Для защиты от появления в сети несанкционированных ARP-пакетов в Ethernet-коммутаторах реализован механизм ARP Inspection.
Далее рассмотрим механизмы Static Binding, DHCP Snooping и ARP Inspection более подробно.
IP Source Guard (Защита от подмены IP-адресов)
Функция защиты от подмены IP-адресов позволяет отфильтровывать несанкционированные пакеты DHCP и ARP в сети.
Для защиты от подмены IP-адресов применяется таблица привязок (Static Binding), позволяющая различать санкционированные и несанкционированные DHCP- и ARP-пакеты. При привязке используются следующие атрибуты:
- MAC-адрес
- VLAN ID
- IP-адрес
- Номер порта
При получении коммутатором пакета DHCP или ARP производится поиск соответствующих MAC-адреса, идентификатора VLAN ID, IP-адреса и номера порта в таблице привязок. При наличии привязки коммутатор пересылает пакет. Если привязки не найдено, пакет коммутатором отбрасывается.
Таблица привязок строится коммутатором посредством отслеживания пакетов DHCP (динамическая привязка) и на основе информации, предоставленной администратором вручную (статическая привязка).
Функция защиты от подмены IP-адресов включает в себя следующие функции:
- Статическая привязка (Static Binding). Используется для создания статических связей в таблице привязок.
- Отслеживание DHCP (DHCP Snooping). Используется для отфильтровывания несанкционированных пакетов DHCP в сети и для динамического построения таблицы привязок.
- Инспекция ARP-пакетов (ARP Inspection). Используется для отфильтровывания несанкционированных пакетов ARP.
Чтобы использовать динамическую привязку для отфильтровывания несанкционированных ARP-пакетов (типичная ситуация), перед включением инспекции ARP-пакетов необходимо включить отслеживание DHCP.
Функция отслеживания DHCP (DHCP Snooping)
Функция отслеживания DHCP позволяет отфильтровывать несанкционированные DHCP-пакеты в сети и динамически строить таблицу привязок. Благодаря этому можно защитить клиентов от получения IP-адресов от несанкционированных серверов DHCP.
Функция отслеживания DHCP делит все порты на доверенные (Trusted) и не заслуживающие доверия (Untrusted). Данная настройка не зависит от аналогичной настройки доверенных/не заслуживающих доверия портов для функции инспекции ARP-пакетов. Кроме того, можно определить максимальное количество пакетов DHCP, которое может приниматься через каждый из портов (доверенных или не заслуживающих доверия) за секунду.
Доверенные порты подключаются к серверам DHCP или другим коммутаторам. Пакеты DHCP, поступающие через доверенные порты, коммутатор отбрасывает лишь в том случае, если скорость их поступления слишком высока. По информации от доверенных портов коммутатор строит динамическую таблицу привязок.
Если включить отслеживание DHCP и не определить ни одного доверенного порта, коммутатор будет отбрасывать все запросы DHCP.
Не заслуживающие доверия порты подключаются к абонентам. Пакеты DHCP от не заслуживающих доверия портов отбрасываются коммутатором в следующих случаях:
- Пакет представляет собой пакет сервера DHCP (например, OFFER, ACK или NACK).
- MAC-адрес источника и IP-адрес источника в пакете не соответствуют ни одной из существующих привязок.
- Пакет представляет собой пакет типа RELEASE или DECLINE, и MAC-адрес источника и порт источника не соответствуют ни одной из существующих привязок.
- Скорость поступления пакетов DHCP слишком высока.
Таблица привязок хранится коммутатором в энергозависимой памяти. В случае перезапуска коммутатора он загружает статические привязки из постоянной памяти, однако динамические привязки при этом теряются, т.е. устройства в сети должны повторно направлять DHCP-запросы. В связи с этим рекомендуется настроить базу данных отслеживания DHCP.
База данных отслеживания DHCP позволяет хранить динамические привязки для функций отслеживания DHCP и инспекции ARP-пакетов в файле на внешнем сервере TFTP. Если база данных отслеживания DHCP была настроена, коммутатор загружает динамические привязки из базы данных отслеживания DHCP после перезапуска коммутатора.
Можно настроить имя и расположение файла на внешнем сервере TFTP. Информацию о синтаксисе файла привязок можно найти в руководстве пользователя коммутатора.
Коммутатор способен добавлять информацию к тем запросам DHCP, которые им не отбрасываются. Благодаря этому сервер DHCP может получить больше информации об источнике запроса. Данный коммутатор способен добавлять следующую информацию:
- Идентификатор слота (1 байт), идентификатор порта (1 байт) и идентификатор VLAN (2 байта)
- Имя системы (до 32 байт)
Данная информация помещается в поле информации агента поля Option 82 заголовка DHCP в кадрах клиентских запросов DHCP.
При ответе сервера DHCP коммутатор удаляет информацию из поля информации агента перед пересылкой ответа к первоначальному источнику запроса.
Данные параметры могут быть настроены для каждой исходной VLAN. Они не зависят от настроек ретрансляции DHCP.
Чтобы настроить на коммутаторе функцию отслеживания DHCP (DHCP Snooping), выполните следующие действия:
- Включите функцию отслеживания DHCP на коммутаторе.
- Включите функцию отслеживания DHCP для каждой VLAN и настройте значение для поля Option 82 при ретрансляции DHCP.
- Настройте доверенные и не заслуживающие доверия порты, а также укажите максимальное количество пакетов DHCP в секунду, принимаемое через каждый из портов.
- Настройте статические привязки.
Примечание.
Если схема вашей сети предполагает нахождение DHCP-сервера в отдельном VLAN, относительно DHCP-клиентов, то вам также необходимо настроить функцию DHCP Relay (настройка данного функции изложена в статье KB-1307).
При этом необходимо добавить VLAN, в котором располагается ваш DHCP-сервер в список VLAN, для которых включена функция отслеживания DHCP (DHCP Snooping).
VLAN 100 — VLAN, в котором расположен DHCP-сервер.
Функция инспекции ARP-пакетов (ARP Inspection)
Инспекция ARP-пакетов используется для отфильтровывания несанкционированных пакетов ARP. Это позволяет предотвратить многие виды атак класса «man-in-the-middle» (атака «человек посередине»), таких как описанная в следующем примере.
Пример атаки «man-in-the-middle»:
В данном примере компьютер B пытается установить соединение с компьютером A. Компьютер X находится в том же широковещательном домене, что и компьютер A, и перехватывает ARP-запрос для разрешения адреса компьютера A. После этого компьютер X:
- Выдает себя компьютером A и отвечает компьютеру B.
- Выдает себя компьютером B и отправляет сообщение компьютеру A.
В результате весь обмен данными между компьютером A и компьютером B происходит через компьютер X. Компьютер X получает возможность читать и изменять информацию, передаваемую между этими двумя компьютерами.
При обнаружении коммутатором несанкционированного ARP-пакета им автоматически создается фильтр MAC-адресов, блокирующий трафик от MAC-адреса и сети VLAN, от которых поступил несанкционированный ARP-пакет. Период активности фильтра MAC-адресов на коммутаторе можно настраивать.
Такие фильтры MAC-адресов отличаются от обычных фильтров MAC-адресов:
- Они сохраняются только в энергозависимой памяти.
- В памяти они находятся в другой области, не вместе с обычными фильтрами MAC-адресов.
- Эти фильтры видны только на экранах и в командах функции инспекции ARP-пакетов ARP Inspection и не видны на экранах и в командах фильтров MAC-адресов MAC Address Filter.
Функция инспекции ARP-пакетов делит все порты на доверенные (Trusted) и не заслуживающие доверия (Untrusted). Данная настройка не зависит от аналогичной настройки доверенных/не заслуживающих доверия портов для функции отслеживания DHCP. Дополнительно можно указать максимальную скорость, с которой коммутатор будет принимать ARP-пакеты через не заслуживающие доверия порты.
Пакеты ARP, приходящие через доверенные порты, коммутатором не отбрасываются ни по какой причине.
От не заслуживающих доверия портов коммутатор отбрасывает ARP-пакеты в следующих случаях:
- Информация об отправителе в ARP-пакете не совпадает с одной из существующих привязок.
- Скорость поступления пакетов ARP слишком высока.
При пересылке или отбрасывании пакетов ARP коммутатор может отправлять сообщения системного журнала syslog на указанный сервер syslog. В целях большей эффективности коммутатор может консолидировать сообщения контрольного журнала и отправлять их партиями.
Чтобы настроить на коммутаторе функцию инспекции ARP-пакетов (ARP Inspection), выполните следующие действия:
- Настройте отслеживание DHCP.
Рекомендуется включить отслеживание DHCP как минимум за один день до включения инспекции ARP-пакетов, чтобы у коммутатора было достаточно времени для построения таблицы привязок. - Включите функцию инспекции ARP-пакетов в каждой сети VLAN.
- Настройте доверенные и не заслуживающие доверия порты, а также укажите максимальное количество пакетов ARP в секунду, принимаемое через каждый из портов.
Настройка функций защиты от подмены IP-адресов (IP Source Guard)
На экране IP Source Guard можно просмотреть существующие привязки для функций отслеживания DHCP и инспекции ARP-пакетов. На основе привязок функции отслеживания DHCP и инспекции ARP-пакетов различают санкционированные и несанкционированные пакеты. Таблица привязок строится коммутатором посредством отслеживания пакетов DHCP (динамическая привязка) и на основе информации, предоставленной администратором вручную (статическая привязка). Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard.
Настройка статической привязки для защиты от подмены IP-адресов (Static Binding)
На экране IP Source Guard Static Binding можно управлять статическими привязками для функций отслеживания DHCP и инспекции ARP-пакетов. Статические привязки идентифицируются по MAC-адресу и идентификатору VLAN ID. Для каждой комбинации MAC-адреса и идентификатора VLAN ID можно создать только одну статическую привязку. При попытке создать статическую привязку с теми же MAC-адресом и идентификатором VLAN ID, что и у существующей статической привязки, новая информация заменяет предыдущую. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > Static Binding.
Настройка отслеживания DHCP (DHCP Snooping)
На экране DHCP Snooping можно просмотреть различные статистические данные по базе данных отслеживания DHCP. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > DHCP Snooping.
С помощью экрана DHCP Snooping Configure можно включить отслеживание DHCP на коммутаторе (но не на конкретных VLAN), указать сеть VLAN, в которой располагается DHCP-сервер по умолчанию, а также настроить базу данных отслеживания DHCP. База данных отслеживания DHCP позволяет хранить текущие привязки на защищенном внешнем сервере TFTP, чтобы они были доступны после перезапуска. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > DHCP Snooping > Configure.
Выберите идентификатор VLAN ID, если коммутатор должен пересылать пакеты DHCP к серверам DHCP в конкретной VLAN.
Примечание: Для этой VLAN необходимо будет также включить отслеживание DHCP.
Чтобы помочь серверам DHCP различать запросы DHCP от различных сетей VLAN, на экране DHCP Snooping VLAN Configure можно включить использование поля Option82.
На экране DHCP Snooping Port Configure можно определить порты как доверенные и не заслуживающие доверия для функции отслеживания DHCP.
Примечание: Если включить отслеживание DHCP и не определить ни одного доверенного порта, коммутатор будет отбрасывать все запросы DHCP.
Кроме того, можно определить максимальное количество пакетов DHCP, которое может приниматься через каждый из портов (доверенных или не заслуживающих доверия) за секунду. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > DHCP Snooping > Configure > Port.
На экране DHCP Snooping VLAN Configure можно включить отслеживание DHCP в каждой из VLAN и указать, должен ли коммутатор добавлять информацию агента ретрансляции DHCP в поле Option 82 к запросам DHCP, которые коммутатор ретранслирует к серверу DHCP для каждой из VLAN. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > DHCP Snooping > Configure > VLAN.
В поле Enable выберите значение Yes, чтобы включить отслеживание DHCP в данной сети VLAN. Также необходимо включить функцию отслеживания DHCP на коммутаторе и указать доверенные порты.
Примечание: Если включить отслеживание DHCP и не определить ни одного доверенного порта, коммутатор будет отбрасывать все запросы DHCP.
В поле Option82 установите этот переключатель, чтобы коммутатор добавлял номер слота, номер порта и идентификатор VLAN ID к запросам DHCP, которые он ретранслирует в сеть VLAN DHCP, если таковая указана, или в сеть VLAN. Сеть VLAN DHCP указывается на экране DHCP Snooping Configure.
В поле Information установите этот переключатель, чтобы коммутатор добавлял имя системы к запросам DHCP, которые он ретранслирует в сеть VLAN DHCP, если таковая указана, или в сеть VLAN. Имя системы указывается на экране General Setup. Сеть VLAN DHCP указывается на экране DHCP Snooping Configure.
Настройка инспекции ARP-пакетов (ARP Inspection)
На экране ARP Inspection Status можно посмотреть текущий список фильтров MAC-адресов, созданных коммутатором в связи с обнаружением несанкционированных пакетов ARP. При обнаружении коммутатором несанкционированного ARP-пакета им автоматически создается фильтр MAC-адресов, блокирующий трафик от MAC-адреса и сети VLAN, от которых поступил несанкционированный ARP-пакет. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > ARP Inspection.
На экране Inspection VLAN Status можно просмотреть различные статистические данные по пакетам ARP в каждой из сетей VLAN. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > ARP Inspection > VLAN Status.
На экране ARP Inspection Log Status можно просмотреть сообщения контрольного журнала, сгенерированные пакетами ARP, которые еще не были отправлены на сервер Syslog. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > ARP Inspection > Log Status.
На экране ARP Inspection Configure производится настройка функции инспекции ARP-пакетов на коммутаторе. Кроме того, можно настроить период времени, в течение которого коммутатор хранит записи об отброшенных пакетах ARP, а также определить глобальные параметры контрольного журнала функции инспекции ARP-пакетов. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > ARP Inspection > Configure.
В поле Filter aging time введите период времени (1 - 2 147 483 647 секунд), в течение которого фильтр MAC-адресов будет действовать на коммутаторе с момента обнаружения коммутатором несанкционированного пакета ARP. По истечении этого времени фильтр MAC-адресов автоматически удаляется коммутатором. Чтобы фильтр MAC-адреса действовал постоянно, необходимо ввести в это поле значение 0.
Данная настройка не влияет на существующие фильтры MAC-адресов.
На экране ARP Inspection Port Configure можно определить порты как доверенные и не заслуживающие доверия для функции инспекции ARP-пакетов. Дополнительно можно указать максимальную скорость, с которой коммутатор будет принимать ARP-пакеты через каждый из не заслуживающих доверия портов. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > ARP Inspection > Configure > Port.
На экране ARP Inspection VLAN Configure можно включить инспекцию ARP-пакетов для каждой виртуальной локальной сети и указать, должен ли коммутатор генерировать сообщения контрольного журнала при получении пакетов ARP от каждой из сетей VLAN. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > ARP Inspection > Configure > VLAN.
При использовании инспекции ARP-пакетов для каждой виртуальной локальной сети в поле Log можно указать, должен ли коммутатор генерировать сообщения контрольного журнала при получении пакетов ARP от данной VLAN.
Пример 1. Пример настройки функции отслеживания DHCP (DHCP Snooping) на коммутаторе XGS-4728 для защиты сети от несанкционированных серверов DHCP.
Зайдите в меню Advanced Application-> IP Source Guard-> DHCP Setting-> Configure.
Шаг 1: Включите DHCP Snooping.
Шаг 2: Определите порты как доверенные (Trusted) и не заслуживающие доверия (Untrusted).
Шаг 3: Включите DHCP Snooping в VLAN 1, 101, 102.
Пример 2. Пример настройки функции инспекции ARP-пакетов (ARP Inspection) на коммутаторе XGS-4728 для отфильтровывания несанкционированных пакетов ARP.
Зайдите в меню Advanced Application > IP Source Guard > ARP Inspection> Configure.
Шаг 1: Включите ARP Inspection
Шаг 2: Определите порты как доверенные (Trusted) и не заслуживающие доверия (Untrusted).
Шаг 3: Включите DHCP Snooping в VLAN 1, 101, 102.
Таким образом, атаки типа ARP spoofing будут блокироваться.
KB-2127