问题描述
在地址欺骗攻击中,攻击者通过伪造合法用户的网络地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露;
解决方案
IPSG(IP 源防攻击,IP Source Guard)是针对地址欺骗攻击的防御机制,基于二层接口的 SRC-IP-ADDR 过滤技术,可以有效阻止此类网络攻击行为;
原理简述
/3_Campus_Netwrok_Security/Access_Layer_Security_(LAYER_2)/IP_Source_Guard_(L2)/pasted_image.png)
通过在 Switch Inbound 接口或 VLAN 上部署 IPSG 功能,当非法主机伪造合法主机的网络地址获取上网权限时,Switch 可以对进入接口的 IP 报文进行检查,丢弃非法主机的报文,从而阻止此类攻击;
绑定表
该绑定表与 DHCP Snooping 的绑定表是同张表。
通过绑定表(SRC-IP-ADDR、SRC-MAC-ADDR、所属 VLAN、入接口的绑定关系),IPSG 去匹配检查二层接口上收到的 IP 报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃;
常见的绑定表有:
1)静态绑定表项包含:MAC-ADDR、IP-ADDR、VLAN ID、入接口。在静态绑定表项中,指定的信息均用于 IPSG 过滤接口收到的报文;
2)动态绑定表项包含:MAC-ADDR、IP-ADDR、VLAN ID、入接口。IPSG 依据该表项中的哪些信息过滤接口收到的报文,由用户设置的检查项决定,缺省是四项都进行匹配检查。常用的检查项有:基于 SRC-IP-ADDR 过滤、基于 SRC-MAC-ADDR 过滤、基于 SRC-IP-ADDR + SRC-MAC-ADDR 过滤、基于 SRC-IP-ADDR + SRC-MAC-ADDR + 接口 过滤、基于 SRC-IP-ADDR+SRC-MAC-ADDR+接口+VLAN 过滤等;
/3_Campus_Netwrok_Security/Access_Layer_Security_(LAYER_2)/IP_Source_Guard_(L2)/pasted_image001.png)
如果没有绑定表,若使能 IPSG,缺省情况,除 DHCP 请求报文外,设备将拒绝所有其他 IP 报文;
当绑定表生成后,IPSG 基于绑定表向指定的接口或者指定的 VLAN 下发 ACL,由该 ACL 来匹配检查所有 IP 报文。主机发送的报文,只有匹配绑定表才会允许通过,不匹配绑定表的报文都将被丢弃;
当绑定表变化时,设备会重新下发 ACL;
特性说明
防止伪造地址:能够防止恶意主机伪造合法主机的 IP-ADDR 来仿冒合法主机
防止私用地址:还能确保非授权主机不能通过自己指定 IP-ADDR 的方式来访问网络或攻击网络;
通常部署在与用户直连的接入设备上,可以基于接口或者基于 VLAN 应用;
应用场景
1)通过 IPSG 防止 PC 私自更改 IP-ADDR:PC 只能使用 DHCP Server 分配的 IP-ADDR 或者管理员配置的静态地址,随意更改 IP-ADDR 后无法访问网络,防止 PC 非法取得上网权限;
2)小型网络 IP-ADDR 是静态分配时,通过 IPSG 限制非法 PC 接入。外来人员自带电脑不能随意接入内网,防止内网资源泄露;
配置案例
# 配置静态用户绑定表项
# IPSG 按照静态绑定表项进行完全匹配;
[Huawei] user-bind static { { { ip-address | ipv6-address } { start-ip [ to end-ip ] } &<1-10> | ipv6-prefix prefix/prefix-length } | mac-address mac-address } * [ interface interface-type interface-number ] [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]
# 使能 IPSG 功能
# 使能接口或者 VLAN 的 IP 报文检查功能,VLAN 视图配置与接口视图一致;
[Huawei-GigabitEthernet0/0/1] ip source check user-bind enable
# 使能 IP 报文检查告警功能
[Huawei-GigabitEthernet0/0/1] ip source check user-bind alarm enable
# 配置 IP 报文检查告警阈值
# 配置 IP 报文检查告警功能后,当丢弃的 IP 报文超过告警阈值时,会产生告警提醒用户;
[Huawei-GigabitEthernet0/0/1] ip source check user-bind alarm threshold threshold
案例:通过静态绑定来限制访问
/3_Campus_Netwrok_Security/Access_Layer_Security_(LAYER_2)/IP_Source_Guard_(L2)/pasted_image002.png)
# SW1 interface GigabitEthernet0/0/1 port link-type access port default vlan 10 ip source check user-bind enable # interface GigabitEthernet0/0/2 port link-type access port default vlan 10
注意事项:
1)在模拟器中,无法看到效果;