APP下载

园区网中DHCP应用的安全研究与仿真

2019-01-24苏小松

惠州学院学报 2018年6期
关键词:IP地址交换机本例

欧 坤,陈 玲,苏小松

(1.芜湖职业技术学院 网络工程学院,安徽 芜湖 241003;2.合肥学院 生物与环境工程系,安徽 合肥 230601;3.合肥市阳光中学,安徽 合肥 230001)

园区网是企业、工业和高校园区组成的局域网络,它是园区信息化、数字化通信的重要基础设施[1].DHCP(动态主机配置协议)[2]是园区网络中应用最广泛的一种服务,它为终端用户提供了统一使用网络的凭证——IP地址;在园区网络中部署DHCP应用简化了网络管理人员对接入终端的管理,提高了企事业员工使用网络的效率.

近年来,随着终端智能化的演进、无线WIFI技术的进步,终端用户在园区网络中使用网络的需求激增[3].伴随着终端用户接入数量的增多,园区网中DHCP应用的安全亦面临着严峻的挑战[4-5].

(1)功能层面

用户私设静态IP,造成IP地址冲突,导致业务部门的一些业务中断.

DHCP服务器受到园区网内部攻击(如DHCP欺骗,DHCP Flood等),造成IP地址枯竭、服务器宕机等,影响整个网络的使用.

园区网用户受到内部ARP欺骗攻击,导致重要部门的信息泄露,给企事业部门造成较大损失.

(2)非功能层面

容灾备份,园区网中DHCP服务器异常,无法提供服务,导致全网中断,企事业单位蒙受损失.

负载均衡,园区网中DHCP服务器应对极速爆发流量请求时,受到基础网络或是服务器功能所限响应速度慢,难以提高质量服务.

经分析,园区网络中DHCP应用涉及的安全挑战,有些是终端用户的原因,但更多的是DHCP应用功能设计不完善导致的.由于DHCP协议本身没有提供任何关于应用的安全保障,因此,客观上,如何为园区网络提供安全、可靠、健壮、免受攻击的DHCP应用是网络部署和相关人员亟待解决的问题.针对上述园区网中DHCP应用的安全问题,各公司、高校和科研院所均做了相关的研究和尝试,文献[6]通过ACL过滤接入层交换机相关UDP端口的报文,解决用户私设IP、造成IP地址冲突问题,此类方案适用于简单的扁二层结构网络,配置工作量大,且随着网络规模的扩大,通过ACL过滤,容易过渡消耗接入层交换机的CPU,导致网络变慢;文献[7-9]从系统设计的角度,修改或是完善DHCP服务组件和配置,实现DHCP在校园网络应用中提供IP和接入认证、防止ARP攻击和DOS攻击的目标,但这种方法操作难度大,随着网络不同,需要完善DHCP相关组件,也不具有普适性;文献[10-12]提出使用IP DHCP Snooping、DAI(Dynamic ARP Inspection)和IPSG(IP Source Guard)技术,解决IP地址冲突和ARP欺骗的思路,通过DHCP Snooping解决DHCP应用安全是当前流行的思路,但是上述方案没有考虑到容灾备份对网络的影响;文献[13-15]设计了DHCP热备组,从服务器容灾备份的角度设计DHCP安全应用,此种方案是DHCP应用可靠的保障,但是没有从功能的角度去分析DHCP应用的威胁.

综合上面的研究和分析,笔者认为,园区网络中在为用户提供接入方便、安全可靠、服务保证的DHCP应用时,从安全角度应同时满足上述功能性和可靠性的要求,故本例使用 DHCP Snooping,结合 DAI、IPSG、FailOver等技术为用户提供一个简单、高效、安全、可靠的DHCP安全应用的解决方案.

1 DHCP应用安全技术研究

1.1 DHCP Snooping[16-17]

DHCP Snooping称为DHCP窥探,是DHCP的一种安全特性,配置了DHCP Snooping功能的交换机通过截获DHCP协议工作过程的相关报文[2]生成DHCP Snooping绑定表,此表包括客户端MAC、获得的IP地址、交换机的端口和所属VLAN等相关信息,通过这张绑定表中MACIPPORTVLAN ID的对照关系,保证了唯合法的DHCP用户方可使用网络.DHCP Snooping将开启了DHCP服务的交换机的端口分为trusted和untrusted两种状态,只有交换机接口状态为trusted才可转发DHCP的报文;此时,DHCP Snooping技术在DHCP Client和DHCP Server间建立一层防护网,保障两者的安全.以DHCP Snooping绑定表为基础,辅助DAI,IPSG技术可以抑制用户私设IP地址、ARP攻击和中间人攻击,保障园区网络的安全.

1.2 DAI[11,18]

DAI(Dynamic ARP Inspection)即动态ARP监测,它以DHCP Snooping绑定表为基础,将收到ARP报文的SMAC,SIP,PORT和VLAN ID的相关信息与DHCP Snooping绑定表中各项对比,将合法ARP报文转发,非法的ARP报文丢弃,以防止ARP欺骗攻击.

1.3 IPSG

IPSG(IP Source Guard)即IP源保护,它是一种基于MAC/IP/PORT绑定表的过滤技术.它以DHCP Snooping绑定表中的信息为依据,对接入层交换机的PORT、IP、MAC的一致性进行校验,若三者信息不统一则丢弃这些数据包.换言之,IPSG就是把PORTMAC-IP这三者绑定起来,通过IPSG技术可以过滤非法IP地址,抑制终端用户私设IP地址.因此可解决IP地址冲突的问题,防止用户在部署了DHCP应用的园区网络中私设静态IP而形成IP地址冲突,造成业务网络中断的问题.

1.4 FailOver[19]

园区网络中DHCP应用安全的非功能的要求主要表现在服务器可靠性方面,如DHCP服务器的负载、容灾和备份.为了防止DHCP服务器意外宕机导致业务网络不可用或是整个网络中DHCP Client因无法获得IP地址导致网络中断,园区网络中通常同时部署多个DHCP服务器.

FailOver协议是DHCP服务器的备份协议,它将园区网络中工作的DHCP服务器角色分为Primary和Secondary,Primary DHCP服务器为网络中DHCP Client提供服务,当其宕机或不可访问时,Secondary DHCP服务器实时接管其工作,从而确保了园区网络中的DHCP服务可用.

FailOver协议为同一园区网中的两个DHCP服务器提供信息同步,即相互协作的主备服务器间通过交互租期变化等相关信息确保IP地址的租期信息库中数据的一致性.

针对上述DHCP应用安全的研究和分析发现,在园区网络中合理的配置DHCP Snooping的相关功能与DAI和IPSG配合使用可以应对DHCP Server和DHCP Client的诸多攻击和挑战;应用DHCP FailOver协议可以保障DHCP Server的可靠性要求.因此,本例将这四种技术在学院网络部署中结合使用,既满足了DHCP应用安全功能的要求,也保证了DHCP应用容灾安全要求,为DHCP应用在园区网络中安全应用提供了一种思路.

2 DHCP应用安全仿真实验

在我国“中国制造2025”、“一带一路”等政策的背景下,在“互联网+”的理念下产业的转型升级与行业信息化融合发展[20],进一步推动企事业单位信息化的建设进程.计算机网络为信息化的发展与建设提供了通信的支持,而园区网络中部署的DHCP应用是网络连通的必要条件,因此网络中DHCP应用的安全是园区网络乃至企事业单位信息化建设的重中之重.因此在园区网络中DHCP的应用安全也是网络部署运维中需要重点关注的.

2.1 DHCP应用安全仿真实验设计

在本例中,从DHCP应用在园区网中涉及的安全挑战为依据,以芜湖职业技术学院网络部署为基础设置了DHCP应用安全,通过在学院信息中心的核心交换上配置DHCP Snooping的相关功能保护DHCP服务器免受攻击;在网络工程学院各楼层的接入交换机上部署DAI和IPSG保护接入客户端的安全.同时,为防止意外导致的服务器宕机,本例应用Failover协议为学院的DHCP Server部署了主备服务器,打造了学院的DHCP应用容灾负载系统.

2.1.1 设备列表

表1 仿真实验主要设备列表

2.1.2 DHCP应用安全的仿真网络拓扑

图1 DHCP Snooping实验拓扑图

本例DHCP应用安全的仿真重点是以网络工程学院、公共管理学院与信息中心组成的网络,华为的两台S5700作为核心交换与二级学院的华为S3700分布交换机相连,核心层与分布层相连做了二层冗余与防环,接入层S3700交换机上连二级学院分布交换,下连各办公室和实验实训室,信息中心服务器选用了H3C的2台UIX R390X G2,作为DHCP应用的主和备服务器,其具体拓扑如图1所示.

2.1.3 DHCP的应用安全仿真实验关键模块实现

本例DHCP应用安全仿真关键模块包括核心、分布和接入层交换的DHCP Snooping的配置、接入层交换的DAI、IPSG的配置和DHCP FailOver的相关配置.

2.1.3.1 DHCP Snooping的配置

园区网络中DHCP应用面临着非法用户的诸多攻击和威胁[21],具体包括(1)DHCP Server的欺骗攻击,指用户私设DHCP服务器,非法应答DHCP交互报文,其他用户将获得非法IP,导致无法使用正常网络;(2)DHCP非法用户攻击,如DHCP网络区域中静态IP用户通过冒充DHCP Server、伪造DHCP Request报文对合法用户实施的攻击;(3)DHCP报文泛洪攻击,指DHCP网络中非法用户短期内向DHCP Server设备发送大量的DHCP报文,导致其硬件计算资源巨损,严重影响DHCP应用的攻击方式;(4)DHCP Server DOS攻击,其特点是攻击者伪造大量DHCP Discover报文通过接口向DHCP Server请求IP地址,造成DHCP地址池的IP地址耗尽,无法分配IP地址给合法用户.

上述攻击对园区网DHCP应用安全造成较大威胁,DHCP Snooping的相关配置可以有效抑制上述攻击,减少威胁.在本例中通过开启DHCP Snooping功能,为交换机的相关接口配置状态为trusted,确保DHCP客户端从合法的DHCP服务器获取IP地址防止DHCP Server欺骗;通过配置ARP与DHCP Snooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表;取消DHCP Snooping用户位置迁移功能,防止DHCP Snooping绑定表被假冒的DHCP Discover报文刷新,造成合法用户下线;为防止DHCP非法用户攻击,配置了交换机依据DHCP Snooping绑定表生成接口的静态MAC表项功能;为防止仿冒DHCP报文攻击,配置对DHCP报文与DHCP Snooping绑定表匹配检查的功能;配置DHCP报文处理的最大允许速度,并设置了告警和丢弃的阈值以防止DHCP报文泛洪攻击;配置交换机允许接入的用户数量等防止DHCP Server DOS攻击等,关键配置如下:

[S5700_COR1]

/*开启DHCP Snooping功能*/

[S5700_COR1]dhcp snooping enable

/*以下命令开启DHCP中继设备的上行端口(连接DHCP服务器的接口)设置为dhcp snooping trusted状态*/

[S5700_COR1]interface GigabitEthernet 0/0/5

[S5700_COR1-GigabitEthernet0/0/5]dhcp snooping enable

[S5700_COR1-GigabitEthernet0/0/5]dhcp snooping trusted

/*以下命令,防止DHCP Server欺骗攻击,设置了ARP与DHCP Snooping的联动、用户下线时及时更新DHCP snooping绑定表、DHCP报文与绑定表匹配检查和DHCP报文的处理速度等*/

[S5700_COR1]arp dhcp-snooping-detect enable

[S5700_COR1]dhcp snooping user-offline remove mac-address

[S5700_COR1]undo dhcp snooping user-transfer enable

[S5700_COR1]dhcp snooping check dhcp-rate enable

[S5700_COR1]dhcp snooping check dhcp-rate 80/*以下命令防止非法DHCP用户攻击*/

[S5700_COR1-port-group-cor1]dhcp snooping enable

[S5700_COR1-port-group-cor1] dhcp snooping check dhcp-request enable

[S5700_COR1-port-group-cor1] dhcp snooping sticky-mac

/*以下命令防止DHCP报文泛洪攻击,配置了DHCP报文的处理速度、dhcp-giaddr/dhcp-chaddr/dhcp-reply等报文的告警和阈值;DHCP Server DOS攻击,配置了接口允许的最大用户数、检查dhcp request报头MAC等功能*/

[S5700_COR1-port-group-cor1] dhcp snooping check dhcp-rate enable

[S5700_COR1-port-group-cor1] dhcp snooping check dhcp-rate 90

[S5700_COR1-port-group-cor1] dhcp snooping check dhcp-giaddr enable

[S5700_COR1-port-group-cor1] dhcp snooping check dhcp-chaddr enable

[S5700_COR1-port-group-cor1] dhcp snooping max-user-number 20

[S5700_COR1-port-group-cor1] dhcp snooping alarm dhcp-request enable

[S5700_COR1-port-group-cor1] dhcp snooping alarm dhcp-request threshold 150

[S5700_COR1-port-group-cor1] dhcp snooping alarm dhcp-chaddr enable

[S5700_COR1-port-group-cor1] dhcp snooping alarm dhcp-chaddr threshold 150

[S5700_COR1-port-group-cor1] dhcp snooping alarm dhcp-reply enable

[S5700_COR1-port-group-cor1] dhcp snooping alarm dhcp-reply threshold 150

2.1.3.2 DAI和IPSG的配置

园区网络中亦会受到ARP欺骗的攻击[18],在接入层网络中,用户双方使用ARP交互报文获得对方的MAC地址,进而通信.因ARP协议无确认机制,固一些非法用户通过伪造ARP reply报文,致使接入层交换设备MAC-Address-Table表项和用户的ARP缓存表项错误,导致用户双方将彼此的交互报文发给伪造ARP报文的非法用户,形成第三者窃听,造成用户信息的外泄.DAI和IPSG技术可以预防园区网络中ARP攻击,它们是网络逻辑结构中接入层的技术,应配置在接入层的交换机上,以DHCP Snooping绑定表为依据,通过检查ARP报文和IP报文合法性来确保DHCP Client的安全[22],本例中的具体配置如下.

/*以下命令配置了一个接入层交换机(NFloor1)连接客户端的接口组fdown*/

[NFloor1]port-group fdown

[NFloor1-port-group-fdown]group-member Ethernet 0/0/1 to Ethernet 0/0/20

[NFloor1-port-group-fdown]port link-type access

[NFloor1-port-group-fdown]port default vlan 20

/*开启DHCP Snooping功能,并配置接入层交换机连接分布层交换机接口状态为trusted*/

[NFloor1]dhcp snooping enable

[NFloor1]interface GigabitEthernet 0/0/1

[NFloor1-GigabitEthernet0/0/1]dhcp snooping enable

[NFloor1-GigabitEthernet0/0/1]dhcp snooping trusted

/*以下命令开启DAI功能,防止Arp和中间人攻击*/

[NFloor1]port-group fdown

[NFloor1-port-group-fdown]dhcp snooping enable

[NFloor1-port-group-fdown]arp anti-attack check user-bind enable

[NFloor1-port-group-fdown]arp anti-attack check user-bind check-item ip-address mac-address vlan

/*以下命令开启IPSG功能,用户私设IP*/

[NFloor1-port-group-fdown]ip source check userbind enable

[NFloor1-port-group-fdown]ip source check userbind check-item ip-address mac-address vlan

2.1.3.3 DHCP FailOver的配置

本例中DHCP FailOver为确保校园网络中DHCP应用的可靠性,配置了主备DHCP Server和负载

均衡;Primary DHCP服务器的FailOver主要配置,FailOver名字为Fdhcp,监听的IP和TCP端口号、Secondary DHCP Server地址和负载均衡,具体如表2:

表2 DHCP Failover主要配置表

3 测试分析

本例对DHCP应用安全的仿真是从DHCP应用服务器的容灾备份、负载均担角度配置DHCP FailOver的主备组,并为特殊设备配置了静态绑定地址;从DHCP的服务器和客户端免受攻击的角度配置了DHCP Snooping、DAI和IPSG.

3.1 地址获取测试

图2和图3是测试客户端获得地址池中的地址截图;图4是在核心交换机S5700_COR1上生成的DHCP Snooping绑定表的截图,从表中可以看出IP地址、MAC、VLAN ID和端口号的对照关系列表.

图2 客户端测试图

图3 静态绑定客户端测试图

图4 DHCP Snooping绑定表图

3.2 数据包分析

图5 与图6是DHCP FailOver的测试图,其中图5是DHCP客户端向DHCP主服务器(172.18.5.1)申请IP地址时的报文交互图,图6是将主服务器关闭,DHCP客户端向DHCP备份服务器(172.18.5.2)申请IP地址时的报文交互图,如图显示客户端成功获得了静态绑定的地址.图7是接入层交换机NFloor1的Ethernet 0/0/5私接一台PC并设置一个静态地址,并向网关发了一个ICMP数据包,图8显示交换机NFloor1的接口Ether-net 0/0/5违例处理图.

图5 DHCP客户端与DHCP主服务器的报文交互图

图6 DHCP客户端与DHCP从服务器的报文交互图

图7 DHCP客户端私设IP地址图

图8 IPSG和DAI面对攻击时对连接接口动作图

4 结语

园区网络中DHCP应用安全部署方案解决了当前DHCP应用中面临的多种挑战,保护了DHCP服务器和客户端免受攻击和意外导致的网络中断.本例中通过对园区网络中DHCP应用部署的安全研究,并通过仿真实验的设计、测试、验证了DHCP Snooping、DAI、IPSG和DHCP FailOver等技术的可行性和有效性,为DHCP应用安全在园区网络部署提供思路和方案.另外,值得说明的是,从我院部署的DHCP安全的实践应用来看,虽然开启了DHCP Snooping、DAI和IPSG的功能损伤了交换机的转发性能,但没有影响网络的正常使用.因此,本例园区网络中以适当牺牲交换设备的部分性能来提高DHCP应用的安全可靠性,此种部署方案是值得参考的.

猜你喜欢

IP地址交换机本例
《思考心电图之176》答案
铁路远动系统几种组网方式IP地址的申请和设置
“1”的加减乘除
修复损坏的交换机NOS
IP地址切换器(IPCFG)
使用链路聚合进行交换机互联
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考
视功能分析图例详解
PoE交换机雷击浪涌防护设计