乐拓数据中心ARP防护区

乐拓数据中心, 依托中国电信 中国网通,中国移动,强大的技术力量和网络资源,以千兆级高速物理光纤直接接入CHINANET骨干网,及世界一流的硬件平台.

主机托管 Server Co-Location 客户提供自己的硬件服务器,并可选择自行提供软件系统或者由我们来提供,享受专业的服务器托管服务,可自主决定运行的系统和从事的业务。

 ·上海移动怒江机房ARP防护区
背景:ARP欺骗/攻击反复袭击,是近来网络行业普遍了解的现象,随着ARP攻击的不断升级,网络环境日益恶化。传统的IDC托管方式在面对ARP攻击是毫无办法和苍白无力的。乐拓数据中心正是在这样的情况下推出了这个防护区。
目前乐拓数据中心和上海移动数据中心,思科一起建立了上海怒江机房ARP防护专区。IP地址,MAC地址和交换机端口3个唯一性的参数全部绑定。完全做到,单机单网,自己中毒了也不会影响他人,他人中毒了也不会影响你.

乐拓数据中心ARP防护区TOP图



怒江 IDC 的核心交换机

 怒江 IDC 的核心交换机采用的是 Cisco Catalyst 6500 ,而采用的接入交换机包括 Cisco Catalyst 3550 和华为 3952 (虽然怒江 IDC 接入交换机 Cisco Catalyst 3550 和华为 3952 均具备 Layer 3 转发功能,但在当前应用中只启用了 Layer 2 交换功能,并且连接接入交换机的托管主机 default gateway 默认网关都指向设置在 Catalyst 6509 上 HSRP 虚拟地址.
用的是 Cisco Catalyst 6500 ,而采用的接入交换机包括 Cisco Catalyst 3550 和华为 3952 (虽然怒江 IDC 接入交换机 Cisco Catalyst 3550 和华为 3952 均具备 Layer 3 转发功能,但在当前应用中只启用了 Layer 2 交换功能,并且连接接入交换机的托管主机 default gateway 默认网关都指向设置在 Catalyst 6509 上 HSRP 虚拟地址.
如果 IDC 的托管主机受到 ARP 病毒感染或是被黑客控制了,就可能出现了 ARP 欺骗攻击 - 通常,被感染或被控制的主机会向本网段广播伪造的 ARP 信息,这会导致同网段的其它托管主机或是网关的 ARP 表出现混乱,会造成这些主机无法进行正常通信,更有甚者则会导致这些主机上的通信被监听或窃取事件的发生等等问题
需要说明的是 ARP 欺骗是一种基于 Layer 2 的接入层攻击破坏行为,最好的办法就是在和主机相连的接入交换机上能够对 ARP 信息直接地进行识别并且消除掉其中那些非法的、仿造的 ARP 广播!

 解决方案.动态ARP检测功能(DAI)对于网络中可能出现的各种二层、三层等非法行为,包括 ARP 欺骗攻击, Cisco 在相应的产品和解决方案中都有充分的考虑和设计了相应的功能,可以进行有效防御。对于上海移动怒江 IDC 发生的 ARP 欺骗攻击,考虑到 IDC 的实际网络拓扑和应用情况,我们认为最好的办法就是在托管主机的接入层交换机上开启动态 ARP 检测功能 DAI – 该功能就是针对 ARP 欺骗行为的, 它可以监控相应端口的 ARP 广播,对其是否真伪、发送速度是否超出限制都进行实时监控,其会丢弃非法的 ARP 广播,并且对于上述非法行为进行限制、惩罚和进行日志记录,可以十分有效地解决上述问题.

采用的技术和安全防范功能:
设备配置 dhcp snooping 使得下面安全防范检查能够有数据库参考使用;
通过动态 ARP 检查 (DAI - Dynamic ARP Inspection) 功能防止用户 ARP 欺骗攻击
另外,还可以启用下列附加功能 :
通过 IP Guard 技术可以防止伪造 IP 攻击(三层欺骗)
通过 Port Security 的最大 MAC 数量限制可以限制用户上网电脑数量,同时防范 MAC 泛滥攻击

 上海移动怒江 IDC 属于非 DHCP 环境,即客户托管主机的 ip 地址都是手工静态 配置的。如何在现有环境下实现动态 ARP 检测,即 DAI ,示意如下:


就是根据以上数据库 , 使得 DAI 和 IP source-guard 可对用户数据包进行相应检查 , 符合的才能通过 !
根据上述参考配置,可以实现:
如果用户私自设置地址,由静态 DHCP snooping 数据库中没有相应数据, ip souce guard 检查中发现 mac 地址不符合设置,调用 port security 关闭端口,用户无法联网;
即使用户手动配置此物理端口正常用户 mac 地址,但是 ip 地址没有按照规范设置,会导致 DAI 检查失败,用户 arp 数据不会被其他正常用户收到,其他用户不会出现 ip 地址冲突告警;
同时由于 DAI 检查失败,用户无法学习到其他机器 ( 包括网关 ) 的 mac ,其他机器也无法收到用户的 mac 地址,导致用户和其他机器 ( 包括网关 ) 无法通讯,用户无法上网;
即使用户手动设定其他机器(包括网关) mac ,强行发送 ip 数据,由于 ip 源地址不对,也会被 ip source guard 拦截,导致攻击失败;
如果用户连接多余 1 台设备上网,由于设置只能允许 1 台电脑,导致端口自动 errordisable ,用户无法上网, 30s 后端口自动恢复,用户如果拔除多余电脑,端口正常;
同样用户如果伪造 ARP 攻击或者伪造 IP 攻击,均会导致 DAI 检查和 IP Source-guard 检查失败,从而伪造流量无法进入交换机;
由于通过 DAI 配置了 ARP 限制,用户如果发起 ARP 攻击,每秒也只能有 15 个 ARP 进入交换机,其他均丢弃;
由于配置了 Port-security 限制,同样防止了 MAC 泛洪攻击;
由于配置了 dhcp snooping 限制,用户无法私自架设 dhcp 服务器干扰;
由于配置 DHCP snooping 频率限制,用户同样无法发起大量 DHCP 请求攻击 dhcp 服务器;

 DAI的技术特点:
Cisco 的上述解决方案有许多明显的技术优势:
不需要对托管主机进行任何额外配置和要求;
不需要 dhcp 服务支持, ip 地址固定;
可以同时限制每个用户上网的物理端口;
禁止用户私自配置 ip 非法地址上网;
禁止用户架设 dhcp 服务器干扰网络;
防止用户的 arp 二层攻击;
防止用户假冒 ip 地址攻击;
当然,我们需要注意以下两点:
需要手工在每台接入交换机配置上述静态绑定表;
由于绑定了 MAC 地址,托管主机不能随意更换网卡,否则需要通知网管;

ARP攻击防御解决方案的推出,为教育、金融、政府、企业等客户网络彻底解决了ARP欺骗攻击的问题,其“全面防御 模块定制”的理念,能够满足新旧网络的不同需要,让ARP欺骗攻击从此不再困扰!

ARP防护价格:1个IP地址1000元/年



 
全讯网 法律声明 | 网站地图 | 友情链接 | 人才招聘

乐拓数据中心ISP/ICP经营许可证:沪B2-20040500 ICP备案号:沪ICP备05019942