Shunze 學園 - 《分享》Extreme Switch防治IP盜用解決方案

Shunze 學園 >資訊設備專區 >Extreme & Enterasys > 《分享》Extreme Switch防治IP盜用解決方案

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370
shunze 離線

《分享》Extreme Switch防治IP盜用解決方案

在區域網路環境中，最麻煩的應該就是IP被人盜用。
Extreme Switch上防止IP盜用的解決方法跟其它大廠相同，
一樣是透過 DHCP Snooping 與 Source IP Lockdown 來實現，
唯有透過DHCP Server配的IP才能夠使用網路環境，
自行設定固定IP的電腦將被斷絕網路行為。

透過DHCP來配發IP的好處是容易控管。
即便想要根據網卡來綁定IP進行固定IP的發放，也可以輕輕鬆鬆在任何一家的DHCP Server來達成。
Sorry...只有Extreme Switch上的DHCP Server無法做到以網卡來綁定固定IP的配發...

Switch Port配置範例環境
VLAN為Default
Port 4串接上層Switch與DHCP Server
其它port接一般使用者電腦，拒絕自行設定IP

啟用DHCP Snooping防護
設定DHCP Snooping請參考另一篇文章 Extreme Summit Switch的進階設定。
以本例來說，順子先將全部port的違規處置設定為丟棄封包，然後再將第4 port的違規處置設定為none，
並將第4 port設定為信任DHCP發放的port。

enable ip-security dhcp-snooping "Default" ports all violation-action drop-packet
enable ip-security dhcp-snooping "Default" ports 4 violation-action none
configure trusted-ports 4 trust-for dhcp-server

請注意，
若將串接DHCP Server的第4 port以disable ip-security dhcp-snooping的方式取消，
讓它不在DHCP Snooping的成員port中，透過DHCP來認證IP就會失敗，使用者的IP將無法列入信任清單之中。

這是順子在鬼打牆一天後的心得。
不信？你可以儘量去試。

啟用Source IP Lockdown防護
將要進行IP保護的port納入Source IP Lockdown防護中，指令如下。

enable ip-security source-ip-lockdown ports [all | <ports>]

以本例來說，除了第4 port外，其它都要納入保護。

enable ip-security source-ip-lockdown ports 1-3,5-26

查詢Source IP Lockdown保護的port與IP指令如下。

show ip-security source-ip-lockdown <Vlan-Name>

上圖可以看出192.168.10.187與192.168.10.208這兩個接於port 15上的IP已納入Source IP Lockdown的保護，可以正常使用網路。
只有透過DHCP來取得的IP會列入Source IP Lockdown的保護，
其它自行設定固定IP的電腦將被拒絕，無法使用網路。

要將某些port解除或停用Source IP Lockdown指令如下。

clear ip-security source-ip-lockdown entries ports [<ports> | all]
disable ip-security source-ip-lockdown ports [all | <ports>]

ARP改由透過DHCP來學習
在預設情況下，Switch上的IP與MAC Address是透過ARP來取得的。
也就是使用者接上Switch後，去ping網路上任何一台電腦，都會寫入一筆ARP記錄於Switch中。

在啟用DHCP與Source IP Lockdown防護機制後，我們可以將Switch上ARP的記錄改由DHCP來學習，
以免被有心人士以ARP攻擊，將目的IP導向問題電腦，擷取資料。

停用ARP學習功能指令如下。

disable ip-security arp learning learn-from-arp {vlan} <Vlan-Name> ports [all | <ports>]

以本例來說，除了port 4與上層Switch串接，需保留ARP學習外，其它port都可停用。

disable ip-security arp learning learn-from-arp "Default" ports 1-3,5-26

啟用DHCP學習功能指令如下。

enable ip-security arp learning learn-from-dhcp {vlan} <Vlan-Name> ports [all | <ports>]

DHCP Server/Client port都要啟用，以本例來說指令如下。

enable ip-security arp learning learn-from-dhcp "Default" ports all

檢視arp learning指令如下。

show ip-security arp learning <Vlan-Name>

透過以上三步驟的設定，IP盜用的問題應該就可以迎刃而解了～

將特定MAC Address加入黑名單
如果某個MAC Address很討厭，有沒有辦法把它加入黑名單呢？
當然有的，指令如下。

create fdbentry <Mac-Addr> {vlan} <Vlan-Name> blackhole

有加入自然也有刪除，刪除指令如下。

delete fdbentry <Mac-Addr> {vlan} <Vlan-Name>

檢視指令如下。

show fdb

↑上圖中的B & b flag分別對應的是流出與流入方向的黑名單封鎖。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2015-01-06, 18:13

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370
shunze 離線

《分享》Enterasys Switch防治IP盜用解決方案

DHCP Snooping搭配ARP Inspection是網通大廠用來解決IP盜用的基本架構。
Extreme Summit Switch有，那Enterasys Switch有沒有呢？
答案當然是有的，請看以下設定。

啟用DHCP Snooping防護
啟用DHCP Snooping機制。

set dhcpsnooping enable

設定DHCP Snooping要套用的VLAN。

set dhcpsnooping vlan <vlan-List> enable

設定哪些port為信任，可發放DHCP的封包。

set dhcpsnooping trust port <Port-String> enable

如果有需要的話，可以將非法發送封包的事件寫入log。

set dhcpsnooping log-invalid port <Port-String> enable

如果有需要，還可以手動寫入IP與網卡的靜態對應。

set dhcpsnooping binding <Mac-Address> vlan <vlan-ID> <IPAddr> port <Port-String>

欲停用DHCP Snooping機制，請下以下指令。

set dhcpsnooping disable

要檢查DHCP Snooping機制的設定狀況，可用以下指令。

show dhcpsnooping

要檢查網卡與IP的對應，可用以下指令。

show dhcpsnooping binding

另外還有一個 statistics 的檢視指令。

show dhcpsnooping statistics

說真的，順子不知道這指令是做什麼用...
它完全不會顯示亂發DHCP offer & ack封包的port與server等相關訊息！？

但經順子測試除了信任的port外，其它port確實無法發放DHCP offer & ack的封包。
這機制確實是有效的，只是不知道為什麼 statistics 總是無法顯示任何有用訊息？
也許是在D2上無法顯示，其它型號會顯示有用資訊也不一定？

套用ARP Inspection機制
ARP Inspection的套用也是以VLAN為base，設定如下。

set arpinspection vlan <vlan-List> [logging]

若某些port沒有安全上的問題，或是無法透過DHCP來進行IP配發，不需要透過ARP Inspection機制來保護，
那麼我們可以針對這些port，特別設定為信任port。

set arpinspection trust port <Port-String> enable

若要設定靜態的網卡與IP對應，在做法上分為兩個部分。
第一，先建立IP與網卡的對應關係，然後再把這對應關係套用到VLAN上。

set arpinspection filter <Filter-Name> permit ip host <sender-ipaddr> mac host <sender-macaddr>
set arpinspection filter <Filter-Name> vlan vlan-range [static]

假設我們要設定 192.168.1.10 與 00:01:22:33:44:55 的靜態關係，並套用到default vlan 1上，
那麼我們可以下達以下指令來達成。

set arpinspection filter staticARP permit ip host 192.168.1.10 mac host 00:01:22:33:44:55
set arpinspection filter staticARP vlan 1 static

要解除Vlan的ARP Inspection防護，請用以下指令。

clear arpinspection vlan

檢視ARP Inspection的配置有以下幾種方式。

show arpinspection port

show arpinspection vlan <vlan-Name>

show arpinspection statistics

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2015-02-05, 18:26