cisco交換機dhcp***防範

  2 DHCP***的防範 
2.1採用DHCP管理的常見問題：
採用 DHCP server 能夠自動爲用戶設置網絡 IP 地址、掩碼、網關、 DNS 、 WINS 等網絡參數，簡化了用戶網絡設置，提升了管理效率。但在 DHCP 管理使用上也存在着一些另網管人員比較問題，常見的有：
l        DHCP server 的冒充。 
l        DHCP server 的 Dos ***。 
l        有些用戶隨便指定地址，形成網絡地址衝突。 
　　因爲 DHCP 的運做機制，一般服務器和客戶端沒有認證機制，若是網絡上存在多臺 DHCP 服務器將會給網絡照成混亂。因爲用戶不當心配置了 DHCP 服務器引發的網絡混亂很是常見，足可見故意人爲破壞的簡單性。一般******是首先將正常的 DHCP 服務器所能分配的 IP 地址耗盡，而後冒充合法的 DHCP 服務器。最爲隱蔽和危險的方法是***利用冒充的 DHCP 服務器，爲用戶分配一個通過修改的 DNS server ，在用戶毫無察覺的狀況下被引導在預先配置好的假金融網站或電子商務網站，騙取用戶賬戶和密碼，這種***是很是惡劣的。 
　　對於 DHCP server 的 Dos ***能夠利用前面將的 Port Security 和後面提到的 DAI 技術，對於有些用戶隨便指定地址，形成網絡地址衝突也能夠利用後面提到的 DAI 和 IP Source Guard 技術。這部分着重介紹 DHCP 冒用的方法技術。 
2.2 DHCP Snooping技術概況
DHCP Snooping技術是DHCP安全特性，經過創建和維護DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。DHCP Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息，以下表所示： 
　　cat4507#sh ip dhcp snooping binding 
　　MacAddress IpAddress Lease(sec) Type VLAN Interface 
　　------------------ --------------- ---------- ------- ---- -------------------- 
　　00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7 
　　這張表不只解決了 DHCP用戶的IP和端口跟蹤定位問題，爲用戶管理提供方便，並且還供給動態ARP檢測DA）和IP Source Guard使用。 
2.3基本防範 
首先定義交換機上的信任端口和不信任端口，對於不信任端口的 DHCP 報文進行截獲和嗅探， DROP 掉來自這些端口的非正常 DHCP 報文，以下圖所示： 



　　基本配置示例以下表： 
　IOS 全局命令： 
　ip dhcp snooping vlan 100,200 /* 定義哪些 VLAN 啓用 DHCP 嗅探 
ip dhcp snooping 
接口命令 
　　ip dhcp snooping trust 
　　no ip dhcp snooping trust (Default) 
　　ip dhcp snooping limit rate 10 (pps) /* 必定程度上防止 DHCP 拒絕服 /* 務*** 
　　手工添加 DHCP 綁定表 
ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000 
導出 DHCP 綁定表到 TFTP 服務器 
　　ip dhcp snooping database tftp:// 10.1.1 .1/directory/file 
須要注意的是 DHCP 綁定表要存在本地存貯器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或導出到指定 TFTP 服務器上，不然交換機重啓後 DHCP 綁定表丟失，對於已經申請到 IP 地址的設備在租用期內，不會再次發起 DHCP 請求，若是此時交換機己經配置了下面所講到的 DAI 和 IP Source Guard 技術，這些用戶將不能訪問網絡。 
2.4***實例 
目前利用 ARP原理編制的工具十分簡單易用，這些工具能夠直接嗅探和分析FTP、POP三、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過30種應用的密碼和傳輸內容。 下面是測試時利用工具捕獲的 TELNET 過程，捕獲內容包含了 TELNET 密碼和所有所傳的內容 ： 

不只僅是以上特定應用的數據，利用中間人***者可將監控到數據直接發給 SNIFFER等嗅探器，這樣就能夠監控全部被欺騙用戶的數據。 
還有些人利用 ARP原理 開發出網管工具，隨時切斷指定用戶的鏈接。這些工具流傳到搗亂者手裏極易使網絡變得不穩定，一般這些故障很難排查。 
2.5防範方法 
思科 Dynamic ARP Inspection (DAI)在交換機上提供IP地址和MAC地址的綁定， 並動態創建綁定關係。DAI 以 DHCP Snooping綁定表爲基礎，對於沒有使用DHCP的服務器個別機器能夠採用靜態添加ARP access-list實現。DAI配置針對VLAN，對於同一VLAN內的接口能夠開啓DAI也能夠關閉。經過DAI能夠控制某個端口的ARP請求報文數量。經過這些技術能夠防範「中間人」***。
2.6配置示例 
在cisco設備中的配置
ip dhcp excluded-address 192.168.23.1 192.168.23.20
(不禁dhcp   server分配的地址) 

ip dhcp pool vlan23
(定義地址池)
    network 192.168.23.0 255.255.255.0
(定義地址池作用的網段及地址範圍)
    default-router 192.168.23.1
(定義客戶端的默認網關)
    domain-name sina.com.cn
(定義客戶端所在域)
    dns-server 192.168.23.2
(定義客戶端的dns)
    lease 5
(定義地址租約時間, 5天是爲了在安全上考慮,客戶端在可控的時間內相對固定)

ip dhcp snooping
(打開dhcp snooping功能,不能省略, 不然在sh ip dhcp snooping binding時將看到一個空的綁定表, 客戶端會時斷時續)
ip dhcp snooping vlan 23
(定義snooping做用的vlan)
ip dhcp snooping database flash:dhcp
(將綁定表保存在flash中,能夠避免重啓設備後,重新綁定)


ip arp inspection vlan 23
(定義arp inspection 做用的vlan,它是根據dhcp snooping binding表作判斷的)
ip arp inspection validate src-mac dst-mac ip
(偵測有效客戶端須知足src-mac dst-mac ip 均無錯)
ip arp inspection log-buffer entries 1024
(inspection 日誌大小)
ip arp inspection log-buffer logs 1024 interval 300
(inspection 日誌刷新時間,interval過小會佔用大量cpu時間)
!
!
!
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause gbic-invalid
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
(上面全部的是在端口由於被errdidable 後能在一段時間內自動恢復, 其中包括dhcp snooping與arp inspection在端口中設限制形成的端口自動關閉)
no file verify auto

logging on
(有的設備是默認打開的,在這寫是由於當logging關閉時3550,3560,3750等均會佔用大量cpu資源,必定勿忘打開,經測試,打開後一臺3550-48下連10臺48口設備,2個lan,480臺計算機,正常使用.不打開,2臺設備90 臺計算機就能讓其死機)
no spanning-tree loopguard default
(最好不要打開,由於當spanning-tree結構稍有改變,它都會blocking,而後unblocking一些端口,形成時斷時續的現象)

ip source binding 0060.B322.2C2A vlan 23 192.168.23.8 interface Gi1/0/2
(設備或計算機需用靜態地址的,在這兒定義)
!
interface GigabitEthernet1/0/2
switchport trunk encapsulation dot1q
switchport mode trunk
(下連設備,因此定義爲trunk口)
ip arp inspection limit none
(因爲下連設備,爲了不inspection讓端口errdisable,因此對arp的偵測不作限制,若直接爲接入設備, 可以使用ip arp inspection limit rate)

相關命令:
sh logging 查看Dymatic Arp Inspection (DAI) 是否生效.
sh ip dhcp snooping binding 查看snooping是否生效
sh ip dhcp binding 看dhcp server 是否生效.
sh arp 看arp信息是否與 dhcp snooping binding表一致.

下級設備若支持dhcp snooping 可這樣配置
ip dhcp snooping
int g0/1
(上連端口)
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
(定義此端口爲信任端口,今後口來的dhcp server數據有效,避免有人亂設dhcp server

不支持,根據設備用acl或其它禁止非信任端口發送dhcp server數據.
華爲設備
dhcp-server 0 ip   192.168.21.1
(定義dhcp server組)
dhcp-security static 192.168.21.1 000f-e231-72fb
dhcp-security static 192.168.21.11 0013-2015-b971
(定義設置靜態地址的設備或計算機)

dhcp server ip-pool vlan21
network 192.168.21.0 mask 255.255.255.0
gateway-list 192.168.21.1
dns-list 192.168.21.1
domain-name sina.com.cn
expired day 5
(與cisco 相似)

interface Vlan-interface21
ip address 192.168.21.1 255.255.255.0
dhcp-server 0
(使用上面定義的dhcp server組)
address-check enable
(與ip arp inspection相似)

dhcp server forbidden-ip 192.168.21.0 192.168.21.10
(定義不禁dhcp server分配的地址)

interface GigabitEthernet1/0/1
(下連端口)
port link-type trunk
port trunk permit vlan all


下級設備若支持dhcp snooping 可這樣配置
interface GigabitEthernet1/1/1
(上連端口)
port link-type trunk
port trunk permit vlan all
dhcp-snooping trust

至此,全部工做完成,還有一點值得一提,若是要收集日誌,最好設備ntp服務同步時間,不管在安全性,可管理性上都是有所幫助的.至於日誌服務器及日誌分析工具的配備可根據本身的喜愛或須要自行選定.

Quidway S系列交換機採用DHCP Snooping防止僞DHCP服務器
Quidway S系列以太網交換機能夠經過DHCP Snooping功能防止僞DHCP服務器的***。具體操做步驟以下：
全局開啓DHCP Snooping：
[Quidway] dhcp-snooping enable
VLAN視圖下使能DHCP Snooping：
[Quidway-VLAN2] dhcp-snooping enable
注：只有部分交換機須要在VLAN視圖下使能DHCP Snooping
在鏈接合法DHCP Server的端口上配置信認端口：
[Quidway-Ethernet0/1] dhcp-snooping trust
注：部分交換機不支持配置端口爲dhcp-snooping trust端口，請參考產品相應的《操做手冊》和《命令手冊》。
防網關***
6500(config)#arp access-list deny-arp
//只容許正確的網關IP地址和網關MAC對應的ARP包經過
6500(config-arp-nacl)#permit ip host 210.53.131.169 mac host 0015.fa87.3fc0  
6500(config-arp-nacl)#deny  ip host 210.53.131.169 mac any log
6500(config-arp-nacl)#permit ip any mac any
//將此ARP ACL應用到vlan 300上
6500(config)#ip arp access-list filter deny-arp vlan 300