スイッチは詐欺攻撃を防ぐ
3430 ワード
悪意のあるユーザーは、偽造された情報を送信したり、スイッチやホストが信頼できないマシンをゲートウェイとしてだまし取ったりする可能性があります.攻撃者の目標は仲介者となり,判断のないユーザにルータとしてパケットを送信させることであり,攻撃者は送信したパケットを正常に転送する前に,その情報を収集することができる.
1)DHCPプローブ
攻撃者がクライアントPCが存在するサブネットの1台のマシン上で偽造DHCPサーバを実行すると仮定する.お客様がDHCP要求をブロードキャストすると、偽造サーバは、そのIPアドレスをデフォルトゲートウェイとして、偽造されたDHCP応答を送信します.
お客様が応答を受信すると、偽造ゲートウェイアドレスの使用が開始されます.サブネット外へのパケットは、まず攻撃者のマシンを通過する.攻撃者はパケットを正しい宛先に転送することができるが、ブロックされた各パケットを表示することができる.
Cisco CatalystスイッチはDHCPプローブ機能を使用して、この攻撃を防ぐことができます.DHCPプローブが有効になっている場合、スイッチポートは信頼性と信頼性の2つに分けられます.正当なDHCPサーバは信頼できるポートにあり、他のすべてのホストは信頼できないポートにあります.
スイッチは、信頼できないポートからのすべてのDHCP要求をブロックし、VLAN全体に洪水をもたらします.信頼できないポートからのDHCP応答は、偽造DHCPサーバからの応答に違いないため、破棄されます.同時に、対応するスイッチポートが自動的に閉じられ、errdsable状態になります.
DHCPプローブの構成は次のとおりです.
1.DHCPプローブを有効にします.
3.ポート信頼を設定します.
デフォルトでは、すべてのスイッチポートは信頼できないものとみなされ、DHCP応答は望ましくないか許可されません.信頼できるポートのみがSHCP応答の送信を許可されるので、既知のDHCPサーバが存在するポートを信頼できるものとして指定する必要があります.
4.DHCPプローブの状態を表示する
Cisco Catalystスイッチは、ソースIPアドレス保護を使用してアドレス偽造攻撃を検出し、破壊することができ、攻撃がアドレス偽造が属するネットワークで開始されたとしても.2層スイッチは、通常、MACアドレスを知り、記憶し、スイッチは、何らかの方法でMACアドレスを調べ、それに関連するIPアドレスを決定しなければならない.
ソースIPアドレス保護は、DHCPを使用してデータベースを欺瞞し、静的ソースIPアドレスバインド項目を使用することによって、この作業を完了する.DHCP欺瞞が構成され有効になっている場合、スイッチは、DHCPホストを使用するMACアドレスおよびIPアドレスを取得する.パケットがスイッチポートに到着すると、次のいずれかの条件に合致しているかどうかを検出できます.ソースIPアドレスは、DHCP欺瞞によって知られたまたは静的エントリによって示されたIPアドレスと同じであるかどうか.動的ポートACLを使用してデータストリームをフィルタします.スイッチは、ACLを自動的に作成し、通知されたIPアドレスを追加し、そのアドレスを通知するインタフェースに適用します. ソースMACは、スイッチポートおよびDHCP欺瞞によって知られたMACと同じでなければならない.ポート・セキュリティを使用して、データ・ストリームをフィルタします. アドレスが通知または動的構成のアドレスと異なる場合、スイッチはパケットを破棄します.
構成手順は次のとおりです.
1アドレスを取得します.
ソースIPアドレス保護を構成するには、まずDHCP詐欺を構成し、有効にする必要があります.
DHCPを使用しないホストでは、静的なソースIPアドレスバインディングを構成する必要があります.
動的ARP検出(DAI)は、ネットワーク内のARPパケットを検証するために使用することができ、無効なIP−MACアドレスマッピングを有するARPパケットをブロック、記録、廃棄し、仲介者の攻撃からネットワークを保護することができる.動的ARP検出課は、有効なARP要求と応答のみが転送されることを保証する.
構成手順は次のとおりです.
1 1つまたは複数のクライアントVLANで有効化:
2ポートを信頼できるように指定します.
転載先:https://www.cnblogs.com/RzCong/p/6263601.html
1)DHCPプローブ
攻撃者がクライアントPCが存在するサブネットの1台のマシン上で偽造DHCPサーバを実行すると仮定する.お客様がDHCP要求をブロードキャストすると、偽造サーバは、そのIPアドレスをデフォルトゲートウェイとして、偽造されたDHCP応答を送信します.
お客様が応答を受信すると、偽造ゲートウェイアドレスの使用が開始されます.サブネット外へのパケットは、まず攻撃者のマシンを通過する.攻撃者はパケットを正しい宛先に転送することができるが、ブロックされた各パケットを表示することができる.
Cisco CatalystスイッチはDHCPプローブ機能を使用して、この攻撃を防ぐことができます.DHCPプローブが有効になっている場合、スイッチポートは信頼性と信頼性の2つに分けられます.正当なDHCPサーバは信頼できるポートにあり、他のすべてのホストは信頼できないポートにあります.
スイッチは、信頼できないポートからのすべてのDHCP要求をブロックし、VLAN全体に洪水をもたらします.信頼できないポートからのDHCP応答は、偽造DHCPサーバからの応答に違いないため、破棄されます.同時に、対応するスイッチポートが自動的に閉じられ、errdsable状態になります.
DHCPプローブの構成は次のとおりです.
1.DHCPプローブを有効にします.
switch(config)#ip dhcp snooping
2.DHCPプローブを実現するVLANを指定します.switch(config)#ip dhcp snooping vlan vlan-id [vlan-id]
このコマンドでは、単一のVLAN番号を指定してもよいし、VLAN番号の範囲を指定してもよい.3.ポート信頼を設定します.
デフォルトでは、すべてのスイッチポートは信頼できないものとみなされ、DHCP応答は望ましくないか許可されません.信頼できるポートのみがSHCP応答の送信を許可されるので、既知のDHCPサーバが存在するポートを信頼できるものとして指定する必要があります.
switch(config)#interface type mode/num
switch(config-if)#ip dhcp snooping trust
信頼できないポートの場合、DHCP要求のパケットレートを制限することができる.switch(config)#ip dhcp snooping rate rate
ただしrateの値範囲は1~2048 DHCPパケット/秒4.DHCPプローブの状態を表示する
switch(config)#sh ip dhcp snooping
2)ソースIPアドレス保護Cisco Catalystスイッチは、ソースIPアドレス保護を使用してアドレス偽造攻撃を検出し、破壊することができ、攻撃がアドレス偽造が属するネットワークで開始されたとしても.2層スイッチは、通常、MACアドレスを知り、記憶し、スイッチは、何らかの方法でMACアドレスを調べ、それに関連するIPアドレスを決定しなければならない.
ソースIPアドレス保護は、DHCPを使用してデータベースを欺瞞し、静的ソースIPアドレスバインド項目を使用することによって、この作業を完了する.DHCP欺瞞が構成され有効になっている場合、スイッチは、DHCPホストを使用するMACアドレスおよびIPアドレスを取得する.パケットがスイッチポートに到着すると、次のいずれかの条件に合致しているかどうかを検出できます.
構成手順は次のとおりです.
1アドレスを取得します.
ソースIPアドレス保護を構成するには、まずDHCP詐欺を構成し、有効にする必要があります.
DHCPを使用しないホストでは、静的なソースIPアドレスバインディングを構成する必要があります.
switch(config)ip source bingding mac-address vlan vlan-id ip-address interface type/num
2ソースIPアドレス保護を有効にします.switch(config)#interface type mode/num
switch(config-if)#ip verify source [port-security]
3運転状況の表示switch#show ip verity source [ interface type/num ]
ソースIPアドレスバインドデータベースの情報(動的通知または静的構成)を表示する場合は、次のコマンドを実行します.switch#show ip source bingding [ip-address] [mac-address ] [dhcp-snooping | static] [interface type mode/num] [vlan vlan-id]
3)動的ARP検出動的ARP検出(DAI)は、ネットワーク内のARPパケットを検証するために使用することができ、無効なIP−MACアドレスマッピングを有するARPパケットをブロック、記録、廃棄し、仲介者の攻撃からネットワークを保護することができる.動的ARP検出課は、有効なARP要求と応答のみが転送されることを保証する.
構成手順は次のとおりです.
1 1つまたは複数のクライアントVLANで有効化:
switch(config)#ip arp inspection vlan vlan-range
このコマンドでは、単一のVLAN ID、ハイフンで区切られたVLAN ID範囲、またはカンマで区切られたVLAN IDリストを指定できます.2ポートを信頼できるように指定します.
switch(config)#interface type mod/num
switch(config-if)#ip arp inspection trust
3構成の検証switch#show ip arp inspection vlan vlan-id
転載先:https://www.cnblogs.com/RzCong/p/6263601.html