ARP协议对于网络来说是一把双刃剑。一方面ARP协议是网络通信中不可或缺的协议,其就好像是一个问路人,在一定程度上决定了数据的传输路径。在另一方面,其又容易被攻击者使用,担当不恰当的角色。
现在针对ARP的攻击,可以说是层次不穷。虽然相关的措施也有不少,但是道高一尺、魔高一丈,防不胜防。针对这种情况,在思科的网络产品中,设计了动态ARP检测的技术。虽然这个技术不能够从根本上解决ARP带来的安全隐患,大但是对于遏制其危害,特别是中间人攻击方面,仍然有独到的表现。
一、中间人攻击案例模拟
如上图,是一个简单的网络架构图。有三台终端同时连接到同一个工作组交换机中。(实际情况可能会有更多的终端,为了简单起见,笔者以三个终端为例)。此时如果主机A需要访问主机B({dy}次访问时只知道对方的IP地址而不知道MAC地址),就需要先发送一个ARP请求。向各台主机询问,IP地址为多少的主机其MAC地址为多少,并会附上主机A的MAC地址。
这个ARP请求会以广播的形式在网络中传播,即网络中的每一台客户端都将受到这个信息。正常情况下,除了B以外的不相关的主机都会丢弃这个数据包。而只有主机B接收到这个请求后,才会进行响应。主机B首先会在自己的ARP缓存中创建主机A IP地址与MAC地址的相关记录(如果已经存在这个IP地址,则会进行更新),并向主机A发送ARP响应。此时的ARP响应是一个单播数据包,即直接发送给主机A,而不是以广播的形式发送。
以上是一个比较正常的ARP处理流程。但是在这个处理的过程中,如果没有采取恰当的安全措施,则很可能会引发中间人攻击。如上图所示,如果终端设备C在收到主机A发送的ARP请求之后,没有抛弃这个数据包,而是发送了伪造的ARP响应(将自己的MAC地址替代主机B的MAC地址),其就可以发起中间人攻击。在接收到主机C的ARP响应之后,主机A将不能够拥有主机B的正确MAC地址与IP地址。
对于主机A来说,它就会错误的认为主机C就是其要发送数据的对象。从而将数据直接发送给主机C。此时对于主机A和主机B之间的任何通信,就会被发送到主机C上。然后主机C在获取相关的内容之后,可能进行流量的重定向。在这个过程中,主机C就被称为中间人。这个过程就被称为中间人攻击。
二、通过动态ARP检测来防止中间人攻击
为了有效防止中间人攻击,在思科的网络产品中设计了动态ARP检测。其原理比较简单,就是交换机的相关端口会自动检测ARP数据包来自于正确的端口,并且没有被攻击者所更改或者欺骗。这个原理说起来简单,其实要实现起来需要经过许多的技术处理。通常情况下,通过DHCP监听绑定表,交换机能够确定正确的端口。如果交换机能够数据来自错误的端口,则会自动抛弃这个数据包,并会将相关的信息记录在案。而且还会将违规端口设置为err-disable 状态,攻击者将不能够对网络进行进一步的破坏工作。
如上图所示,如果要在这个环境中启用动态ARP检测技术,需要执行如下几个步骤。
{dy}步是需要在各个交换机端口上启用DHCP监听。如上所示,动态ARP检测需要判断数据的端口是否来自合法的端口。而要检测这个内容的话,必须要有DHCP监听绑定表。而这个表则是有DHCP监听程序创建的。这里需要注意,要在交换机所有的接口上启用这个监听服务。否则的话,就可能会出现问题。
第二步是比较关键,是需要将交换机间的连接配置为DAI(动态ARP检测)信任端口。在上面举例子的时候,笔者为了简单起见,只画了一个工作组交换机。而在实际工作中,企业往往是有多个交换机共同组成一个网络。此时如果让多个交换机之间也能够启用动态ARP检测功能呢?其需要做的配置,就是将交换机之间的链路配置为DAI信任端口。可以使用命令ip arp inspection trust来实现。
当启用了动态ARP检测功能,如果再发生中间人攻击事件的话,交换机会如何应对呢?如上图所示,当攻击者C连接到工作组交换机,并且试图发送虚假的ARP响应时,交换机会根据DHCP监听绑定表检测到这种攻击行为,并会丢弃这个ARP数据包。然后交换机会将这个攻击者C所连接的端口设置为 err-disable状态,并向管理员发出警报。
当启用了动态ARP检测的时候,需要注意其误诊断的情况。如上图所示,如果中间人C其不是直接连接在工作组交换机上。而是连接在一个集线器上。然后再通过这个集线器连接到交换机。此时当其发出中间者攻击时,交换机会将这个接口关闭掉。此时连接在这个接口上的所有主机都将无法与网络进行通信。这个 “一人有罪,全家受罚”的办法,往往会涉及到无辜。网络管理员在启用这个功能时,需要考虑到这个负面作用。在后续排除故障的时候,也会有参考的价值。
三、动态ARP检测在其他方面的作用
ARP动态检测功能在防止中间人攻击方面有比较特殊的表现。但是其功能还远远不止这个方面。如ARP动态检测功能还可以实现ARP抑制。即限制入站ARP数据包的速率。如果当ARP数据包的速率达到一个指定的数值之后,此时可能网络中存在着ARP攻击。在这种情况下,交换机会自动将这个接口设置为disable状态。要启用ARP抑制功能,需要在交换机中进行额外的配置。如可以通过如下命令来实现:ip arp inspection limit rate (ARP数据包速率)。执行这个配置并不难,其难点在于如何确定这个速率。如果速率设置的比较高,那么起不到ARP抑制的功能。相反,如果设置的比较低的话,又可能会影响到网络的正常使用。
四、动态ARP检测需要使用的相关技术
从以上的分析中可以看出,动态ARP检测并不是一门独立的技术,其必须要有其他的技术的帮助才能够实现。故笔者更喜欢将其称为一个技术的组合。如需要启用DHCP监听程序才能够帮助交换机判断数据来源接口的合法性等等。当启用ARP检测技术的时候,交换机会自动判断是否启用了一些必须的辅助技术。如果没有启用的话,交换机会报错,并终止用户的请求。所以在配置这个功能的时候,网络管理员还需要了解其他与之关联的技术。特别是需要了解其实现的一些前提条件,即需要先启用哪些技术。
在实际工作中,如像用户介绍或者培训过程中,笔者将动态ARP检测技术当作一个安全的解决方案(几种技术的组合),而不是一门单独的技术。这无论是在学习还是在配置中都需要引起重视。笔者再强调一次,动态ARP检测是一种结合DHCP监听技术、IPSG技术等等的安全方案,其主要用来解决跟 ARP攻击相关的安全问题。
它能够有效保护多层交换网络中接入层的ARP攻击,如ARP中间人攻击、ARP欺骗、ARP扩散攻击,实现ARP抑制等等。当然在实现的过程中,也会存在一些负面作用。其{zd0}的负面影响就是会使得连接在同一个接口上的其他无辜用户遭受到损失。在设计与部署动态ARP检测功能的时候,需要考虑到这个问题。如当连接到某个接口的终端出现网络故障,而其他接口运作正常时,就需要考虑到是否是这个原因所造成的。
虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。
“{zj0}实践”来自英文Best Practice。维基百科对{zj0}实践的定义是一个管理学概念,认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到{zy},并减少出错的可能性。学习应用IT企业安全的{zj0}实践,其实就是借鉴别人成功的经验,让自己在保护企业安全方面少走弯路。在本手册中,将集合IT业内关于企业安全的{zj0}实践,并不断更新,以期在企业安全防护方面提供帮助。
虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用{zd0}化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的{zd0}优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。
黑客策略和技术一直都在进步。黑客还在继续开发新的攻击工具和黑客方法,来恶意访问系统并攻击你的网络,这样企业在开发和采取恰当的方法防御黑客的攻击就变得非常困难。《黑客攻击技术和策略》的技术指南将介绍黑客的内心想法,并帮助你理解恶意攻击者的动机,也提供了一些黑客攻击具体信息的方式,采用的方法以及企业应该采用的保护敏感数据的方法。这里将会提供大量黑客技术和策路的信息,例如允许黑客获取网络系统或者文件访问的系统特征探测。
假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。