【正文】 身的缺陷性，不管是通信雙方的網(wǎng)關(guān)或是主機(jī)都無法勝任對 ARP信息的可靠性進(jìn)行驗(yàn)證的角色，需要通過中立的第三方系統(tǒng)把控 ARP 協(xié)議的通信過程。 GSN 系統(tǒng)能夠?qū)υ诰€用戶的身份信息進(jìn)行統(tǒng)一的管理，非常適合進(jìn)行 ARP信息的授權(quán)管理。 建立可信任 ARP 機(jī)制 可信任 ARP 機(jī)制用于在局域網(wǎng)通信的雙方之間進(jìn)行可靠的 ARP信息同步，具體到各個(gè)不同的網(wǎng)絡(luò)元素之間的同步過程 ，可以分為以下兩種操作： ⑴ 主機(jī) ARP靜態(tài)綁定 在客戶端主機(jī)進(jìn)行網(wǎng)關(guān)的 ARP 靜態(tài)綁定。當(dāng)用戶認(rèn)證上線時(shí) ,認(rèn)證服務(wù)端在本地保存的網(wǎng)關(guān)IPMAC 對應(yīng)關(guān)系表中查找用戶所屬網(wǎng)關(guān)，并將該用戶所對應(yīng)的網(wǎng)關(guān) IP 和 MAC 地址進(jìn)行下發(fā)，由 MAC 和 IP 的 ARP 靜態(tài)綁定?？蛻舳嗽谡J(rèn)證成功后進(jìn)行 ARP靜態(tài)綁定 ,然后定時(shí)進(jìn)行 ARP靜態(tài)綁定是否被更改的檢測 ,如果被更改 ,則重新進(jìn)行綁定 ,以防止一些木馬程序以合法的方式對 ARP靜態(tài)綁定進(jìn)行的更改 ,用戶下線時(shí)刪 除主機(jī)的網(wǎng)關(guān) ARP靜態(tài)綁定。 武夷學(xué)院畢業(yè)論文 22 圖 43 客戶端可信任 ARP機(jī)制 ⑵ 網(wǎng)關(guān)可信任 ARP綁定 當(dāng)用戶認(rèn)證上線時(shí)，認(rèn)證服務(wù)端通過接入交換機(jī)獲取用戶真實(shí)的 IPMAC關(guān)聯(lián)信息，并根據(jù)用戶的網(wǎng)關(guān)信息，將用戶相應(yīng)的 ARP表項(xiàng)在網(wǎng)關(guān)進(jìn)行主機(jī)的 IP和 MAC的 ARP靜態(tài)綁定 .該方式同主機(jī) ARP靜態(tài)綁定相結(jié)合 ,能夠達(dá)到雙綁定的效果。 圖 44 網(wǎng)關(guān)可信任 ARP機(jī)制 在網(wǎng)關(guān)設(shè)備上增加可信 ARP 表項(xiàng) 可信 ARP 表項(xiàng)是銳捷交換機(jī)的專利技術(shù)，適用于稅捷網(wǎng)絡(luò)的三層交換機(jī)設(shè)備。其作用為在 三層網(wǎng)關(guān)設(shè)備上建立一個(gè)介于動(dòng)態(tài) ARP表和靜態(tài) ARP之間的臨時(shí)表項(xiàng)，配合 ，實(shí)現(xiàn)用戶上線時(shí)，其 IP/MAC信息自動(dòng)綁定在網(wǎng)關(guān)設(shè)備上，用戶下線時(shí)，表項(xiàng)自動(dòng)刪除，不占用多余的資源，從頁 23 免去了手動(dòng)配置綁定的繁鎖，自動(dòng)智能的實(shí)現(xiàn)了 IP/MAC的綁定。 銳捷網(wǎng)絡(luò) S37系列等智能三層接入 /匯聚交換機(jī)能夠支持可信任 ARP表項(xiàng)功能?？尚湃?ARP作為一類特殊 ARP，添加在交換機(jī)端的 ARP表中?？尚湃?ARP同時(shí)具有靜態(tài) ARP和動(dòng)態(tài) ARP兩者的特征，其優(yōu)先級高于動(dòng)態(tài) ARP表項(xiàng)、并且低于靜態(tài) ARP表項(xiàng)。可信任 ARP具有 類似于動(dòng)態(tài) ARP的老化機(jī)制 ――通過記錄和刷新每個(gè)表項(xiàng)的老化時(shí)間來判斷該表項(xiàng)是否需要老化?？尚湃?ARP 具有靜態(tài) ARP 的相關(guān)特征，即不被動(dòng)態(tài) ARP 所覆蓋?？尚湃?ARP歸類為動(dòng)態(tài) ARP， 使用這種方式可避免可信任 ARP 對原有 ARP 相關(guān)模塊的影響。同時(shí)，由于靜態(tài) ARP 優(yōu)先級高于可信任 ARP，用戶手動(dòng)配置的靜態(tài) ARP 可以覆蓋可信任 ARP。 因此，在實(shí)施了可信任 ARP 功能之后，對于網(wǎng)絡(luò)管理員來說，所有操作完全都是透明的，不會(huì)對網(wǎng)絡(luò)管理員的原有網(wǎng)絡(luò)管理產(chǎn)生任何影響，因?yàn)閷τ谠械木W(wǎng)絡(luò)來說，可信任 ARP就是動(dòng)態(tài) ARP。只有在 ARP更新這個(gè)地方有了輕微了變化，而且所有的一切動(dòng)作都是后臺進(jìn)行的。 GSN 防御體系的組成 GSN 的 ARP 欺騙防御體系主要由 SMP（安全管理策略服務(wù)器）、 Gateway（三層交換機(jī)）、 NAS（ S21XX）和 SU（ Supplicant）四個(gè)部分組成。 SU 安裝在用戶主機(jī)上，用于發(fā)起認(rèn)證以及接受并執(zhí)行 SMP 的指令； NAS接受 SU發(fā)起的認(rèn)證并將用戶真實(shí)的 IP 和 MAC 信息傳遞到 SMP，同時(shí)向 SU傳遞SMP的指令， NAS和 SU之間采用 EAP報(bào)文進(jìn)行通信，不受 ARP欺騙的影響；網(wǎng)關(guān)必須提供可信任 ARP的支持，可 信任 ARP的優(yōu)先級介于靜態(tài) ARP和動(dòng)態(tài) ARP之間，除了創(chuàng)建方式外其它特性均與動(dòng)態(tài) ARP相同 。 SMP 在 SMP上 添加網(wǎng)關(guān)信息 ， 包括網(wǎng)關(guān)的 IP， MAC和 SNMP讀寫 Community。 SMP是整個(gè)體系的核心，作為一個(gè)可信任的第三方，同時(shí)向網(wǎng)關(guān)和 SU提供雙方正確的 ARP信息，并自動(dòng)管理雙向綁定的建立和刪除。 Gateway 三層交換機(jī)用作網(wǎng)關(guān)，其上做相關(guān)配置： service trustedarp //啟用可信任服務(wù) snmpserver munity private rw //設(shè)置 SNMP讀寫 Community為 private 武夷學(xué)院畢業(yè)論文 24 NAS NAS接受 SU發(fā)起的認(rèn)證并將用戶真實(shí)的 IP和 MAC信息傳遞到 SMP，同時(shí)向 SU傳遞 SMP的指令 。NAS主要使用銳捷 S21系列交換機(jī)，所做的主要配置有： ?? ⑴ 銳捷 S21系列的防止 ARP欺騙的原理 該系列交換機(jī)能夠?qū)M(jìn)入端口的 ARP 報(bào)文依據(jù)安全地址進(jìn)行合法性檢查，正常轉(zhuǎn)發(fā)合法報(bào)文，丟棄非法報(bào)文，這樣可以從源頭上杜絕非法 ARP 報(bào)文進(jìn)入網(wǎng)絡(luò)，解決 ARP 欺騙攻擊行為。 S21 系列交換機(jī)的安全地址 構(gòu)成有六種，分別是：靜態(tài) IP無 SAM環(huán)境、動(dòng)態(tài) IP無 SAM環(huán)境、靜態(tài) IP+SAM環(huán)境、動(dòng)態(tài) IP+SAM環(huán)境、靜態(tài) IP+GSN環(huán)境、動(dòng)態(tài) IP+GSN環(huán)境。最后兩種安全地址構(gòu)成，是指當(dāng)用戶客戶端 SU 認(rèn)證時(shí)， S21系列交換機(jī)本身開啟的 GSN功能會(huì)自動(dòng)綁定用戶的 IP 地址和 MAC地址，形成安全地址，其優(yōu)越性能較前面四種要高一些。 ⑵ ARPCheck技術(shù) 銳捷 NAS 使用 ARPCheck技術(shù)對流入的 ARP報(bào)文內(nèi)容進(jìn)行合法性檢查，丟棄非法報(bào)文，防止受控端口下聯(lián)的主機(jī)對網(wǎng)關(guān)或其它主機(jī)發(fā)起 ARP 欺騙攻擊。 ARPCheck 通常需要結(jié)合 SAM 認(rèn)證，用戶通過認(rèn)證后將在 NAS上綁定用戶的 IP 和 MAC 信息； ARPCheck根據(jù)在 NAS 上動(dòng)態(tài)綁定用戶的 IP 和MAC信息來檢查 ARP報(bào)文內(nèi)容，轉(zhuǎn)發(fā)合法報(bào)文，丟棄非法報(bào)文 。 SU SU，用戶認(rèn)證客戶端， 安裝在用戶主機(jī)上，用于發(fā)起認(rèn)證以及接受并執(zhí)行 SMP 的指令 ，無需做任何配置。 GSN + ARPCheck 的整體防御 從上面對銳捷網(wǎng)絡(luò) GSN 全局解決方案的原理、構(gòu)成情況，以及 S21系列交換機(jī)的 ARPCheck 技術(shù) 的深入了解，我們可以大致 總結(jié)出他們的一些特點(diǎn)。 ARPCheck 方案最大的優(yōu)點(diǎn)是部署簡單，同時(shí)屏蔽了大量的虛假 ARP 報(bào)文，凈化了網(wǎng)絡(luò)環(huán)境 ； 缺點(diǎn)是必須部署全網(wǎng)段，只要在同一個(gè)網(wǎng)段內(nèi)存在接入端口不受控的主機(jī)，就存在著 ARP欺騙的隱患，而且對于 S21 系列 部署在匯聚層、接入 層 交換機(jī)不支持 ARPCheck 的情況，在同一臺接入交換機(jī)范圍之內(nèi)存在互相欺騙的可能性。 GSN 方案最大的優(yōu)點(diǎn)是：只要是通過認(rèn)證的合法用戶，就會(huì)受到保護(hù)；缺點(diǎn)是無法減少網(wǎng)絡(luò)中的虛假 ARP報(bào)文，而當(dāng)網(wǎng)關(guān)是不支持可信任 ARP的設(shè)備時(shí)，只能對客戶端進(jìn)行單向綁定保護(hù)。 25 因此，對 于校園網(wǎng)的 ARP 欺騙整體防御體系，我們采用 GSN+ARPCheck的整體防御方案。也就是說，在校園網(wǎng)內(nèi) 部署 銳捷 GSN解決方案，實(shí)行基于 IEEE ，即使用銳捷 SAMS管理系統(tǒng)，建立“ ARP三重立體防御體系”，由此來 實(shí)現(xiàn)對網(wǎng)絡(luò)病毒和攻擊等安全事件自動(dòng)發(fā)現(xiàn)、自動(dòng)處理、自動(dòng)通知、自動(dòng)解除的全局安全聯(lián)動(dòng) 。在接入層設(shè)備方面，我們采用 銳捷接入交換機(jī)的 ARPCheck 技術(shù)，對 ARP 欺騙源進(jìn)行封堵，同時(shí)對合法用戶進(jìn)行保護(hù)，實(shí)現(xiàn)了對 ARP 欺騙攻擊的全面防御，在已經(jīng)部署 GSN的區(qū)域消除 ARP欺騙 的影響 。 下面簡單列舉 S21系列交換機(jī)防范 ARP欺騙的優(yōu)化配置： ?? 對于 GSN+ARPCheck 的整體防御方案的優(yōu)越性，我們可以做一個(gè)假設(shè)。 考慮最不理想的一種環(huán)境：網(wǎng)關(guān)為其它品牌的設(shè)備，不支持可信任 ARP； S21系列 交換機(jī)部署在匯聚層，接入設(shè)備為其它品牌，不支持 ARPCheck。 但是實(shí)踐證明， ARPCheck可以保護(hù)網(wǎng)關(guān)不被欺騙，并且將欺騙限制在同一臺接入交換機(jī)的有限范圍內(nèi)；而 GSN能自動(dòng)在客戶端綁定真實(shí)的網(wǎng)關(guān) ARP 信息，從而避免被其它主機(jī)欺騙。 GSN 方案和 ARPCheck 方案各有長短，分別適用 于不同的環(huán)境并且能夠共存，二者功能的互補(bǔ)可以實(shí)現(xiàn)對 ARP欺騙攻擊的全面防御 ，實(shí)踐證明基于 GSN+ARPCheck構(gòu)建的 ARP欺騙整體防御方案有著非常好的防御效果。 5 IPv6 的鄰居發(fā)現(xiàn)協(xié)議 本章扼要介紹 IPV6 鄰居發(fā)現(xiàn)協(xié)議的定義、存在的一些安全缺陷及其與 IPV4 ARP協(xié)議的比較，旨在后續(xù)課題的研究。 鄰居發(fā)現(xiàn)協(xié)議的定義 由于網(wǎng)絡(luò)的快速發(fā)展， IETF定義了 128bit長度的 IPv6地址，用以解決 IPv4資源的消耗殆盡問題。鄰居發(fā)現(xiàn)協(xié)議（ NDP） 是 IPv6協(xié)議的一個(gè)基本組成部分，它實(shí)現(xiàn)了在 IPv4中的地址解析協(xié)議 (ARP)、控制報(bào)文協(xié)議 (ICMP)中的路由器發(fā)現(xiàn)、重定向協(xié)議的所有功能，并具有鄰居不可達(dá)檢測機(jī)制。 IPv6鄰居節(jié)點(diǎn)的發(fā)現(xiàn)過程，就是用一系列的報(bào)文和步驟來確定鄰居節(jié)點(diǎn)之間的關(guān)系、進(jìn)行網(wǎng)絡(luò)配置的過程。鄰居發(fā)現(xiàn)協(xié)議采用 5種類型的 IPv6控制信息報(bào)文 (ICMP)來實(shí)現(xiàn)鄰居發(fā)現(xiàn)協(xié)議的各種功能。這 5種類型消息分別是： ○1 路由器請求 (Router Solicitation)：當(dāng)接口工作時(shí)，主機(jī)發(fā)送路由器請求消息，要求路由器立即產(chǎn)生路由器通告消息，而不必等待下一個(gè)預(yù)定時(shí) 問。 ○2 路由器通告 (Router Advertisement)：路由器周期性地通告它的存在以及配置的鏈路和網(wǎng)絡(luò)參數(shù)，或者對路由器請求消息作出響應(yīng)。路由器通告消息包含在連接確定、地址配置的前綴和跳數(shù)限制值等。 ○3 鄰居請求 武夷學(xué)院畢業(yè)論文 26 (Neighbor Solicitation)：節(jié)點(diǎn)發(fā)送鄰居請求消息來請求鄰居的鏈路層地址，以驗(yàn)證它先前所獲得并保存在緩存中的鄰居鏈路層地址的可達(dá)性，或者驗(yàn)證它自己的地址在本地鏈路上是否是惟一的。 ○4鄰居 通告 (Neighbor Advertisement)：鄰居請求消息的響應(yīng)。節(jié)點(diǎn)也可以發(fā)送非請求鄰居通告來指示鏈路層地址的變化。 ○5 重定向 (Redirect)：路由器通過重定向消息通知主機(jī)。對于特定的目的地址，如果不是最佳的路由則通知主機(jī)到達(dá)目的地的最佳下一跳。 鄰居發(fā)現(xiàn)協(xié)議的安全缺陷分析 IPv6在安全上對于 IPv4有了很大的提高。在鄰居發(fā)現(xiàn)協(xié)議中，規(guī)定對所有收到的 ND數(shù)據(jù)包節(jié)點(diǎn)都必須驗(yàn)證其 Hop limit字段是否為 255，即確保節(jié)點(diǎn)收到的 ND報(bào)文來自本鏈路內(nèi)的節(jié)點(diǎn)， 防止利用ND從鏈路外發(fā)起對鏈路內(nèi)節(jié)點(diǎn)的攻擊。而且協(xié)議也使網(wǎng)絡(luò)配置過程更加自動(dòng)化，減輕了管理員的負(fù)擔(dān)。 但是 255的跳數(shù)限制并未解決鏈路內(nèi)存在惡意節(jié)點(diǎn)時(shí)的安全問題。出于高效交互的目的，節(jié)點(diǎn)用一系列 Cache緩存了通過鄰居發(fā)現(xiàn)協(xié)議學(xué)到的鄰節(jié)點(diǎn)的相關(guān)信息和網(wǎng)絡(luò)的相關(guān)參數(shù)。但這一運(yùn)做方式是基于節(jié)點(diǎn)的可信任為前提的，若緩存中信息的合法性、有效性均無法得到保證，則節(jié)點(diǎn)問通信的安全性也就無法得到保證。 鄰居緩存包含有鄰居不可達(dá)檢測算法維護(hù)的信息。鄰居可達(dá)性狀態(tài)是最關(guān)鍵的信息，它的取值是下列的 5個(gè)值之一： ○1 不完整性 (Inplete)：正在進(jìn)行地址解析，鄰居的鏈路層地址還沒確定?！? 可達(dá)性 (ReachabIe)：鄰居在最近處于可達(dá)狀態(tài) (在小于 lOs以前 )。 ○3 失效性 (Stale)：在數(shù)據(jù)流發(fā)送給該鄰居以前鄰居是不可達(dá)的，并無法驗(yàn)證其可達(dá)性。 ○4 延遲 (Delay)：鄰居不再是可達(dá)的，同時(shí)數(shù)據(jù)流在最近已經(jīng)發(fā)送給鄰居，但不立即對該鄰居進(jìn)行探測，而在一個(gè)短時(shí)延后發(fā)送探測信息，這樣就可以為上層協(xié)議提供可達(dá)性確認(rèn) 。 ○5 探測 (Probe)：鄰居不再是可達(dá)的，同時(shí)發(fā)送單播鄰居請求探測以驗(yàn)證可達(dá)性。正因?yàn)橛辛诉@五種不同的鄰居可達(dá)性狀態(tài)值才更使得鄰居發(fā)現(xiàn)協(xié)議具有了優(yōu)于ARP協(xié)議的安全性。 鄰居發(fā)現(xiàn)協(xié)議的攻擊方式 IPv4是通過不斷發(fā)送偽造 ARP應(yīng)答更新目標(biāo)主機(jī)的 ARP緩存來達(dá)到攻擊的目的，而在 IPv6中同樣存在利用鄰居請求 NS／鄰居通告 NA、路由器請求 RS／路由器通告 RA或重定向 Redirect功能更新目標(biāo)節(jié)點(diǎn)緩存的可能，進(jìn)而達(dá)到對目標(biāo)節(jié)點(diǎn)的 IP． MAC映射關(guān)系進(jìn)行欺騙實(shí)現(xiàn)攻擊的目的。 主要攻擊方式有：虛假 NS報(bào)文、虛假 NA報(bào)文、虛假 RS報(bào)文、虛假 RA報(bào)文攻擊。 鄰居發(fā)現(xiàn)協(xié)議和 ARP 協(xié)議的比較 27 發(fā)送機(jī)制 IPv4中 ARP是基于鏈路層廣播機(jī)制，在一個(gè)比較大的站點(diǎn)范圍內(nèi)會(huì)占用大量的帶寬，有時(shí)還會(huì)引起 (廣播風(fēng)暴 )。而在 IPv6中，這一過程是基于網(wǎng)絡(luò)層的組播機(jī)制實(shí)現(xiàn)的，這樣在地址解析的過程中受到地址解析發(fā)送包影響的節(jié)點(diǎn)數(shù)大大減少，而且非 IPv6節(jié)點(diǎn)根本不受影響，這在目前一個(gè)相當(dāng)長的時(shí)期內(nèi)，針對 IPv4與 IPv6共存的網(wǎng)絡(luò)環(huán)境較有實(shí)際意義。 所處層次 IPv4的 ARP運(yùn)行在數(shù)據(jù)鏈路層，不同的網(wǎng)絡(luò)介質(zhì)需要有不同的 ARP協(xié)議，而鄰居發(fā)現(xiàn)協(xié)議運(yùn)行在網(wǎng)絡(luò)層與介質(zhì)無關(guān)。任何網(wǎng)絡(luò)媒介都可以運(yùn)行相同的鄰居發(fā)現(xiàn)協(xié)議。 可達(dá)性檢測維護(hù) 鄰居緩存包含有鄰居不可達(dá)檢測