疫情當前 網路安全更重要——IPSG特性

安全劍客發表於2020-02-14
IPSG是IP Source Guard的簡稱。IPSG可以防範針對源IP地址進行欺騙的攻擊行為。
IPSG基礎概念

隨著網路規模越來越大,基於源IP的攻擊也逐漸增多。一些攻擊者利用欺騙的手段獲取到網路資源,取得合法使用網路資源的許可權,甚至造成被欺騙者無法訪問網路,或者資訊洩露。IPSG針對基於源IP的攻擊提供了一種防禦機制,可以有效的防止基於源地址欺騙的網路攻擊行為。

IPSG功能是基於繫結表(DHCP動態和靜態繫結表)對IP報文進行匹配檢查。當裝置在轉發IP報文時,將此IP報文中的源IP、源MAC(Media Access Control)、介面、VLAN(Virtual Local Area Network)資訊和繫結表的資訊進行比較,如果資訊匹配,表明是合法使用者,則允許此報文正常轉發,否則認為是攻擊報文,並丟棄該IP報文。

疫情當前 網路安全更重要——IPSG特性疫情當前 網路安全更重要——IPSG特性

部署場景

一般部署在靠近使用者的接入交換機(也可以在匯聚或者核心交換機)上,可以防範針對源IP地址進行欺騙的攻擊行為,如非法主機仿冒合法主機的IP地址獲取上網許可權或者攻擊網路。主要應用場景如下:

場景1:通過IPSG防止主機私自更改IP地址 主機只能使用DHCP Server分配的IP地址或者管理員配置的靜態地址,隨意更改IP地址後無法訪問網路,防止主機非法取得上網許可權。 印表機配置的靜態IP地址只供印表機使用,防止主機通過仿冒印表機的IP地址訪問網路。

場景2:通過IPSG限制非法主機接入(針對IP地址是靜態分配的環境) 固定的主機只能從固定的介面接入,不能隨意更換接入位置,滿足基於介面限速的目的。 外來人員自帶電腦不能隨意接入內網,防止內網資源洩露。 對於IP地址是DHCP動態分配的環境,一般是通過NAC認證(比如Portal認證或802.1x認證等)功能實現限制非法主機接入。

組網拓撲

疫情當前 網路安全更重要——IPSG特性疫情當前 網路安全更重要——IPSG特性

思路

採用如下的思路在Switch上配置IPSG功能(假設使用者的IP地址是靜態分配的):

介面使能IP報文檢查功能。連線HostA和HostB的介面都需要使能該功能。

配置靜態繫結表,對於靜態配置IP的使用者建立繫結關係表。

配置步驟

(1) 配置IP報文檢查功能

system-view
[HUAWEI] sysname Switch
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] ip source check user-bind enable/// 在連線HostA的GE0/0/1介面使能IP報文檢查功能。
[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable// 在連線HostA的GE0/0/1介面使能IP報文檢查告警功能並配置告警閾值。
[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] ip source check user-bind enable//在連線HostB的GE0/0/2介面使能IP報文檢查功能。
[Switch-GigabitEthernet0/0/2] ip source check user-bind alarm enable// 在連線HostB的GE0/0/2介面使能IP報文檢查告警功能並配置告警閾值。
[Switch-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
[Switch-GigabitEthernet0/0/2] quit

(2) 配置靜態繫結表項

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10//配置HostA為靜態繫結表項。

(3) 驗證結果

在Switch上執行 命令可以檢視繫結表資訊。

display dhcp static user-bind all

疫情當前 網路安全更重要——IPSG特性疫情當前 網路安全更重要——IPSG特性

原文地址: https://www.linuxprobe.com/ipsg-switch.html

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2675647/,如需轉載,請註明出處,否則將追究法律責任。

相關文章