试验网路设备之安全性设定与操作 云科大计算机网路研究室.ppt

實驗二 網路設備之安全性設定與操作 國立雲林科技大學 自由軟體研發中心 國立雲林科技大學 計算機網路實驗室 實驗二 網路設備之安全性設定與操作 實驗目的 本實驗針對一般較常接觸到的設備 layer 2/3 交換器講解如何設定，抵禦下列幾項在區域網路下常見的攻擊： DHCP spoofing MAC address spoofing ARP spoofing 透過在交換器上啟用下列三種功能，能夠消除上述三種攻擊： DHCP Snooping IP Source Guard Dynamic ARP Inspection 實驗二 網路設備之安全性設定與操作 * 實驗場景 實驗二 網路設備之安全性設定與操作 * Cisco layer 3 switch 3560 Internet FastEthernet0/1 FastEthernet0/24 ASUS AP WL-520GU IP: DHCP pool 0 ~ 50 Client 1 Client 2 FastEthernet0/2 何謂 DHCP spoofing ？ 何謂 DHCP spoofing ？ 在 DHCP 中，如果使用者是第一次使用或是重新登錄，通常都是以廣播的方式來取得 DHCP 伺服器的資訊，而且只會接受第一個回應的 DHCP 伺服器所提供的網路配置參數。如果在網路存在多台的 DHCP 伺服器 ( 可能有一台以上的 DHCP 伺服器是未經授權的 ) ，由於 DHCP 是採用誰先回應那麼使用者就採用先回應的 DHCP 伺服器所提供的網路配置參數，假如使用者先接收到未經授權 DHCP 伺服器的回應，這樣一來使用者所取得的網路配置參數即為非授權的網路配置參數，可能會被有心人士竊取到使用者通訊的相關資訊。 實驗二 網路設備之安全性設定與操作 * 何謂 MAC address spoofing ？ 實驗二 網路設備之安全性設定與操作 * MAC address spoofing 攻擊範例 何謂 ARP spoofing ？ 何謂 ARP (Address Resolution Protocol) ？ ARP是將 IP 位址轉換成 MAC Address 的一種通訊協定，當某一台電腦要傳送資料到某個 IP 位址時，首先會先傳送 ARP 封包詢問網路上哪台電腦的 MAC Address 對應到這個 IP 位址，當目的主機接收到這個 ARP 封包之後便會回應給來源電腦進行資料傳送。 何謂 ARP Cache ？ 過多的 ARP 封包也可能佔用到網路頻寬並造成網路擁塞，因此當有 ARP 封包經過時，電腦或是網路設備會儲存相對應的 IP 與 MAC Address，這就是 ARP Cache 。之後可不需要再發送 ARP 封包詢問便可直接傳輸資料，可減少對網路頻寬的影響。 何謂 ARP 攻擊 (ARP Poisoning 、 ARP Spoofing) ？ 發送一個假的 ARP 封包並竄改 ARP Cache 使得資料無法正確傳輸到目的地，造成網路無法連結，便稱作 ARP 攻擊。由於一般的 ARP Cache 是根據經過的 ARP 封包不斷的變更本身的 ARP 列表，所以假設接收到的 ARP 封包所提供的資料是偽造的，就會讓資料無法傳輸到實際的目的地。甚至可能因為假造的 ARP 封包而將資料導向某特定電腦，駭客便可利用這種方式竊取封包資料或修改封包內容。 如何預防ARP病毒攻擊？ 某些網路設備可以啟用 Dynamic ARP inspection 功能，該功能可以檢查 ARP 訊息並拒絕假的 ARP 封包。 實驗二 網路設備之安全性設定與操作 * DHCP Snooping 簡介 DHCP Snooping 的目的 DHCP snooping 最主要的目的是防止因 DHCP spoofing 而造成的不當 DHCP 租用行為，其中包含非法 DHCP 伺服器的 IP 位址派送行為及 DHCP 租用者對 DHCP 伺服器的不當租用行為，甚至以不當的 DHCP 封包影響其他使用者的 DHCP 租用結果。 DHCP Snooping 的運作架構 在 DHCP snooping 的架構中主要有 DHCP server 、 DHCP relay agent 及 DHCP client 三個角色。DHCP server 可以支援或不支援 option-82 ，單視是否需要從 option-82 提供的資訊去控管 IP 位址的發配；DHCP relay agent 為支援 DHCP relay 及 DHCP snooping 的 Switch ； DHCP client 指的是發送 DHCP request ，要求從 DHCP server 取得 IP 位址的主機。同時， DHC