您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

时间:2019-12-10 13:24:07  来源:  作者:

1拓扑

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

实现控制只能获取企业内部合法的DHCP服务分配的地址,而其余的DHCP服务器则不能通过。

说明:为什么需要该技术呢,因为DHCP的工作原理是最先响应的服务器,PC就获取该服务器分配的IP地址,这样的话有些恶意的人把网关指向自己的电脑,然后通过抓包工具等实现抓包分析等功能,这样造成不安全,另外就是网段不一致了,导致访问公司内网或外网出现问题,所以我们必须杜绝该问题的出现。

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

正常情况下,内网的用户都是通过内部部署的服务集集群正确获取到IP地址,但是如果有一个人无意或者恶意的放了一台设备在接入层,而该设备正好附带DHCP功能【比如无线路由器等】,那么导致下面的用户都会获取到该服务器提供的地址段,而不是内部规划好的。
当有恶意DHCP服务器出现的时候【查看】

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 


中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

可以看到这次获得了172.16.1.0网段,这个就是通过恶意的DHCP服务器提供的。那么导致的结果就是

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

访问都失败。

解决办法


 

(1)全局 DHCP Snooping功能
[boss]dhcp enable
[boss]dhcp snooping enable

 

(2)面向用户的接口开启DHCP Snooping功能
[boss]port-group 1
[boss-port-group-1]dhcp snooping enable
说明:该接口组之前已经定义过了,可以直接在里面调用即可。

(3)上联接口【连接DHCP服务器接口】开启Trust功能
[boss]port-group 2
[boss-port-group-2]dhcp snooping trusted
说明:上联接口之前定义在port-group2中,开启即可,注意这里连接核心A与B接口都需要开启。
(4)测试结果

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

可以看到Renew一下后,又正常获取到了IP地址了。

说明:DHCP Snooping的工作原理就是当开启DHCP Snooping功能后,接口处于Trust的状态则接收对应的DHCP ACK与Offer包,而其余接口默认处于Untrust中,所以会丢弃这些包。

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

可以看到有动态的表项,后续的安全部署可以根据这表项来进行安全控制

 

部署用户只能通过DHCP获取的情况下,能够访问内网与外网,而人为定义则不行。


 

说明:有时候客户会私自定义IP地址,但是客户又不是非常懂,那么导致可能与网关或者其他PC的地址冲突了,所以我们这里必须杜绝该种情况出现,必须通过DHCP获取地址才能访问内网与外网。

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

手动定义地址,进行访问。

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

可以看到可以正常访问。

解决办法

开启DAI功能+ip source guead
(1)部署DAI
[boss]port-group 1
[boss-port-group-1]arp anti-attack check user-bind enable
说明:默认是检查IP 、mac、VLAN信息,可以修改arp anti-attack check user-bind check-item ip-address mac-address vlan

 

可以看到当自己定义IP地址后,会不访问。

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

(2)部署ip source guead
说明:为什么需要部署IP source guead呢,因为DAI有一个因为存在,DAI的功能是在PC第一次访问的时候,需要放松ARP信息,而DAI就是检测ARP信息的,如果本地没有对应DHCP Snooping表项,就丢弃ARP报文。那么如果客户知道了网关的MAC 地址,然后手工定义一个ARP【对于懂一点技术的人来说,也是非常简单的。】

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

比如手动指定了一个静态映射

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

可以看到就可以访问了。

[boss]port-group 1
[boss-port-group-1]ip source check user-bind enable
说明:开启ip source功能,检查,它会根据DHCP Snooping表项来检查数据包的IP、MAC、VLAN是否与绑定表有,如果没有就丢弃。

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

可以看到,就直接丢弃了。

(3)静态绑定表项
说明:为什么需要静态绑定呢,因为有时候有些打印机之类的是固定IP地址,所以必须允许它们通过。
[boss]user-bind static ip-address 192.168.44.1 mac-address 4422-1111-3423 vlan 40
添加一个静态表项,这样就可以通过了。

中小企业网络架构:内网安全部署之DHCP,防止恶意DHCP与IP冲突

 

可以看到没问题了。



Tags:网络架构   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
1、网络架构总体说明为了方便网络管理,园区网络通常按照功能或业务进行分层分区设计,园区内部网络包括终端层、接入层、汇聚层、核心层、出口区,园区外部的其他园区、分支、出...【详细内容】
2021-08-17  Tags: 网络架构  点击:(89)  评论:(0)  加入收藏
软件定义广域网是将软件定义网络技术应用于广域网,以实现高效、特色连接服务的技术。研究分析政府、企业新型云化业务部署快速发展后,针对网络传输承载的需求,结合软件定义网络...【详细内容】
2021-08-11  Tags: 网络架构  点击:(81)  评论:(0)  加入收藏
K8S 网络设计与实现是在学习 K8S 网络过程中总结的内容。本文按照 K8S 网络设计原则、Pod 内部网络、Pod 之间网络等几个步骤讲解 K8S 复杂的网络架构。 图片出自:《你女儿也...【详细内容】
2021-04-01  Tags: 网络架构  点击:(267)  评论:(0)  加入收藏
当前越来越多的企业将自己的业务迁移至云端,云计算的发展势头不可阻挡,身边好多朋友也纷纷购买云主机用来学习测试。有那么一波小伙伴们肯定好奇这么多的云主机是通过怎样的网...【详细内容】
2020-11-12  Tags: 网络架构  点击:(128)  评论:(0)  加入收藏
用过Windows Server操作系统的人肯定熟悉以下页面,系统自带的IE浏览器默认开启了增强的安全配置,打开所有链接都会被阻止。尤其是新装的操作系统需要装一些软件的时候,需要添加...【详细内容】
2020-09-15  Tags: 网络架构  点击:(95)  评论:(0)  加入收藏
Calico 是一种容器之间互通的网络方案。在虚拟化平台中,比如 OpenStack、Docker 等都需要实现 workloads 之间互连,但同时也需要对容器做隔离控制,就像在 Internet 中的服务仅...【详细内容】
2020-09-01  Tags: 网络架构  点击:(82)  评论:(0)  加入收藏
如果您正在运行大型IP网络,则将需要边界网关协议(BGP),但不需要快速收敛的协议即可实现基于IP的现代服务。您需要知道在何处以及如何部署BGP,以及何时获得帮助。考虑到边界网关协...【详细内容】
2020-08-26  Tags: 网络架构  点击:(79)  评论:(0)  加入收藏
一、企业网络架构重要性1、企业的业务总是在不断地发展,对网络的需求也是在不断地变化,这就要求企业网络应该具备适应这种需求不断变化的能力。因此,了解企业网络的架构是如何...【详细内容】
2020-07-12  Tags: 网络架构  点击:(84)  评论:(0)  加入收藏
> Source: Pixabay 标准,循环,卷积和自动编码器网络随着深度学习的飞速发展,已经创建了完整的神经网络体系结构主机,以解决各种各样的任务和问题。 尽管有无数的神经网络架构,但...【详细内容】
2020-07-01  Tags: 网络架构  点击:(58)  评论:(0)  加入收藏
最近想把局域网架构整理一下,工厂的测是网络架构,挺实用的方案,在此之前先分享一些服务器安装,设备评估等。哇,想想在切入正题之前还有许多内容要写,本文先分享一下DHCP服务器的安...【详细内容】
2020-05-15  Tags: 网络架构  点击:(70)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获...【详细内容】
2021-12-27  Kali与编程    Tags:勒索病毒   点击:(3)  评论:(0)  加入收藏
一、SQL注入漏洞SQL 注入攻击( SQL Injection ),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串...【详细内容】
2021-12-10  华清信安    Tags:Web漏洞   点击:(23)  评论:(0)  加入收藏
AD域是目前大型企业常用的内网管理方案,但随着近年来实网演习的常态化和不断深入,AD域安全越来越得到企业的重视。不论是在演练还是在真实的高级攻击场景中,在复盘中可以看出,大...【详细内容】
2021-10-27    中国信息安全  Tags:AD域   点击:(38)  评论:(0)  加入收藏
网友们,过去一年,您的网络安全段位提升了吗?需要更多的专属利器加持吗?今年我们又为您准备了丰富的网络安全知识大餐,助您驰骋网络,为网络安全护航!2021年10月11日至17日为“国家网...【详细内容】
2021-10-13    九派教育  Tags:网络安全   点击:(49)  评论:(0)  加入收藏
拓扑环境 Kali Linux(攻击机) Centos6.4(web服务器) win7(域成员主机无法上网) win2008R2(域控无法上网) 目的通过Kali Linux拿到域控权限2021最新整理网络安全\渗透测试/安全学习(全...【详细内容】
2021-09-17  KaliMa    Tags:内网渗透   点击:(90)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  KaliMa    Tags:内网渗透   点击:(47)  评论:(0)  加入收藏
堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。 那么,作为内网安全的"终结者",堡垒机究竟是个什么模样...【详细内容】
2021-08-26  IT技术管理那些事儿    Tags:堡垒机   点击:(76)  评论:(0)  加入收藏
1、VMware Workstation Pro 16: https://download3.vmware.com/software/wkst/file/VMware-workstation-full-16.1.0-17198959.exe VMware Workstation Pro 15【建议】 ht...【详细内容】
2021-08-25  Kali与编程    Tags:虚拟机软件   点击:(71)  评论:(0)  加入收藏
很多小伙伴都想入行网络安全,因为网络安全高薪,未来发展前景好,但是不知道网络安全学习路线是什么样的?网络安全学多久能找工作?我们就来梳理一下。 网络安全虽然好上手,入门难度...【详细内容】
2021-08-23  知了堂    Tags:网络安全   点击:(72)  评论:(0)  加入收藏
入侵一些网站,电脑,制作一些病毒,学会多项编程,这是一个普通黑客都会的技能,那么真正黑客能厉害到什么程度呢?除了勒索病毒,熊猫烧香等自动感染的病毒被大家熟知外,还有更厉害的骚操...【详细内容】
2021-08-19  IT技术管理那些事儿    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条