端口隔離在校園網(wǎng)中的實(shí)施和分析

摘要:目前網(wǎng)絡(luò)已普及到各個(gè)高等院校，隨著網(wǎng)絡(luò)用戶(hù)數(shù)量的增加，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，校園網(wǎng)的安全面臨著諸如ARP攻擊，DHCP服務(wù)器安全隱患等各種問(wèn)題。該文主要針對(duì)以上兩種問(wèn)題，介紹了端口隔離的實(shí)施，并分析了端口隔離對(duì)網(wǎng)絡(luò)安全的意義。

關(guān)鍵詞:端口隔離;ARP;DHCP;網(wǎng)絡(luò)安全

The Measure and Significance of Port Isolation in Campus Network

LI Mei， LIANG An-bing

(Modern Education Technology Center， Anhui University， Hefei 230039， China)

Abstract: Nowdays，with the internet widespread use in every college ， the number of user is increasing， and the scope of internet is become larger ，then the internet securityis facing the problems，such as ARP attack and hidden danger of DHCP servers. In this paper，we introduce the measure that how to isolate the port of the LAN and analyse the significance of port isolation.

Key words: port isolation; ARP; DHCP; internet security

校園網(wǎng)由多個(gè)局域網(wǎng)組成，ARP病毒正是一種在局域網(wǎng)中蔓延的病毒，因此高校的ARP病毒問(wèn)題比較常見(jiàn)。感染ARP病毒的機(jī)器，會(huì)不定期以廣播或單播形式發(fā)送偽造的ARP和響應(yīng)數(shù)據(jù)報(bào)文，大部分以廣播泛洪方式發(fā)送，這些報(bào)文會(huì)欺騙所在網(wǎng)段的其他主機(jī)，將自己的MAC地址偽裝成網(wǎng)關(guān)MAC，使得網(wǎng)關(guān)無(wú)法學(xué)習(xí)到主機(jī)MAC，不能更新網(wǎng)關(guān)的ARP表正確轉(zhuǎn)發(fā)數(shù)據(jù)幀，導(dǎo)致網(wǎng)段內(nèi)其他主機(jī)無(wú)法上網(wǎng)或頻繁掉線。DHCP服務(wù)器能夠自動(dòng)將IP地址指派給網(wǎng)絡(luò)中的主機(jī)，當(dāng)主機(jī)分配到正確的IP地址后方可正常上網(wǎng)，但目前學(xué)生宿舍使用小型路由器的現(xiàn)象比較嚴(yán)重，其中的DHCP服務(wù)功能往往因?yàn)闆](méi)有關(guān)閉而造成給網(wǎng)段內(nèi)其他主機(jī)分配錯(cuò)誤的IP地址，另外有用戶(hù)私自架設(shè)DHCP服務(wù)器也導(dǎo)致其他用戶(hù)不能上網(wǎng)。在校園網(wǎng)中，以上兩種問(wèn)題直接造成了網(wǎng)絡(luò)的不穩(wěn)定，本校通過(guò)端口隔離的辦法有效的減少網(wǎng)絡(luò)中的ARP攻擊和DHCP服務(wù)器隱患問(wèn)題，保障了網(wǎng)絡(luò)的暢通。

1 ARP簡(jiǎn)介

1.1 ARP協(xié)議介紹

我們這里所說(shuō)的ARP病毒不是病毒名稱(chēng)，而是對(duì)利用ARP協(xié)議漏洞進(jìn)行傳播的一類(lèi)病毒的總稱(chēng)。目前，表現(xiàn)最多的是木馬程序，盜號(hào)軟件等。ARP全稱(chēng)為address resolution protrol，地址解析協(xié)議。它是用來(lái)將IP地址解析為硬件地址即MAC地址的協(xié)議。每個(gè)主機(jī)都有一個(gè)ARP高速緩存，用來(lái)存放局域網(wǎng)上各主機(jī)和路由器的IP地址到硬件地址的映射表。發(fā)送端主機(jī)通過(guò)查找ARP緩存查找目的端主機(jī)的IP對(duì)應(yīng)的MAC地址，從而將數(shù)據(jù)發(fā)送過(guò)去。這個(gè)映射表是實(shí)時(shí)更新的，因?yàn)榫W(wǎng)絡(luò)是時(shí)刻變化的。尋找目的主機(jī)的ARP請(qǐng)求是廣播發(fā)送的，而ARP響應(yīng)分組是普通的單播。

1.2 ARP欺騙過(guò)程

這種廣播尋求目的主機(jī)，單播響應(yīng)源主機(jī)的機(jī)制必須建立在局域網(wǎng)中的主機(jī)相互信任的基礎(chǔ)上。但事實(shí)上，這種理想狀態(tài)并不能長(zhǎng)期保證，在局域網(wǎng)中，中毒的主機(jī)在接收到ARP廣播報(bào)文后，會(huì)冒充目的主機(jī)響應(yīng)發(fā)送端主機(jī)，將本該發(fā)送到其他IP地址的數(shù)據(jù)截獲。這就是簡(jiǎn)單的欺騙過(guò)程，在校園網(wǎng)中，更為多見(jiàn)的是冒充網(wǎng)關(guān)的欺騙。局域網(wǎng)中的主機(jī)要訪問(wèn)互聯(lián)網(wǎng)，要通過(guò)網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)，而病毒主機(jī)會(huì)將網(wǎng)關(guān)的IP和自己主機(jī)的MAC地址映射起來(lái)，讓其他主機(jī)誤認(rèn)為病毒主機(jī)就是網(wǎng)關(guān)，記錄在ARP緩存中。本該發(fā)送給真網(wǎng)關(guān)的數(shù)據(jù)就被病毒主機(jī)監(jiān)聽(tīng)到。被攻擊的主機(jī)在路由器和病毒主機(jī)間互相轉(zhuǎn)換，頻繁掉線。

1.3 ARP中毒現(xiàn)象及簡(jiǎn)單防治

被ARP攻擊的主機(jī)會(huì)造成上網(wǎng)頻繁掉線，網(wǎng)速時(shí)快時(shí)慢極不穩(wěn)定，網(wǎng)上銀行，各種賬號(hào)頻繁丟失，甚至無(wú)法上網(wǎng)。從用戶(hù)角度防范可以采用手工綁定網(wǎng)關(guān)IP和MAC地址，或者使用anti ARP軟件，360安全衛(wèi)士等等。但這種方式有很多弊端，不能從根本上解決攻擊問(wèn)題。從整個(gè)網(wǎng)絡(luò)的角度考慮采取端口隔離的效果比個(gè)人防治更有效。

2 DHCP簡(jiǎn)介

2.1 DHCP協(xié)議介紹

DHCP全稱(chēng)為dynamic host configuration protrol，動(dòng)態(tài)主機(jī)配置協(xié)議。它提供了一種即插即用連網(wǎng)機(jī)制，這種機(jī)制允許一臺(tái)計(jì)算機(jī)加入新的網(wǎng)絡(luò)和獲取IP地址。DHCP使用客戶(hù)服務(wù)器方式，需要IP地址的主機(jī)在啟動(dòng)時(shí)就向DHCP服務(wù)器廣播發(fā)送報(bào)文，只有DHCP服務(wù)器才對(duì)此廣播報(bào)文進(jìn)行應(yīng)答。當(dāng)在數(shù)據(jù)庫(kù)中查找到該計(jì)算機(jī)的信息時(shí)返回找到信息，找不到則從服務(wù)器的地址池中取一個(gè)地址分配給該計(jì)算機(jī)。

2.2 宿舍路由器DHCP隱患

目前，大部分高校的宿舍網(wǎng)絡(luò)端口數(shù)不能滿足學(xué)生電腦數(shù)量，因此很多學(xué)生會(huì)使用小型路由器，而小型路由器帶有DHCP服務(wù)器功能。大多數(shù)學(xué)生直接接線使用沒(méi)有關(guān)閉其中的DHCP服務(wù)器功能，干繞了局域網(wǎng)用戶(hù)獲取正確IP地址。使用DHCP服務(wù)器的人越多，網(wǎng)絡(luò)就會(huì)越混亂。因此減少網(wǎng)絡(luò)中DHCP服務(wù)器的數(shù)量對(duì)網(wǎng)絡(luò)的有序運(yùn)行很有意義。這里我們將使用小型路由器而沒(méi)有關(guān)閉DHCP功能的機(jī)器和私自架設(shè)DHCP服務(wù)器的機(jī)器統(tǒng)稱(chēng)非法DHCP。

2.3 非法DHCP對(duì)網(wǎng)絡(luò)的影響和傳統(tǒng)治理辦法

局域網(wǎng)中如果有用戶(hù)使用小型路由器，并且沒(méi)有關(guān)閉DHCP服務(wù)器功能，那么其他用戶(hù)就可能始終上不了網(wǎng)，因?yàn)榉植坏秸_的地址。以本校為例，正確上網(wǎng)的IP地址為172開(kāi)頭，如果分得的地址為192或者169開(kāi)頭的，那么就有可能被帶DHCP功能的路由器分到了錯(cuò)誤地址。從網(wǎng)絡(luò)管理的角度看，對(duì)用戶(hù)路由器進(jìn)行逐一手工關(guān)閉DHCP服務(wù)功能費(fèi)時(shí)費(fèi)力，如果用戶(hù)重新開(kāi)啟該功能，那么之前的工作又要重復(fù)進(jìn)行。

3 端口隔離的實(shí)施

3.1端口隔離的可行性

端口隔離技術(shù)是一種將交換機(jī)端口之間的通訊進(jìn)行阻隔的技術(shù)。在本校的實(shí)施中，我們將接入層交換機(jī)之間的端口隔離開(kāi)，目的是阻斷局域網(wǎng)之間的通信，阻止ARP病毒報(bào)文及非法DHCP報(bào)文的傳送。用戶(hù)仍能通過(guò)匯聚層交換機(jī)進(jìn)行數(shù)據(jù)傳送，保證和互聯(lián)網(wǎng)的通信。目前市場(chǎng)上的大部分交換機(jī)支持端口隔離技術(shù)，因此實(shí)施起來(lái)具有可行性。具體拓?fù)淙鐖D1。

3.2端口隔離的實(shí)現(xiàn)

這里我們總結(jié)了三類(lèi)交換機(jī)的端口隔離方法，分別是基于物理端口的隔離方式，基于vlan的端口隔離和hybrid端口隔離。

3.2.1基于物理端口的隔離方式

本校我們?cè)诮尤雽咏粨Q機(jī)H3C E126A和上聯(lián)的匯聚交換機(jī)H3C S5100-24P-EI中使用了以下命令:

interface GigabitEthernet1/0/1

port isolate

interface GigabitEthernet1/0/2

port isolate

interface GigabitEthernet1/0/3

port isolate//端口隔離

此處在大匯聚交換機(jī)H3C S7502E中使用了另一種命令:

port-isolate enbale

3.2.2 基于vlan的端口隔離方式

Vlan 631 //創(chuàng)建631vlan

port-isolate enable //將vlan 631下的端口隔離開(kāi)

此外在上聯(lián)口加入命令

port-isolate uplink-port vlan 631//給隔離端口找到上聯(lián)口，保證與外網(wǎng)可以通信

3.2.3 hybrid端口隔離方式:

interface Ethernet0/1

port link-type hybrid

port hybrid vlan 101 647 untagged

port hybrid pvid vlan 101

#

interface Ethernet0/2

port link-type hybrid

port hybrid vlan 102 647 untagged

port hybrid pvid vlan 102

#

interface Ethernet0/3

port link-type hybrid

port hybrid vlan 103 647 untagged

port hybrid pvid vlan 103

基于vlan的端口隔離和hybrid端口隔離主要用在接入層交換機(jī)中，本校應(yīng)用在QuidWay S2126-EI，E026-FE， E026-SI和S2403H-EI型號(hào)的交換機(jī)上。

對(duì)于用哪種方式進(jìn)行隔離取決于交換機(jī)支持的類(lèi)型，可以查看交換機(jī)的技術(shù)文檔或者幫助文件。

3.3 其他輔助命令

有些交換機(jī)本身支持ARP和DHCP的防護(hù)功能，因此我們可以將其開(kāi)啟，配合端口隔離使用效果更好。

例如在E026A上加入命令:arp detection enable 和dhcp-snooping

同時(shí)在上聯(lián)口加入命令:dhcp-snooping trust和arp detection trust

4 端口隔離的實(shí)施效果分析

做完匯聚層交換機(jī)的端口隔離后，通過(guò)對(duì)學(xué)校故障數(shù)量的統(tǒng)計(jì)，我們發(fā)現(xiàn)局域網(wǎng)中的ARP攻擊和非法DHCP分配地址的情況減少了大半。緊接著在接入層交換機(jī)做完隔離后，這兩種攻擊明顯減少。其中非法DHCP的危害范圍完全被隔離開(kāi)，ARP病毒的泛濫基本被阻止。用戶(hù)會(huì)頻繁掉線的現(xiàn)象和因?yàn)榈玫藉e(cuò)誤地址而不能上網(wǎng)的現(xiàn)象基本消失。對(duì)于整個(gè)網(wǎng)絡(luò)的安全性來(lái)說(shuō)，端口隔離是比較有效易行的手段，和從用戶(hù)角度防護(hù)相比，從根本上解決了ARP病毒和非法DHCP的問(wèn)題。由于端口隔離有效的阻止了局域網(wǎng)內(nèi)的數(shù)據(jù)傳送，病毒攻擊的范圍被縮小到每個(gè)端口之內(nèi)，因此我們可以知道，能在局域網(wǎng)內(nèi)傳播的一類(lèi)病毒，都可以被隔離開(kāi)。通過(guò)對(duì)端口隔離的長(zhǎng)期觀察，我們發(fā)現(xiàn)隔離也有其弊端，因?yàn)榫钟蚓W(wǎng)內(nèi)部端口的通訊被阻斷，會(huì)造成局域網(wǎng)端口之間的通訊不能進(jìn)行，例如在局域網(wǎng)玩游戲傳送文件等會(huì)受到限制。從網(wǎng)絡(luò)管理的角度看，端口隔離對(duì)整個(gè)網(wǎng)絡(luò)的作用是利大于弊的，因此這種方法值得應(yīng)用。隨著科技的不斷進(jìn)步，病毒也在不斷變種，因此作為網(wǎng)絡(luò)管理員，我們必須時(shí)刻保持警惕，與時(shí)俱進(jìn)，采取有效的措施保障網(wǎng)絡(luò)的安全。

參考文獻(xiàn):

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].4版.北京:電子工業(yè)出版社，2006.

[2] Doyle J，Carroll J. TCP/IP路由技術(shù)[M] 北京:人民郵電出版社，2007.

[3] 楊云江.計(jì)算機(jī)與網(wǎng)絡(luò)安全實(shí)用技術(shù)[M].北京:清華大學(xué)出版社，2007.

[4] 李育龍.Cisco網(wǎng)絡(luò)工程案例精粹[M].北京:電子工業(yè)出版社，2007.