DHCP Snooping-網絡運維

| 2020-05-04 13:13:47    標簽:

大家好,我是一枚從事IT外包網絡運維工程師,在當今網絡中,存在著大量攻擊,那么安全技術有多么的重要可想而知,這里跟大家介紹DHCP Snooping。


DHCP Snooping簡介

定義

DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一種安全特性,用于保證DHCP客戶端從合法的DHCP服務器獲取IP地址,并記錄DHCP客戶端IP地址與MAC地址等參數的對應關系,防止網絡上針對DHCP攻擊。

目的

目前DHCP協議(RFC2131)在應用的過程中遇到很多安全方面的問題,網絡中存在一些針對DHCP的攻擊,如DHCP Server仿冒者攻擊、DHCP Server的拒絕服務攻擊、仿冒DHCP報文攻擊等。

為了保證網絡通信業務的安全性,可引入DHCP Snooping技術,在DHCP Client和DHCP Server之間建立一道防火墻,以抵御網絡中針對DHCP的各種攻擊。


受益

·設備具有防御網絡上DHCP攻擊的能力,增強了設備的可靠性,保障通信網絡的正常運行。

·為用戶提供更安全的網絡環境,更穩定的網絡服務。

DHCP Snooping的基本原理

DHCP Snooping能夠實現如下基本功能:


信任功能

DHCP Snooping的信任功能,能夠保證客戶端從合法的服務器獲取IP(Internet Protocol)地址。

網絡中如果存在私自架設的DHCP Server仿冒者,則可能導致DHCP客戶端獲取錯誤的IP地址和網絡配置參數,無法正常通信。DHCP Snooping信任功能可以控制DHCP服務器應答報文的來源,以防止網絡中可能存在的DHCP Server仿冒者為DHCP客戶端分配IP地址及其他配置信息。


DHCP Snooping信任功能將接口分為信任接口和非信任接口:

·信任接口正常接收DHCP服務器響應的DHCP ACK、DHCP NAK和DHCP Offer報文。

·非信任接口在接收到DHCP服務器響應的DHCP ACK、DHCP NAK和DHCP Offer報文后,丟棄該報文。


分析功能

開啟DHCP Snooping功能后,設備能夠通過分析DHCP的報文交互過程,生成DHCP Snooping綁定表,綁定表項包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的接口及該接口所屬的VLAN(Virtual Local Area Network)等信息。

DHCP Snooping綁定表根據DHCP租期進行老化或根據用戶釋放IP地址時發出的DHCP Release報文自動刪除對應表項。

出于安全性的考慮,管理員需要記錄用戶上網時所用的IP地址,確認用戶申請的IP地址和用戶使用的主機的MAC地址的對應關系。在設備通過DHCP Snooping功能生成綁定表后,管理員可以方便的記錄DHCP用戶申請的IP地址與所用主機的MAC地址之間的對應關系。

由于DHCP Snooping綁定表記錄了DHCP客戶端IP地址與MAC地址等參數的對應關系,故通過對報文與DHCP Snooping綁定表進行匹配檢查,能夠有效防范非法用戶的攻擊。

為了保證設備在生成DHCP Snooping綁定表時能夠獲取到用戶MAC等參數,DHCP Snooping功能需應用于二層網絡中的接入設備或第一個DHCP Relay上。

DHCP Snooping支持的Option82功能


概述

在傳統的DHCP動態分配IP地址過程中,DHCP Server不能夠根據DHCP請求報文感知到用戶的具體物理位置,以致同一VLAN的用戶得到的IP地址所擁有的權限是完全相同的。由于網絡管理者不能對同一VLAN中特定的用戶進行有效的控制,即不能夠控制客戶端對網絡資源的訪問,這將給網絡的安全控制提出了嚴峻的挑戰。

RFC 3046定義了DHCP Relay Agent Information Option(Option 82),該選項記錄了DHCP Client的位置信息。DHCP Snooping設備或DHCP Relay通過在DHCP請求報文中添加Option82選項,將DHCP Client的精確物理位置信息傳遞給DHCP Server,從而使得DHCP Server能夠為主機分配合適的IP地址和其他配置信息,實現對客戶端的安全控制。

Option82包含兩個常用子選項Circuit ID和Remote ID。其中Circuit ID子選項主要用來標識客戶端所在的VLAN、接口等信息,Remote ID子選項主要用來標識客戶端接入的設備,一般為設備的MAC地址。

設備作為DHCP Relay時,使能或未使能DHCP Snooping功能都可支持Option82選項功能,但若設備在二層網絡作為接入設備,則必須使能DHCP Snooping功能方可支持Option82功能。

Option82選項僅記錄了DHCP用戶的精確物理位置信息并通過DHCP請求報文中將該信息發送給DHCP Server。而如果需要對不同的用戶部署不同的地址分配或安全策略,則需DHCP Server支持Option82功能并在其上已配置了IP地址分配或安全策略。

Option82選項攜帶的用戶位置信息與DHCP Snooping綁定表記錄的用戶參數是兩個相互獨立的概念,沒有任何關聯。Option82選項攜帶的用戶位置信息是在DHCP用戶申請IP地址時(此時用戶還未分配到IP地址),由設備添加到DHCP請求報文中。DHCP Snooping綁定表是在設備收到DHCP Server回應的DHCP Ack報文時(此時已為用戶分配了IP地址),設備根據DHCP Ack報文信息自動生成。


實現

設備作為DHCP Relay或設備在二層網絡作為接入設備并使能DHCP Snooping功能時均可支持Option82功能。使能設備的Option82功能有Insert和Rebuild兩種方式,使能方式不同設備對DHCP請求報文的處理也不同。

·Insert方式:當設備收到DHCP請求報文時,若該報文中沒有Option82選項,則插入Option82選項;若該報文中含有Option82選項,則判斷Option82選項中是否包含remote-id,如果包含,則保持Option82選項不變,如果不包含,則插入remote-id。

·Rebuild方式:當設備收到DHCP請求報文時,若該報文中沒有Option82選項,則插入Option82選項;若該報文中含有Option82選項,則刪除該Option82選項并插入管理員自己在設備上配置的Option82選項。

對于Insert和Rebuild兩種方式,當設備接收到DHCP服務器的響應報文時,處理方式一致。

·DHCP響應報文中有Option82選項:

§如果設備收到的DHCP請求報文中沒有Option82選項,則設備將刪除DHCP響應報文中的Option82選項,之后轉發給DHCP Client。

§如果設備收到的DHCP請求報文中有Option82選項,則設備將DHCP響應報文中的Option82選項格式還原為DHCP請求報文中的Option82選項,之后轉發給DHCP Client。

·DHCP響應報文不含有Option82選項:直接轉發。

 

以上文章由北京艾銻無限科技發展有限公司整理


香港六合彩白小姐论谈