你不可忽視的園區網ARP安全防護

【ARP安全防護】本文重點針對在IPv4環境下的ARP防護問題以及解決方案進行具體闡述。主要包括：ARP欺騙攻擊以及解決方案、ARP泛洪攻擊以及解決方案和實際部署時的建議。

發布時間：2019-04-03
點擊量：
點贊：

分享至

我想評論

前言

ARP（Address Resolution Protocol，地址解析協議），目的是實現IP地址到MAC地址的映射。而在TCP/IP協議棧中，最不安全的協議，可能非ARP莫屬了。我們經常聽到的這些術語，包括"網絡掃描"、"內網滲透"、"中間人攔截"、"局域網流控"、"流量欺騙"，基本都跟ARP脫不了干系。本文重點針對在IPv4環境下的ARP防御問題以及解決方案進行具體闡述。主要包括：ARP欺騙攻擊以及解決方案、ARP泛洪攻擊以及解決方案和實際部署時的建議。

ARP攻擊介紹

ARP欺騙攻擊

• ARP欺騙的原理

正常的ARP通訊過程只需廣播ARP Request和單播ARP Reply兩個過程，簡單的說就是一問一答。而ARP的欺騙就是通過偽造請求或者應答報文形成的欺騙。

• ARP欺騙攻擊的分類

根據ARP欺騙者與被欺騙者之間角色關系的不同，通常可以把ARP欺騙攻擊分為如下兩種，如圖1所示：

主機型ARP欺騙：欺騙者主機冒充網關設備對其他主機進行欺騙。

網關型ARP欺騙：欺騙者主機冒充其他主機對網關設備進行欺騙。

▲圖1 ARP欺騙分類

ARP泛洪攻擊

• ARP泛洪攻擊的原理

ARP泛洪攻擊，也叫拒絕服務攻擊（Denial of Service），可能導致大量消耗交換機內存、表項或者其它資源，使系統無法繼續服務。大量的報文砸向CPU，占用了整個送CPU報文的帶寬，導致正常的協議報文和管理報文無法被CPU處理，帶來協議震蕩或者設備無法管理，進而導致數據面轉發受影響，并引起整個網絡無法正常運行。

ARP欺騙攻擊解決方案

在介紹具體解決方案之前，我們先了解下防ARP欺騙的核心功能：ARP-check（ARP報文合規校驗），校驗ARP報文的源IP與安全地址中的IP是否一致，校驗ARP報文的源MAC與安全地址中的MAC是否一致，在兩項校驗均合規的情況下對報文進行轉發。而安全地址的生成，我們可以通過手工靜態綁定的方式以及DHCP Snooping監測的方式獲取，具體流程如圖2：

▲圖2 ARP-check流程

以上是硬件檢測的流程，除此之外還有一種軟件校驗的方式，就是將端口的ARP請求直接送往CPU，而CPU依據DHCP Snooping的表項進行合規檢查。

端口安全 + ARP-check方案

應用場景：此方案適用于用戶IP地址為靜態分配的場景，并且需要明確知道每個用戶所連接交換機端口。

功能簡介：通過手工的方式將IP與MAC的對應關系配置到交換機的端口，并開啟ARP合規檢查。具體配置如圖3：

▲圖3 端口安全+ARP-check方案配置

方案的優勢：控制非常嚴格，應用硬件方式直接校驗ARP報文，準確，無需消耗CPU。

缺點的劣勢：端口安全必須收集并配置所有用戶IP和MAC信息，較為繁雜，不夠靈活，不適合于用戶需要頻繁遷移端口的環境。

全局IP&MAC綁定+ARP-check方案

應用場景：此方案適用于用戶IP地址為靜態分配的場景，但管理員不需要知道每個用戶所連接的交換機端口，因此適用于用戶分布情況不確定，或者下聯用戶存在隨意移動端口的場景中。

功能簡介：通過手工方式將IP與MAC的對應關系配置到交換機全局，并在交換機的端口下開啟ARP合規檢查。具體配置如圖4：

▲圖4 全局IP+MAC綁定+ARP-check方案配置

方案的優點：控制較為嚴格，允許用戶在本交換機內部進行端口遷移具備一定的靈活性，應用硬件方式直接校驗ARP報文，準確，無需消耗CPU。

方案的缺點：端口安全必須收集并配置所有用戶IP和MAC信息，較為繁雜。

DAI方案

應用場景：DAI（Dynamic ARP Inspection）方案適合于接入用戶使用DHCP動態獲取IP地址環境，同時要求部署DHCP Snooping功能。

功能簡介：提取DHCP Snooping表中的IP+MAC信息，通過CPU過濾源MAC/源IP不在Snooping表中的ARP報文，具體流程如圖5：

▲圖5 DAI方案ARP合規檢查流程圖

具體配置見圖6：

▲圖6 DAI方案配置

方案的優點：配置維護簡單，無需手工配置每個用戶的IP&MAC綁定。

方案的缺點：由于用戶的ARP報文送CPU檢查，檢查的來源是DHCP Snooping所記錄的軟件表項，因此會額外消耗設備的CPU資源。

IP Source Guard + ARP-check方案

應用場景：此方案適合于接入用戶使用DHCP動態獲取IP地址環境，同時要求部署DHCP Snooping功能。

功能簡介：提取DHCP Snooping表中正確的IP與MAC，通過IP Source Guard將DHCP Snooping表寫入交換機硬件表項，使用ARP-check功能校驗ARP報文的合法性，具體流程如圖7：

▲圖7 IP Source Guard + ARP-check方案流程圖

具體配置如圖8：

▲圖8 IP Source Guard + ARP-check方案配置

方案的優點：配置維護簡單，和DAI相比，ARP-check屬于硬件芯片檢查安全表項，不消耗CPU資源。

方案的缺點：對交換機的安全功能要求較高，需要同時支持DHCP Snooping、IP Source Guard、ARP-check這三種功能。跟DAI相比，會消耗硬件資源表項，當交換機使用較多安全功能時，比如ACL，且交換機下接用戶數過多，可能會導致設備硬件安全資源不足，需要適當控制單臺交換機的帶機數。

設備硬件資源不足時，會提示類似這樣的log：

%SECURITY-3-TCAM_RESOURCE_LIMIT: TCAM resource is temporary not available.

ARP欺騙解決方案對比分析

▲表1 ARP欺騙解決方案對比分析表

如表1所示，當網絡內采用DHCP方式動態獲取IP，那么推薦采用IP Source Guard + ARP-check方案進行防ARP欺騙攻擊部署，對于部分手工配置的IP地址需要網絡訪問時，例如打印機，可以結合端口或者全局IP&MAC手動綁定的方式+ ARP-check解決。

ARP泛洪攻擊解決方案

CPP+NFPP解決ARP泛洪攻擊

由于ARP報文的解析均要送往CPU進行解析，因此我們可以通過限制ARP送往CPU的報文速率實現對CPU的保護

CPP（CPU Protect Policy，CPU保護策略）是一種設備自身用來保護CPU的安全防護功能，用于避免網絡設備的CPU收到網絡上不必要和具有惡意攻擊目的的數據報文，通過將發往CPU的報文識別分類、劃分隊列、限速、調度、流量整形等處理后，送達CPU，保證網絡設備的CPU即使在一個充斥著網絡攻擊的環境中仍可以對正常進行協議報文處理，確保網絡的穩定運行。如圖9所示：

▲圖9 CPP工作流程圖

當然CPP本身也是有局限性的，例如僅針對報文進行限速，無法從根本解決問題，并且沒有相關的日志產生，導致出現問題后無法定位故障。針對CPP的局限，一個全新的系統架構出現，即：NFPP(Network Foundation Protection Policy，網絡基礎保護策略)。

對比于CPP，NFPP增加了安全策略，如（隔離策略，攻擊檢測策略），并且能夠在觸發安全策略后以syslog或者trap的方式上報服務器，具體流程如圖10所示：

▲圖10 NFPP簡化流程圖

在NFPP框架內隔離策略，可從源頭屏蔽攻擊，并且會產生相關的log信息，從而幫助網絡管理員定位問題。在NFPP框架內，可實現對于ARP報文的防護（ARP-Guard）、ND報文的防護、DHCP報文防護等等，本文將針對ARP防護進行進一步詳細介紹。

ARP防護（ARP-Guard）：

ARP-Guard功能主要目標為保護設備CPU，防止大量ARP攻擊報文送CPU導致CPU利用率升高，所以ARP-Guard實現了對送往CPU的ARP報文的限速和攻擊檢測。

通過在交換機上開啟ARP-Guard功能，設置ARP報文的攻擊水線以及限速水線。如果ARP報文量超過攻擊水線，那么設備將通過安全策略直接進行隔離，并產生log信息給日志服務器。如果ARP報文量小于攻擊水線但大于限速水線，那么將對報文進行限速處理，并產生log信息給日志服務器。如果ARP報文量低于限速水線，可正常轉發至CPU。如圖11所示：