什么是IPSG?
IPSG即IP源防攻击(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,IPSG的绑定表维护了网络中主机IP地址、MAC地址等信息的绑定关系,通过将报文信息与绑定表比对,它能够有效防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
为什么需要IPSG?
网络规模的扩大与发展带来了便捷,但试图从中获利的不法行为也随之出现,对网络安全造成了极大影响。一些攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,造成了合法用户无法访问网络,并且会引起信息泄露。这种攻击是通过伪造源IP地址进行的(简称IP地址欺骗攻击)。对此,IPSG提供了一种防御机制,通过维护绑定表,对报文进行信息匹配,可以有效阻止此类网络攻击行为。
- 可以提供安全的网络环境以及更稳定的网络服务。
- 可以有效降低为保证网络正常运行和网络信息安全而产生的维护成本。
如何实现IPSG?
IPSG中的绑定表
IPSG维护了一张绑定表,记录了源IP地址、源MAC地址、所属VLAN、入接口的绑定关系。当应用IPSG的二层接口收到IP报文时,会将报文信息与绑定表信息进行匹配,只有匹配关系正确的报文允许通过接口,其他报文将被丢弃。
绑定表如表1所示,包括静态和动态两种。
绑定表类型 |
生成过程 |
适用场景 |
|---|---|---|
静态绑定表 |
手工配置。 |
针对IPv4主机,适用于主机数较少且主机使用静态IP地址的场景。 |
DHCP Snooping动态绑定表 |
配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。 |
针对IPv4主机,适用于主机数较多且主机从DHCP服务器获取IP地址的场景。 |
绑定表生成后,IPSG基于绑定表向指定的接口或者指定的VLAN下发ACL,由该ACL来匹配检查所有IP报文,匹配ACL规则的报文允许通过,不匹配的报文都将被丢弃。当绑定表信息变化时,设备会重新下发ACL。
IPSG一般应用在用户侧的接入设备上,可以基于接口或者基于VLAN应用。
- 在用户侧的接口上应用IPSG,该接口接收的所有IP报文均进行IPSG检查。
- 在用户侧的VLAN上应用IPSG,属于该VLAN的所有接口接收到IP报文均进行IPSG检查。
- 如果用户侧的接入设备不支持IPSG功能,也可以在上层设备的接口或者VLAN上应用IPSG。
IPSG中的接口角色
IPSG仅支持在二层物理接口或者VLAN上应用,且只对使能了IPSG功能的非信任接口进行检查。对于IPSG来说,缺省所有的接口均为非信任接口,信任接口由用户指定。IPSG的信任接口/非信任接口也就是DHCP Snooping中的信任接口/非信任接口,信任接口/非信任接口同样适用于基于静态绑定表方式的IPSG。
以下是IPSG中各接口角色的样例,其中:
- Interface1和Interface2接口为非信任接口且使能IPSG功能,从Interface1和Interface2接口收到的报文会执行IPSG检查。
- Interface3接口为非信任接口但未使能IPSG功能,从Interface3接口收到的报文不会执行IPSG检查,可能存在攻击。
- Interface4接口为用户指定的信任接口,从Interface4接口收到的报文也不会执行IPSG检查,但此接口一般不存在攻击。
IPSG中的接口角色
IPSG的过滤方式
绑定表项包含:IP地址、MAC地址、VLAN ID、入接口。静态绑定表项中指定的信息均用于IPSG过滤接口收到的报文。而对于动态绑定表,IPSG依据该表项中的哪些信息过滤接口收到的报文,由用户设置的检查项决定。常见的几种检查项如表2所示:
设置的检查项 |
含义 |
|---|---|
基于源IP地址过滤 |
根据源IP地址对报文进行过滤,只有源IP地址和绑定表匹配,才允许报文通过。 |
基于源MAC地址过滤 |
根据源MAC地址对报文进行过滤,只有源MAC地址和绑定表匹配,才允许报文通过。 |
基于源IP地址+源MAC地址过滤 |
根据源IP和源MAC地址对报文进行过滤,只有源IP和源MAC地址都和绑定表匹配,才允许报文通过。 |
基于源IP地址+源MAC地址+接口过滤 |
根据源IP地址、源MAC地址和接口对报文进行过滤,只有源IP、源MAC地址和接口都和绑定表匹配,才允许报文通过。 |
基于源IP地址+源MAC地址+接口+VLAN过滤 |
根据源IP地址、源MAC地址、接口和VLAN对报文进行过滤,只有源IP地址、源MAC地址、接口和VLAN都和绑定表匹配,才允许报文通过。 |
IPSG的实现过程
IPSG的实现过程如下图所示,非法主机仿冒合法主机的IP地址发送报文到达Device后,因报文和绑定表不匹配被Device丢弃。
IPSG实现原理图
IPSG的典型应用
基于静态绑定表的IPSG
静态绑定表需要手工创建,因此该方式适用于局域网络中主机数较少且主机被分配固定IP地址的情况。如图所示,手工将PC1和PC2的IP地址、MAC地址、VLAN ID、入接口信息加入IPSG的绑定表,把DeviceA的所有接口都加入VLAN10,并在VLAN10上应用IPSG功能。这样就实现了只有真正来自PC1和PC2的IP报文允许通过DeviceA接入网络,而其他外来人员电脑即使接入空余接口也无法接入内网。
基于静态绑定表的IPSG组网图
基于动态绑定表的IPSG
基于动态绑定表的IPSG适用于局域网络中主机较多,或者主机使用DHCP动态获取IP地址的情况。如图所示,在DeviceA接口的VLAN 10下开启DHCP Snooping功能,将连接DHCP服务器的接口配置为“信任”模式,两者同时生效设备即能够生成DHCP Snooping动态绑定表。主机能通过合法的DHCP服务器获取IP地址,并与主机的MAC地址、VLAN ID、入接口信息形成动态绑定表。私自配置静态IP地址的主机将无法访问网络。
基于动态绑定表的IPSG组网图
