- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
14-iMC EIA防ARP仿冒网关攻击典型配置举例-整本手册.pdf (1.70 MB)
iMC EIA防ARP仿冒网关攻击
典型配置举例
资料版本:5W109-20230831
产品版本:iMC EIA 7.3 (E0630)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
接入用户进行802.1X认证,认证通过后绑定该用户所属的网关信息,使用户不会受到ARP仿冒网关的攻击。
适用于易受ARP仿冒网关攻击的企业网或校园网。
· 接入设备需支持802.1X协议。
· 用户PC使用Windows操作系统,已经安装了iNode客户端。
某公司用户接入网络时采用802.1X进行身份验证,同时利用EIA的绑定网关功能防止用户PC受到ARP仿冒网关攻击。具体的组网如图1所示,EIA服务器IP地址为192.168.40.238,接入设备IP地址为192.168.30.111,连接PC的端口为Ge1/0/9。用户PC使用的IP地址为192.168.30.235,远端测试用的主机IP地址为:192.168.40.239。
本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0630)
· 接入设备为H3C S3600-28TP-EI Comware Software, Version 5.20, Release 2103
· iNode版本为iNode PC 7.3 (E0617)
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,如图2所示。
(2) 在接入设备列表中,单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 配置接入配置参数,参数说明如表1所示,其他参数保持默认配置即可,配置完成效果如图4所示。
|
参数 |
说明 |
|
认证端口 |
EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致,一般采用默认端口1812 |
|
计费端口 |
EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致,一般采用默认端口1813 |
|
共享密钥/确认共享密钥 |
接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致,本例为“uam123” |
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
(4) 增加接入设备。增加接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
本例采用手工增加的方式进行说明。
a. 单击页面下方设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图5所示。
b. 输入接入设备的IP地址,本例为“192.168.30.111”,完成效果如图6所示。
c. 单击<确定>按钮,页面返回增加接入设备页面,如图7所示。
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面,如图8所示。
(6) 单击“返回接入设备列表”链接,返回接入设备列表,在列表中查看新增的接入设备,如图9所示。
在EIA中为接入设备配置用户网关,用户上线后接入设备会自动向用户端下发网关配置。
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面。
(2) 在接入设备列表中,单击接入设备对应操作列
图标,单击“网关配置”菜单项,进入用户网关列表页面,如图10所示。
(3) 单击<增加>按钮,进入用户网关配置页面,输入用户网关IP地址及网关的MAC地址,如图11所示。
(4) 单击<确定>按钮,完成配置,页面返回用户网关列表页面,如图12所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入策略管理]菜单项,进入接入策略列表页面,如图13所示。
(2) 在接入策略列表中,单击<增加>按钮,进入增加接入策略页面,由于不进行任何接入控制,因此只需输入接入策略名,本例为“Access Policy-802.1X”,其他参数均保持默认配置即可,配置完成效果如图14、图15所示。
(3) 单击<确定>按钮,接入策略增加完毕,返回接入策略列表页面,在列表中查看新增的接入策略,如图16所示。
接入服务是对用户进行认证授权的各种策略的集合,增加接入服务的方法如下。
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入服务管理]菜单项,进入接入服务列表页面,如图17所示。
(2) 单击接入服务管理页面中的<增加>按钮,增加接入服务,配置参数说明如表2所示。本例参考配置如下,配置完成如图18所示。
¡ 服务名:输入“Access Service-820.1X”。
¡ 服务后缀:输入“arp”。
¡ 缺省接入策略:选择“Access Policy-802.1X”。
¡ 其他参数保持默认即可。
|
参数 |
参数说明 |
|
服务名 |
输入服务名称,其为特定服务在接入业务中的唯一标识 |
|
服务后缀 |
服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表3 |
|
缺省接入策略 |
当接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省接入策略的控制 |
|
缺省私有属性下发策略 |
不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上 |
|
缺省单帐号最大绑定终端数 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。取值范围为0~999,值为0时表示不限制 |
|
缺省单帐号在线数量限制 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。取值范围为0~999,值为0时表示不限制 |
|
服务描述 |
针对该服务的描述,以方便操作员的日常维护 |
|
可申请 |
只有选中此项,用户在开户或修改帐户信息时才可以申请该服务。当系统启用按用户分组申请服务时,如果该服务已经指定给用户分组,那么无论该服务是否为可申请状态,属于该用户分组的接入用户都会申请该服务 |
|
无感知认证 |
决定服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证,第一次认证时会强制推出认证页面,用户需要输入用户名和密码进行认证,第一次认证成功后,RADIUS服务器会将该终端的MAC地址和接入用户绑定(如果是Portal认证方式,还会和服务绑定),之后如果该智能终端再次接入网络,RADIUS服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务,并自动进行认证,不会再强制推出认证页面,无需再次输入用户名和密码 |
表3 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,接入服务增加完毕。页面返回接入服务列表,在列表中查看新增的接入服务,如图19所示。
(1) 选择“用户”页签,单击导航树中的[接入用户管理>接入用户]菜单项,进入接入用户列表页面,如图20所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图21所示。
(3) 配置基本信息。用户姓名有以下两种配置方式:
¡ 选择基本用户方式:单击“选择基本用户”图标,弹出选择基本用户窗口,如图22所示,输入基本用户姓名后单击<查询>按钮,可以查询出已存在的基本用户,勾选基本用户后单击<确定>按钮。若需为EIA中已存在的基本用户添加接入用户可选择此配置方式,一个基本用户下可存在多个接入用户,基本用户通过用户姓名和证件号码构成唯一标识。
¡ 直接配置方式:在如图21所示中直接进行用户姓名填写,完成效果如图23所示。本例选择直接配置方式。
(4) 接入信息及接入服务配置如下,配置完成效果如图24所示。
¡ 帐号名:输入用于认证的帐号名“x10939”。
¡ 密码/密码确认:输入两次相同的密码。
¡ 接入服务:选择“Access Service-820.1X”。
¡ 其他参数保持默认即可。
(5) 单击<确定>按钮,接入用户增加完毕。页面返回接入用户列表,在列表中查看新增的接入用户,如图25所示。
接入设备用于控制用户的接入。通过认证的用户才可以接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下。
认证、计费服务器都指向EIA,认证、计费端口与EIA中增加接入设备时的配置保持一致。
<AccDevice>system-view
System View: return to User View with Ctrl+Z.
[AccDevice]radius scheme arpPolicy
New Radius scheme
[AccDevice -radius-arpPolicy]primary authentication 192.168.40.238 1812
[AccDevice -radius-arpPolicy]primary accounting 192.168.40.238 1813
将H3C设备的服务类型配置为Extended。
[AccDevice-radius-arpPolicy]server-type extended
认证、计费共享密钥与EIA中增加接入设备时的配置保持一致。
[AccDevice -radius-arpPolicy]key authentication uam123
[AccDevice -radius-arpPolicy]key accounting uam123
本地采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见表3。
[H3C-radius-arpPolicy]user-name-format with-domain
根据表3中的搭配,Domain的名称必须与EIA中服务的后缀保持一致。
[AccDevice -radius-arpPolicy]quit
[AccDevice]domain arp
New Domain added.
认证、授权、计费都采用之前配置的Radius scheme arpPolicy。
[AccDevice -isp-arp]authentication lan-access radius-scheme arpPolicy
[AccDevice -isp-arp]authorization lan-access radius-scheme arpPolicy
[AccDevice -isp-arp]accounting lan-access radius-scheme arpPolicy
802.1X的认证方式包括PAP、CHAP和EAP。如果进行证书认证,则必须设置为EAP;如果使用Windows自带的客户端进行认证,则不能设置为PAP。本案例将802.1X的认证方式设置为EAP。
[AccDevice]dot1x authentication-method eap
EAP authentication enabled already.
只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
[AccDevice -isp-arp]quit
[AccDevice]dot1x
802.1X is enabled globally.
[AccDevice]dot1x interface GigabitEthernet1/0/9
802.1X is enabled on port GigabitEthernet1/0/9.
(1) 用户未认证前,在PC上测试到远端主机的连通性,并查看网关信息,如图26所示。测试结果显示到远端主机连通性正常,网关ARP表项获取类型为动态。
(2) 用ARP仿冒网关攻击软件模拟攻击。
(3) 遭受攻击后,查看PC的网关信息,发现网关的MAC地址被更改,到远端主机也无法Ping通。
图27 被攻击后PC信息
图28 到远端主机无法连通
(1) 双击新建的802.1X认证连接,弹出认证窗口,如图29所示。
(2) 输入用户名/密码后,单击<连接>按钮,开始认证。如图30所示。
(3) 认证通过后,EIA将下发网关配置到接入设备。
图31 认证通过
(4) 查看用户PC的网关配置并测试PC到远端主机的连通性,PC的网关被配置为静态,到远端主机通信正常。模拟ARP仿冒网关攻击,再次测试到远端主机的通信仍正常,网关MAC地址正常,如图32所示。
支持
售前咨询
售后咨询
人工在线咨询
