局域网安全----接入层安全

局域网面临的安全风险

a、Mac洪范攻击:发送大量垃圾Mac,填满Mac表,迫使交换机洪范
b、Mac中间人攻击:欺骗交换机
在这里插入图片描述
  a交换机给b交换金发送数据,h是黑客,向交换机发送b的Mac,使a以为黑客是b
c、ARP的中间人攻击:欺骗pc
  a要去b,获得b的Mac地址,黑客欺骗a说自己是b,交换机只查询Mac表,进行交换。
d、VLAN跳转攻击:打破VLAN之间的隔离
d、dhcp攻击
e、IP篡改

安全攻击的分类:中间人攻击,拒绝式服务攻击(ping,tcp等)、病态攻击(造一些正常数据发不出的包)、web攻击、快攻击、慢攻击

防御:

a、端口安全技术

  把Mac绑定在接口,如果进入接口的数据和绑定的Mac地址不符合就阻塞端口,可以防止Mac洪范攻击,Mac中间人攻击
  静态绑定:
   在这里插入图片描述
   //进接口
   //划接口
   //开启
   //限制数量
   //惩罚措施
   //绑定地址
  动态绑定:
   在这里插入图片描述

惩罚
  1>protect—当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响,交换机也不发送警告信息;
  2>restrict–当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,并且交换机将发送警告信息;
  3>shutdown–当新计算机接入时,如果该端口的MAC条目超过最大数量,则该端口将会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该端口下使用“shutdown”和“no shutdown”命令重新打开端口。
  一般shutdown就行

 解除状态方法:
   1、 shutdown ,no shutdown
   2、 重置接口
   3、 自动恢复
   在这里插入图片描述

b、VLAN跳转攻击的防御

  1、阻止交换接口被dtp协商为trunk
    关闭dtp协商:接口下敲
  在这里插入图片描述
  2、把不用的接口划入一个设置好的VLAN并关闭这些 接口
  3、如果是利用native VLAN发起的跳转攻击可以用
    VLAN tag native dot1q :把native的数据通过trunk也做上标记
   优先使用1和2防御

c、dhcp snooping

  用于防止dhcp的耗尽攻击,欺骗攻击,拒绝式服务攻击,因为dhcp没有安全认证,谁的ack先来就先传输数据
  技术原理:在交换机上配置dhcp的认证技术,把交换机上接dhcp的接口设置为信任接口,而其余接口都设置为非信任接口,非信任接口不能发出ack和offer数据包,如果发出则阻塞掉该接口。我们还可以在信任接口设置dhcp 请求的速度限制耗尽和拒绝式服务攻击
  dhcp snooping 会生成一张记录表记录所有非信任口的IP-Mac-接口的绑定关系

  配置:

ip dhcp snooping    //开启
ip dhcp snooping vlan 100 //设置防御的VLAN

int e0
ip dhcp snooping trusted  //设置信任 ip dhcp snooping limit rate 100  //限速

Option 82:DHCP中继代理信息选项,选项号为82
  1.交换机开启了DHCP Snooping功能后,默认情况下,将对从非信任端口收到的DHCP请求报文插入选项82信息;
    1>默认时SW2(上行交换机)从Untrusted端口到带有Option 82的DHCP请求报文时会将这个报文丢弃;
   DHCP Snooping
   可以在SW2上配置“ip dhcp snooping information allow-untrusted”全局命令,将不丢弃该报文;
   可以在SW2的Untrusted接口配置“ip dhcp snooping trust”接口命令,这样SW2就能接收带有Option 82的DHCP请求报文了,但是不建议这样做,因为这样将不建立该接口的DHCP监听绑定表,会降低安全性。
   2>DHCP Srver和DHCP Client在同一个子网的情况下,交换机会把Option 82的值填为0(即0.0.0.0)。
  2.以Windows Server 2003为DHCP的服务器不认为Option 82的值为0的DHCP请求报文是错误的;
   DHCP Snooping
   以Cisco IOS为DHCP的服务器默认时会认为Option 82的值为0的DHCP请求报文是错误的,它将丢弃这个报文。
   DHCP Snooping
    1>可在SW1上配置“no ip dhcp snooping information option”命令,不插入Option 82;
    2>可在R1上选择配置以下命令,允许Option 82的值为0的DHCP请求报文通过:
     接口命令:“ip dhcp relay information trust”,仅对路由器当前接口有效;
     全局命令:“ip dhcp relay information trust-all”,对路由器所有接口有效。

  3、Ip dhcp snooping database flash:xx.txt 把缓存的snooping 表存放在一个能够存储的位置

:在一台交换机上不会出现此问题,跨交换机在配置dhcp snooping是才会出现此问题

  例:1、
  在这里插入图片描述
  上面是dhcp的server,两种解决方案:a、直接在下面干掉82;b、在两个接口配trust

2、
  在这里插入图片描述
  dhcp服务器在外面,上面是svi口,做中继(relay):上面配relay-trust,在配了snooping的交换机接口配trust。

d、DAI

  原理:利用已有的信任IP与Mac记录关系来检测正交换机上收到的ARP请求是否与信任表一致,如果一致放行,不一致阻塞该端口,也就是利用正确的ARP记录表去检测出错误 的ARP消息,从而把错误的ARP抑制住
  配置:

SW1(config)#ip arp inspection vlan 1        //在Vlan1启用DAI
SW1(config)#ip arp inspection  validate src-mac dst-mac ip         //检查ARP(请求和响应)报文中的源MAC地址、目的MAC地址、源IP地址和DHCP Snooping绑定中的信息是否一致
SW1(config)#int f0/1
SW1(config-if)#ip arp inspection trust        //配置本接口为信任接口

SW1(config)#int range f0/11 - 12
SW1(config-if)#ip arp inspection limit none        //取消ARP包的限制,默认15个包/秒
SW(config-if)#ip arp inspection limit 10

e、ipsg

  IP源保护技术:企业中擅自更改IP地址
  原理:利用已有的信任IP与接口记录关系来检测正交换机上收到的数据包是否与信任表一致,如果一致放行,不一致阻塞该端口
  注意:交换机的数据接收量非常大,开启源保护会严重影响交换机的性能。所以配置的时候一般启用的接口数量不能过多,一般只设置特定接口
  配置:

SW1(config)#int f0/2
SW1(config-if)#ip verify source port-security        //在本接口启用IPSG功能
SW(config)#int range f0/3 - 4
SW(config-if)#ip verify source port-security
SW#ip source binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3

  :ARP检测技术和IP源保护技术都用了dhcp snooping所生成的表

f、风暴控制技术

  接口下配置:可控制广播风暴,组播风暴和单播风暴
控制动作有(惩罚措施):关闭和trap
在这里插入图片描述
  设置控制广播风暴:自己设置风暴阀值,如果接口的风暴流量超过阀值则开启惩罚措施
   百分比/bps/pps
在这里插入图片描述

g、端口阻塞技术

  当分组到达交换机时,交换机在MAC地址表中执行目的地MAC地址查询,确定用哪个端口发出和转发分组。如果在MAC地址表中没有 发现条目,则交换机将向相同VLAN(广播域)中的所有端口广播(范洪)未知单播或组播流量。给受保护端口转发未知单播或组播流 量,这将可能出现安全问题。使用端口阻塞特性可以阻塞正在转发的未知单播或多播流量。
  原理:当接口发送单播或组播洪范的时候,阻塞该端口
  配置:

SW1(config)#int f0/0
SW1(config-if)#switchport block multicast
SW1(config-if)#switchport block unicast
SW1#show int f0/0 switchport

h、交换机VLAN access-group:交换过滤技术

  可以实现在VLAN内过滤Mac数据(二层)和IP数据(三层)
  配置:

//调用
vlan access-map name 1 
action drop/forward   //设置丢弃还是转发
match ip/mac address acl

//定义Mac的acl
mac access-list extended name xxx
permit 1.1.1.1        //mac 地址

  例子:过滤掉abcd.abcd.abcd Mac主机的通信
  在这里插入图片描述

i、 span技术:端口映像技术

  路由器的span:
  
在这里插入图片描述
RSPAN(Remote SPAN)跨交换机span

  sw1(config)#vlan 100 //定义rspanVLAN
  sw1(config-vlan)#remote-span

  sw2(config)#monitor session 1 source int f0/1 //将接口划入VLAN,源是接口,目的是VLAN100
  monitor session 1 destination remote vlan 100 reflector-port f0/8 //(空接口)
 另一台交换机上:
 交换机间一定要Trunking
  sw1(config)#monitor session 1 source remote vlan 100 //源是VLAN100,目的是出口
  sw1(config)#monitor session 1 destination int f0/3(接分析仪)
backup

阅读更多

没有更多推荐了,返回首页