文章作者:EvilAngel(evilangel@china.com.cn)
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
此文以发表在非安全杂志 后由原创作者友情提交到邪恶八进制信息安全团队 转载请注明出处及原作者
在网络猎手横行的今天,安全以是各大公司所首要探讨的问题。通常企事业的网络大多都有这么一个基本的假设:外部所有人都是不可信任的,而在内部的所有人都是可以信任的,而大多的网络设计者也应用了这个设计理念。而在实际的网络环境中,有高达80%的越权行为都是来自内部。当代的防火墙在对付外来的数据包的同时而放过了网络主要的威胁。今天我就针对内一些普遍存在的安全隐患来说说交换机配置须要注意的几点,本文只涉及到交换机的设置,想了解其它设备请参照其它文章。
总的来说交换机安全分为两个部分,一是控制层面的安全,建立健全的管理制度,保证设备的物理安全,如果设备被人偷走了,也就提不到以下涉及的安全配置;二是数据层面的安全,使用ACL等技术手段、VLAN技术等辅助应用系统增强网络的整体安全;
以下主要以Cisco二、三层交换机为例,涉及到中小型网络的核心层交换机及工作组交换机的安全配置,配置命令和您的交换机所运行的系统版本有一定的差别,请参见随机手册。
首先,保证交换机的物理安全,这也是控制层面的安全,建立健全的管理制度,保证设备的物理安全。对于工作组交换机,由于网络拓扑结构的限制,工作组交换机会出现在一些公共场所,建议配置console密码后断掉数据线,配置console密码:
#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
(config)#line console 0
(config-line)#password EvilAngel
(config-line)#login
防止未授权用户远程登录。交换机同我们的服务器系统一样,须要进行维护及升级、打补丁,当然远程终端给我们网管代来了极大的方便的同时也存在着潜在的威胁,建议交换机只允许网管登录,我们用条标准访问控制列表来实现:
(config)#access-list 88 permit 172.16.1.254 0.0.0.0
(config)#line vty 0 4
(config-line)#ip access-group 88 in
假设本子网管理员地址为(静态)172.16.1.254,建立标准访问列表88禁止其它不合法登录设备只允许172.16.1.254这个IP登录vty接口。
当然我们须要给他一个强壮的密码,(为了本文可读性密码被简单化了)配置特权密码为NoHack、远程登录密码为cisco:
(config)#enable secret NoHack
(config)#enable password hack
(config)#line vty 0 4
(config-line)#password cisco
(config-line)#login
为密码加密在特权模式运行:“service password-encryption”(去除引号),否则除Secret密码外其它显示为明文,如图1,如果有不怀好意的人得到设备配置文件,(一般配置文件会保存在TFTP服务器上)后果不堪设想。
有人说了,你以为只用个访问列表过滤登录的IP、加密密码就可以阻止别人的登录吗?当然不是,为了避免非管理员拿设备(比如笔记本电脑)连接到网管所在接网络口上改变自己的IP地址而登录设备配置。我们也可以在网客接入交换机接口上设置一个接口对应一个MAC地址,违反规则关闭此接口,(这是一个19系列的工作组交换机):
(config-if)#port security max-mac-count 1
(config-if)#port security action shutdown
以上的命令是,在此接口上交换机只可以学到一个MAC地址,如果有其它MAC数据到达此接口他的动作是关闭这个接口,直到管理员在此接口上运行no shutdown命令,我们还可以让一个IP地址对相一个MAC地址。当然,我们还可以在每个接口上静态配置每个接口绑定一个MAC地址、使用户不能改变IP地址,我们将在后面介绍。
密码d/le password内网与外网之间有个对于学习安全的朋友常说一句话,最少的服务+最小的权限=最大的安全,我们的交换机也是一样,也应该相应停掉不必要的服务,在这我们只介绍几个,详情参照随机手册:
(config)#no service finger
(config)#no service tcp-small-servers
(config)#no ip http server
(config)#no ip domain-lookup
(config)#……
建议在不必要的端口上关闭cdp信息,如果他存在的话,未授权用户入侵网络登录设备可以用类似“show cdp neighbors”等命令来查看相邻设备信息,如图2
看上图清楚的可以看见Fas0/1结口连接着一台1003的路由器,名子是RC1000-02,而在Fas0/2接口上连接着一个Cisco2505的路由器名子为RH32-01。
配置过Cisoc的网络设备的朋友一定知道,无论是交换机还是路由器、防火墙虽然他有telnet密码验证,但由于国内的网络拓扑结构原因,他是很容易被监听的。当得到登录设备的权限,就算不知道“enable”密码,也可以运行具有“破坏性”的命令,如show version查看设备版本信息、show ip route显示当前设备路由表,show vlan等命令,如图三、图四,一个有经验的黑客只需要简单的信息就可以构造一个拓扑图,从而制定下一步的渗透。因此我们为了保护登录账号及密码,建议使用ssh(secure shell)来登录设备,我们知道系统自带的telnet是用文明传输数据的,如果黑客利用网络其它主机来嗅探网络,那么带来的后果可想而之,如果用ssh登录的信息被嗅探也要用大量的时间来破解。
为了保护我们的账号,我们可以在交换机上启用AAA认证来保证我们的设备安全,AAA认证分为authentication、authorization、accounting,只简单介绍一下authentication认证的配置:
aaa new-model //启动AAA认证机制
aaa authentication login name tacas+ radius
//此认证的名子是name,认证方法是tacas+、 radius
line vty 0 4
login authentication name //在console接口应用AAA认证
大体的意思是,交换机启用了一个名子为name的认证,name定义了两个认证方法tacas+、radius,当交换机收到客户用户名和密码时,将此信息发到tacas+服务器上认证。当tacas+失效时启用radius,radius也是一种认证服务器。然后在vty也就是telnet端口上应用这个认证。
aaa new-model
aaa authentication dot1x defuault group radius //定义一个dot1x认证
dot1x system-autn-control //全局启用这个认证
interface fastethernet 2/1
dot1x port-control auto
将interface fastethernet 2/1这个端口保护起来,当有数据经过交换机时,认证服务器会进行检验。这很适合公共场所,任何人都有可能把PC连接到交换机上,就算没有授权用户连接到交换中的某个接口,他的数据包也不能通过设备。当然,AAA认证不只是简单这些,他是一个很复杂的技术,有兴趣的朋友可以找资料研究一下。
不知道大家是否有过这样的经历,在一个小区网络或旅店网络里,您可以看到你邻居家的电脑同时他也可以看到你的电脑。常常看到一些渗透内网的文章入侵网络中一台电脑,然后进行嗅探得到另一台电脑的管理员密码,IPC$就可以入侵成功。这种的网络是很多的,而且一般解决方案就是为网络化分VLAN,如果每台电脑都需要隔离的话,那就要为每台电脑分配一个VLAN号码,注:不同VLAN在没有第三层设备支持下是无法通信的。但是如果这个网络里有几千台电脑,这个方案好像不太现实。在这种情况下就要用到主、从VLAN技术来保证每台电脑作到隔离。在这样的网络里,即使相同的从VLAN也是不可以相互通信的,这又为须要高度敏感的网络提高一层安全系数,而且又节约了VLAN、IP网段的数量。我们简单的介绍一下主、从VLAN的配置,进入VLAN配置模式:
Vtp mode transparent
vlan 201
private-vlan isolated
vlan 200
private-vlan promiscuous
private-vlan association 201
interface fastethernet 2/1
switchport mode private-vlan promiscuous
switchport private-vlan mapping 200 201
interface fastethernet 3/1
switchport mode private-vlan host
switchort private-vlan host-association 200 201
要注意的一点是配置从VLAN必须把VTP模式改成透明模式,由于篇幅有限我就不作过多的解释了,如果有什么问题可以来论坛找我呀直接联系我,当然这样配置不一定保证网络一定安全,只是可以提高一些安全系数,本人技术还很浅薄有不正确之处还请各位前辈不吝指教,此文只作一个抛砖引玉的作用,希望更多大牛写出更好的文章。
[ 此贴被EvilOctal在2006-02-17 21:21重新编辑 ]
angel sir#show start
Building configuration...
!
interface Play
shutdown
!
interface Love
ip address Love Sweet
!
interface Work
ip address Centuren Work Hard
!
interface Study
ip address Cisco Security CCIEing
!
line oicp 0 4
login
password 13889755*95
!
line credit card
password 13889755*95
ip access-group is me in
!
end
!
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
此文以发表在非安全杂志 后由原创作者友情提交到邪恶八进制信息安全团队 转载请注明出处及原作者
在网络猎手横行的今天,安全以是各大公司所首要探讨的问题。通常企事业的网络大多都有这么一个基本的假设:外部所有人都是不可信任的,而在内部的所有人都是可以信任的,而大多的网络设计者也应用了这个设计理念。而在实际的网络环境中,有高达80%的越权行为都是来自内部。当代的防火墙在对付外来的数据包的同时而放过了网络主要的威胁。今天我就针对内一些普遍存在的安全隐患来说说交换机配置须要注意的几点,本文只涉及到交换机的设置,想了解其它设备请参照其它文章。
总的来说交换机安全分为两个部分,一是控制层面的安全,建立健全的管理制度,保证设备的物理安全,如果设备被人偷走了,也就提不到以下涉及的安全配置;二是数据层面的安全,使用ACL等技术手段、VLAN技术等辅助应用系统增强网络的整体安全;
以下主要以Cisco二、三层交换机为例,涉及到中小型网络的核心层交换机及工作组交换机的安全配置,配置命令和您的交换机所运行的系统版本有一定的差别,请参见随机手册。
首先,保证交换机的物理安全,这也是控制层面的安全,建立健全的管理制度,保证设备的物理安全。对于工作组交换机,由于网络拓扑结构的限制,工作组交换机会出现在一些公共场所,建议配置console密码后断掉数据线,配置console密码:
#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
(config)#line console 0
(config-line)#password EvilAngel
(config-line)#login
防止未授权用户远程登录。交换机同我们的服务器系统一样,须要进行维护及升级、打补丁,当然远程终端给我们网管代来了极大的方便的同时也存在着潜在的威胁,建议交换机只允许网管登录,我们用条标准访问控制列表来实现:
(config)#access-list 88 permit 172.16.1.254 0.0.0.0
(config)#line vty 0 4
(config-line)#ip access-group 88 in
假设本子网管理员地址为(静态)172.16.1.254,建立标准访问列表88禁止其它不合法登录设备只允许172.16.1.254这个IP登录vty接口。
当然我们须要给他一个强壮的密码,(为了本文可读性密码被简单化了)配置特权密码为NoHack、远程登录密码为cisco:
(config)#enable secret NoHack
(config)#enable password hack
(config)#line vty 0 4
(config-line)#password cisco
(config-line)#login
为密码加密在特权模式运行:“service password-encryption”(去除引号),否则除Secret密码外其它显示为明文,如图1,如果有不怀好意的人得到设备配置文件,(一般配置文件会保存在TFTP服务器上)后果不堪设想。
有人说了,你以为只用个访问列表过滤登录的IP、加密密码就可以阻止别人的登录吗?当然不是,为了避免非管理员拿设备(比如笔记本电脑)连接到网管所在接网络口上改变自己的IP地址而登录设备配置。我们也可以在网客接入交换机接口上设置一个接口对应一个MAC地址,违反规则关闭此接口,(这是一个19系列的工作组交换机):
(config-if)#port security max-mac-count 1
(config-if)#port security action shutdown
以上的命令是,在此接口上交换机只可以学到一个MAC地址,如果有其它MAC数据到达此接口他的动作是关闭这个接口,直到管理员在此接口上运行no shutdown命令,我们还可以让一个IP地址对相一个MAC地址。当然,我们还可以在每个接口上静态配置每个接口绑定一个MAC地址、使用户不能改变IP地址,我们将在后面介绍。
密码d/le password内网与外网之间有个对于学习安全的朋友常说一句话,最少的服务+最小的权限=最大的安全,我们的交换机也是一样,也应该相应停掉不必要的服务,在这我们只介绍几个,详情参照随机手册:
(config)#no service finger
(config)#no service tcp-small-servers
(config)#no ip http server
(config)#no ip domain-lookup
(config)#……
建议在不必要的端口上关闭cdp信息,如果他存在的话,未授权用户入侵网络登录设备可以用类似“show cdp neighbors”等命令来查看相邻设备信息,如图2
看上图清楚的可以看见Fas0/1结口连接着一台1003的路由器,名子是RC1000-02,而在Fas0/2接口上连接着一个Cisco2505的路由器名子为RH32-01。
配置过Cisoc的网络设备的朋友一定知道,无论是交换机还是路由器、防火墙虽然他有telnet密码验证,但由于国内的网络拓扑结构原因,他是很容易被监听的。当得到登录设备的权限,就算不知道“enable”密码,也可以运行具有“破坏性”的命令,如show version查看设备版本信息、show ip route显示当前设备路由表,show vlan等命令,如图三、图四,一个有经验的黑客只需要简单的信息就可以构造一个拓扑图,从而制定下一步的渗透。因此我们为了保护登录账号及密码,建议使用ssh(secure shell)来登录设备,我们知道系统自带的telnet是用文明传输数据的,如果黑客利用网络其它主机来嗅探网络,那么带来的后果可想而之,如果用ssh登录的信息被嗅探也要用大量的时间来破解。
为了保护我们的账号,我们可以在交换机上启用AAA认证来保证我们的设备安全,AAA认证分为authentication、authorization、accounting,只简单介绍一下authentication认证的配置:
aaa new-model //启动AAA认证机制
aaa authentication login name tacas+ radius
//此认证的名子是name,认证方法是tacas+、 radius
line vty 0 4
login authentication name //在console接口应用AAA认证
大体的意思是,交换机启用了一个名子为name的认证,name定义了两个认证方法tacas+、radius,当交换机收到客户用户名和密码时,将此信息发到tacas+服务器上认证。当tacas+失效时启用radius,radius也是一种认证服务器。然后在vty也就是telnet端口上应用这个认证。
aaa new-model
aaa authentication dot1x defuault group radius //定义一个dot1x认证
dot1x system-autn-control //全局启用这个认证
interface fastethernet 2/1
dot1x port-control auto
将interface fastethernet 2/1这个端口保护起来,当有数据经过交换机时,认证服务器会进行检验。这很适合公共场所,任何人都有可能把PC连接到交换机上,就算没有授权用户连接到交换中的某个接口,他的数据包也不能通过设备。当然,AAA认证不只是简单这些,他是一个很复杂的技术,有兴趣的朋友可以找资料研究一下。
不知道大家是否有过这样的经历,在一个小区网络或旅店网络里,您可以看到你邻居家的电脑同时他也可以看到你的电脑。常常看到一些渗透内网的文章入侵网络中一台电脑,然后进行嗅探得到另一台电脑的管理员密码,IPC$就可以入侵成功。这种的网络是很多的,而且一般解决方案就是为网络化分VLAN,如果每台电脑都需要隔离的话,那就要为每台电脑分配一个VLAN号码,注:不同VLAN在没有第三层设备支持下是无法通信的。但是如果这个网络里有几千台电脑,这个方案好像不太现实。在这种情况下就要用到主、从VLAN技术来保证每台电脑作到隔离。在这样的网络里,即使相同的从VLAN也是不可以相互通信的,这又为须要高度敏感的网络提高一层安全系数,而且又节约了VLAN、IP网段的数量。我们简单的介绍一下主、从VLAN的配置,进入VLAN配置模式:
Vtp mode transparent
vlan 201
private-vlan isolated
vlan 200
private-vlan promiscuous
private-vlan association 201
interface fastethernet 2/1
switchport mode private-vlan promiscuous
switchport private-vlan mapping 200 201
interface fastethernet 3/1
switchport mode private-vlan host
switchort private-vlan host-association 200 201
要注意的一点是配置从VLAN必须把VTP模式改成透明模式,由于篇幅有限我就不作过多的解释了,如果有什么问题可以来论坛找我呀直接联系我,当然这样配置不一定保证网络一定安全,只是可以提高一些安全系数,本人技术还很浅薄有不正确之处还请各位前辈不吝指教,此文只作一个抛砖引玉的作用,希望更多大牛写出更好的文章。
[ 此贴被EvilOctal在2006-02-17 21:21重新编辑 ]
angel sir#show start
Building configuration...
!
interface Play
shutdown
!
interface Love
ip address Love Sweet
!
interface Work
ip address Centuren Work Hard
!
interface Study
ip address Cisco Security CCIEing
!
line oicp 0 4
login
password 13889755*95
!
line credit card
password 13889755*95
ip access-group is me in
!
end
!
3779
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
