交换安全之协议安全
局域网安全老三样(DHCP、ARP、IP安全)配合端口安全是常见的安全策略。
思科的《局域网安全2008》讲述了局域网安全攻防的一些例子,有兴趣可以去翻阅一下。
VLAN安全
vlan 跳跃攻击
1、交换机默认情况从 access 口收到的包为不打标签的包,一般交换机若从接入口收到标签包则丢弃;
2、特殊情况下,若接入口的标签为 native vlan 的标签,则交换机去掉此标签,并转发到 trunk。
黑客根据以上特性进行二层标签(外层标签为 native vlan,内层标签为攻击目标)包封装并夹带病毒等进行攻击。
解决方案:
1、修改默认 native vlan;
2、关闭特殊解包环境,不转发从接入口过来的标签数据.
MAC安全
一般情况下,部署端口安全后,若电脑发生变动且最初 MAC1 变为 MAC2,该端口将不能再被使用。
交换机也有 MAC 地址,每一个接口都有,并且 CPU 也具有多个 MAC 地址,用于三层通信或内部处理。
interface Ethernet0/2
switchport access vlan 10
switchport mode access
switchport port-security //开启端口安全
switchport port-securi