浅述局域网交换安全

MAC攻击：
1、发送伪造MAC地址占满MAC地址表使交换机洪泛
2|、相同MAC接口不同会覆盖原来MAC地址表，黑客可以利用伪造MAC地址使交换机误以为是接受方MAC的接口
使用端口保护能防护MAC地址攻击
捆绑：mac-add-table static xxxx.xxxx.xxxx.xxxx（mac地址） vlan 1 int 接口
或者在接口下开启接口安全
int f0/1
shutdown
switchport mode access
switchport access vlan 1
switchport port-secyrity 绑定一个mac只能绑定第一个通过的接口的MAC（大多数只写着一条就可）
switchport port-secyrity maximum 数字–可绑定的MAC地址数
switchport port-secyrity violation shutdown
switchport port-secyrity mac-add xxxx.xxxx.xxxx
no shutdown
惩罚：默认shutdown
protect–当有新的计算机接入但端口超过最大数量的安全MAC数量，则新计算机接不进去，原有的计算机不受影响交换机不发送警告
restrict–当有新的计算机接入但端口超过最大数量的安全MAC数量，则新计算机接不进去，原有的不受影响交换机发送警告（黑客可以通过发送过量发送警告使交换机死机）
shutdown–当有新的计算机接入但端口超过最大数量的mac地址数量，则端口关闭则原有的和新的都无法接入这时需要在端口下手动输入shutdown和no shutdown重新打开接口
errdisable recovery cause psecure-violation允许交换机自动恢复端口安全而关闭的接口
int g0/1

粘滞：虽然静态安全MAC地址可以使得交换机的某一接口只允许某一固定的计算机的接入，但是需要做的是，一一的找出计算机的MAC地址但工作量过大所以采用粘滞
default int f0/1
int f0/1
shutdown
switchport mode acess
switchport access vlan 1
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-add sticky配置交换机接口自动粘滞mac地址
no shutdown
被惩罚的接口show int xx状态呈现errdisable
errdisable recovery cause psecure-violation
switchport protected端口隔离接口与接口之间同网段不能通信，常用于教室，酒店等场景（相当于vlan细化版）
DTP vlan跳转攻击
前提概念：
1、如果数据进到access接口没有vlan标记放行并作接口的标记
2、标记不同于接口的标记丢弃
3、携带和接口标记相同的放行并撕掉标记
DTP协商容易遭到攻击，所以一般的trunk协商都是关闭的
产生DTP攻击的前提
进的接口必须是本征vlan
封堵这种攻击方法
技术上：过vlan1（本征vlan）的时候强行打封装
全局下vlan tag native dot1Q
管理上：防止vlan跳转攻击（最好全都操作）
1、pc不能被划入本征vlan
2、本征vlan移动
3、把不用的接口关闭
4、把不用的接口划入特殊vlan
DHCP攻击：由于DHCP发送的流量很重要但却没有做认证所以用以被攻击
最好的方式做认证但DHCP做了认证后系统过大不适合
解决方法：在交换机上做DHCP防御即DHCPsnooping
1、开启DHCP snooping
IP DHCP snooping
ip dhcp snooping vlan 10
int e0/1
ip dhcp snooping trust----信任口不检查信任口，非信任口作为DHCP服务器发送DHCP数据惩罚
IP DHCP snooping limit rate 50 防止拒绝式攻击即DHCP骚扰
DHCP通过检查chaddr来确定是否为客户端
chaddr里存放MAC地址
防止耗尽攻击
1、二层帧source mac和chaddr的mac一致
端口保护即可防御
2、二层帧source mac不变而chaddr的mac变化
DHCP spooning表中含有的信息：接口 获取的IP mac vlan 租期
IPDHCP snooping verify mac-add//检测二层mac与chaddr mac是否一致，不一致则丢弃
DHCP snooping 的绑定表被信任的（放在内存中,掉电会出现空档期表上原有信息不被信任容易被攻击）
把绑定表存储 IP DHCP snooping database flash：xx.txt(表不存在会自己创建）
show ip dhcp snooping binding 查看DHCP snooping 表

从非信任口发入的DHCP请求包会插入82消息，但交换机继续上行发送这个数据时会被丢弃所以上行干道做成信任口
信任接口配置
接口内 ip dhcp relay information trust仅对路由器当前接口有效
全局ip dhcp relay information trust-all对所有的接口有效
问题信任的接口生成不了绑定表，使用no ip dhcp snooping information option不插入82消息即可解决
如果DHCP跨网段要做dhcp中继 必须插入82字段
ARP欺骗
可以使用DAI动态ARP检测技术查看ARP数据包IP和mac对应的关系是否合法
ip arp inspection vlan X–vlan号启用DAI
ip arp inspection validate src-mac dst-mac ip 检查ARP报文中的源、目标mac 源、目标IP和DHCP snooping绑定的信息是否一致（一般不开）
int e0/1
ip arp inspection trust 配置接口为信任口
ip arp inspection limit 10 防止ARP骚扰（IP ARP检查限制10 ）
IP地址欺骗
使用DHCP snooping 绑定表
int e0/1
ip verify source port-security在本接口启用IPSG
ip source binding XXXX.XXX.xxXX. vlan 1 172.16.1.1 int e0/1如果没有DHCP snooping造个表

802.1X端口认证的协议–ISE服务器端口和用户的绑定关系

端口阻塞
阻塞组播和未知单播 一般用来保护服务器的重要接口
int e0/1
switchport block multicast 组播阻塞
switchport block unicast 未知单播阻塞
生成树
portfast加快接口收敛
接口下启用接口能直接转发。风险：不参与生成树的构建，如果下联设备出现环路无能为力
spanning-tree port fast
全局下
spanning-tree portdefault
所有access接口会立即进入转发状态，如果一个接口有bpdu消息发送port fast就会失效（单臂路由的交换机接口还用于交换机连接无线控制器。配置trunk的port fast是的单臂路由可以立即转发数据
bpduguard
接口下启用，如果接口收到bpdu信息接口会立即进入errdisable状态
全局下启用 先启用全局的port fast
spanning-tree portfast bpduguard default
bpdufilter
接口下启用 接口收到bpdu信息会被过滤使得交换机丧失对接口环路的判断
全局下启用 接口下收到bpdu以后bpdufilter会失效，接口回到监听
spanning-tree portfast bpdufilter default可以组织根抢占
rootguart 阻止根抢占的bpdu消息
必须在生成树收敛完成后再敲，在不太信任的接口敲
loop guard 一般用在阻塞端口防止单向链路问题而引发的环路
接口下
spanning-tree guard loop
全局下
spanning-tree loopguard defalt
UDLD单向链路检测
接口下，接口两端启用，这项技术可以取代loop guard
udld port aggressive（光纤口）
交换机的mac老化时间调整；
当交换机mac已满，时间调小
当交换机未知单播帧过多，时间调大