CCIE第二天——交换安全

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42769625/article/details/96750557

二层交换安全技术有:端口安全技术、VLAN跳转攻击技术、DHCP攻击技术、ARP技术、IP地址欺骗技术、端口阻塞、风暴控制、stp生成树安全技术。
1,端口安全技术
1)MAC攻击
1.Mac地址洪泛攻击:因为mac地址表有限,恶意将mac表充满。
2.Mac地址伪装
2)保护方法
端口安全:

维护一个合法的端口mac对应关系
mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1

在接口下开启端口安全

接口只能绑定一个MAC,第一个通过此接口的 MAC强行绑定
switchport port-security maximum 1 更改mac绑定数
switchport port-security mac-address 00d0.bab2.2611 绑定ma

3】惩罚机制
1.protect—当新的计算机接入时,如果该端口的mac条目超过最大数则这个新的计算机将无法接入,而原计算机不受影响,交换机不会发送警告信息;
2.restrict—当有新的计算机接入时,如果端口mac条目超过最大数量,则新的计算机无法接入,并且交换机会发出警告信息;
3.shutdown—当有新计算机接入时,如果该端口的mac条目数量超过最大值,则该端口将会被关闭,则这个新的计算机和原来的计算机都无法接入网络,这个时候需要接入原有的计算机,并且在该端口下使用shutdown和no shutdown命令重新打开端口;若经常发生惩罚,警告信息大量发送,导致交换机瘫痪,更改惩罚为shutdown
4)粘贴安全MAC地址
静态安全MAC地址可以使得交换机的接口(f0/1)只能接入某一固定的计算机,然而需要使用“switchport port-security mac-address 00d0.bab2.2611”命令,这样就需要一一查出计算机的MAC地址,这是一个工作量巨大的事情,粘滞安全MAC地址可以解决这个问题。
具体实施:

	sw1(config)#default int f0/1
	sw1(config)#int f0/1
	sw1(config-if)#shutdown
	sw1(config-if)#switchport mode access
	sw1(config-if)#switchport access vlan 1
	sw1(config-if)#switchport port-security
	sw1(config-if)#switchport port-security maximum 1
	sw1(config-if)#switchport port-security violation shutdown
	sw1(config-if)#switchport port-security mac-address sticky //配置交换//机接口自动粘滞MAC地址
	sw1(config-if)#no shutdown//被惩罚的接口show int XX 状态呈现errdisable
	sw1(config)#errdisable recovery cause psecure-violation//允许交换机自动恢复因端口安全而关闭的端口
	sw1(config)#errdisable recovery interval 60 // 配置交换机60s后自动恢复端口

2,VLAN跳转攻击技术
PC机可以用DTP的漏洞点,将与交换机的连线改成干线,通讯所有vlan,造成攻击,所以应关闭trunk协商。
不带vlan标记放行该数据,在经过干道的时候进行vlan标记
带vlan标记若不一致则丢弃该数据。
带vlan标记若一致则撕掉封装并放行。
针对本征vlan 的跳转攻击:
利用接口对数据转发机制漏洞,在攻击数据前增加本征vlan的封装,使交换机撕掉封装并转发其他交换机,查看攻击目标cam表,跳转攻击。
技术阻止配置

vlan tag native dot1q 把交换机不用的接口划在一个不使用的vlan并且关闭这些接口

管理组织:
1.Pc不能被划入本征vlan
2.本征vlan移动 重新调整为其他vlan
3.把不用的接口关闭(防止新接入设备成为本征vlan)
4.把不用的接口划入特殊vlan

3,DHCP攻击

1)在局域网内,经常使用DHCP服务器为用户分配IP地址,由于DHCP服务器和客户端之间没有认证机制;网络攻击的另一种办法是伪装有效DHCP服务器发出的响应。在DHCP工作原理中,客户端以广播的方法来寻找服务器,并且只采用第一个到达的网络配置参数,所以如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供给的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端获得的网络参数即是非授权的,客户端可能获取不正确的IP地址、网关和DNS等信息。在实际攻击中,攻击者还很可能恶意从授权的DHCP服务器上反复申请IP地址,导致授权的DHCP服务器消耗了全部地址,出现DHCP饥饿。
可以通过DHCP snooping防止此类攻击,其基本原理是:交换机监听DHCP数据帧,对于不信任的接口将拒绝接收DHCP offer包。
DHCP snooping配置过程:

sw1(config)#ip dhcp snooping
sw1(config)#ip dhcpsnoop vlan 10
sw1(config)#ip dhcp snooping verify mac-address     //检测以太网帧的源MAC于dhcp请求chaddr字段是否一致,不一致丢弃
sw1(config-if)#int e0/0
sw1(config-if)#ip dhcp snooping trust
sw1(config-if)#ip dhcp snooping limit rate 50     //设定端口只能发送50个包,

2)DHCP耗尽攻击
1、二层帧source mac 和CHADDR的MAC一致
端口保护即可防御
2、二层帧source mac不变而CHADDR 的MAC变化
dhcp snooping的绑定表,接口获取的IP mac vlan 租期

把绑定表存储
sw1(config)#ip dhcp snooping database flash:xx.txt
sw1(config)#no ip dhcp snooping information option      //不插入option 82,做中继必须要插入dhcp snooping  就不能关闭option 82
网关接口命令
sw1(config)#ip dhcp relay infbaoormation  trust      //仅对路由器当前接口有效

4,ARP欺诈
ARP协议是一般是用来获取目的计算机或者网关的MAC地址的,通信发起方以广播方式发送ARP请求,拥有目的IP地址或者网关IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。ARP协议支持一种无请求ARP功能,同一网段上的所有工作站收到主动ARP广播后会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前Cache的同一IP地址和对应的MAC地址。由于ARP无任何身份真实校验机制,攻击者发送误导的主动式ARP使网络流量经过恶意攻击者的计算机,攻击者就成为了通信双方的中间人,达到窃取甚至篡改数据的目加粗样式的。攻击者发送的主动模式ARP采用发送方私有MAC地址而非广播地址,通信接收方根本不会知道自己的IP地址被取代。

ARP欺诈攻击的解决方案:
ARP欺骗攻击的解决方案: 启用DAI(Dynamic ARP Inspection 动态ARP检查)可以防止ARP欺骗
在这里插入图片描述

ip arp inspection limit 10 超过阀值就丢弃
ip arp inspection validate src-mac dst-mac ip 检查arp(请求和响应)报文中的源mac地址、目标mac地址、源ip地址和dhcp snooping绑定中的信息是否一致

5,IP地址欺骗攻击
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以便冒充其它系统或发件人的身份;这也是黑客进行DoS(Denial of Service 拒绝服务)攻击时经常同时使用的一种手段。
解决方案:
1)最主要的是找到信任源

SW1(config)#int f0/2
SW1(config-if)#ip verify source port-security        //在本接口启用IPSG功能
SW1(config)#int range f0/3 - 4
SW1(config-if)#ip verify source port-security
SW1#ip source binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3

2)做认证
802.1X:端口和用户的绑定关系(做管理的)和AAA(认证、授权、统计)服务器(CISCO有一台专门的服务器做这个ISE)结合起来彻底的解决大规模IP地址欺骗的问题,即让每一台电脑上网的时候做身份认证。例如:微软的LDAP协议(域控的协议)。
6,端口阻塞
当分组到达交换机时,交换机在MAC地址表中执行目的地MAC地址查询,确定用哪个端口发出和转发分组。如果在MAC地址表中没有发现条目,则交换机将向相同VLAN(广播域)中的所有端口广播(洪范)未知单播或组播流量。给受保护端口转发未知单播或组播流量,这将可能出现安全问题。使用端口堵塞特性可以阻塞正在转发的未知单播或多播流量

SW1(config)#int f0/0
SW1(config-if)#switchport block multicast         //阻塞组播流量
SW1(config-if)#switchport block unicast           //阻塞未知单播流量

一般用来保护链接服务器的端口或者某个重要的端口
7,风暴控制
当交换网络出现单播、组播、广播风暴时,可以抑制转发这些风暴的包的接口。
在接口上开启风暴控制,设置风暴的阀值,如果接口的风暴流量超过阀值则实施惩罚措施,使用的对象可以是unicast、multicast、broadcast等。

sw1(config)#int f0/1
sw1(config-if)#storm-control broadcast level bps/pps/percent    //设置风暴阀值
sw1(config-if)#storm-control action shutdown                    //设置惩罚措施

8,STP生成树
1)protfast
作用加快接口收敛 blocking>forwording;接口下启用,接口直接能转发。 风险:不参与生成树的构建,如果下联设备出现环路生成树将无能为力。
全局下

SW(config)#spanning-tree portfast default

所有access接口会进入立即转发状态,如果一个接口有bpdu消息发送那么这个接口portfast会失效
单臂路由不用参与生成树 ,单臂路由交换机的接口,还用于连接无线控制器,配置trunk的portfast使得单臂可以立即转发数据,注意其他情况下慎用

spanning-tree portfast trunk

2)bpduguard
接口下启用,若接口收到bpdu信息接口会立即进入err-disable状态
show int f0/1
3)bpdufilter
接口下启用,收到的bpdu信息会被过滤风险,
交换机丧失对这个接口的环路判断
全局配置下,接口状态回到监听状态
4)rootguart
阻止抢根的BPDU消息(生成树收敛完成后在配置)
用在你不太信任的接口上使用
只能在接口下配置在这里插入图片描述
5)loopguard
一般用于阻塞端口,防止单向链路问题引发的环路
在这里插入图片描述
6)udld 单向链路检测
接口下,连接两端启用,这项技术可以取代loopguard

展开阅读全文

没有更多推荐了,返回首页