CCIE第二天——交换安全

二层交换安全技术有：端口安全技术、VLAN跳转攻击技术、DHCP攻击技术、ARP技术、IP地址欺骗技术、端口阻塞、风暴控制、stp生成树安全技术。
1，端口安全技术
1）MAC攻击
1.Mac地址洪泛攻击：因为mac地址表有限，恶意将mac表充满。
2.Mac地址伪装
2）保护方法
端口安全：

维护一个合法的端口mac对应关系
mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1

在接口下开启端口安全

接口只能绑定一个MAC，第一个通过此接口的 MAC强行绑定
switchport port-security maximum 1 更改mac绑定数
switchport port-security mac-address 00d0.bab2.2611 绑定ma

3】惩罚机制
1.protect—当新的计算机接入时，如果该端口的mac条目超过最大数则这个新的计算机将无法接入，而原计算机不受影响，交换机不会发送警告信息；
2.restrict—当有新的计算机接入时，如果端口mac条目超过最大数量，则新的计算机无法接入，并且交换机会发出警告信息；
3.shutdown—当有新计算机接入时，如果该端口的mac条目数量超过最大值，则该端口将会被关闭，则这个新的计算机和原来的计算机都无法接入网络，这个时候需要接入原有的计算机，并且在该端口下使用shutdown和no shutdown命令重新打开端口；若经常发生惩罚，警告信息大量发送，导致交换机瘫痪，更改惩罚为shutdown
4）粘贴安全MAC地址
静态安全MAC地址可以使得交换机的接口(f0/1)只能接入某一固定的计算机，然而需要使用“switchport port-security mac-address 00d0.bab2.2611”命令，这样就需要一一查出计算机的MAC地址，这是一个工作量巨大的事情，粘滞安全MAC地址可以解决这个问题。
具体实施：

	sw1(config)#default int f0/1
	sw1(config)#int f0/1
	sw1(config-if)#shutdown
	sw1(config-if)#switchport mode access
	sw1(config-if)#switchport access vlan 1
	sw1(config-if)#switchport port-security
	sw1(config-if)#switchport port-security maximum 1
	sw1(config-if)#switchport port-security violation shutdown
	sw1(config-if)#switchport port-security mac-address sticky //配置交换//机接口自动粘滞MAC地址
	sw1(config-if)#no shutdown//被惩罚的接口show int XX 状态呈现errdisable
	sw1(config)#errdisable recovery cause psecure-violation//允许交换机自动恢复因端口安全而关闭的端口
	sw1(config)#errdisable recovery interval 60 // 配置交换机60s后自动恢复端口

2，VLAN跳转攻击技术
PC机可以用DTP的漏洞点，将与交换机的连线改成干线，通讯所有vlan，造成攻击，所以应关闭trunk协商。
不带vlan标记放行该数据，在经过干道的时候进行vlan标记
带vlan标记若不一致则丢弃该数据。
带vlan标记若一致则撕掉封装并放行。
针对本征vlan 的跳转攻击：
利用接口对数据转发机制漏洞，在攻击数据前增加本征vlan的封装，使交换机撕掉封装并转发其他交换机，查看攻击目标cam表，跳转攻击。
技术阻止配置

vlan tag native dot1q 把交换机不用的接口划在一个不使用的vlan并且关闭这些接口

管理组织：
1.Pc不能被划入本征vlan
2.本征vlan移动 重新调整为其他vlan
3.把不用的接口关闭（防止新接入设备成为本征vlan）
4.把不用的接口划入特殊vlan

3，DHCP攻击

1）在局域网内，经常使用DHCP服务器为用户分配IP地址，由于DHCP服务器和客户端之间没有认证机制；网络攻击的另一种办法是伪装有效DHCP服务器发出的响应。在DHCP工作原理中，客户端以广播的方法来寻找服务器，并且只采用第一个到达的网络配置参数，所以如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的)，谁先应答，客户端就采用其提供给的网络配置参数。假如非授权的DHCP服务器先应答，这样客户端获得的网络参数即是非授权的，客户端可能获取不正确的IP地址、网关和DNS等信息。在实际攻击中，攻击者还很可能恶意从授权的DHCP服务器上反复申请IP地址，导致授权的DHCP服务器消耗了全部地址，出现DHCP饥饿。
可以通过DHCP snooping防止此类攻击，其基本原理是：交换机监听DHCP数据帧，对于不信任的接口将拒绝接收DHCP offer包。
DHCP snooping配置过程：

sw1(config)#ip dhcp snooping
sw1(config)#ip dhcpsnoop vlan 10
sw1(config)#ip dhcp snooping verify mac-address     //检测以太网帧的源MAC于dhcp请求chaddr字段是否一致，不一致丢弃
sw1(config-if)#int e0/0
sw1(config-if)#ip dhcp snooping trust
sw1(config-if)#ip dhcp snooping limit rate 50     //设定端口只能发送50个包，

2)DHCP耗尽攻击
1、二层帧source mac 和CHADDR的MAC一致
端口保护即可防御
2、二层帧source mac不变而CHADDR 的MAC变化
dhcp snooping的绑定表，接口获取的IP mac vlan 租期

把绑定表存储
sw1(config)#ip dhcp snooping database flash：xx.txt
sw1(config)#no ip dhcp snooping information option      //不插入option 82，做中继必须要插入dhcp snooping  就不能关闭option 82
网关接口命令
sw1(config)#ip dhcp relay infbaoormation  trust      //仅对路由器当前接口有效

4，ARP欺诈
ARP协议是一般是用来获取目的计算机或者网关的MAC地址的，通信发起方以广播方式发送ARP请求，拥有目的IP地址或者网关IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。ARP协议支持一种无请求ARP功能，同一网段上的所有工作站收到主动ARP广播后会将发送者的MAC地址和其宣布的IP地址保存，覆盖以前Cache的同一IP地址和对应的MAC地址。由于ARP无任何身份真实校验机制，攻击者发送误导的主动式ARP使网络流量经过恶意攻击者的计算机，攻击者就成为了通信双方的中间人，达到窃取甚至篡改数据的目加粗样式的。攻击者发送的主动模式ARP采用发送方私有MAC地址而非广播地址，通信接收方根本不会知道自己的IP地址被取代。

ARP欺诈攻击的解决方案：
ARP欺骗攻击的解决方案: 启用DAI(Dynamic ARP Inspection 动态ARP检查)可以防止ARP欺骗
在这里插入图片描述

ip arp inspection limit 10 超过阀值就丢弃
ip arp inspection validate src-mac dst-mac ip 检查arp（请求和响应）报文中的源mac地址、目标mac地址、源ip地址和dhcp snooping绑定中的信息是否一致

5，IP地址欺骗攻击
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其它系统或发件人的身份；这也是黑客进行DoS(Denial of Service 拒绝服务)攻击时经常同时使用的一种手段。
解决方案:
1）最主要的是找到信任源

SW1(config)#int f0/2
SW1(config-if)#ip verify source port-security        //在本接口启用IPSG功能
SW1(config)#int range f0/3 - 4
SW1(config-if)#ip verify source port-security
SW1#ip source binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3

2）做认证
802.1X：端口和用户的绑定关系（做管理的）和AAA（认证、授权、统计）服务器(CISCO有一台专门的服务器做这个ISE)结合起来彻底的解决大规模IP地址欺骗的问题，即让每一台电脑上网的时候做身份认证。例如:微软的LDAP协议（域控的协议）。
6，端口阻塞
当分组到达交换机时，交换机在MAC地址表中执行目的地MAC地址查询，确定用哪个端口发出和转发分组。如果在MAC地址表中没有发现条目，则交换机将向相同VLAN（广播域）中的所有端口广播（洪范）未知单播或组播流量。给受保护端口转发未知单播或组播流量，这将可能出现安全问题。使用端口堵塞特性可以阻塞正在转发的未知单播或多播流量

SW1(config)#int f0/0
SW1(config-if)#switchport block multicast         //阻塞组播流量
SW1(config-if)#switchport block unicast           //阻塞未知单播流量

一般用来保护链接服务器的端口或者某个重要的端口
7，风暴控制
当交换网络出现单播、组播、广播风暴时，可以抑制转发这些风暴的包的接口。
在接口上开启风暴控制，设置风暴的阀值，如果接口的风暴流量超过阀值则实施惩罚措施，使用的对象可以是unicast、multicast、broadcast等。

sw1(config)#int f0/1
sw1(config-if)#storm-control broadcast level bps/pps/percent    //设置风暴阀值
sw1(config-if)#storm-control action shutdown                    //设置惩罚措施

8，STP生成树
1）protfast
作用加快接口收敛 blocking>forwording；接口下启用，接口直接能转发。 风险：不参与生成树的构建，如果下联设备出现环路生成树将无能为力。
全局下

SW(config)#spanning-tree portfast default

所有access接口会进入立即转发状态，如果一个接口有bpdu消息发送那么这个接口portfast会失效
单臂路由不用参与生成树 ，单臂路由交换机的接口，还用于连接无线控制器，配置trunk的portfast使得单臂可以立即转发数据，注意其他情况下慎用

spanning-tree portfast trunk

2）bpduguard
接口下启用，若接口收到bpdu信息接口会立即进入err-disable状态
show int f0/1
3）bpdufilter
接口下启用，收到的bpdu信息会被过滤风险，
交换机丧失对这个接口的环路判断
全局配置下，接口状态回到监听状态
4）rootguart
阻止抢根的BPDU消息（生成树收敛完成后在配置）
用在你不太信任的接口上使用
只能在接口下配置在这里插入图片描述
5）loopguard
一般用于阻塞端口，防止单向链路问题引发的环路
在这里插入图片描述
6）udld 单向链路检测
接口下，连接两端启用，这项技术可以取代loopguard