IE-LAB网络实验室：交换机安全简介

交换机作为局域网中最常见的设备，在安全上面临着重大威胁。这些威胁有的是针对交换机管理上的漏洞，攻击者试图控制交换机；有的针对的是交换机的功能，攻击者试图扰乱交换机的正常工作，从而达到破坏甚至窃取数据的目的。
针对交换机的攻击有以下几类：
1、交换机配置/管理的攻击
2、MAC泛洪攻击
3、DHCP欺骗攻击
4、MAC和IP欺骗攻击
5、ARP欺骗
6、VLAN跳跃攻击
7、STP攻击
8、VTP攻击
一、交换机的访问安全
为了防止交换机被攻击者探测或控制，必须在交换机上配置基本的安全
1、使用合格的密码
2、使用ACL，限制管理访问
3、配置系统警告用语
4、禁用不需要的服务
5、关闭CDP
6、启用系统日志
7、使用SSH替代Telnet
8、关闭SNMP或使用SNMP V3
二、交换机的端口安全
交换机依赖MAC地址表转发数据帧，如果MAC地址不存在，则交换机将帧转发到交换机上的每一个端口(泛洪)，然而MAC地址表的大小是有限的，MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机，直到交换机MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式，开始像集线器一样工作，将数据包广播到网络上的所有机器。因此，攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击，可以配置端口安全特性，限制端口上所允许的有效MAC地址的数量，并定义攻击发生时端口的动作：关闭、保护、限制。
三、DHCP Snooping——防DHCP欺骗
当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。
1、dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。
2、与交换机DAI的配合，防止ARP病毒的传播。
3、建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。这张表是后续DAI（dynamic arp inspect）和IPSource Guard 基础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。
4、通过建立信任端口和非信任端口，对非法DHCP服务器进行隔离，信任端口正常转发DHCP数据包，非信任端口收到的服务器响应的DHCP offer和DHCPACK后，做丢包处理，不进行转发。
四、DAI——防止ARP欺骗
动态ARP检查(Dynamic ARP Inspection, DAI)可以防止ARP欺骗，它可以帮助保证接入交换机只传递“合法的"ARP请求和应答信息。DAI基于DHCP Snooping来工作，DHCP Snooping监听绑定表，包括IP地址与MAC地址的绑定信息，并将其与特定的交换机端口相关联，动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP) ，确保应答来自真正的MAC所有者。交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定其是否是真正的MAC所有者，不合法的ARP包将被拒绝转发。
DAI针对VLAN配置,对于同一VLAN内的接口，可以开启DAI也可以关闭，如果ARP包是从一个可信任的接口接受到的，就不需要做任何检查；如果ARP包是从一个不可信任的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,，DHCP Snooping 对于DAI来说也成为必不可少的。DAI是动态使用的，相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器，个别机器可以采用静态添加DHCP绑定表或ARP access-list的方法实现。
另外，通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阈值，立即关闭该端口。该功能可以阻止网络扫描工具的使用，同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。
五、VLAN跳跃攻击
Vlan跳跃攻击主要有以下两种方式：
1、IEEE 802.1q 和ISL标记攻击
IEEE 802.1q和ISL标记攻击主要是利用管理员没有明确在接口上配置"switch mode access"的疏漏。交换机端口默认时可能为DTP (Dynamic Trunk Protocol) auto或者DTP desirable，攻击者发送DTP协商包，那么接口将成为Trunk端口，就能接收通往任何VLAN的流量。由此，攻击者可以通过所控制的端口与其他VLAN通信。对于这种攻击，只需将所有不可信的接口模式设置为access模式,即可预防这种攻击的侵袭。
2、双标签
攻击者将带有两个标签的帧通过Trunk链路发送到另一个交换机上，对方交换机剥离一个标签后，数据帧里还有一个标签。交换机会把数据包转发到那个标签所指明的VLAN，攻击者实现了从一个VLAN访问另一个VLAN的目的。对于这种攻击，可以把Trunk链路上的Native VLAN设置为一个不存在的VLAN,并禁止这个VLAN的数据从Trunk链路通过。
思科笔试题库思科考试费

助教：马季

IE-LAB网络实验室：交换机安全简介相关推荐

IE-LAB网络实验室：思科ccie，sp ccie 思科ccnp CCIE与HCIE哪个更好找工作
首先我们要清楚,一个认证是否能够持续长久含金量,一个最主要的因素就是证书所在公司母体的市场地位.以及其他多个次要因素,例如证书背后的技术含量.考生付出和得到的性价比.证书的公正性等. 从就业情况来看: ...
新版思科CCNA认证1.0 零基础入门技术VTP协议解析-ielab网络实验室
新版思科CCNA认证1.0 零基础入门技术VTP协议解析-ielab网络实验室 VTP(VLAN Trunking Protocol):VLAN中继协议,是Cisco专用协议.也被称为虚拟局域网干道 ...
目前网络上开源的网络爬虫以及一些简介和比较
2019独角兽企业重金招聘Python工程师标准>>> 目前网络上开源的网络爬虫以及一些简介和比较目前网络上有不少开源的网络爬虫可供我们使用,爬虫里面做的最好的肯定是google ...
ZW网络团队及资源简介
ZW网络团队及资源简介 ZW网络推广团队,是国内首个教父级网络营销团队,自1997年以来,先后参与操盘多个重大互联网项目,服务过超过150家国际500强客户,是微软公司首家官方认证的网络公关服务商,新 ...
从vivo Photo Lab“影像实验室”透视门店新价值
5月18日晚上,在位于深圳海上世界的vivo Lab概念店里,90后新锐摄影师王义博将在这里举办一堂分享课. 这堂分享课被命名为vivo Photo Lab"影像实验室",顾名思义 ...
北京华为HCIE网络工程师快速完成设备流量控制和风暴控制-ielab网络实验室
北京华为HCIE网络工程师快速完成设备流量控制和风暴控制-ielab网络实验室为保证网络安全,以及防止广播风暴,限制广播报文类型的流量的抑制.使用相应的风暴控制操作.基本操作如下: 配置接口广播流量抑 ...
思科SPCCIE必考QOS流量整形traffic shaping原理及配置方法-ielab网络实验室
思科SPCCIE必考QOS流量整形traffic shaping原理及配置方法-ielab网络实验室流量整形(traffic shaping)典型作用是限制流出某一网络的某一连接的流量与突发,使这类 ...
北京华为HCIE认证里的数通深入学习QOS流量整形令牌桶机制和规则-ielab网络实验室
北京华为HCIE认证里的数通深入学习QOS流量整形令牌桶机制和规则-ielab网络实验室在华为设备中,需要对流量整形的概念需要进行解释: CIR,committed Information Rate, ...
初探数通网络开放可编程简介
文章目录网络运维面困难与挑战行业趋势面临困难数通网络可开放编程简介应用场景多厂商设备快速适配新业务快网络变更可靠管控析全栈可编程特性介绍动态加载软件包事务机制数据一致性用户 ...
java IO初识与Linux网络I/O模型简介
Java的 I/O发展简史从 JDK1.0到 JDK1.3, Java的 I/O类库都非常原始,很多 UNIX网络编程中的概念或接口在l/O类库中都没有体现,例如 Pipe. Channel. Bu ...

IE-LAB网络实验室：交换机安全简介

IE-LAB网络实验室：交换机安全简介相关推荐

最新文章

热门文章