第4章 交换机安全配置交换机安全配置图文模板
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
▪ MAC地址泛洪 - 攻击者使用交换机的正常操作特性来阻止交换机正 常工作。
▪ MAC地址泛洪
-只要网络攻击工具一直运行,交换机的 MAC 地址表 就会始终保持充满。当发生这种情况时,交换机开始 将所有收到的帧从每一个端口广播出去,这样一来, 从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。
限制设备访问 —— 配置口令和使用标语
限制设备访问 —— 配置口令
▪ 加密显示口令 ▪ 它可在用户配置口令后使口令加密显示。service password-
encryption 命令对所有未加密的口令进行弱加密。当通过介 质发送口令时,此加密手段不适用,它仅适用于配置文件中 的口令。此命令的用途在于防止未经授权的人员查看配置文 件中的口令。 ▪ Router(config)# service password-encryption
第四章 交换机安全配置
培养目标
▪ 通过本章的学习,希望您能够: ➢ 掌握思科IOS的口令验证方式及配置 方法
➢ 掌握交换机端口安全原理及配置方法
管理配置Cisco IOS设备
限制设备访问 —— 配置口令
▪ 使用机柜和上锁的机架限制人员实际接触网络设备是不错 的做法
▪ 必须从本地为每台设备配置口令以限制访问。
▪ 欺骗攻击 - 攻击者窃取网络流量的一种办法是伪装有效DHCP服务 器发出的响应
wk.baidu.com
▪ 欺骗攻击 -要防止 DHCP 攻击,请使用 Cisco Catalyst 交换 机上的 DHCP侦听和端口安全性功能。
▪ CDP 攻击 - 默认情况下,大多数 Cisco 路由器和交换机都启 用了CDP。建议如果设备不需要使用 CDP,则在设备 上禁用 CDP。
▪ 在此介绍的口令有: ➢- 控制台口令 — 用于限制人员通过控制台连接访问 设备
➢- 使能口令 — 用于限制人员访问特权执行模式
限制设备访问 —— 配置口令
▪ Switch(config)#line console 0 ▪ Switch(config-line)#password password ▪ Switch(config-line)#login
▪ Router(config)#enable password password ▪ Router(config)#enable secret password
▪ Router(config)#line vty 0 4 ▪ Router(config-line)#password password ▪ Router(config-line)#login
Switch (config)#username username privilege level password password
设置管理人员的登录用户名、密码和 相应的特权等级
Switch(config)# privilege mode level level command
设置命令的级别划分。
▪ MAC地址泛洪 - 主机 B 收到帧并向主机 A 发送响应。交换机随后 获知主机 B 的 MAC 地址位于端口 2,并将该信息写 入 MAC 地址表。
- 主机 C 也收到从主机 A 发到主机 B 的帧,但是 因为该帧的目的 MAC 地址为主机 B,因此主机 C 丢 弃该帧。
▪ MAC地址泛洪 - 由主机 A(或任何其它主机)发送给主机 B 的任 何帧都转发到交换机的端口 2,而不是从每一个端口 广播出去。
缺省情况下,Cisco二层交换机针对广播的风暴控制功能均被关闭
4.1.6 配置特权等级
通过设置口令保护和划分特权级别来实现网络管理的灵活 性和安全性,是控制网络上的终端访问和管理交换机的最简单办 法。用户级别范围是0~15级,级别0是最低的级别。交换机设备系 统只有两个受口令保护的授权级别:普通用户级别(0级)和特权 用户级别(15级)。
用户模式只有Show的权限和其他一些基本命令;特权模式 拥有所有的权限,包括修改、删除配置。在实际情况下,如果给 一个管理人员分配用户模式权限,可能不能满足实际操作需求, 但是分配给特权模式则权限太大,容易发生误操作或密码泄漏。 使用特权等级,可以定制多个等级特权模式,每一个模式拥有的
注意:一旦一条命令被赋予一个特权 等级,比该特权等级低的其他特权等 级均不能使用该命令。
4.2 交换机端口安全控制
准备知识(二) 常见针对交换机的安全攻击
▪ MAC地址泛洪
- 主机 A 向主机 B 发送流量。交换机收到帧,并在 其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC,则交换机将复制帧 并将其从每一个交换机端口广播出去。
mode代表命令的模式,有:configure 表示全局配置模式、exec表示特权命 令模式、interface表示接口配置模式等 等。
level代表授权级别,范围从0到15。 level 1是普通用户级别, level 15是 特权用户级别,在各用户级别间切换 可以使用enable命令。
command代表要授权的命令。
▪ telnet攻击的类型: -暴力密码攻击 - Dos攻击
▪ 抵御暴力密码攻击: -经常更改密码 -使用强密码 -限制可通过vty线路进行通信的人员
▪ 抵御暴力密码攻击:
4.2.1 风暴控制
在以太网网络中,广播数据是必然存在的,是一种正常的数 据。但是,有时候因为网络蠕虫病毒、攻击者或者网络错误的配置 等发送大量的广播,导致网络拥塞和报文传输超时,影响网络的正 常通信,因此需要通过交换机来发现和限定这种异常流量(风暴流 量)的发生,交换机将暂时禁止相应类型的包的转发直到数据流恢 复正常。
限制设备访问 —— 配置口令
▪ 请尽可能使用 enable secret 命令,而不要 使用较老版 本的 enable password 命令。enable secret 命令可提供 更强的安全性,因为使用此命令设置的口令会被加密。 enable password 命令仅在尚未使用 enable secret 命令 设置口令时才能使用。