交换机安全技术

交换机安全技术

MAC Flooding Attack，MAC地址表泛洪攻击，用于监听网络通讯

1.本来交换机只会根据MAC地址转发表，在特定端口上转发以太网帧

2.攻击者不断向交换机发送大量以太网帧，而且是不同的伪造的MAC地址，造成原本的

MAC地址记录被冲掉

3.这时A在向B发送消息时，交换机就找不到相应的MAC地址记录，只能把该帧广播出

去

4.攻击者也就能收到该帧

解决办法

port security，用于控制一个access端口上学所得MAC地址数量

if# switchport port-security //在access端口上激活port-security

if# switchport port-security maximum 2 //设置端口上允许学到的MAC地址最大数目2

if# switchport port-serurity violation [protect(忽略新学到的MAC) | restrict(在protect的基础上

//设置超出最大数目限制时的动作

if# switchport port-security mac-address x.x.x //把MAC地址x.x.x静态绑定在某端口上（即某

端口的MAC转发表上有一条恒定的项）。能够和

maximum 1合用，让一个端口上只能够连接一台

指定PC

if# switchport port-security mac-address sticky //端口动态学习到一条地址时，会自动转化为静态绑定的指令加入配置文件run-config

sh port-security {interface …}

正常MAC的老化时间300s，而port security动态学习到的MAC的老化时间为20min，静态绑定的MAC的老化时间infinit

[port security应该设置在接入层交换机上]

非法客户连接

解决办法

AAA，认证（识别用户）、授权（用户权限）、记账（记录用户的行为）

组件：

用户数据库可存放在设备的配置文件中(如，在交换机中创建用户username …password …)

可存放在后台服务器上，网络设备作为AAA client向后台AAA server发送认证请求（认证协议分为TACACS+和RADIUS）

TACACS+是cisco的私有协议，它的强项在于能够对cisco一些特有的动作做AAA（如，对用户登陆到交换机后所能执行的命令）

RADIUS是IETF标准

AAA的作用:

1.限制管理性访问：当用户从telnet,SSH,console,http等方式登陆设备时，提供口令验证，

限制在网络设备上能所执行的命令，可以记录管理员在网络设备上所作的操作

2.限制用户网络访问：用户做PPP拨号或者建立VPN或者访问特定网络资源的时候，提

供用户的身份认证，限制用户能访问的资源，可以记录用户的连接时间、流量等

利用AAA认证的配置方法

# aaa new-model //激活AAA认证

# aaa authenticate [login | PPP | dot1x] [default | list-name] method1 [method2…](当method1不可用时，就用下一种方法)

对什么行为作认证认证方法列表名称，在接口上或者line上可以指定认证方法列表名称，默认使用default列表

[对于login行为来说，method方法包括，local（用本地数据库认证，用交换机配置文件中的用户名，密码）、enable（用enable密码做认证）…]

[通常为aaa authentication group tacacs+ local enable]

[group tacacs+，意味着可以在交换机上设置一系列tacacs+服务器地址，前面的不可用时自动使用后面的]

[tacacs+不可用时，如果随意输入一个用户名，这时由于提供的用户名在本地找不到，使用enable密码认证，再属于enable密码]

[对于802.1x行为来说，名称只能选default，method只能是RADIUS]

802.1x认证流程

1.交换机发送EAP overLAN，向用户发起认证请求（可以用EAP-MD5口令认证，EAP-TLS

双向数字证书认证，PEAP 交换机提供证书，用户提供用户名、口令，相互认证）

2.交换机收到用户口令后，向后台RADIUS服务器发起认证

# aaa authentication dot1x default group radius

# radius-server host x.x.x.x key … //RADIUS服务器地址和key

# dot1x system-auth-control //全局激活802.1x认证

if# dot1x port-control auto //指定特定端口的802.1x的认证模式，分为三种force-authorized(把

端口设置为已认证，不需要用户提供认证信息),

force-unauthorized（不提供认证服务）和auto（用户接入时进行

用户名口令认证）

[authentication,authorization使用端口1812,accounting使用1813]

VLAN Hopping，跳VLAN攻击

实现方法一，

攻击者把自己假扮成交换机，利用DTP协议，和交换机之间形成trunk

解决方法

把不连接交换机的端口设置为access模式或者shutdown，而不是动态协商

实现方法二

double tagging双标记攻击，书上8-28

解决方法

使用没有用户流量的VLAN作为native vlan

防止VLAN内部的攻击,VLAN内部访问限制：

解决方法一，V ACL

对于三层交换机，ACL的类型包括：标准ACL能够限制不同VLAN间的数据转发

V ACL能够限制VLAN内的数据转发

V ACL的配置：

定义流量

# access-list 100 permit tcp any any eq telnet //用ACL定义需要过滤的流量

# access-list 101 permit ip any any //用ACL定义允许通过的流量

丁以V ACL map

vlan access-map map-name 10(seq)

match ip addrss access-list 100

action drop

vlan access-map map-name 20

match ip address access-list 110

action forword

[action还可以capture、redirect]

[流量的ACL除了可以使标准ACL，也可以是mac address ACL]

vlan filter map-name vlan-list 10 //在VLAN10内启用V ACL map-name

解决方法二private vlan，私有VLAN技术

首先创建一个private vlan，对应一个ip子网，下面可以管辖若干个secondary vlan次VLAN [secondary vlan类型包括，isolate vlan孤立VLAN，属于isolate vlan的接口互相之间不能访问

community vlan通讯VLAN，属于同一个通讯VLAN的接口间可以互访，但同其他的secondary vlan的端口不能互访