交换机安全技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
交换机安全技术
MAC Flooding Attack,MAC地址表泛洪攻击,用于监听网络通讯
1.本来交换机只会根据MAC地址转发表,在特定端口上转发以太网帧
2.攻击者不断向交换机发送大量以太网帧,而且是不同的伪造的MAC地址,造成原本的
MAC地址记录被冲掉
3.这时A在向B发送消息时,交换机就找不到相应的MAC地址记录,只能把该帧广播出
去
4.攻击者也就能收到该帧
解决办法
port security,用于控制一个access端口上学所得MAC地址数量
if# switchport port-security //在access端口上激活port-security
if# switchport port-security maximum 2 //设置端口上允许学到的MAC地址最大数目2
if# switchport port-serurity violation [protect(忽略新学到的MAC) | restrict(在protect的基础上
//设置超出最大数目限制时的动作
if# switchport port-security mac-address x.x.x //把MAC地址x.x.x静态绑定在某端口上(即某
端口的MAC转发表上有一条恒定的项)。能够和
maximum 1合用,让一个端口上只能够连接一台
指定PC
if# switchport port-security mac-address sticky //端口动态学习到一条地址时,会自动转化为静态绑定的指令加入配置文件run-config
sh port-security {interface …}
正常MAC的老化时间300s,而port security动态学习到的MAC的老化时间为20min,静态绑定的MAC的老化时间infinit
[port security应该设置在接入层交换机上]
非法客户连接
解决办法
AAA,认证(识别用户)、授权(用户权限)、记账(记录用户的行为)
组件:
用户数据库可存放在设备的配置文件中(如,在交换机中创建用户username …password …)
可存放在后台服务器上,网络设备作为AAA client向后台AAA server发送认证请求(认证协议分为TACACS+和RADIUS)
TACACS+是cisco的私有协议,它的强项在于能够对cisco一些特有的动作做AAA(如,对用户登陆到交换机后所能执行的命令)
RADIUS是IETF标准
AAA的作用:
1.限制管理性访问:当用户从telnet,SSH,console,http等方式登陆设备时,提供口令验证,
限制在网络设备上能所执行的命令,可以记录管理员在网络设备上所作的操作
2.限制用户网络访问:用户做PPP拨号或者建立VPN或者访问特定网络资源的时候,提
供用户的身份认证,限制用户能访问的资源,可以记录用户的连接时间、流量等
利用AAA认证的配置方法
# aaa new-model //激活AAA认证
# aaa authenticate [login | PPP | dot1x] [default | list-name] method1 [method2…](当method1不可用时,就用下一种方法)
对什么行为作认证认证方法列表名称,在接口上或者line上可以指定认证方法列表名称,默认使用default列表
[对于login行为来说,method方法包括,local(用本地数据库认证,用交换机配置文件中的用户名,密码)、enable(用enable密码做认证)…]
[通常为aaa authentication group tacacs+ local enable]
[group tacacs+,意味着可以在交换机上设置一系列tacacs+服务器地址,前面的不可用时自动使用后面的]
[tacacs+不可用时,如果随意输入一个用户名,这时由于提供的用户名在本地找不到,使用enable密码认证,再属于enable密码]
[对于802.1x行为来说,名称只能选default,method只能是RADIUS]
802.1x认证流程
1.交换机发送EAP overLAN,向用户发起认证请求(可以用EAP-MD5口令认证,EAP-TLS
双向数字证书认证,PEAP 交换机提供证书,用户提供用户名、口令,相互认证)
2.交换机收到用户口令后,向后台RADIUS服务器发起认证
# aaa authentication dot1x default group radius
# radius-server host x.x.x.x key … //RADIUS服务器地址和key
# dot1x system-auth-control //全局激活802.1x认证
if# dot1x port-control auto //指定特定端口的802.1x的认证模式,分为三种force-authorized(把
端口设置为已认证,不需要用户提供认证信息),
force-unauthorized(不提供认证服务)和auto(用户接入时进行
用户名口令认证)
[authentication,authorization使用端口1812,accounting使用1813]
VLAN Hopping,跳VLAN攻击
实现方法一,
攻击者把自己假扮成交换机,利用DTP协议,和交换机之间形成trunk
解决方法
把不连接交换机的端口设置为access模式或者shutdown,而不是动态协商
实现方法二
double tagging双标记攻击,书上8-28
解决方法
使用没有用户流量的VLAN作为native vlan
防止VLAN内部的攻击,VLAN内部访问限制:
解决方法一,V ACL
对于三层交换机,ACL的类型包括:标准ACL能够限制不同VLAN间的数据转发
V ACL能够限制VLAN内的数据转发
V ACL的配置:
定义流量
# access-list 100 permit tcp any any eq telnet //用ACL定义需要过滤的流量
# access-list 101 permit ip any any //用ACL定义允许通过的流量
丁以V ACL map
vlan access-map map-name 10(seq)
match ip addrss access-list 100
action drop
vlan access-map map-name 20
match ip address access-list 110
action forword
[action还可以capture、redirect]
[流量的ACL除了可以使标准ACL,也可以是mac address ACL]
vlan filter map-name vlan-list 10 //在VLAN10内启用V ACL map-name
解决方法二private vlan,私有VLAN技术
首先创建一个private vlan,对应一个ip子网,下面可以管辖若干个secondary vlan次VLAN [secondary vlan类型包括,isolate vlan孤立VLAN,属于isolate vlan的接口互相之间不能访问
community vlan通讯VLAN,属于同一个通讯VLAN的接口间可以互访,但同其他的secondary vlan的端口不能互访