亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

深入分析配置 讓交換機免受惡意攻擊
2010-02-04   網絡

本文分析有關杜絕交換機的攻擊的技術細節,相信確保交換機這三個方面的安全設置,并配合相應的規章、制度,就一定能夠保證企業交換機安全運行。

與路由器不同,交換機的安全威脅主要來自局域網內部。出于無知、好奇,甚至是惡意,某些局域網用戶會對交換機進行攻擊。不管他們的動機是什么,這都是管理員們不愿看到的。為此,除了在規定、制度上進行規范外,管理員們要從技術上做好部署,讓攻擊者無功而返。本文以Cisco交換機的安全部署為例,和大家分享自己的經驗。

1、細節設置,確保交換機接入安全

(1).配置加密密碼

盡可能使用Enable Secret特權加密密碼,而不使用Enable Password創建的密碼。

(2).禁用不必要或不安全的服務

在交換機上尤其是三層交換機上,不同的廠商默認開啟了不同的服務、特性以及協議。為提高安全,應只開啟必須的部分,多余的任何東西都可能成為安全漏洞。可結合實際需求,打開某些必要的服務或是關閉一些不必要的服務。下面這些服務通常我們可以直接將其禁用。

禁用Http Server

no ip http server

禁用IP源路由,防止路由欺騙

no ip source route

禁用Finger服務

no service finger

禁用Config服務

no service config

禁用Hootp服務

no iP hootp server

禁用小的UDP服務

no service udp-small-s

禁用小的TCP服務

no service tcp-small-s

(3).控制臺和虛擬終端的安全部署

在控制臺上使用與虛擬終端(Vty)線路上配置認證,另外,還需要對Vty線路使用簡單的訪問控制列表。

Switch(config)#access-list 1 permit 192.168.1.1

Switch(config)#line vty 0 4

Switch(config-line)#access-class 1 in

(4).SSH代替Telnet

Telnet是管理員們連接至交換機的主要通道,但是在Telnet會話中輸入的每個字節都將會被明文發送,這可以被類似Sniffer這樣的軟件嗅探獲取用戶名、密碼等敏感信息。因此,使用安全性能更高的SSH強加密無疑比使用Telnet更加安全。

Switch(config)#hostname test-ssh

test-ssh(config)#ip domain-name net.ctocio.com

test-ssh(config)#username test password 0 test

test-ssh(config)#line vty 0 4

test-ssh(config-line)#login local

test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com

test-ssh(config)#ip ssh time-out 180

test-ssh(config)#ip ssh authentication-retries 5

簡單說明,通過上述配置將交換機命名為test-ssh,域名為net.ctocio.com,創建了一個命名test密碼為test的用戶,設置ssh的關鍵字名為test-ssh.net.ctocio.com,ssh超時為180秒,最大連接次數為5次。

(5).禁用所有未用的端口

關于這一點,筆者見過一個案例:某單位有某員工“不小心” 將交換機兩個端口用網線直接連接,(典型的用戶無知行為),于是整個交換機的配置數據被清除了。在此,筆者強烈建議廣大同仁一定要將未使用的端口ShutDown掉。并且,此方法也能在一定程度上防范惡意用戶連接此端口并協商中繼模式。

(6).確保STP的安全

保護生成樹協議,主要是防范其他分公司在新加入一臺交換機時,因各單位網絡管理員不一定清楚完整的網絡拓撲,配置錯誤使得新交換機成為根網橋,帶來意外的BPDU。因此,需要核心管理員啟用根防護與BPDU防護。

默認情況下交換機端口禁用根防護,要啟用它需要使用以下命令:

Switch(config)#spanning-tree guard root

默認情況下,交換機端口也禁用BPDU防護。啟用它需使用下列命令:

Switch(config)#Spanning-tree Portfast bpduguard default

如果要在所有端口上啟用BPDU防護,可使用下面的命令:

Switch(config)#Spanning-tree Portfast bpduguard enable

2、ACL配置,確保交換機VLAN安全

大家知道,ACL是一張規則表,交換機按照順序執行這些規則,并且處理每一個進入端口的數據包。每條規則根據數據包的屬性(如源地址、目的地址和協議)要么“允許”, 要么“拒絕” 數據包通過。訪問列表能夠對通過交換機的數據流進行控制。ACL通過對網絡資源進行訪問輸入和輸出控制,確保網絡設備不被非法訪問或被用作攻擊跳板。

配置VLAN Access Map

Switch(config)#vlan access-map test1

//定義一個vlan accessmap,取名為test1

Switch(config-vlan-access)#match ip address 101

//設置匹配規則為acl 101

Switch(config-vlan-access)#action forward

//匹配后,設置數據流轉發(forward)

Switch(config)#vlan access-map test2

//定義一個vlan accessmap,取名為test2

Switch(config-vlan-access)#match ip address 102

//設置匹配規則為acl 102

Switch(config-vlan-access)#action forward

//匹配后,設置數據流轉發(forward)

應用VACL

Switch(config)#vlan filter test1 vlan-list 10

//將上面配置的test1應用到vlanl0

Switch(config)#vlan filter test2 vlan-list 20

//將上面配置的test2應用到vlan20

配置私有VLAN

定義輔助VLAN102030

Switch(config)#vlan 10

Switch(config-vlan)#private vlan community

定義主VLANIO0并與所有輔助VLAN建立關系

Switch(config)#vlan 100

Switch(config-vlan)#private vlan community

Switch(config-vlan)#private vlan association 10,20,30

定義端口在私有VLAN 中的模式為主機(Host)或混合(Promiscuous),并配置關聯或映射

Switch(config-if)#switchport mode private host

Switch(config-if)#switchport mode private host-association 100 30

3、深入配置,確保交換機免受惡意攻擊

(1).防動態中繼協議DTP攻擊

交換機通過交換DTP協議,動態協商中繼鏈路的用法和封裝模式。然而,如果交換機中繼端口模式為Auto,它將等待處于模式AutoOn的另一臺交換機的請求建立連接。這時,如果惡意用戶利用DTP嘗試同交換機端口協商建立中繼鏈路,攻擊者將可以捕獲任何通過該VLAN的數據流。

防范方法是:將任何連接到用戶的端口配置為Access模式,從而使它不能以Auto模式使用DTP。需要使用的命令為:

Switch(config-if)#switchport mode access

(2).防范VLAN跨越式攻擊

在這種攻擊方法中,攻擊者位于普通VLAN,發送被雙重標記的幀,就像使用的是802.1q中繼鏈路。當然,攻擊者連接的并非中繼線路,他通過偽造中繼封裝,欺騙交換機將幀轉發到另一個VLAN中,實現VLAN跨越式攻擊,從而在數據鏈路層就可非法訪問另一VLAN

防范方法是:首先,修改本征VLAN ID并在中繼鏈路兩端將本征VLAN修剪掉命令為:

Switch(config-if)#switchport trunk native vlan 200

Switch(config-if)#switchport trunk allowed vlan remove 200

然后,強制所有的中繼鏈路給本征VLAN加標記,命令為:

Switch(config)#vlan dotlq tagnative

(3).防范DHCP欺騙攻擊

DHCP欺騙的原理可以簡述為,攻擊者在某計算機上運行偽造的DHCP服務器,當客戶廣播DHCP請求時,偽造服務器將發送自己的DHCP應答,將其IP地址作為默認網關客戶收到該應答后,前往子網外的數據分組首先經過偽網關。如果攻擊者夠聰明,他將轉發該數據分組到正確的地址,但同時他也捕獲到了這些分組。盡管客戶信息泄露了,但他卻對此毫無所知。

防范方法是:在交換機上啟用DHCP探測。首先,在交換機的全局模式下啟用DHCP探測,其命令為:

Switch(config)#ip dhcp snooping

接下來,指定要探測的VLAN,命令為:

Switch(config)#ip dhcp snooping vlan 2

然后,將DHCP服務器所在端口設置為信任端口,命令為:

Switch(config-if)#ip dhcp snooping trust

最后,限制其他不可信端口的DHCP分組速率,命令為:

Switch(config-if)#ip dhcp snooping limit rate rate

(4).防范ARP欺騙攻擊

ARP地址欺騙類病毒是一類特殊的病毒,該病毒一般屬于木馬病毒,不具備主動傳播的特性,不會自我復制。但是由于其發作的時候會向全網發送偽造的ARP數據包,干擾全網的運行,因此它的危害比一些蠕蟲還要嚴重得多。其實, 我們只需要在交換機上綁定MAc地址,就能讓ARP病毒無用武之地。

首先,在交換機上啟用端口安全,命令為:

Switch(config-if)#switchport port-security

然后,指定允許的MAC地址,以便允許合法的MAC地址訪問,命令為:

Switch(config-if)#switchport port-security mac-address 000A.E698.84B7

當然,上述操作是靜態指定地址,比較麻煩。我們也可以動畫獲悉MAC,然后在端口上限制最大允許學習的MAC數目,命令為:

Switch(config-if)#switchport port-security 24

然后定義如果MAC地址違規則采取怎樣的措施,命令為:

Switch(config-if)#switchport port-security vislation shutdown

其中shutdown是關閉,restrrict是丟棄并記錄、警報,protect是丟棄但不記錄。

以上就是有關杜絕交換機的攻擊的技術細節。相信確保交換機這三個方面的安全設置,并配合相應的規章、制度,就一定能夠保證交換機的安全。

熱詞搜索:

上一篇:威脅常來自內部 七大離奇數據失竊案
下一篇:美女代言 華深慧正為IT業帶來別樣溫情

分享到: 收藏