本文分析有關(guān)杜絕交換機(jī)的攻擊的技術(shù)細(xì)節(jié)，相信確保交換機(jī)這三個(gè)方面的安全設(shè)置，并配合相應(yīng)的規(guī)章、制度，就一定能夠保證企業(yè)交換機(jī)安全運(yùn)行。

與路由器不同，交換機(jī)的安全威脅主要來自局域網(wǎng)內(nèi)部。出于無知、好奇，甚至是惡意，某些局域網(wǎng)用戶會(huì)對(duì)交換機(jī)進(jìn)行攻擊。不管他們的動(dòng)機(jī)是什么，這都是管理員們不愿看到的。為此，除了在規(guī)定、制度上進(jìn)行規(guī)范外，管理員們要從技術(shù)上做好部署，讓攻擊者無功而返。本文以Cisco交換機(jī)的安全部署為例，和大家分享自己的經(jīng)驗(yàn)。

1、細(xì)節(jié)設(shè)置，確保交換機(jī)接入安全

(1).配置加密密碼

盡可能使用Enable Secret特權(quán)加密密碼，而不使用Enable Password創(chuàng)建的密碼。

(2).禁用不必要或不安全的服務(wù)

在交換機(jī)上尤其是三層交換機(jī)上，不同的廠商默認(rèn)開啟了不同的服務(wù)、特性以及協(xié)議。為提高安全，應(yīng)只開啟必須的部分，多余的任何東西都可能成為安全漏洞?？山Y(jié)合實(shí)際需求，打開某些必要的服務(wù)或是關(guān)閉一些不必要的服務(wù)。下面這些服務(wù)通常我們可以直接將其禁用。

禁用Http Server

no ip http server

禁用IP源路由，防止路由欺騙

no ip source route

禁用Finger服務(wù)

no service finger

禁用Config服務(wù)

no service config

禁用Hootp服務(wù)

no iP hootp server

禁用小的UDP服務(wù)

no service udp-small-s

禁用小的TCP服務(wù)

no service tcp-small-s

(3).控制臺(tái)和虛擬終端的安全部署

在控制臺(tái)上使用與虛擬終端(Vty)線路上配置認(rèn)證，另外，還需要對(duì)Vty線路使用簡(jiǎn)單的訪問控制列表。

Switch(config)#access-list 1 permit 192.168.1.1

Switch(config)#line vty 0 4

Switch(config-line)#access-class 1 in

(4).用SSH代替Telnet

Telnet是管理員們連接至交換機(jī)的主要通道，但是在Telnet會(huì)話中輸入的每個(gè)字節(jié)都將會(huì)被明文發(fā)送，這可以被類似Sniffer這樣的軟件嗅探獲取用戶名、密碼等敏感信息。因此，使用安全性能更高的SSH強(qiáng)加密無疑比使用Telnet更加安全。

Switch(config)#hostname test-ssh

test-ssh(config)#ip domain-name net.ctocio.com

test-ssh(config)#username test password 0 test

test-ssh(config)#line vty 0 4

test-ssh(config-line)#login local

test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com

test-ssh(config)#ip ssh time-out 180

test-ssh(config)#ip ssh authentication-retries 5

簡(jiǎn)單說明，通過上述配置將交換機(jī)命名為test-ssh，域名為net.ctocio.com，創(chuàng)建了一個(gè)命名test密碼為test的用戶，設(shè)置ssh的關(guān)鍵字名為test-ssh.net.ctocio.com，ssh超時(shí)為180秒，最大連接次數(shù)為5次。

(5).禁用所有未用的端口

關(guān)于這一點(diǎn)，筆者見過一個(gè)案例：某單位有某員工“不小心” 將交換機(jī)兩個(gè)端口用網(wǎng)線直接連接，(典型的用戶無知行為)，于是整個(gè)交換機(jī)的配置數(shù)據(jù)被清除了。在此，筆者強(qiáng)烈建議廣大同仁一定要將未使用的端口ShutDown掉。并且，此方法也能在一定程度上防范惡意用戶連接此端口并協(xié)商中繼模式。

(6).確保STP的安全

保護(hù)生成樹協(xié)議，主要是防范其他分公司在新加入一臺(tái)交換機(jī)時(shí)，因各單位網(wǎng)絡(luò)管理員不一定清楚完整的網(wǎng)絡(luò)拓?fù)?，配置錯(cuò)誤使得新交換機(jī)成為根網(wǎng)橋，帶來意外的BPDU。因此，需要核心管理員啟用根防護(hù)與BPDU防護(hù)。

默認(rèn)情況下交換機(jī)端口禁用根防護(hù)，要啟用它需要使用以下命令：

Switch(config)#spanning-tree guard root

默認(rèn)情況下，交換機(jī)端口也禁用BPDU防護(hù)。啟用它需使用下列命令：

Switch(config)#Spanning-tree Portfast bpduguard default

如果要在所有端口上啟用BPDU防護(hù)，可使用下面的命令：

Switch(config)#Spanning-tree Portfast bpduguard enable

2、ACL配置，確保交換機(jī)VLAN安全

大家知道，ACL是一張規(guī)則表，交換機(jī)按照順序執(zhí)行這些規(guī)則，并且處理每一個(gè)進(jìn)入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么“允許”， 要么“拒絕” 數(shù)據(jù)包通過。訪問列表能夠?qū)νㄟ^交換機(jī)的數(shù)據(jù)流進(jìn)行控制。ACL通過對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問輸入和輸出控制，確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板。

配置VLAN Access Map

Switch(config)#vlan access-map test1

//定義一個(gè)vlan accessmap，取名為test1

Switch(config-vlan-access)#match ip address 101

//設(shè)置匹配規(guī)則為acl 101

Switch(config-vlan-access)#action forward

//匹配后，設(shè)置數(shù)據(jù)流轉(zhuǎn)發(fā)(forward)

Switch(config)#vlan access-map test2

//定義一個(gè)vlan accessmap，取名為test2

Switch(config-vlan-access)#match ip address 102

//設(shè)置匹配規(guī)則為acl 102

Switch(config-vlan-access)#action forward

//匹配后，設(shè)置數(shù)據(jù)流轉(zhuǎn)發(fā)(forward)

應(yīng)用VACL

Switch(config)#vlan filter test1 vlan-list 10

//將上面配置的test1應(yīng)用到vlanl0中

Switch(config)#vlan filter test2 vlan-list 20

//將上面配置的test2應(yīng)用到vlan20中

配置私有VLAN

定義輔助VLAN10、20、30

Switch(config)#vlan 10

Switch(config-vlan)#private vlan community

定義主VLANIO0并與所有輔助VLAN建立關(guān)系

Switch(config)#vlan 100

Switch(config-vlan)#private vlan community

Switch(config-vlan)#private vlan association 10,20,30

定義端口在私有VLAN 中的模式為主機(jī)(Host)或混合(Promiscuous)，并配置關(guān)聯(lián)或映射

Switch(config-if)#switchport mode private host

Switch(config-if)#switchport mode private host-association 100 30

3、深入配置，確保交換機(jī)免受惡意攻擊

(1).防動(dòng)態(tài)中繼協(xié)議DTP攻擊

交換機(jī)通過交換DTP協(xié)議，動(dòng)態(tài)協(xié)商中繼鏈路的用法和封裝模式。然而，如果交換機(jī)中繼端口模式為Auto，它將等待處于模式Auto或On的另一臺(tái)交換機(jī)的請(qǐng)求建立連接。這時(shí)，如果惡意用戶利用DTP嘗試同交換機(jī)端口協(xié)商建立中繼鏈路，攻擊者將可以捕獲任何通過該VLAN的數(shù)據(jù)流。

防范方法是：將任何連接到用戶的端口配置為Access模式，從而使它不能以Auto模式使用DTP。需要使用的命令為：

Switch(config-if)#switchport mode access

(2).防范VLAN跨越式攻擊

在這種攻擊方法中，攻擊者位于普通VLAN，發(fā)送被雙重標(biāo)記的幀，就像使用的是802.1q中繼鏈路。當(dāng)然，攻擊者連接的并非中繼線路，他通過偽造中繼封裝，欺騙交換機(jī)將幀轉(zhuǎn)發(fā)到另一個(gè)VLAN中，實(shí)現(xiàn)VLAN跨越式攻擊，從而在數(shù)據(jù)鏈路層就可非法訪問另一VLAN。

防范方法是：首先，修改本征VLAN ID并在中繼鏈路兩端將本征VLAN修剪掉命令為：

Switch(config-if)#switchport trunk native vlan 200

Switch(config-if)#switchport trunk allowed vlan remove 200

然后，強(qiáng)制所有的中繼鏈路給本征VLAN加標(biāo)記，命令為：

Switch(config)#vlan dotlq tagnative

(3).防范DHCP欺騙攻擊

DHCP欺騙的原理可以簡(jiǎn)述為，攻擊者在某計(jì)算機(jī)上運(yùn)行偽造的DHCP服務(wù)器，當(dāng)客戶廣播DHCP請(qǐng)求時(shí)，偽造服務(wù)器將發(fā)送自己的DHCP應(yīng)答，將其IP地址作為默認(rèn)網(wǎng)關(guān)客戶收到該應(yīng)答后，前往子網(wǎng)外的數(shù)據(jù)分組首先經(jīng)過偽網(wǎng)關(guān)。如果攻擊者夠聰明，他將轉(zhuǎn)發(fā)該數(shù)據(jù)分組到正確的地址，但同時(shí)他也捕獲到了這些分組。盡管客戶信息泄露了，但他卻對(duì)此毫無所知。

防范方法是：在交換機(jī)上啟用DHCP探測(cè)。首先，在交換機(jī)的全局模式下啟用DHCP探測(cè)，其命令為：

Switch(config)#ip dhcp snooping

接下來，指定要探測(cè)的VLAN，命令為：

Switch(config)#ip dhcp snooping vlan 2

然后，將DHCP服務(wù)器所在端口設(shè)置為信任端口，命令為：

Switch(config-if)#ip dhcp snooping trust

最后，限制其他不可信端口的DHCP分組速率，命令為：

Switch(config-if)#ip dhcp snooping limit rate rate

(4).防范ARP欺騙攻擊

ARP地址欺騙類病毒是一類特殊的病毒，該病毒一般屬于木馬病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。其實(shí)， 我們只需要在交換機(jī)上綁定MAc地址，就能讓ARP病毒無用武之地。

首先，在交換機(jī)上啟用端口安全，命令為：

Switch(config-if)#switchport port-security

然后，指定允許的MAC地址，以便允許合法的MAC地址訪問，命令為：

Switch(config-if)#switchport port-security mac-address 000A.E698.84B7

當(dāng)然，上述操作是靜態(tài)指定地址，比較麻煩。我們也可以動(dòng)畫獲悉MAC，然后在端口上限制最大允許學(xué)習(xí)的MAC數(shù)目，命令為：

Switch(config-if)#switchport port-security 24

然后定義如果MAC地址違規(guī)則采取怎樣的措施，命令為：

Switch(config-if)#switchport port-security vislation shutdown

其中shutdown是關(guān)閉，restrrict是丟棄并記錄、警報(bào)，protect是丟棄但不記錄。

以上就是有關(guān)杜絕交換機(jī)的攻擊的技術(shù)細(xì)節(jié)。相信確保交換機(jī)這三個(gè)方面的安全設(shè)置，并配合相應(yīng)的規(guī)章、制度，就一定能夠保證交換機(jī)的安全。