CatOS(enable)>set port security 1/1 maximum 2

#限制1/1端口最多可能出現(xiàn)的2個(gè)MAC地址

CatOS(enable)>set port security 1/1 violation shudown|restriction

#當(dāng)超過MAC地址數(shù)后是關(guān)閉接口還是丟棄后來的MAC幀

STP安全

STP(Spanning Tree Protocol，生成樹協(xié)議)是二層網(wǎng)絡(luò)中普遍運(yùn)行的協(xié)議，主要目的避免網(wǎng)絡(luò)二層環(huán)路的存在。STP以根網(wǎng)橋(Root Bridge)為根，通過發(fā)送BPDU(Bridge Protocol Data Unit，網(wǎng)橋協(xié)議數(shù)據(jù)單元)來構(gòu)建一個(gè)無(wú)環(huán)的樹形拓?fù)?。由于STP缺乏信息的驗(yàn)證機(jī)制，所以虛假的STP信息會(huì)造成嚴(yán)重的網(wǎng)絡(luò)安全問題。

如圖1所示，攻擊者接入兩臺(tái)交換機(jī)，并使用擁有更小Bridge ID的TCN BPDU宣告自己為根網(wǎng)橋。這樣生成樹拓?fù)浒l(fā)生變化，以攻擊者為根，所有的流量不再經(jīng)過交換機(jī)之間的鏈路，而是經(jīng)過攻擊者。這樣攻擊者便可以發(fā)動(dòng)嗅探、會(huì)話劫持、中間人(Man In The Middle)等諸如此類的攻擊。

　　圖　1

Cisco交換機(jī)中的BPDU Guard特性可以很好地解決針對(duì)STP的攻擊。當(dāng)端口上開BPDU Guard以后，交換機(jī)不接受從此接口上收到的BPDU。通?？梢栽赑ortFast端口上開啟BPDU Guard，因?yàn)镻ortFast端口大部分只連接主機(jī)終端，不會(huì)產(chǎn)生BPDU。當(dāng)交換機(jī)從開啟BPDU Guard特性的端口上收到BPDU時(shí)，則會(huì)關(guān)閉該端口。

　　配置命令：

CatOS(enable)>set spantree porfast bpduguard enable       #在PortFast端口上開啟BPDU Guard特性

Root Guard特性使交換機(jī)不接受該端口上的根網(wǎng)橋BPDU宣告，防止攻擊者宣告自己為根網(wǎng)橋。但是，攻擊者通過精心選擇Bridge ID，還是可以把流量進(jìn)行通信定向。所以使用BPDU Guard是防止針對(duì)STP攻擊的根本方法。

　　配置命令：

CatOS(enable)>set spantree guard root 1/4 #1/4端口上不接受根網(wǎng)橋BPDU宣告

CDP安全

攻擊者發(fā)動(dòng)攻擊之前，往往會(huì)通過各種手段搜集攻擊目標(biāo)的相關(guān)信息，以便發(fā)現(xiàn)安全漏洞。CDP(Cisco Discovery Protocol，思科發(fā)現(xiàn)協(xié)議)是Cisco網(wǎng)絡(luò)環(huán)境下用來在相鄰設(shè)備下交換設(shè)備相關(guān)信息的協(xié)議。這些信息包括設(shè)備的能力、運(yùn)行IOS版本號(hào)等。攻擊者可能通過IOS版本號(hào)得知該版本安全漏洞，并針對(duì)漏洞進(jìn)行攻擊。CDP在了解網(wǎng)絡(luò)狀況，進(jìn)性故障排除時(shí)擁有一定作用，所以建議在連接終端用戶的端口上關(guān)閉CDP協(xié)議(如圖2所示)。如果有需要，可以徹底地關(guān)閉網(wǎng)絡(luò)中的CDP協(xié)議。

　　圖　2

　　配置命令：

Switch(config-if)#no cdp enable                       #在接口上停止運(yùn)行CDP
Switch(config)#no cdp running                         #在設(shè)備上關(guān)閉CDP協(xié)議

VTP安全

VTP(VLAN Trunk Protocol,VLAN中繼協(xié)議)通過處于VTP Server模式的交換機(jī)發(fā)送VTP信息，達(dá)到在交換機(jī)之間共享VLAN數(shù)據(jù)庫(kù)的目的，從而減少VLAN配置工作量。如果攻擊者偽造VTP信息，刪除VTP域中的所有VLAN，則導(dǎo)致以前劃入VLAN的接口關(guān)閉，產(chǎn)生DoS攻擊。通過在VTP域中設(shè)置Password則可以有效防止VTP信息的偽造。Password可以在VTP信息加入MD5認(rèn)證信息，使VTP信息偽造變得困難。

　　配置命令：

CatOS(enable)>set vtp domain vtpdomain mode server passwd XXX     #設(shè)置VTP域的認(rèn)證Password

VLAN安全

VLAN把網(wǎng)絡(luò)分割成為多個(gè)廣播域，使VLAN間的訪問要經(jīng)過三層設(shè)備(路由器、三層交換機(jī))，通過在三層設(shè)備上放置ACL就能達(dá)到很好的訪問安全性。但是通過使用特殊的方法仍然能夠達(dá)到VLAN跳轉(zhuǎn)，對(duì)VLAN安全產(chǎn)生極大的威脅。

VLAN跳轉(zhuǎn)利用了交換機(jī)默認(rèn)不安全的配置。在交換機(jī)上，端口使用DTP(Dynamic Trunk Protocol)協(xié)議和對(duì)端口進(jìn)行端口類型協(xié)商，決定端口處于Access還是Trunk狀態(tài)。如果一臺(tái)主機(jī)扮演交換機(jī)角色和交換機(jī)的端口協(xié)商成為Trunk，那么該主機(jī)將能夠訪問到所有的VLAN。解決基本VLAN跳轉(zhuǎn)方法是關(guān)閉DTP協(xié)商，或者把接入端口置為Access狀態(tài)。

配置命令：

CatOS(enable)>set trunk 1/1 off                         #關(guān)閉DTP協(xié)議
Switch(config-if)#switchport mode access                #把端口置于Access狀態(tài)

ARP安全

ARP(Address Resolution Protocol)是把IP地址映射為MAC地址的協(xié)議。因?yàn)锳RP沒有IP所有權(quán)的概念，即MAC地址和IP地址是分離的，意味著一個(gè)MAC地址都可能扮演任意一個(gè)MAC地址。通過ARP欺騙，可以發(fā)動(dòng)多種攻擊。

　　圖　3

如圖3所示，主機(jī)192.168.1.25發(fā)送偽造ARP信息，向路由器宣告192.168.1.34的MAC地址為11-22-33-44-55-66，造成路由器ARP表錯(cuò)誤，這樣路由器到192.168.1.34的信息被發(fā)往不存在的MAC地址。

ARP重定向比ARP欺騙更近一步，不僅造成被攻擊主機(jī)不能訪問網(wǎng)絡(luò)，還可以造成主機(jī)信息被嗅探。如圖4所示，192.168.1.25向路由器宣告192.168.1.34的MAC地址為00-0f-3d-82-bc-7e(192.168.1.25的MAC)，這造成路由器發(fā)往192.168.1.34的信息被定向到00-0f-3d-82-bc-7e(192.168.1.25)，在這里信息遭到嗅探或者修改。

　　圖　4

不管是ARP欺騙還是ARP重定向，都是以偽造ARP應(yīng)答為基礎(chǔ)的。通過綁定IP-MAC可以有效地避免ARP欺騙。Catalyst交換機(jī)擁有ARP檢查特性(ARP ACL)，過濾不符合IP-MAC綁定規(guī)則的ARP應(yīng)答。ARP ACL與ACL相似，同樣為顯式允許隱式拒絕。網(wǎng)絡(luò)中主機(jī)較多時(shí)，配置ARP ACL的工作量較大。

配置命令：

CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.25 00-0f-3d-82-bc-7e
#綁定IP－MAC
CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.34 00-0f-3d-82-bc-7f

要保持ARP欺騙的有效性，需要持續(xù)不斷地發(fā)送偽造ARP應(yīng)答。通過限制接口上的ARP應(yīng)答數(shù)量，達(dá)到一定閾值時(shí)丟棄ARP應(yīng)答或者關(guān)閉接口，可以抑制ARP欺騙。

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20
#10個(gè)ARP應(yīng)答時(shí)丟棄ARP，20個(gè)ARP應(yīng)答時(shí)關(guān)閉接口

DHCP安全

DHCP(Dynamic Host Configuration Protocol)通過DHCP服務(wù)器分配給客戶機(jī)IP地址、網(wǎng)關(guān)等配置信息。通過在網(wǎng)絡(luò)上引入一臺(tái)未經(jīng)授權(quán)的DHCP服務(wù)器，可能為客戶機(jī)分配錯(cuò)誤的IP地址，導(dǎo)致客戶機(jī)不能訪問網(wǎng)絡(luò)。如果未授權(quán)DHCP服務(wù)器分給惡意DNS，造成客戶訪問到虛假的服務(wù)器;如果是惡意的網(wǎng)關(guān)，則導(dǎo)致用戶信息有可能被嗅探或者修改。

在交換機(jī)上配置DHCP窺探(DHCP Snooping)，允許信任端口連接的主機(jī)發(fā)送DHCP應(yīng)答，非信任端口則不允許DHCP應(yīng)答。

配置命令：

Switch(config)#ip dhcp snooping    #開啟DHCP窺探
Switch(config)#ip dhcp
snooping vlan 2         #在vlan2中開啟DHCP窺探
Switch(config-if)#ip dhcp snooping trust   #定義DHCP信任端口

以上我們介紹了網(wǎng)絡(luò)二層可能出現(xiàn)的安全問題及其防范方法。下面我們將來探討兩種加強(qiáng)網(wǎng)絡(luò)二層安全的措施PVLAN(Private VLAN)。

PVLAN

PVLAN通過把處于VLAN中端口分割成為具有相同子網(wǎng)地址的隔離端口來增強(qiáng)網(wǎng)絡(luò)的安全性。使用PVLAN隔離端口不必劃分IP網(wǎng)段，大大節(jié)省了IP地址。由于這些特點(diǎn)，PVLAN廣泛應(yīng)用于小區(qū)寬帶接入和DMZ區(qū)服務(wù)器接入。

PVLAN的端口分為三種：孤立端口(Isolated Port)、混雜端口(Promiscuous Port)和團(tuán)體端口(Community Port)。獨(dú)立端口只能和混雜端口通信，連接不和子網(wǎng)內(nèi)主機(jī)通信的主機(jī);混雜端口能和任何端口通信，通常連接上層設(shè)備的端口;團(tuán)體端口之間可以通信，也可以和混雜端口通信，連接和一部分子網(wǎng)主機(jī)通信的主機(jī)。

配置命令：

CatOS(enable)>setvlan 10 pvlanprimary   #設(shè)置vlan10為主vlan
CatOS(enable)>set vlan 100
pvlan isolated            #設(shè)置vlan100為孤立vlan
CatOS(enable)>set vlan 101 
pvlan community         #設(shè)置vlan101為團(tuán)體vlan
CatOS(enable)>set vlan 10 100 3/13 
#捆綁從vlan100到主vlan10，并分配端口
CatOS(enable)>set vlan 10 101 3/2-12 
#綁定vlan101到主vlan10，并分配端口
CatOS(enable)>set vlan 10 100 mapping 3/1    #設(shè)定3/1為vlan100的混雜端口
CatOS(enable)>ste vlan 10 101 mapping 3/1   #設(shè)定3/1為vlan101混雜端口

發(fā)生在網(wǎng)絡(luò)二層的安全威脅都需要攻擊者直接接入網(wǎng)絡(luò)，所以要保證網(wǎng)絡(luò)安全，除了使用各種措施以外，對(duì)用戶的安全教育和監(jiān)管也必不可少。

yajing