#限制1/1端口最多可能出現的2個MAC地址
CatOS(enable)>set port security 1/1 violation shudown|restriction
#當超過MAC地址數后是關閉接口還是丟棄后來的MAC幀

CatOS(enable)>set port security 1/1 maximum 2

#限制1/1端口最多可能出現的2個MAC地址

CatOS(enable)>set port security 1/1 violation shudown|restriction

#當超過MAC地址數后是關閉接口還是丟棄后來的MAC幀

STP安全

STP(Spanning Tree Protocol,生成樹協(xié)議)是二層網絡中普遍運行的協(xié)議,主要目的避免網絡二層環(huán)路的存在。STP以根網橋(Root Bridge)為根,通過發(fā)送BPDU(Bridge Protocol Data Unit,網橋協(xié)議數據單元)來構建一個無環(huán)的樹形拓撲。由于STP缺乏信息的驗證機制,所以虛假的STP信息會造成嚴重的網絡安全問題。

如圖1所示,攻擊者接入兩臺交換機,并使用擁有更小Bridge ID的TCN BPDU宣告自己為根網橋。這樣生成樹拓撲發(fā)生變化,以攻擊者為根,所有的流量不再經過交換機之間的鏈路,而是經過攻擊者。這樣攻擊者便可以發(fā)動嗅探、會話劫持、中間人(Man In The Middle)等諸如此類的攻擊。

  

  圖 1

Cisco交換機中的BPDU Guard特性可以很好地解決針對STP的攻擊。當端口上開BPDU Guard以后,交換機不接受從此接口上收到的BPDU。通??梢栽赑ortFast端口上開啟BPDU Guard,因為PortFast端口大部分只連接主機終端,不會產生BPDU。當交換機從開啟BPDU Guard特性的端口上收到BPDU時,則會關閉該端口。

  配置命令:

CatOS(enable)>set spantree porfast bpduguard enable       #在PortFast端口上開啟BPDU Guard特性

Root Guard特性使交換機不接受該端口上的根網橋BPDU宣告,防止攻擊者宣告自己為根網橋。但是,攻擊者通過精心選擇Bridge ID,還是可以把流量進行通信定向。所以使用BPDU Guard是防止針對STP攻擊的根本方法。

  配置命令:

CatOS(enable)>set spantree guard root 1/4 #1/4端口上不接受根網橋BPDU宣告

CDP安全

攻擊者發(fā)動攻擊之前,往往會通過各種手段搜集攻擊目標的相關信息,以便發(fā)現安全漏洞。CDP(Cisco Discovery Protocol,思科發(fā)現協(xié)議)是Cisco網絡環(huán)境下用來在相鄰設備下交換設備相關信息的協(xié)議。這些信息包括設備的能力、運行IOS版本號等。攻擊者可能通過IOS版本號得知該版本安全漏洞,并針對漏洞進行攻擊。CDP在了解網絡狀況,進性故障排除時擁有一定作用,所以建議在連接終端用戶的端口上關閉CDP協(xié)議(如圖2所示)。如果有需要,可以徹底地關閉網絡中的CDP協(xié)議。

  

  圖 2

  配置命令:

Switch(config-if)#no cdp enable                       #在接口上停止運行CDP
Switch(config)#no cdp running #在設備上關閉CDP協(xié)議

VTP安全

VTP(VLAN Trunk Protocol,VLAN中繼協(xié)議)通過處于VTP Server模式的交換機發(fā)送VTP信息,達到在交換機之間共享VLAN數據庫的目的,從而減少VLAN配置工作量。如果攻擊者偽造VTP信息,刪除VTP域中的所有VLAN,則導致以前劃入VLAN的接口關閉,產生DoS攻擊。通過在VTP域中設置Password則可以有效防止VTP信息的偽造。Password可以在VTP信息加入MD5認證信息,使VTP信息偽造變得困難。

  配置命令:

CatOS(enable)>set vtp domain vtpdomain mode server passwd XXX     #設置VTP域的認證Password

VLAN安全

VLAN把網絡分割成為多個廣播域,使VLAN間的訪問要經過三層設備(路由器、三層交換機),通過在三層設備上放置ACL就能達到很好的訪問安全性。但是通過使用特殊的方法仍然能夠達到VLAN跳轉,對VLAN安全產生極大的威脅。

VLAN跳轉利用了交換機默認不安全的配置。在交換機上,端口使用DTP(Dynamic Trunk Protocol)協(xié)議和對端口進行端口類型協(xié)商,決定端口處于Access還是Trunk狀態(tài)。如果一臺主機扮演交換機角色和交換機的端口協(xié)商成為Trunk,那么該主機將能夠訪問到所有的VLAN。解決基本VLAN跳轉方法是關閉DTP協(xié)商,或者把接入端口置為Access狀態(tài)。

配置命令:

CatOS(enable)>set trunk 1/1 off                         #關閉DTP協(xié)議
Switch(config-if)#switchport mode access #把端口置于Access狀態(tài)

ARP安全

ARP(Address Resolution Protocol)是把IP地址映射為MAC地址的協(xié)議。因為ARP沒有IP所有權的概念,即MAC地址和IP地址是分離的,意味著一個MAC地址都可能扮演任意一個MAC地址。通過ARP欺騙,可以發(fā)動多種攻擊。

  

  圖 3

如圖3所示,主機192.168.1.25發(fā)送偽造ARP信息,向路由器宣告192.168.1.34的MAC地址為11-22-33-44-55-66,造成路由器ARP表錯誤,這樣路由器到192.168.1.34的信息被發(fā)往不存在的MAC地址。

ARP重定向比ARP欺騙更近一步,不僅造成被攻擊主機不能訪問網絡,還可以造成主機信息被嗅探。如圖4所示,192.168.1.25向路由器宣告192.168.1.34的MAC地址為00-0f-3d-82-bc-7e(192.168.1.25的MAC),這造成路由器發(fā)往192.168.1.34的信息被定向到00-0f-3d-82-bc-7e(192.168.1.25),在這里信息遭到嗅探或者修改。

  

  圖 4

不管是ARP欺騙還是ARP重定向,都是以偽造ARP應答為基礎的。通過綁定IP-MAC可以有效地避免ARP欺騙。Catalyst交換機擁有ARP檢查特性(ARP ACL),過濾不符合IP-MAC綁定規(guī)則的ARP應答。ARP ACL與ACL相似,同樣為顯式允許隱式拒絕。網絡中主機較多時,配置ARP ACL的工作量較大。

配置命令:

CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.25 00-0f-3d-82-bc-7e
#綁定IP-MAC
CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.34 00-0f-3d-82-bc-7f

要保持ARP欺騙的有效性,需要持續(xù)不斷地發(fā)送偽造ARP應答。通過限制接口上的ARP應答數量,達到一定閾值時丟棄ARP應答或者關閉接口,可以抑制ARP欺騙。

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20
#10個ARP應答時丟棄ARP,20個ARP應答時關閉接口

DHCP安全

DHCP(Dynamic Host Configuration Protocol)通過DHCP服務器分配給客戶機IP地址、網關等配置信息。通過在網絡上引入一臺未經授權的DHCP服務器,可能為客戶機分配錯誤的IP地址,導致客戶機不能訪問網絡。如果未授權DHCP服務器分給惡意DNS,造成客戶訪問到虛假的服務器;如果是惡意的網關,則導致用戶信息有可能被嗅探或者修改。

在交換機上配置DHCP窺探(DHCP Snooping),允許信任端口連接的主機發(fā)送DHCP應答,非信任端口則不允許DHCP應答。

配置命令:

Switch(config)#ip dhcp snooping    #開啟DHCP窺探
Switch(config)#ip dhcp
snooping vlan 2 #在vlan2中開啟DHCP窺探
Switch(config-if)#ip dhcp snooping trust #定義DHCP信任端口

以上我們介紹了網絡二層可能出現的安全問題及其防范方法。下面我們將來探討兩種加強網絡二層安全的措施PVLAN(Private VLAN)。

PVLAN

PVLAN通過把處于VLAN中端口分割成為具有相同子網地址的隔離端口來增強網絡的安全性。使用PVLAN隔離端口不必劃分IP網段,大大節(jié)省了IP地址。由于這些特點,PVLAN廣泛應用于小區(qū)寬帶接入和DMZ區(qū)服務器接入。

PVLAN的端口分為三種:孤立端口(Isolated Port)、混雜端口(Promiscuous Port)和團體端口(Community Port)。獨立端口只能和混雜端口通信,連接不和子網內主機通信的主機;混雜端口能和任何端口通信,通常連接上層設備的端口;團體端口之間可以通信,也可以和混雜端口通信,連接和一部分子網主機通信的主機。

配置命令:

CatOS(enable)>setvlan 10 pvlanprimary   #設置vlan10為主vlan
CatOS(enable)>set vlan 100
pvlan isolated #設置vlan100為孤立vlan
CatOS(enable)>set vlan 101
pvlan community #設置vlan101為團體vlan
CatOS(enable)>set vlan 10 100 3/13
#捆綁從vlan100到主vlan10,并分配端口
CatOS(enable)>set vlan 10 101 3/2-12
#綁定vlan101到主vlan10,并分配端口
CatOS(enable)>set vlan 10 100 mapping 3/1 #設定3/1為vlan100的混雜端口
CatOS(enable)>ste vlan 10 101 mapping 3/1 #設定3/1為vlan101混雜端口

發(fā)生在網絡二層的安全威脅都需要攻擊者直接接入網絡,所以要保證網絡安全,除了使用各種措施以外,對用戶的安全教育和監(jiān)管也必不可少。

分享到

yajing

相關推薦