交换安全

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了交换安全相关的知识,希望对你有一定的参考价值。

交换安全

Mac地址攻击(针对交换机)

  1. 端口安全(基于Mac地址允许)
    端口安全:在接口上设置接受MAC地址数量以及合法MAC地址
    惩罚动作:(1)shutdown(2)protect(忽略未授权的MAC)(3)restricted(发警告)
  2. 针对某个Mac地址进行过滤(基于Mac地址过滤)
    开端口安全
    sw1(config-if)#switchport port-security
    端口隔离
    Switchport protect(无线环境应用较多,公共联网环境比较广泛)
    粘滞安全MAC地址
    sw1(config-if)#switchport port-security mac-address 00d0.bab2.2611
    配置交换机接口自动粘滞MAC地址
    sw1(config-if)#switchport port-security mac-address sticky
    惩罚
    switchport port-security violation ?
    允许交换机自动恢复因端口安全而关闭的端口
    sw1(config)#errdisable recovery cause psecure-violation
    配置交换机120s后自动恢复端口
    sw1(config)#errdisable recovery interval 120

DHCP欺骗攻击
防止攻击者模拟DHCP server发送的错误的DHCP信息
解决方案:DHCP snooping在交换机上定义信任和非信任接口(默认都为非信任接口)
首先开启DHCP snooping(注意保存表到不易丢失存储)
sw1(config)#ip dhcp snooping vlan ?
添加信任接口sw1(config-if)#ip dhcp snooping trust
在dhcp server 上开启dhcp中继的信任(进入该vlan)
sw1(config-if)#ip dhcp relay information trusted
当从非信任接口收到请求信息则插入option 82 上行交换机如果收到含有82的请求Cisco默认丢弃有82的数据(高版本取消丢弃功能)
检查dhcp包的mac和二层的mac是否一致: sw1(config)#ip dhcp snooping verify mac-address
查看:show ip dhcp snooping binding(含有 MAC IP 接口 vlan)
在客户端设备和DHCP服务器不在同一广播域内的时候,中间设备即路由器(路由功能的设备)在三层交换机指定vlan上输入ip helper-address ?指向含有DHCP pool 的路由器接口的地址
ARP中间人攻击(针对pc机攻击)
解决方法:(1)DAI技术(在snooping的基础上,查看binding表与发出的不符则shutdown)可以针对特定vlan
ip arp inspection vlan ?
(2) 如果没有binding表则sw1(config)#ip arp inspection validatie 源mac 目的mac 源ip

IP欺骗
解决方案:IPSG技术(基于dhcp snooping ) 在接口下:ip verify source port-security
手工添加:sw #ip source binding MAC VLAN ip地址 接口

硬件攻击
自然灾害,硬件损坏
解决方案:干燥恒温,定期检查

优化机制
(1)在启用了端口安全接口上关闭未知单播组播洪泛
sw1(config-if)# switchport block ?(端口锁定比如打印机)
(2)针对广播报文上述方法无法抑制使用风暴控制,从而限制广播报文的发送,超过阈值,开始惩罚(设置两个阈值超过高得阈值停止发送低于低的继续发送)
风暴抑制sw1(config-if)# storm-control broadcast level 20 10
惩罚:sw1(config-if)# storm-control action ?(shutdown,trap将超过的丢弃)

在项目配置完结后关闭CDP协商
no cdp run

以上是关于交换安全的主要内容,如果未能解决你的问题,请参考以下文章

从交换机安全配置,看常见局域网攻击

路由交换·端口安全

华为交换机端口安全

cisco交换机安全配置设定命令(2)

交换机端口安全之粘滞安全MAC地址

交换机的端口安全