Cisco交换机中的BPDU Guard特性可以很好地解决针对STP的攻击。当端口上开BPDU Guard以后,交换机不接受从此接口上收到的BPDU。通常可以在PortFast端口上开启BPDU Guard,因为PortFast端口大部分只连接主机终端,不会产生BPDU。当交换机从开启BPDU Guard特性的端口上收到BPDU时,则会关闭该端口。

配置命令: 

CatOS(enable)>set spantree porfast bpduguard enable       
#在PortFast端口上开启BPDU Guard特性

Root Guard特性使交换机不接受该端口上的根网桥BPDU宣告,防止攻击者宣告自己为根网桥。但是,攻击者通过精心选择Bridge ID,还是可以把流量进行通信定向。所以使用BPDU Guard是防止针对STP攻击的根本方法。

配置命令: 

CatOS(enable)>set spantree guard root 1/4 #1/4端口上不接受根网桥BPDU宣告

CDP安全

攻击者发动攻击之前,往往会通过各种手段搜集攻击目标的相关信息,以便发现安全漏洞。CDPCisco Discovery Protocol,思科发现协议)是Cisco网络环境下用来在相邻设备下交换设备相关信息的协议。这些信息包括设备的能力、运行IOS版本号等。攻击者可能通过IOS版本号得知该版本安全漏洞,并针对漏洞进行攻击。CDP在了解网络状况,进性故障排除时拥有一定作用,所以建议在连接终端用户的端口上关闭CDP协议如图2所示)。如果有需要,可以彻底地关闭网络中的CDP协议。

 

图 2

配置命令: 

Switch(config-if)#no cdp enable                       
#在接口上停止运行CDP
Switch(config)#no cdp running                         
#在设备上关闭CDP协议


共3页: 上一页123下一页

相关内容