VTP安全

VTPVLAN Trunk Protocol,VLAN中继协议)通过处于VTP Server模式的交换机发送VTP信息,达到在交换机之间共享VLAN数据库的目的,从而减少VLAN配置工作量。如果攻击者伪造VTP信息,删除VTP域中的所有VLAN,则导致以前划入VLAN的接口关闭,产生DoS攻击。通过在VTP域中设置Password则可以有效防止VTP信息的伪造。Password可以在VTP信息加入MD5认证信息,使VTP信息伪造变得困难。

配置命令: 

CatOS(enable)>set vtp domain vtpdomain mode server passwd XXX     
#设置VTP域的认证Password

VLAN安全

VLAN把网络分割成为多个广播域,使VLAN间的访问要经过三层设备路由器、三层交换机),通过在三层设备上放置ACL就能达到很好的访问安全性。但是通过使用特殊的方法仍然能够达到VLAN跳转,对VLAN安全产生极大的威胁。

VLAN跳转利用了交换机默认不安全的配置。在交换机上,端口使用DTPDynamic Trunk Protocol)协议和对端口进行端口类型协商,决定端口处于Access还是Trunk状态。如果一台主机扮演交换机角色和交换机的端口协商成为Trunk,那么该主机将能够访问到所有的VLAN。解决基本VLAN跳转方法是关闭DTP协商,或者把接入端口置为Access状态。

配置命令: 

CatOS(enable)>set trunk 1/1 off                         
#关闭DTP协议
Switch(config-if)#switchport mode access                
#把端口置于Access状态

ARP安全

ARPAddress Resolution Protocol)是把IP地址映射为MAC地址的协议。因为ARP没有IP所有权的概念,即MAC地址和IP地址是分离的,意味着一个MAC地址都可能扮演任意一个MAC地址。通过ARP欺骗,可以发动多种攻击。

图 3

如图3所示,主机192.168.1.25发送伪造ARP信息,向路由器宣告192.168.1.34的MAC地址为11-22-33-44-55-66,造成路由器ARP表错误,这样路由器到192.168.1.34的信息被发往不存在的MAC地址。

ARP重定向比ARP欺骗更近一步,不仅造成被攻击主机不能访问网络,还可以造成主机信息被嗅探。如图4所示,192.168.1.25向路由器宣告192.168.1.34的MAC地址为00-0f-3d-82-bc-7e192.168.1.25的MAC),这造成路由器发往192.168.1.34的信息被定向到00-0f-3d-82-bc-7e192.168.1.25),在这里信息遭到嗅探或者修改。

图 4

不管是ARP欺骗还是ARP重定向,都是以伪造ARP应答为基础的。通过绑定IP-MAC可以有效地避免ARP欺骗。Catalyst交换机拥有ARP检查特性(ARP ACL),过滤不符合IP-MAC绑定规则的ARP应答。ARP ACL与ACL相似,同样为显式允许隐式拒绝。网络中主机较多时,配置ARP ACL的工作量较大。

配置命令: 

CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.25 00-0f-3d-82-bc-7e
#绑定IP-MAC
CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.34 00-0f-3d-82-bc-7f

要保持ARP欺骗的有效性,需要持续不断地发送伪造ARP应答。通过限制接口上的ARP应答数量,达到一定阈值时丢弃ARP应答或者关闭接口,可以抑制ARP欺骗。 

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20
#10个ARP应答时丢弃ARP,20个ARP应答时关闭接口

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20

#10个ARP应答时丢弃ARP,20个ARP应答时关闭接口

DHCP安全

DHCPDynamic Host Configuration Protocol)通过DHCP服务器分配给客户机IP地址、网关等配置信息。通过在网络上引入一台未经授权的DHCP服务器,可能为客户机分配错误的IP地址,导致客户机不能访问网络。如果未授权DHCP服务器分给恶意DNS,造成客户访问到虚假的服务器;如果是恶意的网关,则导致用户信息有可能被嗅探或者修改。

在交换机上配置DHCP窥探DHCP Snooping),允许信任端口连接的主机发送DHCP应答,非信任端口则不允许DHCP应答。

配置命令: 

Switch(config)#ip dhcp snooping    #开启DHCP窥探
Switch(config)#ip dhcp
snooping vlan 2         #在vlan2中开启DHCP窥探
Switch(config-if)#ip dhcp snooping trust   #定义DHCP信任端口

以上我们介绍了网络二层可能出现的安全问题及其防范方法。下面我们将来探讨两种加强网络二层安全的措施PVLANPrivate VLAN)。

PVLAN

PVLAN通过把处于VLAN中端口分割成为具有相同子网地址的隔离端口来增强网络的安全性。使用PVLAN隔离端口不必划分IP网段,大大节省了IP地址。由于这些特点,PVLAN广泛应用于小区宽带接入和DMZ区服务器接入。

PVLAN的端口分为三种:孤立端口Isolated Port)、混杂端口Promiscuous Port)和团体端口Community Port)。独立端口只能和混杂端口通信,连接不和子网内主机通信的主机;混杂端口能和任何端口通信,通常连接上层设备的端口;团体端口之间可以通信,也可以和混杂端口通信,连接和一部分子网主机通信的主机。

配置命令: 

CatOS(enable)>setvlan 10 pvlanprimary   
#设置vlan10为主vlan
CatOS(enable)>set vlan 100
pvlan isolated            
#设置vlan100为孤立vlan
CatOS(enable)>set vlan 101 
pvlan community         
#设置vlan101为团体vlan
CatOS(enable)>set vlan 10 100 3/13 
#捆绑从vlan100到主vlan10,并分配端口
CatOS(enable)>set vlan 10 101 3/2-12 
#绑定vlan101到主vlan10,并分配端口
CatOS(enable)>set vlan 10 100 mapping 3/1    
#设定3/1为vlan100的混杂端口
CatOS(enable)>ste vlan 10 101 mapping 3/1   
#设定3/1为vlan101混杂端口

发生在网络二层的安全威胁都需要攻击者直接接入网络,所以要保证网络安全,除了使用各种措施以外,对用户的安全教育和监管也必不可少。 

  1. 从OSI模型看三种解决网络故障常用思路
  2. 理解OSI网络分层


共3页: 上一页123下一页

相关内容