07.交换机端口安全.docVIP

07.交换机的端口安全 一．实验目的 掌握交换机被攻击的类型 掌握交换机vlan跳跃攻击的原理 掌握交换机端口的安全配置 二．实验相关理论 二层交换机的攻击包括 VLAN跳跃攻击、STP生成树的攻击、DHCP服务器的欺骗、CAM表溢出攻击、MAC地址欺骗。 VLAN跳跃攻击： 允许流量从一VLAN进入另一个VLAN，而不用经过路由。如攻击者可利用VLAN跳跃攻击窃听本应该与攻击者PC隔离的流量，或将流量发送到攻击者PC不能到达的VLAN。发起VLAN跳跃攻击的主要方法是交换机欺骗（switch spoofing）和双重标记（double tagging） 交换机欺骗 默认情况下，交换机的中继端口可以传输所有VLAN流量。因此攻击者只要使一台交换机进入中继模式，就可以看到所有的VLAN流量。交换机的中继模式默认为auto，若端口收到DTP动态中继协议帧，该端口会自动成为中继端口。 解决方法： 禁用交换机端口的中继 Switch(config)#int f0/0 Switch(config-if)#switchport mode access //设置为access模式 禁止协商 Switch(config)#int f0/0 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk //强制将该端口设为trunk Switch(config-if)#switchport nonegotiate //禁止端口发送协商包Switch(config-if)#switchport mode dynamic desirable //主动与对协商成为Trunk接口的可能性，如果邻居接口模式为Trunk/desirable/auto之一，则接口将变成trunk接口工作。如果不能形成trunk模式，则工作在access模式。这种模式是现在交换机的默认模式。 Sswitchport mode dynamic auto: //只有邻居交换机主动与自己协商时才会变成Trunk接口，所以它是一种被动模式，当邻居接口为Trunk/desirable之一时，才会成为Trunk。如果不能形成trunk模式，则工作在access模式。 双标签越级攻击从交换机属于本征VLAN的access口流入交换机的帧，如果包含802.1Q双标签，其中外部标签上VLAN 1（本征VLAN），内部标签为VLAN 2，那么数据通过trunk时候，会被剥离外部的本征VLAN标签，使内部标签生效，从而使帧在不同VLAN间跳转。Smartbits。 解决方法：不要使用本征VLAN发送用户流量，可通过创建一个不含有任何端口的VLAN来做本征VLAN。 Switch(config)#int f0/0 Switch(config-if)#switchport trunk native vlan 99 交换机的端口安全 对交换机的端口攻击常见的有CAM表溢出和MAC地址欺骗。 CAM表溢出：攻击者使用MAC地址批量生成器产生许多MAC地址，去轰击CAM表，从而使合法主机的MAC淹没。 解决方法：限制交换机端口可尝到的MAC地址数。 MAC地址欺骗：攻击者使用虚假的源MAC（假设是PC1）地址向交换机发送数据帧，……. 解决方法：交换机使用粘性安全MAC地址（sticky secure MAC address）。当配置为粘性安全MAC地址时，交换机可动态学习连接各端口的MAC地址，这些动态学习到的MAC地址被添加到交换机的运行配置中，从而防止攻击者通过之前学习到地址进行欺骗。 Switch(config)#int f0/0 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 3 //默认为1 Switchpot(config)#switchport port-security violation ? //下面是三个参数的解释 Protect:——保护当达到某个设定的MAC数量，后来的未知MAC不再解析，直接丢弃，且不产生通知Restrict——限制：当达到某个设定的MAC数量，后来的未知MAC不再解析，直接丢弃，产生通知，如SNMP TRAP、SYSLOG信息，并增加违反记数；这里有个问题，恶意攻击会产生大量的类似信息，给网络带来不利。?Shutdown——关闭：当达到某个设定的MAC数量，后来的未知MAC不