- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
交换机安全问题研究
交换机安全问题研究
交换机在网络中工作在数据链路层,属于二层设备,提供了网络互联的等功能。它根据源MAC学习,根据新的MAC进行转发,按照每一个数据帧中的MAC地址决策信息转发。交换机是网络常用设备之一,也是网络必备设备之一,作为网络的基础构件,它的安全性着实成为许多工程师及网管人员的首要关注点。
交换机作为一种网络互联设备,它的默认状态旨在强化对内保护和内部开放通信的安全性。企业内部的交换机用于提供通信、转发游有用信息,这种提供通信的设备,往往安全性配置最低,这使得它们更容易遭到恶意攻击。如果攻击时在企业网内部设备的二层上发起的,那么通常在为检测到异常之前,网络中的其它设备就马上被攻陷了。同样,非恶意用户的一些行为也会导致网络中断,例如,用户在谁端口连入交换机或集线器的行为,或者把自己的笔记本配置为DHCP服务器的行为,尽管不是恶意的,但仍可能导致网络中断。所以,网络管理员必须采取安全保护行为,就跟ACL为上层提供安全保护一样,建立一个策略,并配置适当的特性,以便在维护日常网络运营的同时防范潜在的恶意威胁。
1 二层攻击的分类
二层的恶意攻击通常是由园区网基础设施所连接的设备发出的。出于恶意目的安放在网络中的物理未授权设备可以发出攻击。外部入侵者也可以控制并在可信设备上发起攻击。
向交换机发起的二层攻击可以划分为以下几种类别:
MAC层攻击
VLAN攻击
欺骗攻击
交换机设备上的攻击
1.1MAC层攻击极其防御
交换机的工作原理就是根据数据帧中的源MAC地址进行学习,将学习到的所哟MAC地址存入CAM(MAC地址表)中,根据数据帧中的目的MAC地址进行转发。交换机CAM表的空间是有限的,因此在同一时间内它只能存放有限数量的条目。网络入侵者可以使用大量无效的源MAC地址,来恶意地向交换机泛洪。如果在老的条目过期之前交换机接收到了足够多的新条目,那么它就不会再接收新的合法条目。如果这时去往交换机端口所连合法设备的流量抵达交换机,它也无法创建一个CAM表条目,交换机必须向所有端口泛洪这个数据帧。这样会造成的不良影响有:
交换机流量转发的效率很低且流量巨大,这可能会影响到网络中所有用户的传输速度。
入侵设备可以连接到任意交换机端口,并截获该接口平常无法收到的流 量。
MAC泛洪攻击的过程及步骤如下:
步骤1:交换机基于合法MAC地址表的条目来转发流量。
步骤2:攻击者以不同的源MAC地址发送大量数据包。
步骤3:在较短时间内,交换机的CAM表会一直被填充,直到它再也无法接受新的条目为止,只要攻击行为还在进行中,交换机的MAC地址表就一 直处于填满的状态。
步骤4:交换机开始把它接收到的所有数据包,向所有端口泛洪,而不管是单播、组播还是广播数据帧。
步骤5:攻击者在攻击主机上安装网络捕获软件,如Sniffer之类,就可捕获网络流量,加以分析,从而达到窃听的目的。
为了防止MAC地址泛洪,管理员可以使用端口安全特性。在端口安全特性的配置中,管理员可以定义某个端口上允许接入的MAC地址数量,也可以在端口特性中指定该端口允许接入的MAC地址。
1.端口安全
端口安全是目前市场上Cisco Catalyst交换机上所支持的特性,它可以在交换机端口上限定一个具体的MAC 地址或限定MAC 地址的数量。为防止MAC地址泛洪攻击,管理员可以在非信任用户端口上配置端口安全特性,利用端口安全特性限制MAC泛地址攻击,并锁定端口。端口特性还可以设置一个SNMP Trap消息,来通告违规行为。该特性会在端口允许接入的MAC地址数量范围之内,允许安全MAC 地址接入,超出MAC地址最大数量的新MAC地址所发来的数据帧则会被丢弃。
端口安全配置
设置端口安全来限制交换机端口可接入的MAC地址数量,以及指定某个具体终端设备MAC地址的步骤如下:
步骤1:启用端口安全。
Switch(config-if)#switchport port-security
步骤2:设置该接口上允许接入的最大MAC地址数量,默认值是1。
Switch(config-if)#switchport port-security maximum value
步骤3:指定该接口上允许接入的具体MAC地址。
Switch(config-if)#switchport port-security mac-address mac-address
步骤4:当不允许的MAC地址尝试接入时,定义该接口要采取的行为。
Switch(config-if)#Switch(config-if)#switchport port-security violation {shutdown|restr
文档评论(0)