【理论5-4】配置交换机安全性.pptVIP

配置口令选项 保护控制台 - 要防止控制台端口console受到未经授权的访问； 配置口令选项 保护vty端口 - Cisco 交换机的 vty 端口用于远程访问设备。 配置口令选项 配置执行模式口令 - enable password 命令存在的一个问题是，它将口令以可阅读文本的形式存储在 startup-config 和 running-config 中。 - 在全局配置模式提示符下输入 enable secret 命令以及所要的口令，这样即可指定加密形式的enable口令。如果配置了enable secret口令，则交换机将使用enable secret口令，而不使用enable password口令。 配置口令选项 配置加密口令 - 人们普遍认同口令应该加密，并且不能以明文格式存储。 - 当从全局配置模式下输入 service password-encryption 命令后，所有系统口令都将以加密形式存储。 登录标语 配置登录标语 Cisco IOS 命令集中包含一项功能，用于配置登录到交换机的任何人看到的消息。这些消息称为登录标语和当日消息 (MOTD) 标语。 所有连接的终端在登录时都会显示 MOTD 标语。在需要向所有网络用户发送消息时（例如系统即将停机），MOTD 标语尤其有用。 配置Telnet和SSH 远程访问 Cisco 交换机上的 vty 有两种选择。 常见安全攻击 MAC地址泛洪 - 主机 A 向主机 B 发送流量。交换机收到帧，并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。 常见安全攻击 MAC地址泛洪 主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2，并将该信息写入 MAC 地址表。 主机 C 也收到从主机 A 发到主机 B 的帧，但是因为该帧的目的 MAC 地址为主机 B，因此主机 C 丢弃该帧。 常见安全攻击 MAC地址泛洪 由主机 A（或任何其它主机）发送给主机 B 的任何帧都转发到交换机的端口 2，而不是从每一个端口广播出去。 常见安全攻击 MAC地址泛洪 攻击者使用交换机的正常操作特性来阻止交换机正常工作。 常见安全攻击 MAC地址泛洪 只要网络攻击工具一直运行，交换机的 MAC 地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。 配置端口安全性 在所有交换机端口上实施安全措施： -在端口上指定一组允许的有效MAC地址 -只允许一个MAC地址访问端口 -指定端口在检测到未经授权的MAC地址时自动关闭 配置端口安全性 安全MAC地址有以下类型： -静态安全MAC地址 -动态安全MAC地址 -粘滞安全MAC地址 配置端口安全性 粘滞安全MAC地址有以下特性： - 动态学习，转换为存储在运行配置中的粘滞安全MAC地址。 - 禁用粘滞学习将从运行配置中移除MAC地址，但是不会从MAC表中移除。 - 当交换机重新启动时，粘滞安全MAC地址将会丢失。 - 将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。 - 禁用粘滞学习将把粘滞MAC地址转换为动态安全地址，并将这些地址从运行配置中移除。 配置端口安全性 配置端口安全性 端口安全默认配置 配置端口安全性 在Cisco Catalyst交换机上配置端口安全性 配置端口安全性 在Cisco Catalyst交换机上启用粘滞端口安全性 配置端口安全性 验证端口安全性 常见安全攻击 CDP 攻击 默认情况下，大多数 Cisco 路由器和交换机都启用了CDP。建议如果设备不需要使用 CDP，则在设备上禁用 CDP。 常见安全攻击 禁用未使用的端口 一种简单方法是禁用网络交换机上所有未使用的端口，这样做可保护网络，使其免受未经授权的访问。 理解 MAC 地址表溢出攻击工作方式的关键是要知道 MAC 地址表的大小有限。MAC 泛洪利用这一限制用虚假源 MAC 地址轰炸交换机，直到交换机 MAC 地址表变满。交换机随后进入称为“失效开放”(fail-open) 的模式，开始像集线器一样工作，并将数据包广播到网络上的所有机器。因此，攻击者可看到从受害主机发送到无 MAC 地址表条目的另一台主机的所有帧。 使用网络攻击工具可以执行 MAC 泛洪。网络入侵者使用攻击工具以大量无效的源 MAC 地址泛洪攻击交换机，直到 MAC 地址表充满。当 MAC 地址表变满时，交换机将传入流量泛洪传送到所有端口，因为它在 M