ccna76配置交换机安全性.pptxVIP

配置交换机安全性(可选)配置口令选项保护控制台- 要防止控制台端口console受到未经授权的访问；配置口令选项保护vty端口- Cisco 交换机的 vty 端口用于远程访问设备。配置口令选项配置执行模式口令- enable password 命令存在的一个问题是，它将口令以可阅读文本的形式存储在 startup-config 和 running-config 中。- 在全局配置模式提示符下输入 enable secret 命令以及所要的口令，这样即可指定加密形式的enable口令。如果配置了enable secret口令，则交换机将使用enable secret口令，而不使用enable password口令。配置口令选项配置加密口令- 人们普遍认同口令应该加密，并且不能以明文格式存储。- 当从全局配置模式下输入 service password-encryption 命令后，所有系统口令都将以加密形式存储。登录标语配置登录标语 Cisco IOS 命令集中包含一项功能，用于配置登录到交换机的任何人看到的消息。这些消息称为登录标语和当日消息 (MOTD) 标语。 所有连接的终端在登录时都会显示 MOTD 标语。在需要向所有网络用户发送消息时（例如系统即将停机），MOTD 标语尤其有用。配置Telnet和SSH远程访问 Cisco 交换机上的 vty 有两种选择。常见安全攻击MAC地址泛洪- 主机 A 向主机 B 发送流量。交换机收到帧，并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。常见安全攻击MAC地址泛洪 主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2，并将该信息写入 MAC 地址表。 主机 C 也收到从主机 A 发到主机 B 的帧，但是因为该帧的目的 MAC 地址为主机 B，因此主机 C 丢弃该帧。常见安全攻击MAC地址泛洪 由主机 A（或任何其它主机）发送给主机 B 的任何帧都转发到交换机的端口 2，而不是从每一个端口广播出去。常见安全攻击MAC地址泛洪 攻击者使用交换机的正常操作特性来阻止交换机正常工作。常见安全攻击MAC地址泛洪只要网络攻击工具一直运行，交换机的 MAC 地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。配置端口安全性在所有交换机端口上实施安全措施：-在端口上指定一组允许的有效MAC地址-只允许一个MAC地址访问端口-指定端口在检测到未经授权的MAC地址时自动关闭配置端口安全性安全MAC地址有以下类型：-静态安全MAC地址-动态安全MAC地址-粘滞安全MAC地址配置端口安全性粘滞安全MAC地址有以下特性：- 动态学习，转换为存储在运行配置中的粘滞安全MAC地址。- 禁用粘滞学习将从运行配置中移除MAC地址，但是不会从MAC表中移除。- 当交换机重新启动时，粘滞安全MAC地址将会丢失。- 将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。- 禁用粘滞学习将把粘滞MAC地址转换为动态安全地址，并将这些地址从运行配置中移除。配置端口安全性配置端口安全性端口安全默认配置 配置端口安全性在Cisco Catalyst交换机上配置端口安全性 配置端口安全性在Cisco Catalyst交换机上启用粘滞端口安全性 配置端口安全性验证端口安全性 常见安全攻击CDP 攻击 默认情况下，大多数 Cisco 路由器和交换机都启用了CDP。建议如果设备不需要使用 CDP，则在设备上禁用 CDP。常见安全攻击禁用未使用的端口 一种简单方法是禁用网络交换机上所有未使用的端口，这样做可保护网络，使其免受未经授权的访问。理解 MAC 地址表溢出攻击工作方式的关键是要知道 MAC 地址表的大小有限。MAC 泛洪利用这一限制用虚假源 MAC 地址轰炸交换机，直到交换机 MAC 地址表变满。交换机随后进入称为“失效开放”(fail-open) 的模式，开始像集线器一样工作，并将数据包广播到网络上的所有机器。因此，攻击者可看到从受害主机发送到无 MAC 地址表条目的另一台主机的所有帧。。CDP 包含有关设备的信息，如 IP 地址、软件版本、平台、性能和本机 VLAN。如果攻击者得到这些信息，他们就可以利用这些信息来查找漏洞以攻击网络，通常的攻击形式是拒绝服务 (DoS) 攻击。图中为部分 Ethereal 数据包跟踪，其中显示了 CDP 数据包的内容。通过 CDP 发现的 Cisco IOS 软件版本特别有利于攻击者研究和确定该特定版本的代码是否有任