0


交换机安全功能介绍

今天海翎光电的小编来给大家聊聊以太网交换机安全功能。

交换机作为局域网中最常见的设备,在安全上面临着重大威胁,这些威胁有的是针对交换机管理上的漏洞,攻击者试图控制交换机。有的针对的是交换机的功能,攻击者试图扰乱交换机的正常工作,从而达到破坏甚至窃取数据的目的。针对交换机的攻击主要有以下几类

1、交换机配置/管理的攻击

2、MAC 泛洪攻击

3、DHCP 欺骗攻击

4、MAC 和 IP 欺骗攻击

5、ARP 欺骗

6、VLAN 跳跃攻击

7、STP 攻击

8、VTP 攻击

交换机的访问安全为了防止交换机被攻击者探测或控制,必须在交换机上配置基本的安全:

1、使用合格的密码

2、使用 ACL,限制管理访问

3、配置系统警告用语

4、禁用不需要的服务

5、关闭 CDP

6、启用系统日志

7、使用 SSH 替代 Telnet

8、关闭 SNMP 或使用 SNMP V3

** 交换机的端口安全**

交换机依赖 MAC 地址表转发数据帧,如果 MAC 地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪),然而 MAC 地址表的大小是有限的。MAC 泛洪攻击利用这一限制用虚假源 MAC 地址轰炸交换机,直到交换机 MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式,开始像集线器一样工作,将数据包广播到网络上的所有机器。

因此,攻击者可看到发送到无 MAC 地址表条目的另一台主机的所有帧。要防止MAC 泛洪攻击,可以配置端口安全特性,限制端口上所允许的有效 MAC 地址的数量,并定义攻击发生时端口的动作:关闭、保护、限制。

** DHCP Snooping**

当交换机开启了 DHCP-Snooping 后,会对 DHCP 报文进行侦听,并可以从接收到的 DHCP Request 或 DHCP Ack 报文中提取并记录 IP 地址和 MAC 地址信息。另外,DHCP-Snooping 允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发 DHCP Offer 报文,而不信任端口会将接收到的 DHCPOffer 报文丢弃。

这样,可以完成交换机对假冒 DHCP Server 的屏蔽作用,确保客户端从合法的DHCP Server 获取 IP 地址。

1、dhcp-snooping 的主要作用就是隔绝非法的 dhcp server,通过配置非信任端口。

2、与交换机 DAI 的配合,防止 ARP 病毒的传播。

3、建立和维护一张 dhcp-snooping 的绑定表,这张表一是通过 dhcp ack 包中的 ip 和 mac 地址生成的,二是可以手工指定。这张表是后续 DAI(dynamic arpinspect)和 IPSource Guard 基础。这两种类似的技术,是通过这张表来判定 ip或者 mac 地址是否合法,来限制用户连接到网络的。

4、通过建立信任端口和非信任端口,对非法 DHCP 服务器进行隔离,信任端口正常转发 DHCP 数据包,非信任端口收到的服务器响应的 DHCP offer 和 DHCPACK后,做丢包处理,不进行转发。

** DAI**

动态 ARP 检查(Dynamic ARP Inspection, DAI)可以防止 ARP 欺骗,它可以帮助保证接入交换机只传递“合法的"ARP 请求和应答信息。

DAI 基于 DHCP Snooping 来工作,DHCP Snooping 监听绑定表,包括 IP 地址与 MAC 地址的绑定信息,并将其与特定的交换机端口相关联,动态 ARP 检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的 ARP 请求和应答(主动式 ARP 和非主动式 ARP) ,确保应答来自真正的 MAC 所有者。交换机通过检查端口纪录的 DHCP 绑定信息和 ARP 应答的 IP 地址决定其是否是真正的 MAC 所有者,不合法的 ARP 包将被拒绝转发。

DAI 针对 VLAN 配置,对于同一 VLAN 内的接口,可以开启 DAI 也可以关闭,如果ARP 包是从一个可信任的接口接受到的,就不需要做任何检查;如果 ARP 包是从一个不可信任的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,,DHCP Snooping 对于 DAI 来说也成为必不可少的。

DAI 是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用 DHCP 的服务器,个别机器可以采用静态添加 DHCP 绑定表或 ARP access-list的方法实现。

另外,通过 DAI 可以控制某个端口的 ARP 请求报文频率。一旦 ARP 请求频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量 ARP 报文特征的病毒或攻击也可以起到阻断作用。
标签: 安全 网络 web安全

本文转载自: https://blog.csdn.net/weixin_53906196/article/details/130111233
版权归原作者 武汉海翎光电 所有, 如有侵权,请联系我们删除。

“交换机安全功能介绍”的评论:

还没有评论