xdays

CCNP-Switch-Security

  • 交换机安全的知识框架
    • MAC层的攻击及解决方案
    • MAC扩散
    • 解决方案
  • Vlan层攻击及解决方案
    • vlan跳跃攻击
    • 解决方案
    • vlan流量控制
    • Pvlan部署
    • 隔离端口
  • 欺骗攻击
    • DHCP欺骗(DHCP spoofing)
    • 解决方案
    • 盗地址
    • 解决方案
    • ARP欺骗
    • 解决方案

交换机安全的知识框架

威胁类型 应对措施
MAC层攻击 端口安全(基于mac允许和拒绝,阻止单播扩散)
vlan攻击 vlan跳跃 所有非trunk置于access
vlan流量控制 RACL,VACL和PACL
Pvlan和隔离端口 限制相同网段主机之间访问
spoofing(欺骗)攻击 DHCP spoofing DHCP snoop(监听)
盗地址 IPSG(ip source guard)源防护结合DHCP snoop
arp spoofing DAI动态ARP检测结合DHCP snoop

MAC层的攻击及解决方案

MAC扩散

主机更改MAC地址发送大量帧,交换机的CAM表被填充满了就会泛洪接下来接收到的帧,这样就影响了网络的性能。

解决方案

端口安全:包括限制方法和违规行为两方面的内容;限制方法包括允许特定数量的mac地址的数据通过和如何学习这些MAC地址(静态配置和sticky粘滞);当超过时则发生违规,违规包括关闭(也就是err-disable状态),限制(发送SNMP警告信息)和保护。

基于mac阻止流量:显示的配置命令组织特定MAC地址的帧通过接口。

阻止单播帧扩散:不需要从配有端口安全的端口扩散出单播帧,所以通过命令显示丢弃。

vlan攻击及解决方案

vlan跳跃攻击

1)通过发送DTP报文和交换机建立trunk,非法主机能看到发往不同vlan的流量。

2)给帧打两层标签,并且两层标签的vlan不同,交换机去掉第一层标签后会把帧发往另一个vlan。

解决方案

避免建立trunk的机会因为实现vlan跳跃都用到了trunk链路,所以务必把trunk端口之外的端口配成access端口。

vlan流量控制

有三种控制表可以应用于vlan:RACL是传统访问控制表;VACL可以控制通过SVI的流量,除了转发和丢弃外还可以重定向以用作监控流量,具体见配置实验部分。

Pvlan部署

Pvlan可以更灵活的控制接入端口之间的流量,可以做到同在一个网段内的终端那些可以相互访问,哪些不能相互访问的关系。由于现在没有支持Pvlan的设备,此部分略去。

隔离端口

隔离端口实现了Pvlan的一个功能就是,让同在一个网段的终端之间不能互访,可以通过命令达到要求。

欺骗攻击

DHCP欺骗(DHCP spoofing)

因为配置有自动获取地址的终端会采纳先接收到的DHCP响应报文(offer),而且这个过程没有什么验证机制。那么非法接入的DHCP服务器就可以随意的分配地址扰乱正常网络的进行,这中攻击叫DHCP欺骗。

解决方案

采用DHCP snoop窥探技术,基本原理是:在交换机上设置信任端口和非信任端口,信任端口可以收发DHCP报文,而非信任端口仅仅能接收DHCP请求报文丢弃其他的;可以在非信任端口上配置限制流量,防止发生DOS攻击;交换机建立DHCP绑定表,记录的IP,MAC,端口,vlan信息等信息。

盗地址

如果仅开启了DHCP snoop特性,那么如果非法主机直接填地址而不通过DHCP获取仍然可以访问网络。

解决方案

结合HDCP snoop窥探,IPSG(ip source guard,ip源防护)可以通过拿主机的二层和三层地址和HDCP绑定表对比来决定是否转发流量。

ARP欺骗

主机总是把最后一次接受的ARP信息加入到自己的ARP表中,这是产生ARP欺骗的根本原因。参考下图,非法主机C通过发送ARP让主机A和B的ARP表中相互之间的三层地址对应的MAC地址指向C的MAC地址,这成为中间人攻击。

解决方案

DAI(dynamic arp inspection,动态ARP检测)结合DHCP snoop,其原理是:配置信任端口和非信任端口,非信任端口不能发出request,心热端口可以收发ARP报文;收到数据包和DHCP绑定表对比,一致则为合法流量转发,否则属于违规采取相应的措施;可以在非信任端口上配置限制流量,防止发生DOS攻击。

Comments