快捷搜索:

深入分析配置 杜绝交换机免受恶意攻击

与路由器不合,互换机的安然要挟主要来自局域网内部。出于蒙昧、好奇,以致是恶意,某些局域网用户会对互换机进行进击。不管他们的念头是什么,这都是治理员们不愿看到的。为此,除了在规定、轨制长进行规范外,治理员们要从技巧上做好支配,让进击者无功而返。本文以Cisco互换机的安然支配为例,和大年夜家分享自己的履历。

1、细节设置,确保互换机接入安然

(1).设置设置设备摆设摆设加密密码

尽可能应用Enable Secret特权加密密码,而不应用Enable Password创建的密码。

(2).禁用不需要或不安然的办事

在互换机上尤其是三层互换机上,不合的厂商默认开启了不合的办事、特点以及协议。为前进安然,应只开启必须的部分,多余的任何器械都可能成为安然破绽。可结合实际需求,打开某些需要的办事或是关闭一些不需要的办事。下面这些办事平日我们可以直接将其禁用。

禁用Http Server

no ip http server

禁用IP源路由,防止路由诈骗

no ip source route

禁用Finger办事

no service finger

禁用Config办事

no service config

禁用Hootp办事

no iP hootp server

禁用小的UDP办事

no service udp-small-s

禁用小的TCP办事

no service tcp-small-s

(3).节制台和虚拟终真个安然支配

在节制台上应用与虚拟终端(Vty)线路上设置设置设备摆设摆设认证,别的,还必要对Vty线路应用简

单的造访节制列表。

Switch(config)#access-list 1 permit 192.168.1.1

Switch(config)#line vty 0 4

Switch(config-line)#access-class 1 in

(4).用SSH代替Telnet

Telnet是治理员们连接至互换机的主要通道,然则在Telnet会话中输入的每个字节都将会被明文发送,这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息。是以,应用安然机能更高的SSH强加密无疑比应用Telnet加倍安然。

Switch(config)#hostname test-ssh

test-ssh(config)#ip domain-name net.ctocio.com

test-ssh(config)#username test password 0 test

test-ssh(config)#line vty 0 4

test-ssh(config-line)#login local

test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com

test-ssh(config)#ip ssh time-out 180

test-ssh(config)#ip ssh authentication-retries 5

简单阐明,经由过程上述设置设置设备摆设摆设将互换机命名为test-ssh,域名为net.ctocio.com,创建了一个命名test密码为test的用户,设置ssh的关键字名为test-ssh.net.ctocio.com,ssh超时为180秒,最大年夜连接次数为5次。

(5).禁用所有未用的端口

关于这一点,笔者见过一个案例:某单位有某员工“不小心” 将互换机两个端口用网线直接连接,(范例的用户蒙昧行径),于是全部互换机的设置设置设备摆设摆设数据被清除了。在此,笔者强烈建议广大年夜同仁必然要将未应用的端口ShutDown掉落。并且,此措施也能在必然程度上警备恶意用户连接此端口并协商中继模式。

(6).确保STP的安然

保护天生树协议,主如果警备其他分公司在新加入一台互换机时,因各单位收集治理员不必然清楚完备的收集拓扑,设置设置设备摆设摆设差错使得新互换机成为根网桥,带来意外的BPDU。是以,必要核心治理员启用根防护与BPDU防护。

默认环境下互换机端口禁用根防护,要启用它必要应用以下敕令:

Switch(config)#spanning-tree guard root

默认环境下,互换机端口也禁用BPDU防护。启用它需应用下列敕令:

Switch(config)#Spanning-tree Portfast bpduguard default

假如要在所有端口上启用BPDU防护,可应用下面的敕令:

Switch(config)#Spanning-tree Portfast bpduguard enable

2、ACL设置设置设备摆设摆设,确保互换机VLAN安然

大年夜家知道,ACL是一张规则表,互换机按照顺序履行这些规则,并且处置惩罚每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么“容许”, 要么“回绝” 数据包经由过程。造访列表能够对经由过程互换机的数据流进行节制。ACL经由过程对收集资本进行

造访输入和输出节制,确保收集设备不被不法造访或被用作进击跳板。

设置设置设备摆设摆设VLAN Access Map

Switch(config)#vlan access-map test1

//定义一个vlan accessmap,取名为test1

Switch(config-vlan-access)#match ip address 101

//设置匹配规则为acl 101

Switch(config-vlan-access)#action forward

//匹配后,设置数据流转发(forward)

Switch(config)#vlan access-map test2

//定义一个vlan accessmap,取名为test2

Switch(config-vlan-access)#match ip address 102

//设置匹配规则为acl 102

Switch(config-vlan-access)#action forward

//匹配后,设置数据流转发(forward)

利用VACL

Switch(config)#vlan filter test1 vlan-list 10

//将上面设置设置设备摆设摆设的test1利用到vlanl0中

Switch(config)#vlan filter test2 vlan-list 20

//将上面设置设置设备摆设摆设的test2利用到vlan20中

设置设置设备摆设摆设私有VLAN

定义帮助VLAN10、20、30

Switch(config)#vlan 10

Switch(config-vlan)#private vlan community

定义主VLANIO0并与所有帮助VLAN建立关系

Switch(config)#vlan 100

Switch(config-vlan)#private vlan community

Switch(config-vlan)#private vlan association 10,20,30

定义端口在私有VLAN 中的模式为主机(Host)或混杂(Promiscuous),并设置设置设备摆设摆设关联或映射

Switch(config-if)#switchport mode private host

Switch(config-if)#switchport mode private host-association 100 30

3、深入设置设置设备摆设摆设,确保互换机免受恶意进击

(1).防动态中继协议DTP进击

互换机经由过程互换DTP协议,动态协商中继链路的用法和封装模式。然而,假如互换机中继端口模式为Auto,它将等待处于模式Auto或On的另一台互换机的哀求建立连接。这时,假如恶意用户使用DTP考试测验同互换机端口协商建立中继链路,进击者将可以捕获任何经由过程该VLAN的数据流。

警备措施是:将任何连接到用户的端口设置设置设备摆设摆设为Access模式,从而使它不能以Auto模式应用DTP。必要应用的敕令为:

Switch(config-if)#switchport mode access

(2).警备VLAN超过式进击

在这种进击措施中,进击者位于通俗VLAN,发送被双重标记的帧,就像应用的是802.1q中继链路。当然,进击者连接的并非中继线路,他经由过程捏造中继封装,诈骗互换机将帧转发到另一个VLAN中,实现VLAN超过式进击,从而在数据链路层就可不法造访另一VLAN。

警备措施是:首先,改动本征VLAN ID并在中继链路两端将本征VLAN修剪掉落敕令为:

Switch(config-if)#switchport trunk native vlan 200

Switch(config-if)#switchport trunk allowed vlan remove 200

然后,强制所有的中继链路给本征VLAN加标记,敕令为:

Switch(config)#vlan dotlq tagnative

(3).警备DHCP诈骗进击

DHCP诈骗的道理可以简述为,进击者在某谋略机上运行捏造的DHCP办事器,当客户广播DHCP哀求时,捏造办事器将发送自己的DHCP应答,将其IP地址作为默认网关客户收到该应答后,前往子网外的数据分组首先颠末伪网关。假如进击者够智慧,他将转发

该数据分组到精确的地址,但同时他也捕获到了这些分组。只管客户信息泄露了,但他却对此毫无所知。

警备措施是:在互换机上启用DHCP探测。首先,在互换机的全局模式下启用DHCP探测,其敕令为:

Switch(config)#ip dhcp snooping

接下来,指定要探测的VLAN,敕令为:

Switch(config)#ip dhcp snooping vlan 2

然后,将DHCP办事器所在端口设置为相信端口,敕令为:

Switch(config-if)#ip dhcp snooping trust

着末,限定其他弗成信端口的DHCP分组速度,敕令为:

Switch(config-if)#ip dhcp snooping limit rate rate

(4).警备ARP诈骗进击

ARP地址诈骗类病毒是一类特殊的病毒,该病毒一样平常属于木马病毒,不具备主动传

播的特点,不会自我复制。然则因为其发生发火的时刻会向全网发送捏造的ARP数据包,滋扰全网的运行,是以它的迫害比一些蠕虫还要严重得多。着实, 我们只必要在互换机上绑定MAc地址,就能让ARP病毒无用武之地。

首先,在互换机上启用端口安然,敕令为:

Switch(config-if)#switchport port-security

然后,指定容许的MAC地址,以便容许合法的MAC地址造访,敕令为:

Switch(config-if)#switchport port-security mac-address 000A.E698.84B7

当然,上述操作是静态指定地址,对照麻烦。我们也可以动画获悉MAC,然后在端口上限定最大年夜容许进修的MAC数目,敕令为:

Switch(config-if)#switchport port-security 24

然后定义假如MAC地址违规则采取如何的步伐,敕令为:

Switch(config-if)#switchport port-security vislation shutdown

此中shutdown是关闭,restrrict是丢弃并记录、警报,protect是丢弃但不记录。

以上便是有关杜绝互换机的进击的技巧细节。信托确保互换机这三个方面的安然设置,并共同响应的规章、轨制,就必然能够包管互换机的安然。

您可能还会对下面的文章感兴趣: