取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

【原创】Switch Security

4721
查看次数
44
有帮助
10
评论
内网安全的重要性,而不是internet的安全:
1: mac address spoof 欺骗
2: mac-flooding 泛洪
攻击方式:
攻击方法 描述 解决办法
mac攻击
mac地址泛洪 大量无效mac泛洪给交换机,耗尽交换机cam表空间 Port-security
Mac-address-VACL
vlan攻击
vlan跳跃 修改trunk封装的数据包vlan id 攻击者可以向其他vlan发数据包而不需要三层 关闭未使用端口
未使用端口放入公共vlan
公共vlan攻击 同一个vlan的环境下也需要进行给隔离 部署pvlan
欺骗攻击
dhcp耗竭&欺骗 攻击者可以耗尽dhcp server的地址空间,或者自己伪装成dhcp服务器 Dhcp snooping
stp欺骗 伪装成STP根桥 部署根桥保护
mac欺骗 攻击者伪装为合法mac地址 使用动态ARp检测
交换机设备攻击
cdp修改 Cdp消息铭文传输,攻击者可以截取CDP消息获取网络拓扑 没必要的端口上关闭cdp
Ssh和telnet攻击 telnet流量是明文传输的,ssh-v1版本也不安全 部署ssh-v2
结合acl使用远程管理
Port-security:
1. 必须是access接口才能配置port-security 默认只能学习一个mac
2. 学习到多个mac直接shutdown接口 //想要自动恢复加上errdisable recovery cause psecure-violation
3. 手动指定此接口学习到的mac地址
端口err-disable原因:
• 端口安全违规: 一个接口学习到非法mac或者过多mac后该接口err-disable
• 生成树bpdu保护违规: 配置了portfast接口收到Bpdu
• etherchannel配置错误: 捆绑两端参数必须一致,否则err-disable
• 双工不匹配: 链路两端双工模式必须一致
• udld状态: 出现单向链路时
• 生成树根保护: 启用根桥保护的接口收到更优的Bpdu后,err-disable
• 链路翻动: 当链路在 up and down之间翻动时,端口会err-disable
其他问题: late冲突检测,二层隧道协议保护,dhcp snooping速率限制,错误ARP/GBIC等
配置:
Interface gi1/0/1
Switchport port-security // 开关
Switchport port-security maxiumum 1 // 该接口最多学习一个mac
Switchport port-security violation shutdown // 违反接口安全规则时关闭接口
Switchport port-security mac-address sticky // 当前接口所学习到mac 写入por-security mac
Switchport block unicast // port-security 接口下 未知单播可以不向此接口泛洪,阻止不必要的未知单播泛洪
Mac address-table static b.b.b.b vlan 10 drop--------------丢弃此mac泛洪
Errdisable recovery cause psecure-violation // 默认故障err-disable接口恢复正常时间为300s,可以改为60s
Errdisable recovery interval 60
Pacl:port-access control list // 端口访问控制列表
• 不是所有的 catalyst 交换机都支持pacl
• Pacl 特性不会影响到二层控制流量,如vtp cdp dtp stp等
• pacl如果配置port-channel,只可以在port-channel 接口上调用,而不是成员接口
pacl分为两类:
1. Ip acl: 过滤二层端口上的ipv4/ipv6数据包
2. Mac acl: 基于以太网数据帧字段过滤数据包(不包括ip,arp,mpls )
mac列表不能应用于ip,mpls,arp消息,只能定义命名mac acl
pacl可以和其他类型acl协同工作在以下模式:
1. Prefer port模式: pacl生效,优于其他acl,trunk接口只能使用这种模式
2. merge模式: pacl,vacl 以及标准acl在入站方向同时生效,这是端口的默认模式
配置:
Mac access-list extended 1 // 创建mac-list限制mac地址间的主机互相访问
permit host ( source mac | any ) (destination-mac | any)
Interface gu1/0/1 // 接口下调用
mac access-group 1 in
access-group mode prefer port/merge // 改变端口列表工作模式(不是所有设备都支持)
如果做基于MAC的vacl-注意:
Vacl 跨sw做基于二层的mac access-list 放行permit any any lsap 0XAAAA 0X0000,否则stp会被阻止,出现环路
VACL:( vlan access control list ) 过滤二层流量
1. vlan可以基于源目ip,四层协议类型,源目端口进行匹配
2. Vacl 由硬件完成,可创建的ace(访问条目)取决于交换机的tcam空间大小
3. Vacl 在6500系列上部署,不不存在任何性能上的限制
4. 和pacl类似,分为IP acl 和 mac acl
5. 思科目前不支持出站方向的pacl,三种acl可以协同工作
6. 先匹配 pacl ,再匹配 vacl, 最后匹配 ios 的 acl
Vlan hopping--------------使用Dot1q
扩展ACL可以阻止vlan间设备互访:
Ip access-list extended ABC
deny ip host 1.1.1.2 host 1.1.14
per ip any any
int g0/2
Ip access-group ABC in --------------------只有入方向
VLAN-ACL ---------------可以基于Ip 也可以基于mac
Ip access-list extended abc // 创建扩展列表
deny tcp any any eq 80 // deny所有http流量
Vlan access-map vacl 10 // 创建access-map vacl 10
match ip address abc // 匹配之前的acl,默认隐藏语句有一条deny any
action drop // 行为转发/drop丢弃
Vlan access-map vacl 20 // 存在多条语句 如果permit不匹配,如果deny 继续匹配语句
action forward
Vlan filter vacl vlan-list 20-------------------在此vlan下调用,干掉所有这个vlan的http流量
对接口的广播进行控制:
• 可以基于接口带宽的百分比 / 每秒比特数bit/s 每秒数据包pps来进行配置
• 可以基于接口为每种流量类型定义风暴控制 如 单播/组播/广播
配置:
Interface gi1/0/1
Storm-control broadcast level 50.00 30.00 // 接口广播流量高于百分之50 丢广播帧,低于百分之三十重新转发
Storm-control bps bits 大小
pps packet大小
Storm-control action shutdown ------------- 广播超过预期值就关闭接口
trap--------------------超过预期值发送snmp trap消息
Show storm-control // 查看广播风暴控制效果
DHCP安全:
dhcp将端口标识为 trust/untrust,可信接口可以处理所有dhcp消息,非可信接口只能发送dhcp请求消息
1. trust接口: 连接dhcp server or 去往dhcp server的端口
2. Untrust: 非可信接口不应该接收到任何dhcp服务器响应消息,如果该接口收到dhcp响应包会关闭接口
haddr攻击
防止设备重复发送dhcp client拿地址请求
防止设备冒充dhcp 分配地址
配置:
Ip dhcp snooping // 交换机全局下开启snooping功能
Ip dhcp snooping vlan 10 // 在特定vlan里启用snooping,标记为该vlan开启后默认全部untrust
Ip dhcp snooping information option // 可选配置 option 82 识别客户端更多信息 默认启用
Interface gi1/0/1 // 在去往dhcp/接dhcp服务器的端口上标记为trust
ip dhcp snooping trust
Ip dhcp snooping limit rate 10 // 一个trust接口每秒只能收到10个dhcp client请求
在二层网络中,传输dhcp数据流量的二层设备的trunk互联接口 ip dhcp relay trust
搭配使用ipsg技术:
配置ipsg,将物理接口学习的 mac-address & ip-address & switchport 进行绑定形成pvacl表
客户端的流量必须满足pvacl表才能进入转发,否则被丢弃,不建议在trunk开,因为会增加过多acl条目
配置:
Interface gi1/0/1
ip verify source // 启用ip地址过滤,只启用ip地址过滤
ip verify source port-security // 启用ip和mac地址过滤
Show ip verify source // 查看绑定表
ARP欺骗: // 和ipsg一样可以搭配dhcp snooping
Pc 向网络中发起 arp 请求,欺骗者伪装发送免费arp回应虚假mac-address,进而截获pc数据流量
使用 DAI 保证交换机只转发合法的 arp 请求和回应
1. 从可信端口收到的arp数据包,不经过任何检查直接进行转发
2. 从非可信端口收到的所有的arp数据包都会被拦截
3. 截获的arp数据包转发出去更新本地 arp表前,基于ip与mac绑定进行验证arp数据包的合法性
4. 对于Ip和mac地址绑定关系不符合的数据包执行丢弃或者日志记录
配置:
Ip dhcp snooping
Ip dhcp snooping vlan 10
Ip inspection vlan 10 // 开启对该vlan的arp监控
Interface gi1/0/1 // 对信任arp回应的接口进行配置trust,默认全部untrust
ip dhcp snooping trust
ip arp inspection trust
trunk加固:
1. 手动配置access接口
2. 关闭未使用的接口
3. 关闭接口的自动协商功能,避免攻击者使用dtp(dynamic trunk protocol)和交换机进行协商
4. 配置trunk 接口允许通过的vlan 标记 allowed vlan 1 2 3 4
Vlan 跳跃攻击: q-in-q 双层802.1q标签
• 防止攻击者通过access接口对流量进行二次打 802.1q vlan 标签,实现跳跃vlan的数据访问
• 这种攻击方式,二层标签必须与连接交换机的trunk链路上的native vlan 标签一致,这这样外层标签才会被移除
防范措施:
在trunk链路移除native vlan的传递
Interface gi1/0/1
switchport trunk native vlan 1
switchport trunk allowed vlan remove 1
将所有数据全部打上标签
Vlan dot1q tag native
评论
nmyp007
Rising star
很经典的配置及解决方法,好好学习,天天向上!:)
zhengwei272
Rising star
2层安全的一些经典配置 值得学习。思科有更加专业的Stealthwatch方案主要就是解决这个问题 利用netflow和其他协议转换的flow信息实时对内网经行监控,动态的分配策略。
one-time
Expert
感谢楼主的分享,如帖子内容为原创,请在标题添加【原创】标签哦,谢谢~
Guangxin
Cisco Employee
朱工,你好,加[原创]才有效。
bo chen
Beginner
很实用,很接地气儿的东西。感谢~{:2_31:}
Terence.Jh
Rising star
guangxil 发表于 2018-9-13 12:41
朱工,你好,加[原创]才有效。

怎么加原创。。这是我自己的笔记啊
Guangxin
Cisco Employee
现在已经加上了呀
SMG-SH
Rising star
喜欢这样的文章,继续支持原创
xiaocqu
Beginner
好文,支持一下
zeyang0009
Beginner
喜欢这样的文章,继续支持原创
创建
认可您的同行
Content for Community-Ad