時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)
1、細(xì)節(jié)設(shè)置,確保交換機(jī)接入安全
(1).配置加密密碼
盡可能使用Enable Secret特權(quán)加密密碼,而不使用Enable Password創(chuàng)建的密碼。
(2).禁用不必要或不安全的服務(wù)
在交換機(jī)上尤其是三層交換機(jī)上,不同的廠商默認(rèn)開啟了不同的服務(wù)、特性以及協(xié)議。為提高安全,應(yīng)只開啟必須的部分,多余的任何東西都可能成為安全漏洞?山Y(jié)合實(shí)際需求,打開某些必要的服務(wù)或是關(guān)閉一些不必要的服務(wù)。下面這些服務(wù)通常我們可以直接將其禁用。
禁用Http Server
no ip http server
禁用IP源路由,防止路由欺騙
no ip source route
禁用Finger服務(wù)
no service finger
禁用Config服務(wù)
no service config
禁用Hootp服務(wù)
no iP hootp server
禁用小的UDP服務(wù)
no service udp-small-s
禁用小的TCP服務(wù)
no service tcp-small-s
(3).控制臺和虛擬終端的安全部署
在控制臺上使用與虛擬終端(Vty)線路上配置認(rèn)證,另外,還需要對Vty線路使用簡
單的訪問控制列表。
Switch(config)#access-list 1 permit 192.168.1.1
Switch(config)#line vty 0 4
Switch(config-line)#access-class 1 in
(4).用SSH代替Telnet
Telnet是管理員們連接至交換機(jī)的主要通道,但是在Telnet會話中輸入的每個字節(jié)都將會被明文發(fā)送,這可以被類似Sniffer這樣的軟件嗅探獲取用戶名、密碼等敏感信息。因此,使用安全性能更高的SSH強(qiáng)加密無疑比使用Telnet更加安全。
Switch(config)#hostname test-ssh
test-ssh(config)#ip domain-name net.ctocio.com
test-ssh(config)#username test password 0 test
test-ssh(config)#line vty 0 4
test-ssh(config-line)#login local
test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com
test-ssh(config)#ip ssh time-out 180
test-ssh(config)#ip ssh authentication-retries 5
簡單說明,通過上述配置將交換機(jī)命名為test-ssh,域名為net.ctocio.com,創(chuàng)建了一個命名test密碼為test的用戶,設(shè)置ssh的關(guān)鍵字名為test-ssh.net.ctocio.com,ssh超時為180秒,最大連接次數(shù)為5次。
(5).禁用所有未用的端口
關(guān)于這一點(diǎn),筆者見過一個案例:某單位有某員工"不小心" 將交換機(jī)兩個端口用網(wǎng)線直接連接,(典型的用戶無知行為),于是整個交換機(jī)的配置數(shù)據(jù)被清除了。在此,筆者強(qiáng)烈建議廣大同仁一定要將未使用的端口ShutDown掉。并且,此方法也能在一定程度上防范惡意用戶連接此端口并協(xié)商中繼模式。
(6).確保STP的安全
保護(hù)生成樹協(xié)議,主要是防范其他分公司在新加入一臺交換機(jī)時,因各單位網(wǎng)絡(luò)管理員不一定清楚完整的網(wǎng)絡(luò)拓?fù),配置錯誤使得新交換機(jī)成為根網(wǎng)橋,帶來意外的BPDU。因此,需要核心管理員啟用根防護(hù)與BPDU防護(hù)。
默認(rèn)情況下交換機(jī)端口禁用根防護(hù),要啟用它需要使用以下命令:
Switch(config)#spanning-tree guard root
默認(rèn)情況下,交換機(jī)端口也禁用BPDU防護(hù)。啟用它需使用下列命令:
Switch(config)#Spanning-tree Portfast bpduguard default
如果要在所有端口上啟用BPDU防護(hù),可使用下面的命令:
Switch(config)#Spanning-tree Portfast bpduguard enable
2、ACL配置,確保交換機(jī)VLAN安全
大家知道,ACL是一張規(guī)則表,交換機(jī)按照順序執(zhí)行這些規(guī)則,并且處理每一個進(jìn)入端口的數(shù)據(jù)包。每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么"允許", 要么"拒絕" 數(shù)據(jù)包通過。訪問列表能夠?qū)νㄟ^交換機(jī)的數(shù)據(jù)流進(jìn)行控制。ACL通過對網(wǎng)絡(luò)資源進(jìn)行
訪問輸入和輸出控制,確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板。
配置VLAN Access Map
Switch(config)#vlan access-map test1
//定義一個vlan accessmap,取名為test1
Switch(config-vlan-access)#match ip address 101
//設(shè)置匹配規(guī)則為acl 101
#p#副標(biāo)題#e#
Switch(config-vlan-access)#action forward
//匹配后,設(shè)置數(shù)據(jù)流轉(zhuǎn)發(fā)(forward)
Switch(config)#vlan access-map test2
//定義一個vlan accessmap,取名為test2
Switch(config-vlan-access)#match ip address 102
//設(shè)置匹配規(guī)則為acl 102
Switch(config-vlan-access)#action forward
//匹配后,設(shè)置數(shù)據(jù)流轉(zhuǎn)發(fā)(forward)
應(yīng)用VACL
Switch(config)#vlan filter test1 vlan-list 10
//將上面配置的test1應(yīng)用到vlanl0中
Switch(config)#vlan filter test2 vlan-list 20
//將上面配置的test2應(yīng)用到vlan20中
配置私有VLAN
定義輔助VLAN10、20、30
Switch(config)#vlan 10
Switch(config-vlan)#private vlan community
定義主VLANIO0并與所有輔助VLAN建立關(guān)系
Switch(config)#vlan 100
Switch(config-vlan)#private vlan community
Switch(config-vlan)#private vlan association 10,20,30
定義端口在私有VLAN 中的模式為主機(jī)(Host)或混合(Promiscuous),并配置關(guān)聯(lián)或映射
Switch(config-if)#switchport mode private host
Switch(config-if)#switchport mode private host-association 100 30
3、深入配置,確保交換機(jī)免受惡意攻擊
(1).防動態(tài)中繼協(xié)議DTP攻擊
交換機(jī)通過交換DTP協(xié)議,動態(tài)協(xié)商中繼鏈路的用法和封裝模式。然而,如果交換機(jī)中繼端口模式為Auto,它將等待處于模式Auto或On的另一臺交換機(jī)的請求建立連接。這時,如果惡意用戶利用DTP嘗試同交換機(jī)端口協(xié)商建立中繼鏈路,攻擊者將可以捕獲任何通過該VLAN的數(shù)據(jù)流。
防范方法是:將任何連接到用戶的端口配置為Access模式,從而使它不能以Auto模式使用DTP。需要使用的命令為:
Switch(config-if)#switchport mode access
(2).防范VLAN跨越式攻擊
在這種攻擊方法中,攻擊者位于普通VLAN,發(fā)送被雙重標(biāo)記的幀,就像使用的是802.1q中繼鏈路。當(dāng)然,攻擊者連接的并非中繼線路,他通過偽造中繼封裝,欺騙交換機(jī)將幀轉(zhuǎn)發(fā)到另一個VLAN中,實(shí)現(xiàn)VLAN跨越式攻擊,從而在數(shù)據(jù)鏈路層就可非法訪問另一VLAN。
防范方法是:首先,修改本征VLAN ID并在中繼鏈路兩端將本征VLAN修剪掉命令為:
Switch(config-if)#switchport trunk native vlan 200
Switch(config-if)#switchport trunk allowed vlan remove 200
然后,強(qiáng)制所有的中繼鏈路給本征VLAN加標(biāo)記,命令為:
Switch(config)#vlan dotlq tagnative
(3).防范DHCP欺騙攻擊
DHCP欺騙的原理可以簡述為,攻擊者在某計(jì)算機(jī)上運(yùn)行偽造的DHCP服務(wù)器,當(dāng)客戶廣播DHCP請求時,偽造服務(wù)器將發(fā)送自己的DHCP應(yīng)答,將其IP地址作為默認(rèn)網(wǎng)關(guān)客戶收到該應(yīng)答后,前往子網(wǎng)外的數(shù)據(jù)分組首先經(jīng)過偽網(wǎng)關(guān)。如果攻擊者夠聰明,他將轉(zhuǎn)發(fā)
該數(shù)據(jù)分組到正確的地址,但同時他也捕獲到了這些分組。盡管客戶信息泄露了,但他卻對此毫無所知。
防范方法是:在交換機(jī)上啟用DHCP探測。首先,在交換機(jī)的全局模式下啟用DHCP探測,其命令為:
Switch(config)#ip dhcp snooping
接下來,指定要探測的VLAN,命令為:
Switch(config)#ip dhcp snooping vlan 2
然后,將DHCP服務(wù)器所在端口設(shè)置為信任端口,命令為:
Switch(config-if)#ip dhcp snooping trust
最后,限制其他不可信端口的DHCP分組速率,命令為:
Switch(config-if)#ip dhcp snooping limit rate rate
(4).防范ARP欺騙攻擊
ARP地址欺騙類病毒是一類特殊的病毒,該病毒一般屬于木馬病毒,不具備主動傳
播的特性,不會自我復(fù)制。但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包,干擾全網(wǎng)的運(yùn)行,因此它的危害比一些蠕蟲還要嚴(yán)重得多。其實(shí), 我們只需要在交換機(jī)上綁定MAc地址,就能讓ARP病毒無用武之地。
首先,在交換機(jī)上啟用端口安全,命令為:
Switch(config-if)#switchport port-security
然后,指定允許的MAC地址,以便允許合法的MAC地址訪問,命令為:
Switch(config-if)#switchport port-security mac-address 000A.E698.84B7
當(dāng)然,上述操作是靜態(tài)指定地址,比較麻煩。我們也可以動畫獲悉MAC,然后在端口上限制最大允許學(xué)習(xí)的MAC數(shù)目,命令為:
Switch(config-if)#switchport port-security 24
然后定義如果MAC地址違規(guī)則采取怎樣的措施,命令為:
<關(guān)鍵詞標(biāo)簽:交換機(jī)
相關(guān)閱讀
熱門文章 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程虛擬主機(jī)中ASPX一些安全設(shè)置“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理Discuz!配置文件中的安全設(shè)置
人氣排行 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案什么是IPS(入侵防御系統(tǒng))linux iptables如何封IP段騰訊QQ密碼防盜十大建議隱藏ip地址增加網(wǎng)絡(luò)信息的安全性Windows Server 2008利用組策略的安全設(shè)置