交换安全之协议安全-VLAN安全、MAC安全、DHCP安全、ARP安全、IP安全

交换安全之协议安全

局域网安全老三样（DHCP、ARP、IP安全）配合端口安全是常见的安全策略。
思科的《局域网安全2008》讲述了局域网安全攻防的一些例子，有兴趣可以去翻阅一下。

VLAN安全

vlan 跳跃攻击

1、交换机默认情况从 access 口收到的包为不打标签的包，一般交换机若从接入口收到标签包则丢弃；
2、特殊情况下，若接入口的标签为 native vlan 的标签，则交换机去掉此标签，并转发到 trunk。

黑客根据以上特性进行二层标签（外层标签为 native vlan，内层标签为攻击目标）包封装并夹带病毒等进行攻击。

解决方案：
1、修改默认 native vlan；
2、关闭特殊解包环境，不转发从接入口过来的标签数据.

MAC安全

一般情况下，部署端口安全后，若电脑发生变动且最初 MAC1 变为 MAC2，该端口将不能再被使用。
交换机也有 MAC 地址，每一个接口都有，并且 CPU 也具有多个 MAC 地址，用于三层通信或内部处理。

interface Ethernet0/2
switchport access vlan 10
switchport mode access
switchport port-security //开启端口安全
switchport port-security maximum 2 //最大允许的主机数
switchport port-security violation shutdown //违反规则激活惩罚 shtdown
switchport port-security mac-address sticky //提供静态 MAC 地址安全

errdisable recovery cause psecure-violation //不再违反规则，允许 30s 恢复
errdisable recovery interval 30

查看
show port-security

DHCP安全

DHCP 攻击：

防御措施：

trunk 链路过来的端口为信任端口，所有从信任口经过的 offer 包是不做侦听的；access 口过来的端口为非信任端口，非信任端口经过的 offer 包会被丢弃。接入端不能私自搭建 DHCP 服务器。

部署：
ip dhcp snooping
ip dhcp snooping information option //二层交换机会侦听 DHCP 应答，在跨网段的 DHCP 包中会有一个 option 82，如果不配置此命令有时会识别不了；若实验环境中客户端与服务器之间距离 “不远”，82 选项就可以关掉
ip dhcp snooping vlan 10 //针对某 vlan 开启侦听
interface f0/1
ip dhcp snooping trust //trunk 链路变为信任端口

ip dhcp snooping database flash:dhcp_snooping.db

扫描二维码关注公众号，回复： 10588475 查看本文章

show ip dhcp binding
show ip dhcp snooping binding

ARP安全

PCa 发送 ARP 请求询问 PCc 10.1.1.1 的 MAC 地址，正常通信中 PCc 收到 PCa 发送来的请求后会应答并将 MAC 地址发送给 PCa，若有攻击者 PCb 真听到 ARP 请求，会将双方的 ip 地址和自己的 MAC 地址分别发送给相反的另一方，这样 PCa 和 PCc 的数据包在接下来的通信中直接传向 PCb，攻击者成功通过 ARP 欺骗窃听消息。这个过程中，二层交换机没有采取任何行动。

针对 ARP 欺骗，在二层交换机处开启 ARP 防护，DAI，Dynamic ARP Inspection，动态 ARP 检测，所有的 access 口都是非信任端口，并通过 DHCP 侦听生成一张侦听表，有明确说明接口和对应的 MAC 地址，一旦发现数据包违反规则，不仅会将包丢掉，还会将接口置于 err-disable 状态。

部署：
ip arp inspection vlan 10
interface f0/1
ip arp inspection trust

IP安全

IP 源防护，IPSG，全称为 IP source guard。
对于部署了 DHCP 服务器的环境，客户端经过二层交换机发送请求到服务器，如果二层交换机开启了 DHCP 侦听，解开里面的包可知各接口对应的 MAC 地址并将侦听获得的信息填入一张表，如下图所示，其包含四个要素：MAC-IP-PORT-VLAN

在此基础上开启 ip 源防护，就不同于侦听技术抓到包后丢弃，而是对照侦听表查看接口和 MAC 地址是否一致，来判断是否是攻击者发送。

部署：
interface f0/7 //在接入口
ip verify source

show ip verify source

总结：

DHCP 侦听：防止 DHCP 欺骗攻击，非信任口不能发送 offer/ack 包，生成 DHCP 侦听表，用于后续其他安全技术调用。

动态 ARP 检测：防止 ARP 欺骗攻击，非信任口无法发送非法的 ARP 包，违反规则后接口关闭。

IP 源防护：防止 IP 地址欺骗，检测端口无法发送非法 IP 包，违反规则接口正常但是丢弃 IP 包。

三种技术相结合，可以更好的做好防御措施。