二层交换安全:
MAC地址漂移:MAC地址被修改:中间人攻击,二层出环
MAC洪泛攻击:将CAM表填满无法使用,交换机会将包识别为未知单播帧,从而洪泛。
中间人攻击:将其他接口的MAC通过另一个接口转发给交换机,毒化CAM表,使交换机将包误发给中间人。
端口安全:
1.静态MAC表
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#switchport port-security mac-address 00d0.bab2.2611
sw1(config-if)#no shutdown
2.粘滞安全MAC地址:为了解决静态需要手动绑定mac的问题,使用动态获取mac,并将动态获取到的mac存储到运行配置中。
sw1(config)#default int f0/1
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#switchport port-security mac-address sticky //配置交换机接口自动粘滞MAC地址
sw1(config-if)#no shutdown //被惩罚的接口show int XX 状态呈现errdisable
sw1(config)#errdisable recovery cause psecure-violation //允许交换机自动恢复因端口安全而关闭的端口
sw1(config)#errdisable recovery interval 60
// 配置交换机60s后自动恢复端口
惩罚
1>protect—当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原
有的计算机不受影响,交换机也不发送警告信息;
2>restrict–当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,并且交
换机将发送警告信息;
3>shutdown–当新计算机接入时,如果该端口的MAC条目超过最大数量,则该端口将会被关闭,则这个新的计
算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该端口下使用
“shutdown”和“no shutdown”命令重新打开端口。
DHCP Snooping:
DHCP仿冒攻击:攻击者仿冒DHCP服务器给客户端下发ip地址和DNS,网关等信息。
DHCP饥饿(耗竭)攻击:攻击者不断不断向授权的DHCP服务器获取IP地址,导致DHCP服务器地址池被获取完。从而不能给正常用户提供DHCP服务。因为DHCP报文识别MAC识别的是DHCP报文中的CHADDR字段,所以攻击者可以通过只修改CHADDR字段来进行攻击。
中间人攻击:入侵者就可以伪装成DHCP服务器响应客户端DHCP请求,DHCP欺骗设备将入侵者指定为默认网关或默认域名服务器(DNS)服务器。如果指定为网关,客户机将把数据包转发给攻击设备,而攻击设备则接着将数据包发送到所要的目的地。
DHCP Snooping:交换机监听DHCP数据帧,对于不信任的接口将拒绝接收DHCP Offer包(DHCP服务器的响应包,而DHCP客户只会发送特定类型的DHCP包。
ip dhcp snooping
Ip dhcp snooping vlan 100
show dhcp snooping
int e0
ip dhcp snooping trusted
ip dhcp snooping limit rate 100 设定端口一秒钟只能发送100个包,减缓DHCP的starvation
ing e1
ip dhcp snooping untrusted
Option 82 :
它被称为DHCP Relay Agent Information Option(DHCP中继代理信息选项),选项号为 82,故被称为Option 82。当DHCP服务器和客户端不在同一个子网内时,客户端要想从DHCP服务器上分配到IP地址,就必须由DHCP中继代理(DHCP Relay Agent)来转发DHCP请求包。DHCP中继代理将客户端的DHCP报文转发到DHCP服务器之前,可以插入一些选项信息,以便DHCP服务器能更精确的得知客户端的信息,从而能更灵活地按相应的策略分配IP地址和其他参数。
DHCP中继代理(Option 82、DHCP Snooping)和DHCP Server之间的关系:
1.交换机开启了DHCP Snooping功能后,默认情况下,将对从非信任端口收到的DHCP请求报文插入选项82信息;
1>默认时SW2(上行交换机)从Untrusted端口到带有Option 82的DHCP请求报文时会将这个报文丢弃;
DHCP
可以在SW2上配置“ip dhcp snooping information allow-untrusted”全局命令,将不丢弃该报文;
可以在SW2的Untrusted接口配置“ip dhcp snooping trust”接口命令,这样SW2就能接收带有Option 82
的DHCP请求报文了,但是不建议这样做,因为这样将不建立该接口的DHCP监听绑定表,会降低安全性。
2>DHCP Srver和DHCP Client在同一个子网的情况下,交换机会把Option 82的值填为0(即0.0.0.0)。
2.以Windows Server 2003为DHCP的服务器不认为Option 82的值为0的DHCP请求报文是错误的;
DHCP
以Cisco IOS为DHCP的服务器默认时会认为Option 82的值为0的DHCP请求报文是错误的,它将丢弃这个报文。
DHCP
1>可在SW1上配置“no ip dhcp snooping information option”命令,不插入Option 82;
2>可在R1上选择配置以下命令,允许Option 82的值为0的DHCP请求报文通过:
接口命令:“ip dhcp relay information trust”,仅对路由器当前接口有效;
全局命令:“ip dhcp relay information trust-all”,对路由器所有接口有效。
DHCP在识别MAC时不是二层包内的MAC,而是DHCP option内的CHADDR字段中的MAC.
Ip dhcp verify mac-address //检查二层MAC和DHCP的CHADDR字段是否一致,一致才通过。
Ip dhcp snooping
Ip dhcp snooping vlan 100 //这两命令使所有vlan100的口包括trunk口设为非信任,只能发出特定的dhcp包。
ARP欺骗:
通过不断给被攻击者或者网关不断发送无故arp来实现让被攻击者将其他主机或网关的ip所对应的mac修改为攻击者的mac。
解决方法:启用DAI
DAI(Dynamic ARP Inspection 动态ARP检查)可以防止ARP欺骗,它可以帮助保证接入 交换机只传递“合法的”ARP请求和应答信息。DAI基于DHCP Snooping来工作,DHCP Snooping的监听绑定表包括IP地址与MAC地址的绑定信息,并将其与特定的交换机端 口相关联,DAI可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动 式ARP),确保应答来自真正的MAC所有者。交换机通过检查端口记录的DHCP绑定信息 和ARP应答的IP地址决定其是否是真正的MAC所有者,不合法的ARP包将被拒绝转发。
DAI针对VLAN配置,对于同一VLAN内的接口,可以开启DAI也可以关闭,如果ARP包 是从一个可信任的接口接收到的,就不需要做任何检查;如果ARP包是从一个不可信任 的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样, DHCP Snooping对于DAI来说也成为必不可少的。DAI是动态使用的,相连的客户端主 机不需要进行任何设置上的改变。对于没有使用DHCP的服务器,个别机器可以采用静 态添加DHCP绑定表或ARP access-list的方法实现。另外,通过DAI可以控制某个端 口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阀值,立即关闭该端口。该 功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起 到阻断作用
DAI根据DHCP监听绑定表来工作;DAI也分为信任端口和非信任端口,默认所有端口都 为非信任端口;DAI检查所有非信任端口请求和响应的ARP数据包,对不符合DHCP监 听绑定表要求的ARP数据包丢弃。所以交换机中必须要有所有非信任端口主机的监听绑 定条目,否则该主机将不能通信。这将使所有主机都被迫采用DHCP获取IP地址(或管 理员指定的IP地址),因为DHCP监听绑定表已经对其进行了绑定,可以有效地防止用 户私自更改指定IP地址。
SW1(config)#ip arp inspection vlan 1 //在Vlan1启用DAI
SW1(config)#ip arp inspection validate src-mac dst-mac ip //检查 ARP(请求和响应)报文
中的源MAC地址、目的MAC地址、源IP地址和DHCP Snooping 绑定中的信息是否一致
SW1(config)#int f0/1
SW1(config-if)#ip arp inspection trust //配置本接口为信任接口
SW1(config)#int range f0/11 - 12
SW1(config-if)#ip arp inspection limit none //取消ARP包的限制,默认 15个包/秒
SW(config-if)#ip arp inspection limit 10
IP地址欺骗:IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以便冒充其它系统或发件人的身份;这也是黑客进行DoS(Denial of Service 拒绝服务)攻击时经常同时使用的一种手段。
启用IPSG:IPSG(IP Source Guard IP源保护)是一种基于IP/MAC的端口流量过滤技术,它可以防止局域网内的IP地址欺骗攻击。IPSG能够确保二层网络中终端设备的IP地址不会被劫持,而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。IPSG中有一个IP源绑定表(IP Source Binding Table),作为每个端口接收到的数据包的检测标准,只有在两种情况下,交换机会转发数据:所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系;所接收到的是DHCP数据包,其余数据包将被交换机做丢弃处理。
IPSG也是基于DHCP Snooping进行工作的,交换机从DHCP监听绑定表自动学习获得接口上绑定的MAC地址和IP地址。连接在交换机上的所有PC都被设置为动态获取IP地址,PC作为DHCP客户端通过广播发送DHCP请求,DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端,交换机从DHCP报文中提取关键信息(包括IP地址、MAC地址、VLAN号、端口号和租期等)并把这些信息保存到DHCP监听绑定表中。交换机根据DHCP监听绑定表的内容自动生成IP源绑定表,然后交换机根据IP源绑定表里的面内容自动在接口加载基于端口的ACL,由该ACL过滤所有IP流量。在客户端发送的IP数据包中,只有其源IP地址和MAC地址满足源IP绑定表才会被发送,对于具有源IP绑定表之外的其它源IP地址的流量,都将被过滤。
默认时,IPSG不检查所有接口的数据包,因此IPSG只需要在不信任接口上进行配置即 可。
SW1(config)#int f0/2
SW1(config-if)#ip verify source port-security //在本接口启用IPSG功能
SW(config)#int range f0/3 - 4
SW(config-if)#ip verify source port-security
SW#ip source binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3
彻底解决问题:认证技术
802.1X 和 AAA服务器 ISE LDAP
端口阻塞:
当分组到达交换机时,交换机在MAC地址表中执行目的地MAC地址查询,确定用哪个端 口发出和转发分组。如果在MAC地址表中没有发现条目,则交换机将向相同VLAN(广播 域)中的所有端口广播(范洪)未知单播或组播流量。给受保护端口转发未知单播或组播 流量,这将可能出现安全问题。使用端口阻塞特性可以阻塞正在转发的未知单播或多播 流量。
SW1(config)#int f0/0
SW1(config-if)#switchport block multicast
SW1(config-if)#switchport block unicast
SW1#show int f0/0 switchport