接入安全 3Word下载.docx
《接入安全 3Word下载.docx》由会员分享,可在线阅读,更多相关《接入安全 3Word下载.docx(11页珍藏版)》请在冰豆网上搜索。
五、防ARP欺骗11
1.欺骗原理11
2.解决方案11
1)port-security+ARP-check方案11
2)DHCPSnooping+IPSourceguard+ARP-check方案11
3)DHCPSnooping+DAI方案12
4)SAM+Supplicant方案13
一、设备访问安全
1.作用
可以通过console、telnet、ssh、http、snmp对交换机进行管理,查看、修改配置文件
校园网安全首先要保证交换机的访问安全,防止非法用户登录设备
2.采取措施以及配置方法
1)配置密码
针对管理端口和特权模式配置密码,保证只有合法用户使用正确的密码才能访问设备
使用中强度密码并对密码进行加密
密码长度至少6位
密码使用字母和数字的组合
全局模式下:
Enablepasswordruijie
Lineconsole0
Passwordruijie
Login
Linevty04
2)源地址限制
只有合法的源地址才能管理设备
限制远程管理源地址
Access-list99permithost192.168.1.10
Linevty04
Access-class99in
只允许192.168.1.10配置
限制SNMP管理源地址
Snmp-servercommunityruijiere99
3)使用安全管理协议并禁止不必要的服务
telnet使用明文传输数据和密码
禁用telnet协议,使用SSH协议管理设备
SSH(secureshell),类似于telnet,能远程对设备进行管理
在支持ssh的客户端(securecrt)和服务器端(开启了ssh服务的设备)之间建立加密连接,密码和数据以密文传输
使能SSH协议
Enableserviceshh-server
Crypokeygeneraterea
关闭不必要的服务
NoEnableservicetelnet-server
NoEnableserviceweb-server
二、接入层环路预防
1.环路的危害
链路堵塞
广播报文在二层网络中不断泛洪,所有链路都被大量的广播报文充斥
主机操作系统响应迟缓
主机网卡接收到大量的广播报文,操作系统调用大量的CPU进程资源来识别这些广播报文.
二层交换机管理缓慢
大量二层协议广播报文需要二层交换机CPU处理,浪费大量资源,对正常的请求无法响应
冲击网关设备的CPU
对网关IP地址的ARP请求报文,经过环路的复制转发,不断地发送到网关设备,网关设备的CPU压力不断增大,甚至崩溃
2.预防方法及配置
1)使用生成树协议预防环路
部署流程
确定部署设备
接入交换机
接入层交换机单链路上联,汇聚层交换机没有必要开启STP
开启生成树协议
全局模式
Spanning-tree
确定生成树协议运行范围(可选)
接入交换机上行口开启bpdufilter
上联口接口下:
Spanning-treebpdufilterenable
优化端口配置
在所有下联端口配置
Spanning-treeportfast
2)单端口环路解决方案
在接入交换机所有下联口开启(接口模式)
spanning-treebpduguardenable
如果接入交换机所有下联口开启了portfast,该命令等价于(配置模式)
Spanning-treeportfastbpduguarddefault
所有开启了portfast的端口都开启bpduguard功能
由于BPDUguard堵塞的端口,环路消除后不会自动打开堵塞端口,需要额外的配置才能恢复端口状态
手动恢复
Errdisablerecovery
自动恢复
Errdisablerecoveryinterval120
3)使用RLDP协议预防环路
快速链路检测协议,锐捷私有协议之一
用于环路检测(单设备)和链路(单向、双向)故障检测
接入交换机开启RLDP功能
Rldpenable
所有下联端口开启RLDP功能
Ridpportloop-delectshutdown-port
违例的端口不会自动恢复,需要配置环路消除后的恢复方法
违例处理
rldpportloop-detectblock/shutdown-port/shutdown-svi/warning
block:
阻塞端口,发往该端口的所有数据将被丢弃。
shutdown-port:
将端口置于err-disable状态。
shutdown-svi:
将端口对应svi置于shutdown状态。
warning:
不对端口作任何处理,仅将事件生成log日志。
设置探测报文的发送周期(默认3s)
rldpdetect-intervalinterval
取消RLDP对违例端口的处理,包括相关端口RLDP状态的恢复
rldpreset
查看RLDP端口设置及状态
showrldp
3.生成树与RLDP比较
主机操作系统响应迟缓生成树协议
公共协议:
通用的接入层环路预防方案
配置:
全局、上联口、下联口
接入层下联设备不能开启STP
RLDP协议
私有协议:
仅锐捷设备支持
配置:
全局、下联口
适用于检测单个设备的自环
三、端口安全
1.作用
交换机上的认证是基于用户数据包的源地址(MAC、IP)实现的,端口安全就是在交换机上建立端口和地址的绑定关系
限制端口能接入的最大主机数,防止MAC地址表溢出攻击
针对端口绑定MAC地址、IP地址、IP+MAC地址,对接入主机进行控制,防止非授权用户随意接入,防止MAC地址欺骗、IP地址欺骗、ARP欺骗等地址欺骗攻击
2.MAC地址表溢出攻击防护
MAC表容量有限
攻击主机产生大量的伪造源MAC的数据包,导致MAC表溢出
配置端口最大安全地址数,防范MAC表溢出攻击
端口下:
Switchportport-secunity
Switchportport-secunitymaximun1
3.防止非法用户接入
配置端口和安全地址的绑定关系
端口下
Switchportport-secunitybinding绑定MAC地址vlanvlan-id绑定IP
绑定mac与IP
Switchportport-secunitymac-address绑定mac
绑定MAC
Switchportport-secunityviolationProtect
Protect丢弃违例数据缺省的违例处理方式
Restric丢弃违例数据,并发送trap通知
Shutdown关闭端口,并发送trap通知,必须在全局下使用errdisablerecovery才能恢复端口
4.全局安全地址
交换机全局绑定IP+MAC地址,只有源地址满足绑定关系的用户才能通过该交换机接入网络,防止非授权用户接入,用户接入不再受限于特定的端口。
配置全局绑定地址
Ruijie(config)#address-bind192.168.1.20027.1365.33db
配置全局绑定地址上联口
Ruijie(config)#address-binduplinkgi0/25
开启全局绑定地址功能
Ruijie(config)#address-bindinstall
5.保护端口
同一台接入交换机所有连接用户的端口在同一个vlan
配置简单,维护难度小
保护端口规则
保护口之间禁止二层通讯(单播/广播/组播)
保护口允许与非保护口通讯
Switchportprotected
四、DHCP攻击防范
1.防范非法的DHCP服务器
由于DHCP中继的存在,非法的DHCP服务器必须和客户端在同一VLAN
客户端选择第一个提供offer的服务器(非法DHCP服务器)的IP地址
解决方案
在接入交换机部署DHCPSnooping
Ipdhcpsnooping
上联端口下:
Ipdhcpsnoopingtrusk
2.防范DHCP地址池耗尽攻击
Server基于client字段中的MAC地址为客户端分配地址,并且没有认证机制
客户端可以通过变更地址,不断的申请地址,耗尽服务器地址池中的地址
在接入层交换机untrust口部署DHCP源MAC检查
攻击者发送的DHCP报文的源MAC和Client字段中的MAC地址可能不匹配
IpdhcpsnoopingVerifmac-address
如果两个MAC地址相同,可以通过端口安全限制该端口的最大安全地址数
3.如何防止用户私设IP
部署IPSG(ipsourceguard)
IPSG维护IP源地址绑定数据库,该数据库来源于DHCPsnooping数据库或者手工静态配置
开启IPSG的端口基于IP源地址绑定数据库,检查接收到的所有非DHCP的IP报文的源IP或源IP+MAC,丢弃不匹配的数据
在DHCPsnooping的untrust口开启IPSG功能
Ipverifsourceport-security检查IP+MAC地址
Ipverifsource只检查源ip
还可以静态绑定固定的地址
Ipsourcebinding绑定的MACvlanvlan-id绑定的IP绑定的接口号
五、防ARP欺骗
1.欺骗原理
ARP欺骗就是伪造ARP报文中的senderIP和senderMAC
安全地址
主机真实的IP与MAC地址
在主机发送ARP报文前获得,可以动态学习或者手工配置
2.解决方案
1)port-security+ARP-check方案
原理
通过port-security功能将用户正确的IP与MAC写入交换机端口ACE
使用ARP-check功能校验ARP报文的正确性
应用场景
用户使用静态IP地址
无安全认证措施
缺点
需要收集所有用户的IP、MAC,将其配置到端口上
当用户接入端口发生变化时,需重新设置安全地址
配置方法
ARP-check
2)DHCPSnooping+IPSourceguard+ARP-check方案
通过DHCPSnooping功能将用户正确的IP与MAC写入交换机的DHCPSnooping表
通过IPSourceguard将DHCPSnooping表的写入交换机的ACE(类似端口安全)
用户使用动态IP地址
同样适用于SAM认证环境
动态环境下如果使用安全通道,请勿在安全通道中允许ARP报文通过
无
Ipverifysourceport-security
Arp-check
3)DHCPSnooping+DAI方案
原理
使用DAI功能校验ARP报文的正确性
应用场景
缺点
DAI功能需通过CPU处理,大量的ARP报文可能导致CPU过高
ipdhcpsnooping
iparpinspectionvlan10
上联口下
ipdhcpsnoopingtrust
iparpinspectiontrust
4)SAM+Supplicant方案
用户通过SAM认证后,交换机会将用户的MAC信息写入ACE
交换机开启Supplicant授权,supplicat把IP地址告诉交换机,交换机会将用户的IP信息写入ACE
用户使用SAM认证
不能使用安全通道功能
aaaauthorizationip-auth-modesupplicant
switchportaccessvlan10
arp-check
dot1xport-controlauto