我們在設計園區網是總是會考慮到邊界安全的防護,如RFC1918 RFC 2827等安全措施,卻極少關注園區網内部的安全,随着便攜裝置無線裝置的增加,這個問題尤其顯得重要了許多,這裡我們就說下2層攻擊安全.
攻擊類型:1.交換機配置及其管理
2.mac層攻擊
3.vlan攻擊
4.stp cdp vtp 協定的攻擊
防護措施:1.關閉不需要的服務
關閉BOOTP服務 no ip bootp server
關閉CDP服務 no cdp run
關閉配置自動加載服務(預設關閉)no service config
關閉DNS服務 系統會自動向255.255.255.255廣播查詢dns 如果使用DNS一定要配置伺服器名字ip name server add1 不用no ip domain-lookup
關閉FTP伺服器 no ftp-server enable no ftp-server write-enable
關閉finger服務 no ip finger no service finge
關閉無根據的ARP no ipgratuitous-arps
關閉http no ip http server
關閉ip無類别路由選擇服務 no ip classless
關閉ip定向廣播 int f0/0 no ip directed-broadcast
關閉ip鑒别 no ip identd
關閉ICMP掩碼應答 (預設關閉)int f0/0 no ip mask-relay
關閉路由重定向 int f0/0 no ip redirect 邊界路由過濾
關閉ip源路由選項 no ip source-route
關閉ICMP不可達資訊 int f0/0 no ip unreach
關閉NTP服務 int f0/0 ntp disable
關閉pad服務 no service pad(閉關)
關閉代理ARP 在邊界路由外部網絡接口 no ip proxy-arp
關閉SNMP
關閉小服務 no service tcp-small-servers
啟用keeplive service tcp-keeplives-in service tcp-keeplives-out
關閉tftp no tftp-server flash device:filename
2. 防止非法授權通路
SW(config-t)#enable secret
SW(config-t)#no enable password
SW(config-t)#service password-encryption
SW(config-t)#line vty 0 4
SW(config-line)#exec-timeout 10 0
access-list 110 permit ip 192.168.1.110 0.0.0.0 192.168.1.254 0.0.0.0 log
line vty 0 4
access-class 101 in
exec-timeout 5 0
SW(config-t)#username admin pass 5 434535e2
SW(config-t)#aaa new-model
SW(config-t)#radius-server host 192.168.1.254 key key-string
SW(config-t)#aaa authentication login neteng group radius local
SW(config-line)#login authen neteng
3.端口安全cisco提供了5種保護特性
1.基于主機MAC的允許流量
2.基于主機MAC的限制流量
3.在端口堵塞單點傳播擴散
4.避免MAC位址擴散攻擊
5.避免MAC位址欺騙攻擊
<a target="_blank" href="http://blog.51cto.com/attachment/201103/155610816.png"></a>
int f0/1
sw
switchport mode acc
sw port-security
sw port-se mac-add 0000.0000.0005
sw port-se maximun 1
sw port-se aging static (也可指定學習時間)
sw port-se violation shutdown
在vlan2中過濾掉 0000.0010.0100 單點傳播流量(對多點傳播多點傳播沒有用)
mac-add-table static 0000.0010.0100 vlan2 drop
我們還可以在接口下過濾單點傳播和多點傳播的流量
sw block unicast
sw block multicast
4.關于vlan的攻擊防禦
1.dhcp監聽
<a target="_blank" href="http://blog.51cto.com/attachment/201103/161715964.png"></a>
我們通過把端口設為信任和非信任(推薦在分布層和接入層之間設為信任,用戶端設為非信任)交換機隻接受信任端口的DHCP封包
ip dhcp snooping
ip dhcp snooping vlan 20
ip dhcp snooping information option
int f0/5
ip dhcp snooping trust
int range f0/6 -15
ip dhcp snooping limit rate 80 (預設所有的接口都是非信任的,一定要非信任接口制定rate,否則收不到dhcp 給定的ip)
我們還可以通過vlan acl 做通路控制阻止無賴dhcp
ip access-list extended permiter
permit udp host 192.1.1.254 any eq 68 192.1.1.254為dhcp伺服器
permit udp host 192.1.1.110 any eq 68
deny udp any any eq 68
permit ip any any log
<a target="_blank" href="http://blog.51cto.com/attachment/201104/003637526.png"></a>
還有一點我們在dmz或者伺服器集中區配置pvlan
5.STP防護
spanning-tree uplinkfast
spanning-tree portfast bpduguard
spanning-tree guard root
綜合概述:
1.對所有中繼端口使用相同的vlan
2.避免使用vlan1
3.對使用者端口部署端口安全
4.啟用stp安全防護
5.伺服器部署pvlan
6.對vtp進行加密
7.不需要的地方禁用cdp
8禁用所有不用的端口放在統一vlan下
9.部署dhcpsnooping
當然還有其他的方法保護2層安全 如802.1x aaa認證 等!安全工程師要做的是在适當的地點部署合理的安全方案,這裡需要我們來共同探究!
本文轉自q狼的誘惑 51CTO部落格,原文連結:http://blog.51cto.com/liangrui/508939,如需轉載請自行聯系原作者
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)