我们在设计园区网是总是会考虑到边界安全的防护,如RFC1918 RFC 2827等安全措施,却极少关注园区网内部的安全,随着便携设备无线设备的增加,这个问题尤其显得重要了许多,这里我们就说下2层攻击安全.
攻击类型:1.交换机配置及其管理
2.mac层攻击
3.vlan攻击
4.stp cdp vtp 协议的攻击
防护措施:1.关闭不需要的服务
关闭BOOTP服务 no ip bootp server
关闭CDP服务 no cdp run
关闭配置自动加载服务(默认关闭)no service config
关闭DNS服务 系统会自动向255.255.255.255广播查询dns 如果使用DNS一定要配置服务器名字ip name server add1 不用no ip domain-lookup
关闭FTP服务器 no ftp-server enable no ftp-server write-enable
关闭finger服务 no ip finger no service finge
关闭无根据的ARP no ipgratuitous-arps
关闭http no ip http server
关闭ip无类别路由选择服务 no ip classless
关闭ip定向广播 int f0/0 no ip directed-broadcast
关闭ip鉴别 no ip identd
关闭ICMP掩码应答 (默认关闭)int f0/0 no ip mask-relay
关闭路由重定向 int f0/0 no ip redirect 边界路由过滤
关闭ip源路由选项 no ip source-route
关闭ICMP不可达信息 int f0/0 no ip unreach
关闭NTP服务 int f0/0 ntp disable
关闭pad服务 no service pad(闭关)
关闭代理ARP 在边界路由外部网络接口 no ip proxy-arp
关闭SNMP
关闭小服务 no service tcp-small-servers
启用keeplive service tcp-keeplives-in service tcp-keeplives-out
关闭tftp no tftp-server flash device:filename
2. 防止非法授权访问
SW(config-t)#enable secret
SW(config-t)#no enable password
SW(config-t)#service password-encryption
SW(config-t)#line vty 0 4
SW(config-line)#exec-timeout 10 0
access-list 110 permit ip 192.168.1.110 0.0.0.0 192.168.1.254 0.0.0.0 log
line vty 0 4
access-class 101 in
exec-timeout 5 0
SW(config-t)#username admin pass 5 434535e2
SW(config-t)#aaa new-model
SW(config-t)#radius-server host 192.168.1.254 key key-string
SW(config-t)#aaa authentication login neteng group radius local
SW(config-line)#login authen neteng
3.端口安全cisco提供了5种保护特性
1.基于主机MAC的允许流量
2.基于主机MAC的限制流量
3.在端口堵塞单播扩散
4.避免MAC地址扩散攻击
5.避免MAC地址欺骗攻击
<a target="_blank" href="http://blog.51cto.com/attachment/201103/155610816.png"></a>
int f0/1
sw
switchport mode acc
sw port-security
sw port-se mac-add 0000.0000.0005
sw port-se maximun 1
sw port-se aging static (也可指定学习时间)
sw port-se violation shutdown
在vlan2中过滤掉 0000.0010.0100 单播流量(对组播多播没有用)
mac-add-table static 0000.0010.0100 vlan2 drop
我们还可以在接口下过滤单播和多播的流量
sw block unicast
sw block multicast
4.关于vlan的攻击防御
1.dhcp监听
<a target="_blank" href="http://blog.51cto.com/attachment/201103/161715964.png"></a>
我们通过把端口设为信任和非信任(推荐在分布层和接入层之间设为信任,客户端设为非信任)交换机只接受信任端口的DHCP报文
ip dhcp snooping
ip dhcp snooping vlan 20
ip dhcp snooping information option
int f0/5
ip dhcp snooping trust
int range f0/6 -15
ip dhcp snooping limit rate 80 (默认所有的接口都是非信任的,一定要非信任接口制定rate,否则收不到dhcp 给定的ip)
我们还可以通过vlan acl 做访问控制阻止无赖dhcp
ip access-list extended permiter
permit udp host 192.1.1.254 any eq 68 192.1.1.254为dhcp服务器
permit udp host 192.1.1.110 any eq 68
deny udp any any eq 68
permit ip any any log
<a target="_blank" href="http://blog.51cto.com/attachment/201104/003637526.png"></a>
还有一点我们在dmz或者服务器集中区配置pvlan
5.STP防护
spanning-tree uplinkfast
spanning-tree portfast bpduguard
spanning-tree guard root
综合概述:
1.对所有中继端口使用相同的vlan
2.避免使用vlan1
3.对用户端口部署端口安全
4.启用stp安全防护
5.服务器部署pvlan
6.对vtp进行加密
7.不需要的地方禁用cdp
8禁用所有不用的端口放在统一vlan下
9.部署dhcpsnooping
当然还有其他的方法保护2层安全 如802.1x aaa认证 等!安全工程师要做的是在适当的地点部署合理的安全方案,这里需要我们来共同探究!
本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/508939,如需转载请自行联系原作者
![图解HTTP八:确认访问用户身份的认证[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)