单位文秘网 2020-07-15 09:33:59 点击: 次
交换机接入安全
端口安全
P320 MAC 表 自动学习: 动态 ( 默认 ) 保持 300 秒. 手工设置: 静态 ( 安全 )
默认,MAC 表动态学习,允许任何用户接入。
MAC 表
MAC A
VLAN 1
F0/1
MAC B
VLAN 1
F0/2
MAC C
VLAN 1
F0/3
MAC D
VLAN 1
F0/4
当未授权用户 E 接入端口 F0/4,则交换机会自动刷新 MAC 表,并允许 E 接入,则 E便可以访问网络资源。
可以通过多种方式来限制 E 对网络的访问,其中一种便是端口安全。
实验:端口安全 1. 在接入层交换机 S29 上,对于端口 F0/1,2.,3, 4 只允许主机 A B C D 接入,违背关闭端口. S29(config )#
int f0/1
#
shutdown
目的:清理 MAC 表
#
sw
mode acc
默认 dynamaic,不能启用端口安全
#
sw
port-security
启用端口安全
#
sw
port-security maximun 1
关联一个 MAC(默认)
#
sw
port-security mac-address 000c.1111.111a 静态绑定 或 #
sw port-security mac-address sticky
动态学习 MAC 并绑定
#
sw
port-security violation shutdown
违背关闭(默认)
#
no
shutdown
…… S29(config )#
int f0/4
#
shutdown
#
sw
mode acc
#
sw
port-security
启用端口安全
#
sw
port-security maximun 1
关联一个 MAC(默认)
#
sw
port-security mac-address
000c.1111.111d d
静态绑定
#
sw
port-security violation shutdown
违背关闭
2. 在交换机 S3560 上,在 F0/1 端口只允许主机 A B C 接入,其它禁止,违背受限. S3560(config )# int f0/1
#
shutdown
#
sw
mode acc
#
sw
port-security
#
sw
port-security maximun 3
关联 3 个 MAC(默认1个)
#
sw
port-security mac-address
000c.1111.111a
静态绑定
#
sw
port-security mac-address
000c.1111.111b b
#
sw
port-security mac-address
000c.1111.111c c
#
sw
port-security violation
restric
受限,合法通过,非法丢弃并产生日志消息
P P rotect
保护,合法通过,非法丢弃,但不产生日志消息
3. 错误禁用的恢复 (1) 手工恢复 先 shutdown, 后 no shutdown
(2) 自动恢复 S(config)# errdisable recovery cause psecure-violation
重新启用的原因
# errdisable recovery interval 30
恢复时间间隔
注:1.启用端口安全时,只能工作在 access 或 trunk 模式.(默认 dynamaic auto)
2.配置时,应先将端口关闭, 否则配置不起作用。
sw#sh port-security interface f0/3 sw#sh errdisable detect
ErrDisable Reason
Detection
Mode -----------------
---------
---- arp-inspection
Enabled
port bpduguard
Enabled
port channel-misconfig
Enabled
port dhcp-rate-limit
Enabled
port psecure-violation
Enabled
port sw#sh errdisable recovery
查看哪些行为的禁用可以自动恢复
防范欺骗攻击
P DHCP 监听
P326
DHCP
IP 地址
172.16.1.1
子网掩码
255.255.255.0
网关
172.16.1.254
DNS…….
分析 DHCP 攻击:
DHCP 基于广播,同一网络中的所有主机都可以收到,恶意用户 D 发送伪造的DHCP 应答,造成两种后果。
1.非法的 IP 地址 192.1.1.0
导致用户不能联网 2. 合法的 IP 地址,但将网关设为自己的 IP : 1.4
中间人攻击
导致用户将访问外网的流量发送到 1.4 ,然后 1.4 将重要信息进行过滤,如上网帐号、邮箱帐号、电子银行帐号等。
解决办法:DHCP 监听 1. 防止伪造的 DHCP 应答。
可信端口
应答通过
不可信端口
应答被丢弃
注:启用 DHCP 监听后,所有端口被视为不可信,应将连接 DHCP 服务器的端口设为可信的。
2. 可以限制用户发送 DHCP 请求的速率,防止 DHCP 请求泛洪攻击。
3. 可以建立一个 DHCP 监听绑定表,用于防止 IP 欺骗和 ARP 欺骗。
MAC
IP
租用期限
对应端口
A
192.168.1.1
8
F0/1
B
192.168.1.2
8
F0/2
C
192.168.1.3
8
F0/3
D
192.168.1.4
8
F0/4 分析教材
CCNP
302 页 SW(config)# ip dhcp snooping
启用 DHCP 监听功能
# ip dhcp snooping vlan 1-3
指定在哪些 VLAN 下监听
# int f0/20
# ip dhcp snooping trust
设为可信端口
# int range f0/1 – 19
# ip dhcp snooping limit rate 3
限制用户的 DHCP 请求速率, 超速 shut 实验:
DHCP 监听 sw # sh ip dhcp snooping # sh ip dhcp snooping
binding # clear ip dhcp snooping binding * # clear ip dhcp binding *
考试 76, 98 题 说明:SW2950 有 Bug, DHCP 监听 SW2950 支持不好,连接用户的接口如果不设trust, 用户的 DHCP 请求包也会被丢弃,而且也获取不到 DHCP 监听绑定表。
源 源 P IP 地址防护(防止 P IP 欺骗)
P328 恶意用户攻击服务器、交换机、路由器等设备,为防止被日志记录,追查到自己
伪造 IP 地址:其它用户
栽赃别人
不存在的用户
无法追查
配置:
# int range
f0/1 - 4
# ip verify source
在 f0/1-4 上启用 IP 源防护
防范:启用 IP 源防护,收到包,检查 IP 和 MAC 与端口的对应关系是否合法。可以借助于 DHCP 监听绑定表,也可以手工设置绑定表。
1. 借助 DHCP 监听绑定表。
CCNP 教材
304 例:用户 D(192.168.1.4) 假冒用户 A(192.168.1.1)的 IP 攻击服务器。从端口 F0/4 发给交换机:
MAC 网关 MAC D
192.168.1.1
192.168.10.1 攻击报文
F0/4
192.168.1.4
F0/4 (监听表)
IP-端口的对应关系 与 DHCP P 监听绑定表内容不同。伪造,丢弃。
2. 手工绑定 S3560 (config)# ip source binding
000c.1212.121a
vlan 1 192.168.1.1 int f0/1
MAC
VLAN
IP
接口 ip source binding
000c.1212.121b b
vlan 1 192.168.1.2 2 int f0/2 ip source binding
000c.1212.121c c
vlan 1 192.168.1.3 3 int f0/3 ip source binding
000c.1212.121d d
vlan 1 192.168.1.4 4 int f0/4
注:(1)采用 DHCP, 必须启用 ip dhcp snooping;静态绑定则不用启该功能。
(2) 如果同时希望防止 MAC 欺骗,则必须启用端口安全 sw port-security(启用后默认特性:允许 1 个 MAC,违规 shutdown; 当改为允许多个 MAC 时,违规自动变为 restric)
考试 355 题
# int range
f0/5
# sw port-security
# ip verify source
[ port-security ] 查看: sw3550#sh ip verify source
Interface
Filter-type
Filter-mode
IP-address
Mac-address
Vlan ---------
-----------
-----------
---------------
-----------------
--------- Fa0/2
ip
inactive-no-snooping-vlan Fa0/3
ip
inactive-no-snooping-vlan Fa0/4
ip
inactive-no-snooping-vlan Fa0/5
ip-mac
inactive-no-snooping-vlan
sw3550#sh ip source binding
MacAddress
IpAddress
Lease(sec)
Type
VLAN
Interface ------------------
---------------
----------
-----
--------
00:26:9E:81:89:10
192.168.1.13
infinite
static
1
FastEthernet0/5 00:E0:4C:82:1A:EE
192.168.1.12
423621
dhcp-snooping
1
FastEthernet0/1 00:E0:4C:82:1A:EE
192.168.2.21
411916
dhcp-snooping
2
FastEthernet0/1 Total number of bindings: 3
# clear ip dhcp snooping binding * # clear ip dhcp binding *
动态 ARP 检测 (
DAI.
)
P329
分析:ARP 欺骗。
用户上网,先通过 ARP 找网关的 MAC. 1. A 广播查询"1.254 你的 MAC 是多少,请回答" 2. 所有主机都能收到,但正常只能网关回答:" 1.254 的 MAC 是 MAC G"
主机 D,ARP 病毒
抢先回答:
1.254
MAC D 3. 主机 A 在二层将用 MAC D 封装.
最终,主机 A 访问外网的所有流量都将被转发到 D.
中间人攻击 D 可以对重要信息进行过滤,如上网帐号、邮箱帐号、电子银行帐号等。
注:与 DHCP 欺骗的区别 DHCP 欺骗
假冒网关 IP ARP 欺骗
假冒网关 MAC
解决办法:动态 ARP 检查.
( 在交换机上进行 )
S3560 (config)# ip arp inspection vlan 1-3
在 VLAN1-3 下启用 ARP 检测 启用后,交换机将会拦截 VLNA1-3 接口收到的 ARP 应答,进行合法性检查。在判断是否存在欺骗行为时,可以采用以下 2 种方式:
1. 采用 DHCP 监听绑定表,或手工设置的 IP-MAC-接口绑定关系表。
MAC
IP
租用期限
对应端口
A
192.168.1.1
8
F0/1
B
192.168.1.2
8
F0/2
C
192.168.1.3
8
F0/3
D
192.168.1.4
8
F0/4
MAC A
MAC D
1.254 MAC D
F0/4 收到
二层
ARP 应答
2. 如果没有上述表项,可以手工配置 ARP 访问列表. S3560 (config)# arp access-list
ARP- - 01
手工建立 ARP 绑定表
# permit ip host 172.16.1.1 mac host 000c.0101.0101
# permit ip host 172.16.1.2 mac host 000c.0101.0102
S3560 (config) # ip arp inspection filter ARP- - 01
vlan 1
调用 ARP 绑定表
其它配置:
S3560 (config)# int g0/1
# ip arp inspection trust
( 两个交换机之间的 ARP 应答视为可信, 避免重复检查.)
考试 300 题
S3560 (config)# int f0/2
# ip arp inspection limit rate 10
arp 请求限速,防止 arp 泛洪攻击。
实验测试的结果:
1. ARP 检测合法应答通过,非法应答丢弃; 2.ARP 超速接口,动作是 shutdown; 3.DAI 会自动调用已有的 DHCP 监听绑定表或手工 IP-MAC-接口绑定表进行 ARP检测,也可调用已配置的 ARP 访问列表。
其它 P ARP 安全措施:
1. PC 杀毒,安装 ARP 防火墙。
2. PC 手工 ARP 绑定
( 在终端 PC 上进行
)
启动项
arp.bat
arp -s 192.168.1.1 00-0c-ce-12-12-11 arp -s 192.168.1.2 00-0c-01-12-12-12 arp -s 192.168.1.3 00-0c-01-12-12-13
3. 路由器 ARP 绑定
r1(config)#arp 172.16.11.1 c007.1a30.f10d arpa
附:ARP 表老化时间 1. Windows 2003/XP,ARP 的老化时间默认为 2 分钟,如果一个 ARP 缓存表项在 2 分钟内用到,则再延长 2 分钟,直到最大生命周期 10 分钟。然后被移除,再通过一个新的 ARP请求/回应来得新的对应关系。
2. CISCO 路由器的 ARP 老化时间默认为 4 小时,可以进行修改。
r1#
sh int f0/0 FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is c000.1e4c.0000 (bia c000.1e4c.0000)
Internet address is 172.16.11.2/24
Half-duplex, 10Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
r1(config)#int f0/0 #arp timeout 120
r1#
sh int f0/0 FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is c000.1e4c.0000 (bia c000.1e4c.0000)
Internet address is 172.16.11.2/24
ARP type: ARPA, ARP Timeout 00:02:00 r1#sh arp
Protocol
Address
Age (min)
Hardware Addr
Type
Interface Internet
123.1.1.1
-
c000.1e4c.0001
ARPA
FastEthernet0/1 Internet
172.16.11.1
1
c007.1a30.f10d
ARPA
FastEthernet0/0
Internet
172.16.11.2
-
c000.1e4c.0000
ARPA
FastEthernet0/0
3. 路由器 ARP 静态绑定。
r1(config)#arp 172.16.11.1 c007.1a30.f10d arpa
r1#sh arp Protocol
Address
Age (min)
Hardware Addr
Type
Interface Internet
123.1.1.1
-
c000.1e4c.0001
ARPA
FastEthernet0/1 Internet
172.16.11.1
-
c007.1a30.f10d
ARPA
Internet
172.16.11.2
-
c000.1e4c.0000
ARPA
FastEthernet0/0 r1#sh arp 172.16.11.1 detail
ARP entry for 172.16.11.1, link type IP.
Static, last updated 0 minute ago.
Encap type is ARPA, hardware address is c007.1a30.f10d, 6 bytes long.
ARP subblocks:
* Static ARP Subblock
Floating entry.
Entry is complete, attached to FastEthernet0/0.
* IP ARP Adjacency Adjacency (for 172.16.11.1 on FastEthernet0/0) was installed.
保护三张表:
1. 路由表
确保路由表正确、全面(静态路由、路由协议正确配置)。
2. ARP 表
推荐静态绑定。防止 ARP 表被欺骗,同时可以减少广播流量。
3. MAC 表
建议静态绑定。防止 MAC 表被攻击,同时可以防止非法用户接入。
(责任编辑:单位文秘网) )地址:https://www.kgf8887.com/show-148-8098-1.html
上一篇:医院物业管理服务合同-范本
下一篇:中国龙凤文化之龙文化
版权声明:
本站由单位文秘网原创策划制作,欢迎订阅或转载,但请注明出处。违者必究。单位文秘网独家运营 版权所有 未经许可不得转载使用