鲤鲤 发表于 2023-10-30 22:02
  
打卡学习,感谢分享
蔺嘉宾 发表于 2023-10-30 22:02
  
打卡学习,感谢分享
小鱼儿 发表于 2023-10-30 22:10
  
打卡学习,感谢分享
【每日一记7】+第2天+交换机的安全,随便聊聊
  

新手643490 2674

{{ttag.title}}
本帖最后由 呱唧呱唧 于 2020-5-11 14:21 编辑

交换机作为局域网中最常见的设备,在安全上面临着重大威胁,今天来给大家讲讲以太网交换机安全功能介绍。

今天来给大家讲讲以太网交换机安全功能介绍。
交换机作为局域网中最常见的设备,在安全上面临着重大威胁,这些威胁有的是针对交换机管理上的漏洞,攻击者试图控制交换机。有的针对的是交换机的功能,攻击者试图扰乱交换机的正常工作,从而达到破坏甚至窃取数据的目的。
针对交换机的攻击主要有以下几类:
  • 交换机配置/管理的攻击
  • MAC泛洪攻击
  • DHCP欺骗攻击
  • MAC和IP欺骗攻击
  • ARP欺骗
  • VLAN跳跃攻击
  • STP攻击
  • VTP攻击


交换机的访问安全
为了防止交换机被攻击者探测或控制,必须在交换机上配置基本的安全:
  • 使用合格的密码
  • 使用ACL,限制管理访问
  • 配置系统警告用语
  • 禁用不需要的服务
  • 关闭CDP
  • 启用系统日志
  • 使用SSH替代Telnet
  • 关闭SNMP或使用SNMP V3


交换机的端口安全
交换机依赖MAC地址表转发数据帧,如果MAC地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪),然而MAC地址表的大小是有限的。
MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机,直到交换机MAC地址表变满。交换机随后进入称为 “失效开放”  (Fail-open)的模式,开始像集线器一样工作,将数据包广播到网络上的所有机器。
因此,攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击,可以配置端口安全特性,限制端口上所允许的有效MAC地址的数量,并定义攻击发生时端口的动作:关闭、保护、限制。
DHCP Snooping
当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP  Ack报文中提取并记录IP地址和MAC地址信息。
另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP  Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。
这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
  • dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。
  • 与交换机DAI的配合,防止ARP病毒的传播。
  • 建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp  ack包中的ip和mac地址生成的,二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IPSource Guard  基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。
  • 通过建立信任端口和非信任端口,对非法DHCP服务器进行隔离,信任端口正常转发DHCP数据包,非信任端口收到的服务器响应的DHCP  offer和DHCPACK后,做丢包处理,不进行转发。


DAI
动态ARP检查(Dynamic ARP Inspection,  DAI)可以防止ARP欺骗,它可以帮助保证接入交换机只传递“合法的"ARP请求和应答信息。
DAI基于DHCP Snooping来工作,DHCP  Snooping监听绑定表,包括IP地址与MAC地址的绑定信息,并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP  Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP) ,确保应答来自真正的MAC所有者。
交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定其是否是真正的MAC所有者,不合法的ARP包将被拒绝转发。
DAI针对VLAN配置,对于同一VLAN内的接口,可以开启DAI也可以关闭,如果ARP包是从一个可信任的接口接受到的,就不需要做任何检查;
如果ARP包是从一个不可信任的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,,DHCP Snooping  对于DAI来说也成为必不可少的。
DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器,个别机器可以采用静态添加DHCP绑定表或ARP  access-list的方法实现。
另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手89785...

本周建议达人

新手78183...

本周分享达人