请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 992|回复: 9

【原创】Switch Security

[复制链接]
发表于 2018-9-12 22:26:43 | 显示全部楼层 |阅读模式
内网安全的重要性,而不是internet的安全:

1: mac address spoof                  欺骗
2: mac-flooding                            泛洪

攻击方式:

攻击方法        描述        解决办法
mac攻击               
mac地址泛洪        大量无效mac泛洪给交换机,耗尽交换机cam表空间        Port-security
                Mac-address-VACL
vlan攻击               
vlan跳跃        修改trunk封装的数据包vlan id 攻击者可以向其他vlan发数据包而不需要三层        关闭未使用端口
                未使用端口放入公共vlan
公共vlan攻击        同一个vlan的环境下也需要进行给隔离        部署pvlan
欺骗攻击               
dhcp耗竭&欺骗        攻击者可以耗尽dhcp server的地址空间,或者自己伪装成dhcp服务器        Dhcp snooping
stp欺骗        伪装成STP根桥        部署根桥保护
mac欺骗        攻击者伪装为合法mac地址        使用动态ARp检测
交换机设备攻击               
cdp修改        Cdp消息铭文传输,攻击者可以截取CDP消息获取网络拓扑        没必要的端口上关闭cdp
Ssh和telnet攻击        telnet流量是明文传输的,ssh-v1版本也不安全        部署ssh-v2
                结合acl使用远程管理

Port-security:

        1. 必须是access接口才能配置port-security 默认只能学习一个mac
        2. 学习到多个mac直接shutdown接口   //想要自动恢复加上errdisable recovery cause psecure-violation
        3. 手动指定此接口学习到的mac地址

端口err-disable原因:
        • 端口安全违规:                 一个接口学习到非法mac或者过多mac后该接口err-disable
        • 生成树bpdu保护违规:     配置了portfast接口收到Bpdu
        • etherchannel配置错误:  捆绑两端参数必须一致,否则err-disable
        • 双工不匹配:                    链路两端双工模式必须一致
        • udld状态:                      出现单向链路时
        • 生成树根保护:                启用根桥保护的接口收到更优的Bpdu后,err-disable
        • 链路翻动:                      当链路在 up and down之间翻动时,端口会err-disable 其他问题:                      late冲突检测,二层隧道协议保护,dhcp snooping速率限制,错误ARP/GBIC等

配置:
Interface gi1/0/1
    Switchport port-security                                               //  开关
    Switchport  port-security  maxiumum  1                     //  该接口最多学习一个mac
    Switchport  port-security violation shutdown              //  违反接口安全规则时关闭接口
    Switchport port-security mac-address sticky               //  当前接口所学习到mac 写入por-security mac
    Switchport block unicast            //  port-security 接口下 未知单播可以不向此接口泛洪,阻止不必要的未知单播泛洪
Mac address-table static b.b.b.b vlan 10 drop--------------丢弃此mac泛洪

Errdisable recovery cause psecure-violation        // 默认故障err-disable接口恢复正常时间为300s,可以改为60s
Errdisable recovery interval 60                           



Pacl:port-access control list       // 端口访问控制列表

        • 不是所有的 catalyst 交换机都支持pacl
        • Pacl 特性不会影响到二层控制流量,如vtp cdp dtp stp等
        • pacl如果配置port-channel,只可以在port-channel 接口上调用,而不是成员接口

pacl分为两类:

        1. Ip acl:        过滤二层端口上的ipv4/ipv6数据包
        2. Mac acl:    基于以太网数据帧字段过滤数据包(不包括ip,arp,mpls )
                                 mac列表不能应用于ip,mpls,arp消息,只能定义命名mac acl

pacl可以和其他类型acl协同工作在以下模式:

        1. Prefer port模式:          pacl生效,优于其他acl,trunk接口只能使用这种模式
        2. merge模式:                 pacl,vacl 以及标准acl在入站方向同时生效,这是端口的默认模式

配置:
Mac access-list extended 1     // 创建mac-list限制mac地址间的主机互相访问
   permit host ( source mac | any ) (destination-mac | any)   
Interface gu1/0/1                  // 接口下调用
   mac access-group 1 in     
   access-group mode  prefer port/merge         // 改变端口列表工作模式(不是所有设备都支持)
如果做基于MAC的vacl-注意:
Vacl 跨sw做基于二层的mac access-list 放行permit any any lsap 0XAAAA 0X0000,否则stp会被阻止,出现环路



VACL:( vlan access control list ) 过滤二层流量

        1. vlan可以基于源目ip,四层协议类型,源目端口进行匹配
        2. Vacl 由硬件完成,可创建的ace(访问条目)取决于交换机的tcam空间大小
        3. Vacl 在6500系列上部署,不不存在任何性能上的限制
        4. 和pacl类似,分为IP acl 和 mac acl
        5. 思科目前不支持出站方向的pacl,三种acl可以协同工作
        6. 先匹配 pacl ,再匹配 vacl, 最后匹配 ios 的 acl

Vlan hopping--------------使用Dot1q

扩展ACL可以阻止vlan间设备互访:

Ip access-list extended ABC
     deny ip host 1.1.1.2 host 1.1.14
     per ip any any
int g0/2
     Ip access-group ABC in --------------------只有入方向

VLAN-ACL        ---------------可以基于Ip 也可以基于mac

Ip access-list extended  abc              // 创建扩展列表
      deny tcp any any eq 80               // deny所有http流量
Vlan access-map vacl 10                   //  创建access-map vacl 10
      match ip address abc                   // 匹配之前的acl,默认隐藏语句有一条deny any
      action drop                             //  行为转发/drop丢弃
Vlan access-map  vacl 20               // 存在多条语句 如果permit不匹配,如果deny 继续匹配语句
      action forward
Vlan filter vacl vlan-list 20-------------------在此vlan下调用,干掉所有这个vlan的http流量




对接口的广播进行控制:

        • 可以基于接口带宽的百分比 / 每秒比特数bit/s  每秒数据包pps来进行配置
        • 可以基于接口为每种流量类型定义风暴控制  如 单播/组播/广播

配置:
Interface gi1/0/1
      Storm-control broadcast level 50.00   30.00   // 接口广播流量高于百分之50 丢广播帧,低于百分之三十重新转发
Storm-control bps  bits 大小
                        pps   packet大小
Storm-control action shutdown ------------- 广播超过预期值就关闭接口
                                    trap--------------------超过预期值发送snmp trap消息
Show storm-control                                        // 查看广播风暴控制效果





DHCP安全:



dhcp将端口标识为 trust/untrust,可信接口可以处理所有dhcp消息,非可信接口只能发送dhcp请求消息
        1. trust接口:   连接dhcp server or 去往dhcp server的端口
        2. Untrust:     非可信接口不应该接收到任何dhcp服务器响应消息,如果该接口收到dhcp响应包会关闭接口
haddr攻击
防止设备重复发送dhcp client拿地址请求
防止设备冒充dhcp 分配地址

配置:

Ip dhcp snooping                    // 交换机全局下开启snooping功能
Ip dhcp snooping vlan 10       //  在特定vlan里启用snooping,标记为该vlan开启后默认全部untrust
Ip dhcp snooping information  option  //  可选配置  option 82 识别客户端更多信息  默认启用
Interface gi1/0/1                      // 在去往dhcp/接dhcp服务器的端口上标记为trust
      ip dhcp snooping trust      
      Ip dhcp snooping limit rate 10    // 一个trust接口每秒只能收到10个dhcp client请求
在二层网络中,传输dhcp数据流量的二层设备的trunk互联接口 ip dhcp relay trust

搭配使用ipsg技术:

配置ipsg,将物理接口学习的  mac-address & ip-address & switchport 进行绑定形成pvacl表
客户端的流量必须满足pvacl表才能进入转发,否则被丢弃,不建议在trunk开,因为会增加过多acl条目

配置:
Interface gi1/0/1  
    ip verify source                           // 启用ip地址过滤,只启用ip地址过滤
    ip verify source port-security    // 启用ip和mac地址过滤
Show ip verify source                    //  查看绑定表





ARP欺骗:  // 和ipsg一样可以搭配dhcp snooping

Pc 向网络中发起 arp 请求,欺骗者伪装发送免费arp回应虚假mac-address,进而截获pc数据流量
使用 DAI 保证交换机只转发合法的 arp 请求和回应


        1. 从可信端口收到的arp数据包,不经过任何检查直接进行转发
        2. 从非可信端口收到的所有的arp数据包都会被拦截
        3. 截获的arp数据包转发出去更新本地 arp表前,基于ip与mac绑定进行验证arp数据包的合法性
        4. 对于Ip和mac地址绑定关系不符合的数据包执行丢弃或者日志记录

配置:

Ip dhcp snooping
Ip dhcp snooping vlan 10
Ip inspection vlan 10             // 开启对该vlan的arp监控
Interface gi1/0/1                  //  对信任arp回应的接口进行配置trust,默认全部untrust
      ip dhcp snooping trust
      ip arp inspection trust



trunk加固:

        1. 手动配置access接口
        2. 关闭未使用的接口
        3. 关闭接口的自动协商功能,避免攻击者使用dtp(dynamic trunk protocol)和交换机进行协商
        4. 配置trunk 接口允许通过的vlan 标记 allowed vlan 1 2 3 4

Vlan 跳跃攻击:  q-in-q  双层802.1q标签

        • 防止攻击者通过access接口对流量进行二次打 802.1q vlan 标签,实现跳跃vlan的数据访问
        • 这种攻击方式,二层标签必须与连接交换机的trunk链路上的native vlan 标签一致,这这样外层标签才会被移除

防范措施:

在trunk链路移除native vlan的传递
Interface gi1/0/1                              
   switchport trunk native vlan 1
   switchport trunk allowed vlan remove 1      

将所有数据全部打上标签      
Vlan dot1q tag native


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-9-13 08:26:58 | 显示全部楼层
很经典的配置及解决方法,好好学习,天天向上!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-9-13 08:36:19 | 显示全部楼层
2层安全的一些经典配置 值得学习。思科有更加专业的Stealthwatch方案主要就是解决这个问题 利用netflow和其他协议转换的flow信息实时对内网经行监控,动态的分配策略。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-9-13 12:08:15 | 显示全部楼层
感谢楼主的分享,如帖子内容为原创,请在标题添加【原创】标签哦,谢谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-9-13 12:41:35 | 显示全部楼层
朱工,你好,加[原创]才有效。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-9-13 15:30:02 | 显示全部楼层
很实用,很接地气儿的东西。感谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-9-13 17:55:29 | 显示全部楼层
guangxil 发表于 2018-9-13 12:41
朱工,你好,加[原创]才有效。

怎么加原创。。这是我自己的笔记啊
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-9-13 18:20:16 | 显示全部楼层
现在已经加上了呀
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-9-13 21:27:37 | 显示全部楼层
喜欢这样的文章,继续支持原创
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-11 06:01:56 来自手机 | 显示全部楼层
好文,支持一下
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-11-13 11:28 , Processed in 0.115384 second(s), 60 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表