关于网络:转干货连交换机的攻击防御都不懂还做什么网络工程师

7次阅读

共计 1842 个字符,预计需要花费 5 分钟才能阅读完成。

为什么须要关注交换机平安???

纵轴:网络设备(防火墙、路由器、交换机)

横轴:网络模型(边界和 DMZ、外围和散布层、接入层)

这个图次要是说,防火墙、路由器、交换机个别别离放在边界或者 DMZ、外围和散布层、接入层;

这些设施外面,为什么交换机最不足安全性呢?

首先,防火墙或者路由器个别都是放在外围机房,外围机房物理平安失去最大的保障(非管理人员个别无奈进出外围机房)

其次,接入交换机个别零散散布,提供终端用户的接入(非管理人员都能比拟轻易接触到接入层交换机)

交换机层面可能波及的攻打模式以及进攻措施

针对这么多的攻打模式,咱们大抵能够分为四类:

MAC Layer Attacks

VLAN Attacks

Spoofing Attacks

Switch Device Attacks

                       一、VLAN 跳跃攻打

利用 Trunk 或 Double Tag(native)实现从对其余 VLAN 的信息嗅探或攻打


应答措施:

1. 将闲暇端口置为 access 模式(trunk off),甚至 shutdown;

2. 批改 Native VLAN,防止与在用 VLAN 雷同。

                     二、STP 坑骗攻打

通过伪造谬误的 BPDU 音讯影响生成树拓扑

应答措施:

1. 在接主机或路由器的接口 (access) 配置 bpdu guard,这类接口不应收到 BPDU,如果收到则将接口置为 error disable 状态。

接口下 spanning-tree bpduguard enable

2. 或在上述接口配置 Root Guard,这类接口能够收到 BPDU,但若是更优的 BPDU,则接口置为 error disable 状态,防止根桥扭转。

接口下 spanning-tree guard root

                      三、MAC 坑骗攻打

盗用别人 MAC 地址伪造攻打,或非法接入网络窃取信息

应答措施:

1. 端口平安,设置某物理端口能够容许的非法 MAC 地址,将非法 MAC 地址发送的流量抛弃,甚至将接口 err-disable

2. 动态增加 CAM 表项(MAC 和端口、VLAN 的绑定关系)

                       四、CAM/MAC 泛洪攻打

通过一直伪造 MAC 地址并发送报文,促使交换机 CAM 表短时间内被垃圾 MAC 地址充斥,实在 MAC 被挤出,已知单播变未知单播,被迫泛洪,导致数据被嗅探。

应答措施:

端口平安,限度端口可容许学习的最大 MAC 地址个数

                    五、DHCP 服务器坑骗攻打

通过非法 DHCP 服务器领先为客户调配地址,通过下发伪造的 gateway 地址,将客户流量疏导到“中间人”从而实现信息嗅探。

应答措施:

在三层交换机上配置 DHCP Snooping,监听 DHCP 音讯,拦挡非法 DHCP 服务器的地址调配报文。

                   六、DHCP 饥饿(地址池耗尽)

一直变换 MAC 地址,伪造 DHCP 申请音讯,短时间内将 DHCP 服务器地址池中的地址耗费殆尽,导致非法用户无奈获取 IP 地址。

应答措施:

1. 同样应用端口平安技术,限度端口可容许学习的最大 MAC 地址个数,阻止攻击者通过变换 MAC 地址的形式伪造 DHCP 申请报文。

2. 针对不变换 MAC,仅变换 CHADDR 的状况下,在启用了 DHCP Snooping 技术的交换机配置 DHCP 限速,设定满足惯例地址获取需要频率的阀值,超出的状况下阻塞、隔离试图异样获取地址的端口。

                              七、ARP 坑骗

公布虚伪的 ARP reply 音讯,将客户音讯疏导至“中间人”,从而实现数据嗅探。

应答措施:

1. 联合 DHCP Snooping 技术所记录的非法地址绑定表(失常通过 DHCP 获取的地址都在表中),利用 Dynamic ARP inspection(DAI)技术,判断 ARP reply 内容是否非法,测验并抛弃非法 ARP reply 报文。

2. 动态增加 ARP 与 IP 的关联表项(无需 ARP request)

                            八、IP 地址坑骗

盗用 IP 地址,非法拜访网络或假冒别人发送攻打流量

应答措施:

  1. 联合 DHCP Snooping 记录的非法地址绑定表,利用 IP Source Guard 技术,判断 IP 地址是否非法,测验并抛弃非法 IP 流量。
  2. 应用基于接口的 ACL,在相干接口只仅容许非法 IP 地址流量(deny 非法 IP)
                    九、针对交换机设施自身的攻打

截获 CDP(明文)报文,获取交换机治理地址,后续进行明码暴力破解;截获 Telnet 报文(明文),嗅探口令。获取交换机管理权限后随心所欲。

应答措施:

  1. 在不必要的接口敞开 CDP 音讯
  2. 重要设施尽可能不应用 Telnet 协定,转而应用加密传输的 SSH 协定登陆治理设施。因为 SSH v1 有家喻户晓的安全漏洞,倡议采纳 v2。

原文来自:微思网络
原文地址:https://mp.weixin.qq.com/s/E_…

正文完
网络
发表至: 网络
2020-08-05
 0
关于网络:网络拓扑结构图
关于移动应用开发:荷小鱼-x-mPaaS-借助-H5-容器改善-App-白屏浏览器兼容等问题
关于网络:OSPF和ISIS在多路访问网络中对掩码的要求
关于网络:计算机网络基础十二网络层外部网关路由协议