共计 1842 个字符,预计需要花费 5 分钟才能阅读完成。
为什么须要关注交换机平安???
纵轴:网络设备(防火墙、路由器、交换机)
横轴:网络模型(边界和 DMZ、外围和散布层、接入层)
这个图次要是说,防火墙、路由器、交换机个别别离放在边界或者 DMZ、外围和散布层、接入层;
这些设施外面,为什么交换机最不足安全性呢?
首先,防火墙或者路由器个别都是放在外围机房,外围机房物理平安失去最大的保障(非管理人员个别无奈进出外围机房)
其次,接入交换机个别零散散布,提供终端用户的接入(非管理人员都能比拟轻易接触到接入层交换机)
交换机层面可能波及的攻打模式以及进攻措施:
针对这么多的攻打模式,咱们大抵能够分为四类:
MAC Layer Attacks
VLAN Attacks
Spoofing Attacks
Switch Device Attacks
一、VLAN 跳跃攻打
利用 Trunk 或 Double Tag(native)实现从对其余 VLAN 的信息嗅探或攻打
应答措施:
1. 将闲暇端口置为 access 模式(trunk off),甚至 shutdown;
2. 批改 Native VLAN,防止与在用 VLAN 雷同。
二、STP 坑骗攻打
通过伪造谬误的 BPDU 音讯影响生成树拓扑
应答措施:
1. 在接主机或路由器的接口 (access) 配置 bpdu guard,这类接口不应收到 BPDU,如果收到则将接口置为 error disable 状态。
接口下 spanning-tree bpduguard enable
2. 或在上述接口配置 Root Guard,这类接口能够收到 BPDU,但若是更优的 BPDU,则接口置为 error disable 状态,防止根桥扭转。
接口下 spanning-tree guard root
三、MAC 坑骗攻打
盗用别人 MAC 地址伪造攻打,或非法接入网络窃取信息
应答措施:
1. 端口平安,设置某物理端口能够容许的非法 MAC 地址,将非法 MAC 地址发送的流量抛弃,甚至将接口 err-disable
2. 动态增加 CAM 表项(MAC 和端口、VLAN 的绑定关系)
四、CAM/MAC 泛洪攻打
通过一直伪造 MAC 地址并发送报文,促使交换机 CAM 表短时间内被垃圾 MAC 地址充斥,实在 MAC 被挤出,已知单播变未知单播,被迫泛洪,导致数据被嗅探。
应答措施:
端口平安,限度端口可容许学习的最大 MAC 地址个数
五、DHCP 服务器坑骗攻打
通过非法 DHCP 服务器领先为客户调配地址,通过下发伪造的 gateway 地址,将客户流量疏导到“中间人”从而实现信息嗅探。
应答措施:
在三层交换机上配置 DHCP Snooping,监听 DHCP 音讯,拦挡非法 DHCP 服务器的地址调配报文。
六、DHCP 饥饿(地址池耗尽)
一直变换 MAC 地址,伪造 DHCP 申请音讯,短时间内将 DHCP 服务器地址池中的地址耗费殆尽,导致非法用户无奈获取 IP 地址。
应答措施:
1. 同样应用端口平安技术,限度端口可容许学习的最大 MAC 地址个数,阻止攻击者通过变换 MAC 地址的形式伪造 DHCP 申请报文。
2. 针对不变换 MAC,仅变换 CHADDR 的状况下,在启用了 DHCP Snooping 技术的交换机配置 DHCP 限速,设定满足惯例地址获取需要频率的阀值,超出的状况下阻塞、隔离试图异样获取地址的端口。
七、ARP 坑骗
公布虚伪的 ARP reply 音讯,将客户音讯疏导至“中间人”,从而实现数据嗅探。
应答措施:
1. 联合 DHCP Snooping 技术所记录的非法地址绑定表(失常通过 DHCP 获取的地址都在表中),利用 Dynamic ARP inspection(DAI)技术,判断 ARP reply 内容是否非法,测验并抛弃非法 ARP reply 报文。
2. 动态增加 ARP 与 IP 的关联表项(无需 ARP request)
八、IP 地址坑骗
盗用 IP 地址,非法拜访网络或假冒别人发送攻打流量
应答措施:
- 联合 DHCP Snooping 记录的非法地址绑定表,利用 IP Source Guard 技术,判断 IP 地址是否非法,测验并抛弃非法 IP 流量。
- 应用基于接口的 ACL,在相干接口只仅容许非法 IP 地址流量(deny 非法 IP)
九、针对交换机设施自身的攻打
截获 CDP(明文)报文,获取交换机治理地址,后续进行明码暴力破解;截获 Telnet 报文(明文),嗅探口令。获取交换机管理权限后随心所欲。
应答措施:
- 在不必要的接口敞开 CDP 音讯
- 重要设施尽可能不应用 Telnet 协定,转而应用加密传输的 SSH 协定登陆治理设施。因为 SSH v1 有家喻户晓的安全漏洞,倡议采纳 v2。
原文来自:微思网络
原文地址:https://mp.weixin.qq.com/s/E_…