为什么须要关注交换机平安???
纵轴:网络设备(防火墙、路由器、交换机)
横轴:网络模型(边界和DMZ、外围和散布层、接入层)
这个图次要是说,防火墙、路由器、交换机个别别离放在边界或者DMZ、外围和散布层、接入层;
这些设施外面,为什么交换机最不足安全性呢?
首先,防火墙或者路由器个别都是放在外围机房,外围机房物理平安失去最大的保障(非管理人员个别无奈进出外围机房)
其次,接入交换机个别零散散布,提供终端用户的接入(非管理人员都能比拟轻易接触到接入层交换机)
交换机层面可能波及的攻打模式以及进攻措施:
针对这么多的攻打模式,咱们大抵能够分为四类:
MAC Layer Attacks
VLAN Attacks
Spoofing Attacks
Switch Device Attacks
一、VLAN跳跃攻打利用Trunk或Double Tag(native)实现从对其余VLAN的信息嗅探或攻打
应答措施:
1.将闲暇端口置为access模式(trunk off),甚至shutdown;
2.批改Native VLAN,防止与在用VLAN雷同。
二、STP坑骗攻打通过伪造谬误的BPDU音讯影响生成树拓扑
应答措施:
1.在接主机或路由器的接口(access)配置bpdu guard,这类接口不应收到BPDU,如果收到则将接口置为error disable状态。
接口下spanning-tree bpduguard enable
2.或在上述接口配置Root Guard,这类接口能够收到BPDU,但若是更优的BPDU,则接口置为error disable 状态,防止根桥扭转。
接口下spanning-tree guard root
三、MAC坑骗攻打盗用别人MAC地址伪造攻打,或非法接入网络窃取信息
应答措施:
1.端口平安,设置某物理端口能够容许的非法MAC地址,将非法MAC地址发送的流量抛弃,甚至将接口err-disable
2.动态增加CAM表项(MAC和端口、VLAN的绑定关系)
四、CAM/MAC泛洪攻打通过一直伪造MAC地址并发送报文,促使交换机CAM表短时间内被垃圾MAC地址充斥,实在MAC被挤出,已知单播变未知单播,被迫泛洪,导致数据被嗅探。
应答措施:
端口平安,限度端口可容许学习的最大MAC地址个数
五、DHCP服务器坑骗攻打通过非法DHCP服务器领先为客户调配地址,通过下发伪造的gateway地址,将客户流量疏导到“中间人”从而实现信息嗅探。
应答措施:
在三层交换机上配置DHCP Snooping,监听DHCP音讯,拦挡非法DHCP服务器的地址调配报文。
六、DHCP饥饿(地址池耗尽) 一直变换MAC地址,伪造DHCP申请音讯,短时间内将DHCP服务器地址池中的地址耗费殆尽,导致非法用户无奈获取IP地址。
应答措施:
1.同样应用端口平安技术,限度端口可容许学习的最大MAC地址个数,阻止攻击者通过变换MAC地址的形式伪造DHCP申请报文。
2.针对不变换MAC,仅变换CHADDR的状况下,在启用了DHCP Snooping技术的交换机配置DHCP限速,设定满足惯例地址获取需要频率的阀值,超出的状况下阻塞、隔离试图异样获取地址的端口。
七、ARP坑骗公布虚伪的ARP reply音讯,将客户音讯疏导至“中间人”,从而实现数据嗅探。
应答措施:
1.联合DHCP Snooping技术所记录的非法地址绑定表(失常通过DHCP获取的地址都在表中),利用Dynamic ARP inspection(DAI)技术,判断ARP reply内容是否非法,测验并抛弃非法ARP reply报文。
2.动态增加ARP与IP的关联表项(无需ARP request)
八、IP地址坑骗盗用IP地址,非法拜访网络或假冒别人发送攻打流量
应答措施:
- 联合DHCP Snooping记录的非法地址绑定表,利用IP Source Guard技术,判断IP地址是否非法,测验并抛弃非法IP流量。
- 应用基于接口的ACL,在相干接口只仅容许非法IP地址流量(deny非法IP)
九、针对交换机设施自身的攻打截获CDP(明文)报文,获取交换机治理地址,后续进行明码暴力破解;截获Telnet报文(明文),嗅探口令。获取交换机管理权限后随心所欲。
应答措施:
- 在不必要的接口敞开CDP音讯
- 重要设施尽可能不应用Telnet协定,转而应用加密传输的SSH协定登陆治理设施。因为SSH v1有家喻户晓的安全漏洞,倡议采纳v2。
原文来自:微思网络
原文地址:https://mp.weixin.qq.com/s/E_...