交換機接入安全_第1頁
交換機接入安全_第2頁
交換機接入安全_第3頁
交換機接入安全_第4頁
交換機接入安全_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

交換機接入安全端口安全 P320MAC表自動學習:動態(tài)(默認)保持300秒.手工設置:靜態(tài)(安全)默認,MAC表動態(tài)學習,MAC表MACAVLAN1MACBVLAN1MACCVLAN1MACDVLAN1

允許任何用戶接入。F0/1F0/2F0/3F0/4當未授權用戶E接入端口F0/4,則交換機會自動刷新MAC表,并允許E接入,則E便可以訪問網(wǎng)絡資源??梢酝ㄟ^多種方式來限制E對網(wǎng)絡的訪問,其中一種便是端口安全。S29S29(config)######或###實驗:端口安全1.在接入層交換機S29上,對于端口F0/1,2.,3,4只允許主機ABCD接入,違背關閉端口.intf0/1shutdown 目的:清理MAC表swmodeacc 默認dynamaic,不能啟用端口安全swport-security 啟用端口安全swport-securitymaximun1 關聯(lián)一個MAC(默認)swport-securitymac-address000c.1111.111a靜態(tài)綁定swport-securitymac-addresssticky動態(tài)學習MAC并綁定swport-securityviolationshutdown 違背關閉(默認)noshutdownS29(config)#intf0/4#shutdown#####swsw#####swswswswswmodeaccport-security 啟用端口安全port-securitymaximun1 關聯(lián)一個MAC(默認)port-securitymac-address000c.1111.111d靜態(tài)綁定port-securityviolationshutdown 違背關閉2.在交換機S3560上,S3560(config2.在交換機S3560上,S3560(config)#intf0/13.錯誤禁用的恢復手工恢復先shutdown,后noshutdown自動恢復S(config)#errdisablerecoverycausepsecure-violation#errdisablerecoveryinterval30access查看哪些行為的禁用可以自動恢復DHCP監(jiān)聽P326#shutdown#swmodeacc#swport-security#swport-securitymaximun3 關聯(lián)3個MAC(默認1個)#swport-securitymac-address000c.1111.111a靜態(tài)綁定#swport-securitymac-address000c.1111.111b#swport-securitymac-address000c.1111.111c#swport-securityviolationrestric 受限,合法通過,非法丟棄并產(chǎn)生日志消息Protect保護,合法通過,非法丟棄,在F0/1端口只允許主機ABC接入,其它禁止,違背受限.但不產(chǎn)生日志消息重新啟用的原因

恢復時間間隔注:1.啟用端口安全時,只能工作在access或trunk模式.(默認dynamaicauto)配置時,應先將端口關閉,否則配置不起作用。sw#shport-securityinterfacef0/3sw#sherrdisabledetectErrDisableReasonDetectionMode -arp-inspectionEnabledportbpduguardEnabledportchannel-misconfigEnabledportdhcp-rate-limitEnabledportpsecure-violationEnabledportsw#sherrdisablerecovery防范欺騙攻擊

DHCP IP地址 子網(wǎng)掩碼 網(wǎng)關 54DNS…….分析DHCP攻擊:DHCP基于廣播,同一網(wǎng)絡中的所有主機都可以收到,惡意用戶D發(fā)送偽造的DHCP應答,造成兩種后果。非法的IP地址 導致用戶不能聯(lián)網(wǎng)合法的IP地址,但將網(wǎng)關設為自己的IP:1.4 中間人攻擊導致用戶將訪問外網(wǎng)的流量發(fā)送到1.4,然后1.4將重要信息進行過濾,如上網(wǎng)帳號、郵箱帳號、電子銀行帳號等。解決辦法:DHCP監(jiān)聽防止偽造的DHCP應答。可信端口 應答通過不可信端口 應答被丟棄注:啟用DHCP監(jiān)聽后,所有端口被視為不可信,應將連接DHCP服務器的端口設為可信的??梢韵拗朴脩舭l(fā)送DHCP請求的速率,防止DHCP請求泛洪攻擊可以建立一個DHCP監(jiān)聽綁定表,用于防止IP欺騙和ARP欺騙。MACIP租用期限對應端口A8F0/1B8F0/2C8F0/3D8F0/4分析教材CCNP302頁SW(config)#ipdhcpsnooping啟用DHCP監(jiān)聽功能#ipdhcpsnoopingvlan1-3指定在哪些VLAN下監(jiān)聽#intf0/20ipdhcpsnoopingtrust 設為可信端口intrangef0/1-19ipdhcpsnoopinglimitrate3 限制用戶的DHCP請求速率,超速shut實驗:DHCP監(jiān)聽sw#shipdhcpsnooping#shipdhcpsnoopingbindingclearipdhcpsnoopingbinding*clearipdhcpbinding*考試76,98題說明:SW2950有Bug,DHCP監(jiān)聽SW2950支持不好,連接用戶的接口如果不設trust,用戶的DHCP請求包也會被丟棄,而且也獲取不到DHCP監(jiān)聽綁定表。源IP地址防護(防止IP欺騙)P328惡意用戶攻擊服務器、交換機、路由器等設備,為防止被日志記錄,追查到自己防范1P欺駐攻擊樣查:LT2.Ifi.I.L1.防范1P欺駐攻擊樣查:LT2.Ifi.I.L1.淘i.252Vkfi1.TF欺U攻擊偽造IP地址:其它用戶 栽贓別人不存在的用戶 無法追查配置:intrangef0/1-4ipverifysource在f0/1-4上啟用IP源防護防范:啟用IP源防護,收到包,檢查IP和MAC與端口的對應關系是否合法??梢越柚贒HCP監(jiān)聽綁定表,也可以手工設置綁定表。借助DHCP監(jiān)聽綁定表。 CCNP教材304例:用戶D()假冒用戶A()的IP攻擊服務器。從端口F0/4發(fā)給交換機:MAC網(wǎng)關MACD攻擊報文F0/4 F0/4(監(jiān)聽表)IP-端口的對應關系與DHCP監(jiān)聽綁定表內容不同。偽造,丟棄。

2.手工綁定S3560(config)#ipsourceipipipsourcesourcesourcebinding000c.1212.121aMACbinding000c.1212.121bbinding000c.1212.121cbinding2.手工綁定S3560(config)#ipsourceipipipsourcesourcesourcebinding000c.1212.121aMACbinding000c.1212.121bbinding000c.1212.121cbinding000c.1212.121dvlanVLANvlanvlanvlanIPintf0/1接口intf0/2intf0/3intf0/4###(2)如果同時希望防止MAC欺騙,則必須啟用端口安全swport-security(啟用后默認特性:允許1個MAC,違規(guī)shutdown;當改為允許多個MAC時,違規(guī)自動變?yōu)閞estric)考試355題intrangef0/5swport-securityInterfaceFilter-typeFilter-modeIP-addressFa0/2ipinactive-no-snooping-vlanFa0/3ipInterfaceFilter-typeFilter-modeIP-addressFa0/2ipinactive-no-snooping-vlanFa0/3ipinactive-no-snooping-vlanFa0/4ipinactive-no-snooping-vlanFa0/5ip-macinactive-no-snooping-vlanMac-address查看:sw3550#shipverifysourceVlansw3550#shipsourcebindingMacAddressIpAddressLease(sec)TypeVLANInterface 00:26:9E:81:89:10 3 infinite static 1---FastEthernet0/500:E0:4C:82:1A:EE2423621dhcp-snooping1FastEthernet0/100:E0:4C:82:1A:EE1411916dhcp-snooping2FastEthernet0/1Totalnumberofbindings:3clearipdhcpsnoopingbinding*clearipdhcpbinding*動態(tài)ARP檢測(DAI.) P329分析:ARP欺騙。用戶上網(wǎng),先通過ARP找網(wǎng)關的MAC.A廣播查詢"1.254你的MAC是多少,請回答"所有主機都能收到,但正常只能網(wǎng)關回答:”1.254的MAC是MACG"主機D,ARP病毒搶先回答:1.254 MACD主機A在二層將用MACD封裝.最終,主機A訪問外網(wǎng)的所有流量都將被轉發(fā)到D. 中間人攻擊D可以對重要信息進行過濾,如上網(wǎng)帳號、郵箱帳號、電子銀行帳號等。注:與DHCP欺騙的區(qū)別DHCP欺騙 假冒網(wǎng)關IPARP欺騙 假冒網(wǎng)關MAC解決辦法:動態(tài)ARP檢查.(在交換機上進行)S3560(config)#iparpinspectionvlan1-3在VLAN1-3下啟用ARP檢測啟用后,交換機將會攔截VLNA1-3接口收到的ARP應答,進行合法性檢查。在判斷是否存在欺騙行為時,可以采用以下2種方式:1.采用DHCP監(jiān)聽綁定表,或手工設置的IP-MAC-接口綁定關系表。MACIP租用期限對應端口A8F0/1B8F0/2C8F0/3D8F0/4MACAMACD1.254MACDF0/4收到二層ARP應答Nc.TimeSourceDestinationProtocolLengthInfo10.0000DOQuant就口_45:41:c2Bra<adcast:ARP i-2uihohas1?Tell020.000155Realteks_44:m:北Quanta£o_45:41:c2ARP 601S2.ICS.1.1115里0D:e0:4c:^4:03:db37.60662SQuantaCa_45:41:c2Bra>adcastARP i-1 192.16S.1.25^-?^Te11192.1CB.1.fiQ4F.bQGST■括DigltalE.oascZjeaQuantaco_45:41;czARP 741SZ.ICfl.1.25JISJTOH:00:2b:Oa:c.p:ea,I 'L @Frame4:7Abytescmwire〔592b1tsj,74bytescapiHired(5.^2bits)?EthernetTIaSire:Digita'lE_Oa:c7:ea(OS:00!2b!Oa:c7:ea)aOst'QuantaCD_jl5:41! (00!26:c2)i-iAddressResQlmtlonProrocol(reply)Hardwaretype:Ethernet(1)ProtDcolType:IP(DmOEQD)Hardwaresize:6Protocolsize:4Opcode:reply(2)[is.gratulTous:raise] __ __SenderMACaddress:DigitalE_0a:c7::eafQg買 :Dm「£苴成)<.senderipaddress:54C192.1?s717254)TargetMACaddress:QuantaCo_45:41::c2(00:26:9€:45:41^2)Targetipaddre.£s:192.163.1.so(192.168.1-60)如果沒有上述表項,可以手工配置ARP訪問列表.S3560(config)#arpaccess-listARP-01 手工建立ARP綁定表permitiphostmachost000c.0101.0101permitiphostmachost000c.0101.0102S3560(config)#iparpinspectionfilterARP-01vlan1調用ARP綁定表SW1 一^SW2其它配置:S3560(config)#intg0/1#iparpinspectiontrust(兩個交換機之間的ARP應答視為可信,避免重復檢查.)考試300題

S3560(config)#intf0/2#iparpinspectionlimitrate10arp請求限速,防止arp泛洪攻擊。實驗測試的結果:ARP檢測合法應答通過,非法應答丟棄;ARP超速接口,動作是shutdown;DAI會自動調用已有的DHCP監(jiān)聽綁定表或手工IP-MAC-接口綁定表進行ARP檢測,也可調用已配置的ARP訪問列表。其它ARP安全措施:PC殺毒,安裝ARP防火墻。PC手HARP綁定 (在終端PC上進行)啟動項arp.batarp-s00-0c-ceT2T2T1arp-s00-0c-01-12-12-12arp-s00-0c-01-12-12-13路由器ARP綁定r1(config)#arpc007.1a30.f10darpa附:ARP表老化時間Windows2003/XP,ARP的老化時間默認為2分鐘,如果一個ARP緩存表項在2分鐘內用到,則再延長2分鐘,直到最大生命周期10分鐘。然后被移除,再通過一個新的ARP請求/回應來得新的對應關系。CISCO路由器的ARP老化時間默認為4小時,可以進行修改。r1#shintf0/0FastEthernet0/0isup,lineprotocolisupHardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)Internetaddressis/24Half-duplex,10Mb/s,100BaseTX/FXARPtype:ARPA,ARPTimeout04:00:00r1(config)#intf0/0#arptimeout120r1#shintf0/0FastEthernet0/0isup,lineprotocolisupHardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)Internetaddressis/24ARPtype:ARPA,ARPTimeout00:02:00r1#sharpProtocolAddress Age(min)HardwareAddrTypeInterfaceInternet - c000.1e4c.0001 ARPA FastEthernet0/1Internet 1 c007.1a30.f10d ARPA FastEthernet0/0Int

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論