中财网越剧萧雅巡按斩父全集:《转载》针对交换机的攻击和相应安全措施(下)
来源:百度文库 编辑:中财网 时间:2024/04/29 02:29:35
2010年06月03日 星期四 9:23
配置端口安全性
未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口,并执行信息收集或攻击。交换机可被配置为像集线器那样工作,这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。因此,攻击者可以收集含有用户名、密码或网络上的系统配置信息的流量。
在部署交换机之前,应保护所有交换机端口或接口。端口安全性限制端口上所允许的有效MAC地址的数量。如果为安全端口分配了安全MAC地址,那么当数据包的源地址不是已定义地址组中的地址时,端口不会转发这些数据包。
如果将安全MAC地址的数量限制为一个,并为该端口只分配一个安全MAC地址,那么连接该端口的工作站将确保获得端口的全部带宽,并且只有地址为该特定安全MAC地址的工作站才能成功连接到该交换机端口。
如果端口已配置为安全端口,并且安全MAC地址的数量已达到最大值,那么当尝试访问该端口的工作站的MAC地址不同于任何已确定的安全MAC地址时,则会发生安全违规。下面总结了这些要点。
总地来说,在所有交换机端口上实施安全措施,可以实现以下目的。
在端口上指定一组允许的有效MAC地址。
在任一时刻只允许一个MAC地址访问端口。
指定端口在检测到未经授权的MAC地址时自动关闭。
配置端口安全性有很多方法。下面描述可在Cisco交换机上配置端口安全性的方法。
静态安全MAC地址:静态MAC地址是使用switchport port-security mac-address mac-address接口配置命令手动配置的。以此方法配置的MAC地址存储在地址表中,并添加到交换机的运行配置中。
动态安全MAC地址:动态MAC地址是动态获取的,并且仅存储在地址表中。以此方式配置的MAC地址在交换机重新启动时将被移除。
粘滞安全MAC地址:可以将端口配置为动态获得MAC地址,然后将这些MAC地址保存到运行配置中。
粘滞安全MAC地址有以下特性。
当使用switchport port-security mac-address sticky接口配置命令在接口上启用粘滞获取时,接口将所有动态安全MAC地址(包括那些在启用粘滞获取之前动态获得的MAC地址)转换为粘滞安全MAC地址,并将所有粘滞安全MAC地址添加到运行配置。
如果使用no switchport port-security mac-address sticky接口配置命令禁用粘滞获取,则粘滞安全MAC地址仍作为地址表的一部分,但是已从运行配置中移除。已经被删除的地址可以作为动态地址被重新配置和添加到地址表。
如果使用switchport port-security mac-address sticky mac-address接口配置命令配置粘滞安全MAC地址时,这些地址将添加到地址表和运行配置中。 如果禁用端口安全性,则粘滞安全MAC地址仍保留在运行配置中。
如果将粘滞安全MAC地址保存在配置文件中,则当交换机重新启动或者接口关闭时,接口不需要重新获取这些地址。如果不保存粘滞安全地址,则它们将丢失。如果粘滞获取被禁用,粘滞安全MAC地址则被转换为动态安全地址,并被从运行配置中删除。
如果禁用粘滞获取并输入switchport port-security mac-address sticky mac-address接口配置命令,则会出现错误消息,并且粘滞安全MAC地址不会添加到运行配置。
当出现以下任一情况时,则会发生安全违规。
地址表中添加了最大数量的安全MAC地址,有工作站试图访问接口,而该工作站的MAC地址未出现在该地址表中。
在一个安全接口上获取或配置的地址出现在同一个VLAN中的另一个安全接口上。
根据出现违规时要采取的操作,可以将接口配置为3种违规模式之一。
保护:当安全MAC地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除足够数量的安全MAC地址或增加允许的最大地址数。不会得到发生安全违规的通知。
限制:当安全MAC地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至您移除足够数量的安全MAC地址或增加允许的最大地址数。在此模式下,您会得到发生安全违规的通知。具体而言就是,将有SNMP陷阱发出、syslog消息记入日志,以及违规计数器的计数增加。
关闭:在此模式下,端口安全违规将造成接口立即变为错误禁用(error-disabled)状态,并关闭端口LED。该模式还会发送SNMP陷阱、将syslog消息记入日志,以及增加违规计数器的计数。当安全端口处于错误禁用状态时,先输入shutdown再输入no shutdown接口配置命令可使其脱离此状态。此模式为默认模式。
各种安全违规模式的影响如表2-15所示。
表2-15 端口安全违规模式
违 规 模 式
转 发 流 量
发出SNMP陷阱
发出SYSLOG消息
显示错误消息
增加违规计数器计数
关 闭 端 口
保护
否
否
否
否
否
否
限制
否
是
是
否
是
否
关闭
否
是
是
否
是
是
Cisco交换机上的端口都预先配置了默认设置,表2-16列出默认的端口安全配置。
表2-16 端口安全默认设置
功 能
默 认 设 置
端口安全性
在端口上禁用
安全MAC地址的最大数量
1
违规模式
关闭。当超过安全MAC地址的最大数量时,端口关闭,同时发出SNMP陷阱通知
粘滞地址获取
禁用
为交换机配置端口安全性之后,需要验证配置是否正确。需要检查每一个接口以确保端口安全性都已设置正确。还必须确保配置的静态MAC地址也都正确。
要显示交换机或指定接口的端口安全性设置,可使用 show port-security [interface interface-id]命令。
要显示所有交换机接口或某个指定接口上配置的所有安全MAC地址,并附带每个地址的老化信息,可使用show port-security [interface interface-id] address命令
保护未使用的端口
保护未使用的交换机端口是最好的交换机配置练习。这里将介绍如何使用简单的Cisco IOS命令来保护未使用的交换机端口。很多管理员所采用的一种简单方法是禁用网络交换机上所有未使用的端口,这样做可帮助他们保护网络,使其免受未经授权的访问。例如,想像一下Cisco 2960交换机有24个端口。如果有3个快速以太网连接在用,那么根据良好安全惯例的要求,应禁用21个未使用的端口。
配置端口安全性
未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口,并执行信息收集或攻击。交换机可被配置为像集线器那样工作,这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。因此,攻击者可以收集含有用户名、密码或网络上的系统配置信息的流量。
在部署交换机之前,应保护所有交换机端口或接口。端口安全性限制端口上所允许的有效MAC地址的数量。如果为安全端口分配了安全MAC地址,那么当数据包的源地址不是已定义地址组中的地址时,端口不会转发这些数据包。
如果将安全MAC地址的数量限制为一个,并为该端口只分配一个安全MAC地址,那么连接该端口的工作站将确保获得端口的全部带宽,并且只有地址为该特定安全MAC地址的工作站才能成功连接到该交换机端口。
如果端口已配置为安全端口,并且安全MAC地址的数量已达到最大值,那么当尝试访问该端口的工作站的MAC地址不同于任何已确定的安全MAC地址时,则会发生安全违规。下面总结了这些要点。
总地来说,在所有交换机端口上实施安全措施,可以实现以下目的。
在端口上指定一组允许的有效MAC地址。
在任一时刻只允许一个MAC地址访问端口。
指定端口在检测到未经授权的MAC地址时自动关闭。
配置端口安全性有很多方法。下面描述可在Cisco交换机上配置端口安全性的方法。
静态安全MAC地址:静态MAC地址是使用switchport port-security mac-address mac-address接口配置命令手动配置的。以此方法配置的MAC地址存储在地址表中,并添加到交换机的运行配置中。
动态安全MAC地址:动态MAC地址是动态获取的,并且仅存储在地址表中。以此方式配置的MAC地址在交换机重新启动时将被移除。
粘滞安全MAC地址:可以将端口配置为动态获得MAC地址,然后将这些MAC地址保存到运行配置中。
粘滞安全MAC地址有以下特性。
当使用switchport port-security mac-address sticky接口配置命令在接口上启用粘滞获取时,接口将所有动态安全MAC地址(包括那些在启用粘滞获取之前动态获得的MAC地址)转换为粘滞安全MAC地址,并将所有粘滞安全MAC地址添加到运行配置。
如果使用no switchport port-security mac-address sticky接口配置命令禁用粘滞获取,则粘滞安全MAC地址仍作为地址表的一部分,但是已从运行配置中移除。已经被删除的地址可以作为动态地址被重新配置和添加到地址表。
如果使用switchport port-security mac-address sticky mac-address接口配置命令配置粘滞安全MAC地址时,这些地址将添加到地址表和运行配置中。 如果禁用端口安全性,则粘滞安全MAC地址仍保留在运行配置中。
如果将粘滞安全MAC地址保存在配置文件中,则当交换机重新启动或者接口关闭时,接口不需要重新获取这些地址。如果不保存粘滞安全地址,则它们将丢失。如果粘滞获取被禁用,粘滞安全MAC地址则被转换为动态安全地址,并被从运行配置中删除。
如果禁用粘滞获取并输入switchport port-security mac-address sticky mac-address接口配置命令,则会出现错误消息,并且粘滞安全MAC地址不会添加到运行配置。
当出现以下任一情况时,则会发生安全违规。
地址表中添加了最大数量的安全MAC地址,有工作站试图访问接口,而该工作站的MAC地址未出现在该地址表中。
在一个安全接口上获取或配置的地址出现在同一个VLAN中的另一个安全接口上。
根据出现违规时要采取的操作,可以将接口配置为3种违规模式之一。
保护:当安全MAC地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除足够数量的安全MAC地址或增加允许的最大地址数。不会得到发生安全违规的通知。
限制:当安全MAC地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至您移除足够数量的安全MAC地址或增加允许的最大地址数。在此模式下,您会得到发生安全违规的通知。具体而言就是,将有SNMP陷阱发出、syslog消息记入日志,以及违规计数器的计数增加。
关闭:在此模式下,端口安全违规将造成接口立即变为错误禁用(error-disabled)状态,并关闭端口LED。该模式还会发送SNMP陷阱、将syslog消息记入日志,以及增加违规计数器的计数。当安全端口处于错误禁用状态时,先输入shutdown再输入no shutdown接口配置命令可使其脱离此状态。此模式为默认模式。
各种安全违规模式的影响如表2-15所示。
表2-15 端口安全违规模式
违 规 模 式
转 发 流 量
发出SNMP陷阱
发出SYSLOG消息
显示错误消息
增加违规计数器计数
关 闭 端 口
保护
否
否
否
否
否
否
限制
否
是
是
否
是
否
关闭
否
是
是
否
是
是
Cisco交换机上的端口都预先配置了默认设置,表2-16列出默认的端口安全配置。
表2-16 端口安全默认设置
功 能
默 认 设 置
端口安全性
在端口上禁用
安全MAC地址的最大数量
1
违规模式
关闭。当超过安全MAC地址的最大数量时,端口关闭,同时发出SNMP陷阱通知
粘滞地址获取
禁用
为交换机配置端口安全性之后,需要验证配置是否正确。需要检查每一个接口以确保端口安全性都已设置正确。还必须确保配置的静态MAC地址也都正确。
要显示交换机或指定接口的端口安全性设置,可使用 show port-security [interface interface-id]命令。
要显示所有交换机接口或某个指定接口上配置的所有安全MAC地址,并附带每个地址的老化信息,可使用show port-security [interface interface-id] address命令
保护未使用的端口
保护未使用的交换机端口是最好的交换机配置练习。这里将介绍如何使用简单的Cisco IOS命令来保护未使用的交换机端口。很多管理员所采用的一种简单方法是禁用网络交换机上所有未使用的端口,这样做可帮助他们保护网络,使其免受未经授权的访问。例如,想像一下Cisco 2960交换机有24个端口。如果有3个快速以太网连接在用,那么根据良好安全惯例的要求,应禁用21个未使用的端口。
电子商务网站会存在哪些方面的安全威胁.针对每项安全威胁,应该采取哪些相应的安全措施?
交换机的品牌及其相应价格
什么是--针对本机的SQLExp攻击
物料配比的安全措施
拦截针对本机的SQLExp攻击, 来自 218.64.237.146
现在有没有针对双防火墙的漏洞攻击
金山网镖 说电脑受到针对SOLExp的攻击
跪求一篇文章:针对某一环境污染或生态破坏问题,谈谈其产生的原因和相应的治理或修复技术
我转载的 和我情况差不多
交换机被攻击
三层交换机和核心交换机的差别
以太网交换机和网络交换机的区别?
阻断攻击(Denial Of Service,DOS),也称堵死攻击,是一种针对( )的安全攻击
阻断攻击(Denial Of Service,DOS),也称堵死攻击,是一种针对( )的安全攻击
如何针对企业历年经营状况编制相应的审计方案
学校没有做好的安全措施
第一次建网站的安全措施
低压回路的安全措施是什么
汽车的安全措施有哪些??
汽车的安全措施有哪些??
计算机系统的安全措施从层次和内容上可分为 、 和 三个层次。
交换机和路由器的区别?
交换机和hub的区别?
路由器和交换机的区别