交换机端口安全总结.doc

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全，就是可以根据802.1X来控制网络的访问流量。首先谈一下MAC地址与端口绑定，以及根据MAC地址允许流量的配置。1.MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access /指定端口模式。3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时，端口down掉。2.通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport trunk encapsulation dot1q3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC地址来拒绝流量。1.此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。最后说一下802.1X的相关概念和配置。802.1X身份验证协议最初使用于无线网络，后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证，即当用户的数据流量企图通过配置过802.1X协议的端口时，必须进行身份的验证，合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证，并且简化配置，在一定的程度上可以取代Windows 的AD。配置802.1X身份验证协议，首先得全局启用AAA认证，这个和在网络边界上使用AAA认证没有太多的区别，只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证，并且使用radius服务器来管理用户名和密码)下面的配置AAA认证所使用的为本地的用户名和密码。3550-1#conf t3550-1(config)#aaa new-model /启用AAA认证。3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证，并使用本地用户名与密码。3550-1(config)#int range f0/1 -243550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。后记通过MAC地址来控制网络的流量既可以通过上面的配置来实现，也可以通过访问控制列表来实现，比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦，似乎用的也比较少，这里就不多介绍了。通过MAC地址绑定虽然在一定程度上可保证内网安全，但效果并不是很好，建议使用802.1X身份验证协议。在可控性，可管理性上802.1X都是不错的选择。-注:IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的，不受硬件限制比较容易记忆的地址，长度4个字节。而 MAC地址却是用网卡的物理地址，保存在网卡的EPROM里面，与硬件有关系，比较难于记忆，长度为6个字节。虽然在TCP/IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。为什么要绑定MAC与IP 地址:IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址)，方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。1.方案1基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令:Switch#config terminal#进入配置模式Switch(config)# Interface fastethernet 0/1#进入具体端口配置模式Switch(config-if)#Switchport port-secruity#配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)#删除绑定主机的MAC地址注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。注意:以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10#清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。3.方案3IP地址的MAC地址绑定只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。Switch(config)Mac access-list extended MAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config)Ip access-list extended IP10#定义一个IP地址访问控制列表并且命名该列表名为IP10Switch(config)Permit any#定义IP地址为的主机可以访问任意主机Permit any #定义所有主机可以访问IP地址为的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config-if )Ip access-group IP10 in#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10#清除名为MAC10的访问列表Switch(config)no Ip access-group IP10 in#清除名为IP10的访问列表上述所提到的应用1是基于主机MAC地址与交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现，可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。后注:从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。-引言：对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略，这种做法是十分危险的，本文将就这个问题进行探讨。在这里需要声明的是，本文是处于对对MAC与IP地址绑定策略安全的忧虑，不带有任何黑客性质。1、为什么要绑定MAC与IP地址影响网络安全的因素很多，IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中，许多网络应用是基于IP的，比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏、窃听，甚至盗用，造成无法弥补的损失。盗用外部网络的IP地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是Ethernet内部合法用户的IP地址，这种网络互连设备显然无能为力了。“道高一尺，魔高一丈”，对于Ethernet内部的IP地址被盗用，当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。2、MAC与IP地址绑定原理IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。破解MAC与IP地址绑定策略1、IP地址和MAC地址简介现行的TCP/IP网络是一个四层协议结构，从下往上依次为链路层、网络层、传输层和应用层。Ethernet协议是链路层协议，使用的地址是MAC地址。MAC地址是Ethernet网卡在Ethernet中的硬件标志，网卡生产时将其存于网卡的EEPROM中。网卡的MAC地址各不相同，MAC地址可以唯一标志一块网卡。在Ethernet上传输的每个报文都含有发送该报文的网卡的MAC地址。Ethernet根据Ethernet报文头中的源MAC地址和目的MAC来识别报文的发送端和接收端。IP协议应用于网络层，使用的地址为IP地址。使用IP协议进行通讯，每个IP报文头中必须含有源IP和目的IP地址，用以标志该IP报文的发送端和接收端。在Ethernet上使用IP协议传输报文时，IP报文作为Ethernet报文的数据。IP地址对于Ethernet交换机或处理器是透明的。用户可以根据实际网络的需要为网卡配置一个或多个IP地址。MAC地址和IP地址之间并不存在一一对应的关系。MAC地址存储在网卡的EEPROM中并且唯一确定，但网卡驱动在发送Ethernet报文时，并不从EEPROM中读取MAC地址，而是在内存中来建立一块缓存区，Ethernet报文从中读取源MAC地址。而且，用户可以通过操作系统修改实际发送的Ethernet报文中的源MAC地址。既然MAC地址可以修改，那么MAC地址与IP地址的绑定也就失去了它原有的意义。2、破解方案下图是破解试验的结构示意图。其内部服务器和外部服务器都提供Web服务，防火墙中实现了MAC地址和IP地址的绑定。报文中的源MAC地址与1P地址对如果无法与防火墙中设置的MAC地址与1P地址对匹配，将无法通过防火墙。主机2和内部服务器都是内部网络中的合法机器;主机1是为了做实验而新加入的机器。安装的操作系统是W2000企业版，网卡是3Com的。试验需要修改主机1中网卡的MAC和IP地址为被盗用设备的MAC和IP地址。首先，在控制面板中选择“网络和拨号连接”，选中对应的网卡并点击鼠标右键，选择属性，在属性页的“常规”页中点击“配置”按钮。在配置属性页中选择“高级”，再在“属性”栏中选择“Network Address”，在“值”栏中选中输人框，然后在输人框中输人被盗用设备的MAC地址，MAC地址就修改成功了。然后再将IP地址配置成被盗用设备的IP地址。盗用内部客户机IP地址:将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP地址。主机1可以访问外部服务器，能够顺利地通过防火墙，访问权限与主机2没有分别。而且，与此同时主机2也可以正常地访问外部服务器，完全不受主机1的影响。无论是主机2还是防火墙都察觉不到主机1的存在。主机1如果访问内部服务器，根本无需通过防火墙，更是畅通无阻了。盗用内部服务器IP地址:将主机1的MAC地址和U地址修改为内部服务器的MAC地址和IP地址。主机1也提供Web服务。为了使效果更明显，主机1上提供的Web服务内容与内部服务器提供的内容不同。因为在实际的实验中主机1与主机2连在同一个HUB上，主机2的访问请求总是先被主机1响应，主机2期望访问的是内部服务器，得到的却总是主机1提供的内容。更一般地，主机2如果试图访问内部服务器，获得的到底是主机1提供的内容还是内部服务器提供的内容具有随机性，要看它的访问请求首先被谁响应，在后面的分析中我们将进一步对此进行阐述。盗用服务器的MAC和IP危害可能更大，如果主机1提供的Web内容和内部服务器中的内容一样，那么主机2将无法识别它访问的到底是哪个机器;如果Web内容中要求输人账号、密码等信息，那么这些信息对于主机1来说则是一览无遗了。破解成功的原因上面的实验验证了绑定MAC地址与IP地址的确存在很大的缺陷，无法有效地防止内部IP地址被盗用。接下来，将从理论上对该缺陷进行详细的分析。缺陷存在的前提是网卡的混杂接收模式，所谓混杂接收模式是指网卡可以接收网络上传输的所有报文，无论其目的MAC地址是否为该网卡的MAC地址。正是由于网卡支持混杂模式，才使网卡驱动程序支持MAC地址的修改成为可能;否则，就算修改了MAC地址，但是网卡根本无法接收相应地址的报文，该网卡就变得只能发送，无法接收，通信也就无法正常进行了。MAC地址可以被盗用的直接原因是网卡驱动程序发送Ethernet报文的实现机制。Ethernet报文中的源MAC地址是驱动程序负责填写的，但驱动程序并不从网卡的EEPROM中读取MAC，而是在内存中建立一个MAC地址缓存区。网卡初始化的时候将EEPROM中的内容读入到该缓存区。如果将该缓存区中的内容修改为用户设置的MAC地址，以后发出去的Ethernet报文的源地址就是修改后的MAC地址了。如果仅仅是修改MAC地址，地址盗用并不见得能够得逞。Ethernet是基于广播的，Ethernet网卡都能监听到局域网中传输的所有报文，但是网卡只接收那些目的地址与自己的MAC地址相匹配的Ethernet报文。如果有两台具有相同MAC地址的主机分别发出访问请求，而这两个访问请求的响应报文对于这两台主机都是匹配的，那么这两台主机就不只接收到自己需要的内容，而且还会接收到目的为另外一台同MAC主机的内容。按理说，两台主机因为接收了多余的报文后，都应该无法正常工作，盗用马上就会被察觉，盗用也就无法继续了;但是，在实验中地址被盗用之后，各台实验设备都可以互不干扰的正常工作。这又是什么原因呢?答案应该归结于上层使用的协议。目前，网络中最常用的协议是TCP/IP协议，网络应用程序一般都是运行在TCP或者UDP之上。例如，实验中Web服务器采用的HTTP协议就是基于TCP的。在TCP或者UDP中，标志通信双方的不仅仅是IP地址，还包括端口号。在一般的应用中，用户端的端口号并不是预先设置的，而是协议根据一定的规则生成的，具有随机性。像上面利用IE来访问Web服务器就是这样。UDP或者TCP的端口号为16位二进制数，两个16位的随机数字相等的几率非常小，恰好相等又谈何容易?两台主机虽然MAC地址和IP地址相同，但是应用端口号不同，接收到的多余数据由于在TCP/UDP层找不到匹配的端口号，被当成无用的数据简单地丢弃了，而TCP/UDP层的处理对于用户层来说是透明的;所以用户可以“正确无误”地正常使用相应的服务，而不受地址盗用的干扰。当然，某些应用程序的用户端口号可能是用户或者应用程序自己设置的，而不是交给协议来随机的生成。那么，结果又会如何呢?例如，在两台MAC地址和IP地址都相同的主机上，启动了两个端口相同的应用程序，这两个应用是不是就无法正常工作了呢?其实不尽然。如果下层使用的是UDP协议，两个应用将互相干扰无法正常工作。如果使用的是TCP协议，结果就不一样了。因为TCP是面向连接的，为了实现重发机制，保证数据的正确传输，TCP引入了报文序列号和接收窗口的概念。在上述的端口号匹配的报文中，只有那些序列号的偏差属于接收窗口之内的报文才会被接收，否则，会被认为是过期报文而丢弃。TCP协议中的报文的序列号有32位，每个应用程序发送的第一个报文的序列号是严格按照随机的原则产生的，以后每个报文的序列号依次加1。窗口的大小有16位，也就是说窗口最大可以是216，而序列号的范围是232，主机期望接收的TCP数据的序列号正好也处于对方的接收范围之内的概率为1/216，可谓小之又小。 TCP的序列号本来是为了实现报文的正确传输，现在却成了地址盗用的帮凶。解决MAC与IP地址绑定被破解的方法解决MAC与IP地址绑定被破解的方法很多，主要以下几种。交换机端口、MAC地址和IP地址三者绑定的方法;代理服务与防火墙相结合的方法;用PPPoE协议进行用户认证的方法;基于目录服务策略的方法;统一身份认证与计费软件相结合的方法等。在这里笔者尤其推荐最后一种方法，这种方法是将校园网办公自动化系统和网络计费软件结合在一起而实现的，这在校园网信息化建设的今天具有很强的实践性。-为了防止非法盗用IP地址，增强网络安全，很多网管在服务器端使用“ARP”命令捆绑IP地址和MAC地址。但这种方法对规模稍大的网络就不适用了，这些网络中的计算机数量较多，手工指定IP地址是不现实的，通常是使用DHCP服务器动态分配IP地址。因此使用“ARP”命令进行绑定是无法实现的。其实DHCP服务器也集成了IP地址和MAC地址绑定功能，只要我们合理设置，一样可以增强网络安全。1.查找客户机MAC地址要想在DHCP服务器中实现IP地址和MAC地址的绑定，必须首先知道客户机的MAC地址。在客户端，可以使用“ipconfig/all”命令进行MAC地址查询。如笔者想让主机名为“RTJ”的客户机固定使用“”的IP地址，首先在客户机上运行“ipconfig/all”命令，查到该客户机网卡的MAC地址为“00-0E-A6-0C-DE-B9”。2.新建保留在DHCP服务器端，打开DHCP管理器，展开笔者创建的范围为“23”的作用域，右键点击“保留”选项，在弹出的菜单中选择“新建保留”，弹出配置对话框。在该配置对话框中为主机名为“RTJ”的客户机绑定IP地址和MAC地址（见图），在“保留名称”栏中为该保留项目取名，如“RTJ”，然后在“IP地址”栏中输入“”，“MAC地址”栏中输入客户机的网卡MAC地址“00-0E-A6-0C-DE-B9”，接着在“支持类型”中选择“两者”选项，最后点击“添加”按钮，即可完成客户机的IP地址和MAC地址绑定。其他客户机的IP地址和MAC地址绑定方法同上，就不再详细介绍。此方法适用于规模稍大，IP地址采用动态分配的网络环境。-修改网卡MAC地址两种方法如果您是通过网卡的物理地址进行访问网络的，那么一定会碰到需要修改物理地址的情况。如更换新网卡，网卡的物理地址重复或者让笔记本电脑临时登陆一下网络等情况。更改网卡MAC地址的文章网络中有很多，但大都说的不够详细，下面笔者试着以Windows XP操作系统为例介绍两种网卡MAC地址的修改方法，希望对大家有所帮助。简单的修改方法读者可以在桌面上的“网上邻居”图标上单击右键，选择“属性”，在弹出的“网络连接”的对话框中，在“本地连接”图标上单击右键，选择“属性”，会弹出一个“本地连接属性”的对话框，单击“配置”按钮，选择“高级”，选中左栏“属性”中“Network Address”(其实，并非所有的网卡，对物理地址的描述都用“Network Address”，如Intel的网卡便用“Locally Administered Address”来描述，只要在右栏框中可以找到“值”这个选项就可以了)，然后选中右栏框“值”中的上面一个单选项(非“不存在”)，此时便可在右边的框中输入想改的网卡MAC地址，形式如“000B6AF6F4F9”。点击“确定”按钮，修改就完成了。不过，有一些网卡没有这个选项，不要着急，可以先更新网卡的驱动程序试试，一般情况下，更新驱动之后都会出现这个选项。但是依然有特殊情况，无论怎么修改都没有这个选项，那怎么办呢?接着往下看，下面的方法可以说是万能的!注册表修改方法第1步，单击“开始”，选中“运行”，键入“regedit”调出注册表。第2步，在HKEY_LOCAL_MACHIN