交换机基础安全功能原理与应用.ppt

技术培训中心 2010-03,交换机基础安全功能应用,修订记录,2,学习目标,理解交换机常用安全功能的应用场合 掌握交换机常用安全功能的配置与注意事项,3,课程内容,第一章：设备管理安全 第二章：接入安全 第三章：防攻击,4,设备管理安全,概述 设备易管理性与安全性成反比，必须有效的平衡管理与安全的关系 措施 使用中/强密码 源地址限制 使用安全管理协议,5,使用中强密码,概述 密码位数尽量保证在6位以上 不要使用纯数字 不要使用ruijie、admin、star、123456类似的密码 密码强度举例 弱密码：aabbcc、567890 中等强度密码：ruijie345 高等强度密码：Ruijie#876,6,源地址限制,概述 只有合法的源地址才能管理设备 限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 Ruijie(config)#line vty 0 4 Ruijie(config-line)#access-class 99 in 限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 Ruijie(config)#snmp-server community ruijie rw 99,7,使用安全管理协议,使用加密管理协议 禁用Telnet协议，使用SSH管理设备 使用SNMPv3 禁用Telnet协议 方法一：Ruijie(config)#no enable service telnet-server 方法二：Ruijie(config-line)#transport input ssh 使用SNMPv3 Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5 Ruijie123 access 99,8,课程内容,第一章：设备管理安全 第二章：接入安全 第三章：防攻击,9,接入安全,概述 制定一组安全规则，让网络中的主机以合法的身份接入网络，并得到有效的防护 措施 ACL 保护端口 全局地址绑定 端口安全 802.1x,10,保护端口,概述 禁止交换机端口之间的通讯（二层） 保护端口角色 保护口 非保护口 保护端口规则 保护口之间禁止通讯 保护口允许与非保护口通讯,11,protected,protected,保护端口（续）,保护端口配置 Ruijie(config)#int range fa 0/1-24 Ruijie(config-if-range)#switchport protected 级联情况下的配置 保护端口可以跨交换机使用 位于最上层的接入交换机与其他交换机的级联端口应配置为保护端口,12,protected,protected,SW1,SW2,全局地址绑定,概述 在交换机中绑定接入主机的IP+MAC地址 只有被绑定的IP+MAC地址才能接入网络 应用场景,13,绑定：1.1.1.1 001a.a900.0001,1.1.1.1 001a.a900.0001,1.1.1.2 001a.a900.0001,1.1.1.1 001a.a900.0002,全局地址绑定配置,配置全局绑定地址 Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001 配置全局绑定地址上联口 Ruijie(config)# address-bind uplink gi 0/25 开启全局绑定地址功能 Ruijie(config)#address-bind install 查看全局绑定地址 Ruijie#show address-bind,14,端口安全,概述 基于端口制定接入规则 接入规则 端口MAC最大个数 端口+MAC 端口+MAC+VLAN 端口+IP 端口+IP+MAC+VLAN,15,1.1.1.1,1.1.1.2 001a.a900.0001 VLAN 100,001a.a900.0002 VLAN 10,F0/1,F0/2,F0/3,F0/4,端口安全配置,打开端口安全功能 Ruijie(config-FastEthernet 0/1)#switchport port-security 配置最大MAC地址数 Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3 配置MAC地址绑定 Ruijie(config-FastEthernet 0/1)#sw po mac-address 001a.a900.0001 Ruijie(config-FastEthernet 0/1)#sw po mac 001a.a900.0001 vlan 10 配置IP地址绑定 Ruijie(config-FastEthernet 0/1)#sw po binding 192.168.10.1 配置IP+MAC绑定 Ruijie(config-FastEthernet 0/1)#sw po bi 001a.a900.0001 vlan 10 192.168.10.1 配置违例处理方式 Ruijie(config-FastEthernet 0/1)# sw po violationprotect | restrict | shutdown,16,端口安全缺省配置,17,端口安全规则处理规则,18,端口安全应用场景（例）,交换机一个端口最大只能接入1台主机 Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 1 交换机一个端口最大只能接入4台主机，但其中有一台主机是合法保障的 Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 4 Ruijie(config-FastEthernet 0/1)#sw po mac-address 001a.a900.0001 交换机一个端口只能是合法的IP接入 Ruijie(config-FastEthernet 0/1)#sw po binding 192.168.10.1 交换机一个端口只能是合法的IP且合法的MAC接入 Ruijie(config-FastEthernet 0/1)#sw po bi 001a.a900.0001 vlan 10 192.168.10.1,19,附：理解FFP,概述 Fast Filter Processor，快速过滤器 交换机种一种高效的硬件过滤引擎，其基本功能就是根据报文的特征筛选出符合一定规则的数据流，并对数据流实施策略，不依赖CPU 安全功能的核心 FFP资源是有限的 依赖FFP的功能 ACL 端口安全 全局地址绑定 Dot1x ,20,附：FFP功能逻辑示意,21,00010101110110101010101110110010101011101001010101010,Permit/Deny,1：安全功能配置 2：安全功能下发FFP 3：数据报文进入交换机 4：匹配FFP内的策略 5：决策,FFP,课程内容,第一章：设备管理安全 第二章：接入安全 第三章：防攻击,22,防攻击,概述 制定一组安全策略防止攻击行为的发生 措施 DHCP Snooping IP Source Guard ARP-check DAI,23,DHCP Snooping,概述 DHCP嗅探功能 功能 防止网络中假冒的DHCP服务器 形成Snooping表项为其他功能服务 端口角色 非信任口：拒绝DHCP回应报文 信任口：允许DHCP回应报文 默认角色：非信任口,24,24,DHCP discovery,DHCP offer,DHCP offer,trust,untrust,DHCP Snooping功能配置,开启DHCP snooping功能 Ruijie(config)#ip dhcp snooping 配置信任端口 Ruijie(config-FastEthernet 0/1)#ip dhcp snooping trust 配置DHCP报文速率限制 Ruijie(config-FastEthernet 0/1)#ip dhcp snooping suppression,25,DHCP Snooping功能配置（续）,查看DHCP Snooping配置 Ruijie#show ip dhcp snooping 查看DHCP Snooping数据库 Ruijie#show ip dhcp snooping binding,26,理解DHCP Snooping数据库,组成元素 MAC、IP、VLAN、Interface等 作用 为其他功能提供服务 IP Source-guard DAI ARP-check 注：DHCP Snooping数据库不写入FFP,27,IP Source Guard,概述 IP源保护功能，依赖于DHCP Snooping 作用 防止DHCP环境下用户私设IP地址 为ARP-check提供服务 原理 将DHCP Snooping数据库写入FFP 用户私设IP无法通过FFP,28,DHCP,Static,IP Source Guard功能配置,开启接口IP Source Guard功能 Ruijie(config-FastEthernet 0/1)#ip verify source port-security 配置静态 IP 源地址绑定用户 Ruijie(config)#ip source binding 001a.a900.0001 vlan 1 192.168.1.100 int fa 0/1 查看IP Source Guard表项 Ruijie#show ip verify source,29,DHCP Snooping & IP Source Guard,理解关系 DHCP Snooping在用户获取地址的过程中形成数据库 IP Source Guard将Snooping数据库中的内容写入FFP FFP根据Snooping数据库中的内容进行用户IP+MAC过滤，数据库中没有的内容将被丢弃 IP Source Guard在Trust接口不生效,30,IP Source Guard功能配置优化,31,trust,trust,多台交换机级联时，为避免上面一台交换机正对下联交换机上的用户重复FFP过滤，请将下联其他交换机的接口启用ip dhcp snooping trust,ARP协议简介,32,ARP协议过程通过ARP Request和ARP Replay两个报文学习到IP对应的MAC地址,ARP request,ARP reply,PC1,PC2,IP:192.168.0.1 MAC:00d0.f800.0001,IP:192.168.0.2 MAC:00d0.f800.0002,PC3,PCN,欺骗原理 欺骗者伪造Sends IP与Senders MAC 受骗主机用的Sender MAC与Sender IP更新自己的ARP表,ARP欺骗,33,网关,PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,Cheat（ARP Request）,ARP欺骗攻击目的,为什么产生ARP欺骗攻击？ 表象：网络通讯中断 真实目的：截获网络通讯数据,34,PC1,网关,主机型,网关型,欺骗者,ARP-check,概述 ARP检查功能，防止ARP欺骗的产生 原理 利用FFP中IP+MAC过滤表项，生成ARP过滤表项 过滤ARP字段 Senders IP Senders MAC,35,原FFP逻辑示意,新增FFP逻辑示意,ARP-check的应用场合,场合 Port-Security IP Source Guard 802.1x + 授权 其他能形成IP+MAC过滤表项的功能,36,ARP-check配置,开启ARP-check功能 Ruijie(config-FastEthernet 0/1)#arp-check 查看ARP-check表项 Ruijie(config)#show int arp list,37,DAI,38,概述 动态ARP监测，用于防止ARP欺骗的发生 原理 提取DHCP Snooping数据库中的IP+MAC表项 利用CPU过滤ARP报文发送者字段(Senders IP/MAC) 如果ARP报文的发送者字段不存在于数据库中则丢弃该ARP报文 端口角色 非信任口：拒绝不存在于DHCP Snooping数据库ARP报文 信任口：允许所有ARP报文通过 默认角色：非信任口,DAI配置,指定DAI监测VLAN Ruijie(config