交换机基础安全功能原理与应用.pptVIP

技术培训中心2010-03,交换机基础安全功能应用,修订记录,2,学习目标,理解交换机常用安全功能的应用场合掌握交换机常用安全功能的配置与注意事项,3,课程内容,第一章：设备管理安全第二章：接入安全第三章：防攻击,4,设备管理安全,概述设备易管理性与安全性成反比，必须有效的平衡管理与安全的关系措施使用中/强密码源地址限制使用安全管理协议,5,使用中强密码,概述密码位数尽量保证在6位以上不要使用纯数字不要使用ruijie、admin、star、123456类似的密码密码强度举例弱密码：aabbcc、567890中等强度密码：ruijie345高等强度密码：Ruijie#876,6,源地址限制,概述只有合法的源地址才能管理设备限制远程管理源地址Ruijie(config)#access-list99permithost192.168.1.100Ruijie(config)#linevty04Ruijie(config-line)#access-class99in限制SNMP管理源地址Ruijie(config)#access-list99permithost192.168.1.100Ruijie(config)#snmp-servercommunityruijierw99,7,使用安全管理协议,使用加密管理协议禁用Telnet协议，使用SSH管理设备使用SNMPv3禁用Telnet协议方法一：Ruijie(config)#noenableservicetelnet-server方法二：Ruijie(config-line)#transportinputssh使用SNMPv3Ruijie(config)#snmp-serveruserruijieGroup1v3authmd5Ruijie123access99,8,课程内容,第一章：设备管理安全第二章：接入安全第三章：防攻击,9,接入安全,概述制定一组安全规则，让网络中的主机以合法的身份接入网络，并得到有效的防护措施ACL保护端口全局地址绑定端口安全802.1x,10,保护端口,概述禁止交换机端口之间的通讯（二层）保护端口角色保护口非保护口保护端口规则保护口之间禁止通讯保护口允许与非保护口通讯,11,protected,protected,保护端口（续）,保护端口配置Ruijie(config)#intrangefa0/1-24Ruijie(config-if-range)#switchportprotected级联情况下的配置保护端口可以跨交换机使用位于最上层的接入交换机与其他交换机的级联端口应配置为保护端口,12,protected,protected,SW1,SW2,全局地址绑定,概述在交换机中绑定接入主机的IP+MAC地址只有被绑定的IP+MAC地址才能接入网络应用场景,13,绑定：1.1.1.1001a.a900.0001,1.1.1.1001a.a900.0001,1.1.1.2001a.a900.0001,1.1.1.1001a.a900.0002,全局地址绑定配置,配置全局绑定地址Ruijie(config)#address-bind1.1.1.1001a.a900.0001配置全局绑定地址上联口Ruijie(config)#address-binduplinkgi0/25开启全局绑定地址功能Ruijie(config)#address-bindinstall查看全局绑定地址Ruijie#showaddress-bind,14,端口安全,概述基于端口制定接入规则接入规则端口MAC最大个数端口+MAC端口+MAC+VLAN端口+IP端口+IP+MAC+VLAN,15,1.1.1.1,1.1.1.2001a.a900.0001VLAN100,001a.a900.0002VLAN10,F0/1,F0/2,F0/3,F0/4,端口安全配置,打开端口安全功能Ruijie(config-FastEthernet0/1)#switchportport-security配置最大MAC地址数Ruijie(config-FastEthernet0/1)#switchportport-securitymaximum3配置MAC地址绑定Ruijie(config-FastEthernet0/1)#swpomac-address001a.a900.0001Ruijie(config-FastEthernet0/1)#swpomac001a.a900.0001vlan10配置IP地址绑定Ruijie(config-FastEthernet0/1)#swpobinding192.168.10.1配置IP+MAC绑定Ruijie(config-FastEthernet0/1)#swpobi001a.a900.0001vlan10192.168.10.1配置违例处理方式Ruijie(config-FastEthernet0/1)#swpoviolationprotect|restrict|shutdown,16,端口安全缺省配置,17,端口安全规则处理规则,18,端口安全应用场景（例）,交换机一个端口最大只能接入1台主机Ruijie(config-FastEthernet0/1)#switchportport-securitymaximum1交换机一个端口最大只能接入4台主机，但其中有一台主机是合法保障的Ruijie(config-FastEthernet0/1)#switchportport-securitymaximum4Ruijie(config-FastEthernet0/1)#swpomac-address001a.a900.0001交换机一个端口只能是合法的IP接入Ruijie(config-FastEthernet0/1)#swpobinding192.168.10.1交换机一个端口只能是合法的IP且合法的MAC接入Ruijie(config-FastEthernet0/1)#swpobi001a.a900.0001vlan10192.168.10.1,19,附：理解FFP,概述FastFilterProcessor，快速过滤器交换机种一种高效的硬件过滤引擎，其基本功能就是根据报文的特征筛选出符合一定规则的数据流，并对数据流实施策略，不依赖CPU安全功能的核心FFP资源是有限的依赖FFP的功能ACL端口安全全局地址绑定Dot1x,20,附：FFP功能逻辑示意,21,00010101110110101010101110110010101011101001010101010,Permit/Deny,1：安全功能配置2：安全功能下发FFP3：数据报文进入交换机4：匹配FFP内的策略5：决策,FFP,课程内容,第一章：设备管理安全第二章：接入安全第三章：防攻击,22,防攻击,概述制定一组安全策略防止攻击行为的发生措施DHCPSnoopingIPSourceGuardARP-checkDAI,23,DHCPSnooping,概述DHCP嗅探功能功能防止网络中假冒的DHCP服务器形成Snooping表项为其他功能服务端口角色非信任口：拒绝DHCP回应报文信任口：允许DHCP回应报文默认角色：非信任口,24,24,DHCPdiscovery,DHCPoffer,DHCPoffer,trust,untrust,DHCPSnooping功能配置,开启DHCPsnooping功能Ruijie(config)#ipdhcpsnooping配置信任端口Ruijie(config-FastEthernet0/1)#ipdhcpsnoopingtrust配置DHCP报文速率限制Ruijie(config-FastEthernet0/1)#ipdhcpsnoopingsuppression,25,DHCPSnooping功能配置（续）,查看DHCPSnooping配置Ruijie#showipdhcpsnooping查看DHCPSnooping数据库Ruijie#showipdhcpsnoopingbinding,26,理解DHCPSnooping数据库,组成元素MAC、IP、VLAN、Interface等作用为其他功能提供服务IPSource-guardDAIARP-check注：DHCPSnooping数据库不写入FFP,27,IPSourceGuard,概述IP源保护功能，依赖于DHCPSnooping作用防止DHCP环境下用户私设IP地址为ARP-check提供服务原理将DHCPSnooping数据库写入FFP用户私设IP无法通过FFP,28,DHCP,Static,IPSourceGuard功能配置,开启接口IPSourceGuard功能Ruijie(config-FastEthernet0/1)#ipverifysourceport-security配置静态IP源地址绑定用户Ruijie(config)#ipsourcebinding001a.a900.0001vlan1192.168.1.100intfa0/1查看IPSourceGuard表项Ruijie#showipverifysource,29,DHCPSnooping&IPSourceGuard,理解关系DHCPSnooping在用户获取地址的过程中形成数据库IPSourceGuard将Snooping数据库中的内容写入FFPFFP根据Snooping数据库中的内容进行用户IP+MAC过滤，数据库中没有的内容将被丢弃IPSourceGuard在Trust接口不生效,30,IPSourceGuard功能配置优化,31,trust,trust,多台交换机级联时，为避免上面一台交换机正对下联交换机上的用户重复FFP过滤，请将下联其他交换机的接口启用ipdhcpsnoopingtrust,ARP协议简介,32,ARP协议过程通过ARPRequest和ARPReplay两个报文学习到IP对应的MAC地址,ARPrequest,ARPreply,PC1,PC2,IP:192.168.0.1MAC:00d0.f800.0001,IP:192.168.0.2MAC:00d0.f800.0002,PC3,PCN,欺骗原理欺骗者伪造SendsIP与SendersMAC受骗主机用的SenderMAC与SenderIP更新自己的ARP表,ARP欺骗,33,网关,PC2,PC1,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,192.168.0.254001a.a908.9f0b,Cheat（ARPRequest）,ARP欺骗攻击目的,为什么产生ARP欺骗攻击？表象：网络通讯中断真实目的：截获网络通讯数据,34,PC1,网关,主机型,网关型,欺骗者,ARP-check,概述ARP检查功能，防止ARP欺骗的产生原理利用FFP中IP+MAC过滤表项，生成ARP过滤表项过滤ARP字段SendersIPSendersMAC,35,原FFP逻辑示意,新增FFP逻辑示意,ARP-check的应用场合,场合Port-SecurityIPSourceGuard802.1x+授权其他能形成IP+MAC过滤表项的功能,36,ARP-check配置,开启ARP-check功能Ruijie(config-FastEthernet0/1)#arp-check查看ARP-check表项Ruijie(config)#showintarplist,37,DAI,38,概述动态ARP监测，用于防止ARP欺骗的发生原理提取DHCPSnooping数据库中的IP+MAC表项利用CPU过滤ARP报文发送者字段(SendersIP/MAC)如果ARP报文的发送者字段不存在于数据库中则丢弃该ARP报文端口角色非信任口：拒绝不存在于DHCPSnooping数据库ARP报文信任口：允许所有ARP报文通过默认角色：非信任口,DAI配置,指定DAI监测VLANRuijie(config)#iparpinspectionvlan1设置DAI信任接口Ruijie(config-FastEthernet0/1)#iparpinspectiontrust查看DAI配置Ruijie#showiparpinspectionvlan1,39,ARP-chek与DAI的区别,IP、MAC来源ARP-check：FFP中IP/MAC过滤表项DAI：DHCPSnooping数据库处理方式ARP-check：FFP硬件处理DAI：CPU软件处理,40,各种防ARP欺骗方案比较,41,注接入交换机中开启ARP-check功