交换机安全.doc

交换机安全1.利用交换机对未知MAC地址FLOOD特性进行攻击。攻击方法：填充交换机CAM表(感觉不大现实，每个接口都有默认最大MAC数)解决方法：1)2900 int f0/1 sw block unicast/multicast 2)6500 MAC-address-table unicast-flood limit 3vlan 100 filter 5-limit：对同一个VLAN,每一个MAC每秒UNICAST Flooding的数量时行限制-filter：一旦超过limit,过滤Unicast flooding的时间(单位秒)-alert：一量超过Limit,发送告警-shutdown：超过shutdown接口2.MAC地址欺骗攻击。攻击方法：伪造被攻击者的MAC发送数据，让交换机学习。解决方法：1)Mac-address-table notification mac-move 2)port-sec技术Show process cpu|in Port-S 3.STP攻击攻击方法：1)伪造小的BRIDGE-ID，改变当前网络的ROOT 2)发送大量的BPDU让网络中的交换机忙于计算，消耗交换机CPU解决方法：1)ROOT Guard-当接口启用ROOT GUARD后，从该接口收到更优的ROOT-ID后将该接口root-inconsistent状态(效果相当于listening状态)，三个BPDU周期后如果不再收到该包则将接口重新开启。Int f0/1 Spanning-tree rootguard 2)A)Bpduguard-当接口启用BPDU GUARD后，如果从该接口收到BPDU，则会将该接口置为Disable状态。Int f0/1 Spanning-tree bpduguard enable-(config)#Errdisable recovery cause bpduguard(config)#Errdisable recovery interval 30(config)#spanning-tree portfast bpduguard B)BPDU filtering-接口下启用该功能后，会将IN和OUT的BPDU全部丢掉，防止恶意发送大量BPDU包，进行DOS攻击。但此特性开启后如果真的有环路将不会被检测出来，有环路的风险。Int f0/1 Spanning Bpdufilter enable或者在65上可以限制L2 PDU的速率(config)#mls rate-limit layer2 pdu 200 20 4.Vlan攻击攻击方法：1)双VLAN tag攻击-攻击者组装一个包，包含两层VLAN TAG,外层native vlan tag+内层被攻击的VLAN tag。这样的包可以进入Native VLAN的ACCESS口，并且被转发到出口trunk处，trunk收到包后，发现该包是native vlan的，就将外层的native vlan tag去掉再从trunk接口送出去(这时就露出了内层的被攻击的VLAN TAG),当从trunk到达接收端时，接收端收到的是一个带有VLAN TAG的包，接收端交换机就会将此包放到对应的VLAN中做转发。(注：1.攻击者必须在Native VLAN。2.这种攻击不会有回应包)解决方法：1.设置专用VLAN作为Native VLAN，并且该VLAN不包含任何用户接口。2.从TRUNK中清除NATIVE VLAN(不推荐)比如NATIVE VLAN为VLAN 2Int f1/1 Sw trunk all vlan remove 2有可能会造成异常，因为有些数据是要从NATIVE VLAN里传的。3.强制所有VLAN数据打TAG(config)#vlan dot1q tag native或者在TRUNK接口下(config-if)#sw trunk native vlan tag 5.DTP(dynamic trunk protocol)攻击攻击方法：攻击者接入一台交换机，和网络里的交换机自动协商成TRUNK。然后可以随意攻击一个VLAN。解决方法：1)关闭不用的接口2)将用户口设成ACCESS 6.DHCP攻击DHCP使用UDP协议，客户端端口号68服务器端端口号67。攻击方法：耗尽DHCP Server地址池。解决方法：1)PORT-SECURITY限制端口学到的MAC地址数。因为耗尽DHCP地址池需要发送大量的MAC地址来向DHCP SERVER请求相应的IP。(当然如果攻击包只改变DHCP包里的MAC，不改变二层包头里的MAC这种方法是不起效的。需用DHCP SNOOPING)2)DHCP SNOOPING启用DHCP Snooping后，所有端口都是UNTRUST的，UNTRUNST端口是不可以对DHCP请求做响应的。必须手工将某接口设为TRUST口才可以响应DHCP请求分配地址。可以动态收集绑定IP-MAC的对应关系。并能知道DHCP每一个IP具体分配给了哪一个端口上哪个VLAN的Client(通过MAC地址可以定位)。3)如果交换机不支持DHCP SNOOPING可采用ACL方法因为DHCP服务端使用UDP67，客户端使用UDP68。可以在接有DHCP SERVER的端口上放行UDP67其他所有端口禁止UDP67进入。*附加信息DHCP SNOOPING四大功能：(1)限制接口接收DHCP包的速率(2)DHCP包的有限性确认1.二层头里的MAC和DHCP包头里的MAC是否一样(只在DHCP SNOOPING的MAC address verification功能开启后有效)。2.对DHCP包的类型进行检查，只允许Server发送DHCPOFFER、DHCPACK、DHCPNAK包3.当DHCP包里有relay/gateway地址或Option 82地址时删除该数据包。(因为这些字段是交换机加进去的)。4.当有DHCP release时，交换机会根据以前产生的IP-MAC-INT对应表来检查release的人是否和当初申请IP地址的人是一致的。5.DHCP SNOOPING维护绑定表1)增加绑定表项：当交换机收到DHCP ACK后则增加相应的绑定表项。2)删除绑定表项：当交换机收到DHCPNAK后则删除相应的绑定表项。当有Client再次使用先前分配的IP时(当Client移动其他网段时有可能发生)。3)删除绑定表项：当交换机收到DHCP release后删除相应的绑定表项。当有人退租IP时4)删除绑定表项：当交换机收到DHCP DECLINE后删除相应的绑定项。当有人超租期时。5)手动添加绑定表项：IP DHCP SNOOPING BIND H.H.H VLAN X1.1.1.1 int f1/1(3)OPTION82插入与删除1.Option82能够向DHCP Server提供如下信息：该DHCP请求从哪台交换机的哪个接口上收到的。2.DHCP Snooping很好的支持OPTION82,能够在转发DHCP Messages时向OPTION82字段中插入或删除DHCP RELEAY信息。3.DHCP SERVER根据收到的OPTION82信息，可以为DHCP Client分配地址的同时进行QOS/ACL/接入控制或者其他一些安全策略的推送。(4)防止DHCP DOS攻击DHCP SNOOPING配置(config)#IP DHCP SNOOPING(config)#IP DHCP SNOOPING VLAN 10(config)#IP SOURCE BINDING 1.1.1 VLAN 10 1.1.1.1 INT F0/1(config)#INT F0/1(config-if)#IP DHCP SNOOPING TRUST(config-if)#IP DHCP SNOOPING LIMIT RATE 100 SH IP DHCP SNOOPING BINDING*7.DHCP SNOOPING-IP SOURCE GUARD 1.原IP ADDRESS过虑IP dhcp snooping Ip dhcp snooping vlan 10 Int f0/1 Sw acc vlan 10 Sw mo acc Ip verify source 2.原IP AND MAC过虑(必须激活OPTION82)IP dhcp snooping Ip dhcp snooping vlan 10 Int f0/1