016-园区网安全

园区网安全,学习目标,通过本章的学习，希望您能够：了解园区网安全隐患掌握交换机端口安全原理及配置方法掌握ACL的工作原理及配置方法,本章内容,交换机端口安全交换机端口安全概述端口安全的配置访问控制列表访问控制列表概述ACL的种类配置ACL,课程议题,交换机端口安全,交换机端口安全概述,交换机的端口安全机制是工作在交换机二层端口上的一个安全特性只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络。限制端口接入的设备数量，防止用户将过多的设备接入到网络中。配置端口安全存在以下限制：一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。一个安全端口不能是一个聚合端口（AggregatePort）。一个安全端口不能是SPAN的目的端口。,交换机端口安全概述,当配置完成端口安全之后，如果当违例产生时，可以设置下面几种针对违例的处理模式：protect：当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包restrict：当违例产生时，交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMPTrap报文shutdown：当违例产生时，交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMPTrap报文，而且将端口关闭。,端口安全的配置,打开该接口的端口安全功能设置接口上安全地址的最大个数配置处理违例的方式,Switch(conifg-if)#,switchportport-security,Switch(conifg-if)#,switchportport-securitymaximumnumber,Switch(conifg-if)#,switchportport-securityviolationprotect|restrict|shutdown,配置安全端口上的安全地址,配置安全端口上的安全地址当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使用如下命令手工将其恢复为UP状态：设置端口从“err-disabled”状态自动恢复所等待的时间,Switch(conifg-if)#,switchportport-securitymac-addressmac-addressip-addressip-address,Switch(conifg)#,errdisablerecovery,Switch(conifg)#,errdisablerecoveryintervaltime,配置安全地址的老化时间关闭一个接口的安全地址老化功能（老化时间为0）使老化时间仅应用于动态学习到的安全地址,Switch(conifg-if)#,switchportport-securityagingstatic|timetime,Switch(conifg-if)#,noswitchportport-securityagingtime,Switch(conifg-if)#,noswitchportport-securityagingstatic,查看端口安全信息,显示所有接口的安全设置状态、违例处理等信息来查看安全地址信息，显示安全地址及老化时间显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等,Router#,showport-securityinterfaceinterface-id,Router#,showport-securityaddress,Router#,showport-security,课程议题,访问控制列表,访问控制列表概述,访问表（accesslist）是一个有序的语句集，它通过匹配报文中信息与访问表参数，来允许报文通过或拒绝报文通过某个接口。,访问控制列表概述,访问控制列表总的说起来有下面三个作用:安全控制流量过滤数据流量标识,ACL工作原理及规则,ACL语句有两个组件：一个是条件，一个是操作。条件：条件基本上一个组规则操作：当ACL语句条件与比较的数据包内容匹配时，可以采取允许和拒绝两个操作。,ACL工作原理及规则,入站ACL,ACL工作原理及规则,出站ACL,ACL工作原理及规则,基本规则、准则和限制ACL语句按名称或编号分组；每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句；如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句；如果在ACL组的一条语句中找到匹配，则不再处理后面的语句；如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包；由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则，所有数据包都会被拒绝；语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；,ACL工作原理及规则,基本规则、准则和限制一个空的ACL组允许所有数据包，空的ACL组已经在路由器上被激活，但不包含语句的ACL，要使隐式拒绝语句起作用，则在ACL中至少要有一条允许或拒绝语句；只能在每个接口、每个协议、每个方向上应用一个ACL；在数据包被路由到其它接口之前，处理入站ACL；在数据包被路由到接口之后，而在数据包离开接口之前，处理出站ACL；当ACL应用到一个接口时，这会影响通过接口的流量，但ACL不会过滤路由器本身产生的流量。,ACL工作原理及规则,ACL放置在什么位置:只过滤数据包源地址的ACL应该放置在离目的地尽可能近的地方；过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方；只过滤数据包中的源地址的ACL有两个局限性：即使ACL应用到路由器C的E0，任何用户A来的流量都将被禁止访问该网段的任何资源，包括数据库服务器。流量要经过所有到达目的地的途径，它在即将到达目的地时被丢弃，这是对带宽的浪费。,ACL的种类,两种基本的ACL：标准ACL和扩展ACL标准IPACL只能过滤IP数据包头中的源IP地址扩展IPACL可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等，,标准ACL,标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常用在路由器配置以下功能：限制通过VTY线路对路由器的访问（telnet、SSH）；限制通过HTTP或HTTPS对路由器的访问；过滤路由更新。,标准ACL,通过两种方式创建标准ACL：编号或名称使用编号使用编号创建ACL在接口上应用In：当流量从网络网段进入路由器接口时Out：当流量离开接口到网络网段时,Router(config)#,access-listlistnumberpermit|denyaddresswildcardmask,Router(config-if)#,ipaccess-groupid|namein|out,标准ACL,使用命名定义ACL名称定义规则在接口上应用,Router(config)#,ipaccess-liststandardname,Router(config-std-nacl)#,deny|permitsourcewildcardany,Router(config-if)#,ipaccess-groupid|namein|out,扩展访问控制列表,扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。,扩展访问控制列表,可以通过两种方式为扩展ACL语句分组：通过编号或名称编号的扩展ACL创建扩展ACL接口上应用,Router(config)#,access-listlistnumberpermit|denyprotocolsourcesource-wildcardmaskdestinationdestination-wildcardmaskoperatoroperand,Router(config-if)#,ipaccess-groupid|namein|out,扩展访问控制列表,命名的标准ACL定义扩展ACL名称定义规则在接口上应用,Router(config)#,ipacess-listextendedname,Router(config-if)#,ipaccess-groupid|namein|out,Router(conig-ext-nacl)#,deny|permitprotocolsourcesource-wildcard|hostsource|anyoperatorport,配置标准ACL示例,配置扩展ACL示例,配置扩展ACL示例,验证ACL配置,显示所有协议的所有ACL查看接口应用的ACL情况,Router#,showaccess-lists,Router#,showipaccess-group,基于MAC的ACL,标识方式编号：700799名称过滤元素源MAC地址、目的MAC地址、以太网类型,配置MACACL,配置MACACL,macaccess-listextendedname|access-list-number,Switch(config)#,应用MACACL,macaccess-groupname|access-list-numberin|out,Switch(config-if)#,配置ACL规则,permit|denyany|hostsource-mac-addressany|hostdestination-mac-addressethernet-typetime-rangetime-range-name,Switch(config-mac-nacl)#,MACACL配置示例,只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）。,MACACL配置示例,专家ACL,标识方式编号：27002899名称过滤元素源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口用于复杂的、高级的访问控制,配置专家ACL,配置专家ACL,expertaccess-listextendedname|access-list-number,Switch(config)#,应用MACACL,expertaccess-groupname|access-list-numberin|out,Switch(config-if)#,配置ACL规则,permit|denyprotocol|ethernet-typeVIDvidany|sourcesource-wildcardhostsource-mac-address|anyoperatorportany|destinationdestination-wildcardhostdestination-mac-address|anyoperatorportprecedenceprecedencetostostime-rangetime-range-namedscpdscpfragment,Switch(config-exp-nacl)#,专家ACL配置示例,只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）的TCP5555端口。,专家ACL配置示例,基于时间的ACL,基于时间的ACL对于不同的时间段实施不同的访问控制规则在原有ACL的基础上应用时间段任何类型的ACL都可以应用时间段时间段绝对时间段（absolute）周期时间段（periodic）混合时间段,配置时间段,配置时间段,time-rangetime-range-name,Router(config)#,配置绝对时间,absolutestarttimedateendtimedate|endtimedate,Router(config-time-range)#,starttimedate：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日月年”endtimedate：表示时间段的结束时间，格式与起始时间相同示例：absolutestart08:001Jan2007end10:001Feb2008,配置时间段（续）,配置周期时间,periodicday-of-the-weekhh:mmtoday-of-the-weekhh:mmperiodicweekdays|weekend|dailyhh:mmtohh:mm,Router(config-time-range)#,day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sundayhh:mm：表示时间weekdays：表示周一到周五weekend：表示周六到周日daily：表示一周中的每一天示例：periodicweekdays09:00to18:00,配置时间段（续）,应用时间段在ACL规则中使用time-range参数引用时间段只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响确保设备的系统时间的正确！,基于时间的ACL配置示例,在上班时间（9：0018：00）不允许员工的主机（/24）访问Internet，下班时间可以访问Internet上的Web服务。,课程议题,ARP检查,ARP协议,ARP的作用将IP地址映射到MAC地址,ARP欺骗攻击,ARP的弱点ARP无验证机制，请求者不能判断收到的ARP应答是否合法,ARP中间人攻击,ARP中间人攻击攻击者不但伪造网关，而且进行数据重定向,ARP检查,ARP检查的作用防止ARP欺骗基于端口安全检查ARP报文中的IP地址是否合法，若不合法，则丢弃报文,配置ARP检查,手工恢复端口状态,port-securityarp-check,Switch(config)#,启用端口安全,switchportport-security,Switch(config-if)#,默认情况下，关闭ARP检查功能,配置安全IP地址,switchportport-securitymac-addressmac-addressip-addressip-address,Switch(config-if)#,这里配置的ip-address为端口所接入设备的真实IP地址,ARP检查配置示例,查看ARP检查状态,查看ARP检查状态,showport-securityarp-check,Switch#,查看ARP检查示例,课程议题,DHCP监听,DHCP攻击,DHCP的弱点DHCP无验证机制DHCP攻击攻击者使用伪DHCP服务器为网络分配地址攻击者可以发动一个DHCPDoS攻击,DHCP攻击（续）,DHCPSnooping,DHCPSnooping的作用过滤伪（非法）DHCP服务器发送的DHCP报文DHCPSnooping的工作机制信任（Trust）端口允许所有DHCP报文通过非信任（Untrust）端口只允许DHCPDiscovery、DHCPRequest报文通过，过滤DHCPOffer报文建立DHCP监听数据库包含客户端的IP地址、MAC地址、连接的端口、VLAN号、地址租用期限等信息,DHCPSnooping的部署,信任（Trust）端口用于连接合法的DHCP服务器和上行链路端口非信任（Untrust）端口用于连接DHCP客户端和其它接入端口,配置DHCPSnooping,启用DHCPSnooping,ipdhcpsnooping,Switch(config)#,配置端口为信任端口,ipdhcpsnoopingtrust,Switch(config-if)#,默认情况下，关闭DHCPSnooping,默认情况下，所有端口都为Untrust端口,配置DHCPSnooping（续）,手工配置DHCPSnooping表项,ipdhcpsnoopingbindingmac-addressvlanvlan-idipip-addressinterfaceinterface,Switch(config)#,将DHCPSnooping数据库写入到Flash文件,ipdhcpsnoopingdatabasewrite-to-flash,Switch(config)#,默认情况下，关闭DHCPSnooping,DHCP监听数据库的信息是动态的，通过写入Flash，可以避免由于系统的重新启动导致数据库中的信息丢失,配置DHCPSnooping（续）,配置自动写入DHCPSnooping绑定信息,ipdhcpsnoopingdatabasewrite-delayseconds,Switch(config)#,配置验证Untrust端口检查DHCP报文的源MAC地址,ipdhcpsnoopingverifymac-address,Switch(config)#,默认情况下，不检查DHCP报文的源MAC地址可以避免攻击者发送伪造源MAC地址的DHCP报文，导致DHCPDoS攻击,DHCPSnooping配置示例,查看DHCPSnooping状态,查看DHCPSnooping配置信息,showipdhcpsnooping,Switch#,查看DHCPSnooping数据库信息,showipdhcpsnoopingbinding,Switch#,此信息将显示动态与静态的绑定表项只有Untrust端口才会存在绑定表项,清除DHCPSnooping数据库,clearipdhcpsnoopingbinding,Switch#,静态的绑定表项不会被删除,查看DHCPSnooping状态示例,课程议题,DAI,DAI概述,DAI（DynamicARPInspection）与ARP检查一样，用于防止ARP欺骗ARP检查需要静态配置安全地址不适用于动态IP地址环境不适用与移动环境DAI依赖于DHCPSnooping数据库要使用DAI，需要部署DHCP环境DAITrust端口不检查ARP报文DAIUntrust端口检查所有收到的ARP报文,DAI部署,Trust端口连接交换机间的上行链路与DHCPServerUntrust端口连接DHCP客户端端口状态需要与DHCPSnooping端口状态一致DHCPSnoop