如何防范交换机攻击

1、与路由器不同，交换机的安全威胁主要来自局域网内部。出于无知、好奇，甚至是恶意，某些局域网用户会对交换机进行攻击。不管他们的动机是什么，这都是管理员们不愿看到的。为此，除了在规定、制度上进行规范外，管理员们要从技术上做好部署，让攻击者无功而返。本文以Cisco交换机的安全部署为例，和大家分享自己的经验。1、细节设置，确保交换机接入安全(1) .配置加密密码尽可能使用 Enable Secret 特权加密密码，而不使用Enable Password 创建的密码。(2) .禁用不必要或不安全的服务在交换机上尤其是三层交换机上，不同的厂商默认开启了不同的服务、特性以及协议。为提高安全，应只开启必须的部

2、分，多余的任何东西都可能成为安全漏洞。可结合实际需求，打开某些必要的服务或是关闭一些不必要的服务。下面这些服务通常我们可以直接将其禁用。禁用 Http Serverno ip http server禁用IP源路由，防止路由欺骗no ip source route禁用Finger服务no service finger禁用Config服务no service config禁用Hootp服务no iP hootp server禁用小的UDP服务no service udp-small-s禁用小的TCP服务no service tcp-small-s(3).控制台和虚拟终端的安全部署在控制台上使用与虚

3、拟终端(Vty)线路上配置认证，另外，还需要对Vty线路使用简单的访问控制列表。Switch(config)#access-list 1 permit Switch(config)#line vty 0 4Switch(config-line)#access-class 1 in(4) .用 SSH代替 TelnetTelnet是管理员们连接至交换机的主要通道，但是在Telnet会话中输入的每个字节都将会被明文发送，这可以被类似Sniffer 这样的软件嗅探获取用户名、密码等敏感信息。 因此，使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。Switch(co

4、nfig)#hostname test-sshtest-ssh(config)#ip domain-name test-ssh(config)#username test password 0 testtest-ssh(config)#line vty 0 4test-ssh(config-line)#login localtest-ssh(config)#crypto key generate rsaThe name for the keys will be:test-test-ssh(config)#ip ssh time-out 180test-ssh(config)#ip ssh au

5、thentication-retries 5简单说明，通过上述配置将交换机命名为test-ssh ，域名为 ,创建了一个命名test密码为test的用户，设置 ssh的关键字名为 test- , ssh超时为 180秒，最大连接次数为 5次。(5) .禁用所有未用的端口关于这一点，笔者见过一个案例：某单位有某员工“不小心”将交换机两个端口用网线直接连接，(典型的用户无知行为)，于是整个交换机的配置数据被清除了。在此，笔者强烈建议广大同仁一定要将未使用的端口ShutDown掉。并且，此方法也能在一定程度上防范恶意用户连接此端口并协商中继模式。(6).确保STP的安全保护生成树协议，主要是防范其他

6、分公司在新加入一台交换机时，因各单位网络管理员不一定清楚完整的网络拓扑，配置错误使得新交换机成为根网桥，带来意外的BPDU因此，需要核心管理员启用根防护与 BPDU防护。默认情况下交换机端口禁用根防护，要启用它需要使用以下命令：Switch(config)#spanning-tree guard root默认情况下，交换机端口也禁用BPDUKj护。启用它需使用下列命令：Switch(config)#Spanning-tree Portfast bpduguard default如果要在所有端口上启用BPDUB护，可使用下面的命令：Switch(config)#Spanning-tree Por

7、tfast bpduguard enable2、ACL配置，确保交换机 VLAN安全大家知道，ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的 数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么“允许”，要么“拒绝”数据包通过。访问列表能够对通过交换机的数据流进行控制。ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。配置 VLAN Access MapSwitch(config)#vlan access-map test1/ 定义一个 vlan accessmap ，取名为 test1Switch(config-vla

8、n-access)#match ip address 101/设置匹配规则为 acl 101Switch(config-vlan-access)#action forward/匹配后，设置数据流转发(forward)Switch(config)#vlan access-map test2/ 定义一个 vlan accessmap ，取名为 test2Switch(config-vlan-access)#match ip address 102/设置匹配规则为 acl 102Switch(config-vlan-access)#action forward/匹配后，设置数据流转发(forward

9、)应用VACLSwitch(config)#vlan filter test1 vlan-list 10/将上面配置的test1应用到vlanl0中Switch(config)#vlan filter test2 vlan-list 20/将上面配置的test2应用到vlan20中配置私有VLAN定义辅助 VLAN1& 20、30Switch(config)#vlan 10Switch(config-vlan)#private vlan community定义主VLANIO0并与所有辅助VLAN建立关系Switch(config)#vlan 100Switch(config-vlan)

10、#private vlan communitySwitch(config-vlan)#private vlan association 10,20,30定义端口在私有 VLAN中的模式为主机(Host)或混合(Promiscuous),并配置关联或映射Switch(config-if)#switchport mode private hostSwitch(config-if)#switchport mode private host-association 100 303、深入配置，确保交换机免受恶意攻击(1).防动态中继协议 DTP攻击交换机通过交换 DTP协议，动态协商中继链路的用法和封装

11、模式。然而，如果交换机中继端口模式为Auto，它将等待处于模式 Auto或On的另一台交换机的请求建立连接。这时，如果恶 意用户利用DTP尝试同交换机端口协商建立中继链路，攻击者将可以捕获任何通过该VLAN的数据流。防范方法是：将任何连接到用户的端口配置为Access模式，从而使它不能以 Auto模式使用DTR需要使用的命令为：Switch(config-if)#switchport mode access(2).防范VLAN跨越式攻击在这种攻击方法中，攻击者位于普通VLAN发送被双重标记的帧，就像使用的是802.1q中继链路。当然，攻击者连接的并非中继线路，他通过伪造中继封装，欺骗交换机将帧

12、转发到另一 个VLAN中，实现VLAN跨越式攻击，从而在数据链路层就可非法访问另一VLAN。防范方法是：首先，修改本征VLAN ID并在中继链路两端将本征 VLAN修剪掉命令为:Switch(config-if)#switchport trunk native vlan 200Switch(config-if)#switchport trunk allowed vlan remove 200然后，强制所有的中继链路给本征VLAN加标记，命令为:Switch(config)#vlan dotlq tagnativeDHCPt骗的原理可以简述为, 请求时，伪造服务器将发送自己的址作为默认网关客户收

13、到该应答后, 他将转发该数据分组到正确的地址, 却对此毫无所知。.防范DHCPt骗攻击攻击者在某计算机上运行伪造的DHC例艮务器，当客户广播DHCPDHCP答，将其IP地前往子网外的数据分组首先经过伪网关。如果攻击者够聪明，但同时他也捕获到了这些分组。尽管客户信息泄露了， 但他防范方法是：在交换机上启用DHCP测。首先，在交换机的全局模式下启用DHCFW测，其命令为：Switch(config)#ip dhcp snooping接下来，指定要探测的VLAN,命令为:Switch(config)#ip dhcp snooping vlan 2然后，将DHCP®务器所在端口设置为信任端口

14、，命令为：Switch(config-if)#ip dhcp snooping trust最后，限制其他不可信端口的DHCP组速率，命令为：Switch(config-if)#ip dhcp snooping limit rate rate(4).防范ARP欺骗攻击ARP地址欺骗类病毒是一类特殊的病毒，该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。其实，我们只需要在交换机上绑定 MAc地址，就能让ARP病毒无用武之地。首先，在交换机上启用端口安全，命令为：Switch(config-if)#switchport port-security然后，指定允许的MACM址，以便允许合法的MACM址访问，命令为：Switch(config-if)#switchport port-security mac-address 000A.E698.84B7当然，上述操作是静态指定地址，比较麻烦。我们也可以动画获悉MAC然后在端口上限制最大允许学习的 MAC数目，命令为：Switch(config-if