一.前言
本文所提到的***和欺騙行爲主要針對鏈路層和網絡層。在網絡實際環境中,其來源可概括爲兩個途徑:人爲實施;病毒或蠕蟲。人爲實施通常是指使用一些***的工具對網絡進行掃描和嗅探,獲取管理帳戶和相關密碼,在網絡上中安插***,從而進行進一步竊取機密文件。***和欺騙過程往往比較隱蔽和安靜,但對於信息安全要求高的企業危害是極大的。而來自***或者病毒及蠕蟲的***和往往會偏離***和欺騙本身的目的,現象有時非常直接,會帶來網絡流量加大、設備 CPU 利用率過高、二層生成樹環路直至網絡癱瘓。
目前這類***和欺騙工具已經非常成熟和易用,而目前企業在部署這方面的防範還存在很多不足,有很多工作要做。思科針對這類***已有較爲成熟的解決方案,主要基於下面的幾個關鍵的技術:
Port Security feature
DHCP Snooping
Dynamic ARP Inspection (DAI)
IP Source Guard
下面部分主要針對目前非常典型的二層***和欺騙說明如何在思科交換機上組合運用和部署上述技術,從而實現防止在交換環境中實施“中間人”***、 MAC/CAM ***、 DHCP ***、地址欺騙等,更具意義的是通過上面技術的部署可以簡化地址管理,直接跟蹤用戶 IP 和對應的交換機端口;防止 IP 地址衝突。同時對於大多數對二層網絡造成很大危害的具有地址掃描、欺騙等特徵的病毒可以有效的報警和隔離。
1 MAC/CAM
1.1 MAC/CAM
交換機主動學習客戶端的 MAC
1.2
曾經對網絡照成非常大威脅的 SQL 蠕蟲病毒就利用組播目標地址,構造假目標 MAC 來填滿交換機 CAM 表。其特徵如下圖所示:
[img,523,474]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/arp2.files/dsfsa1.jpg[/img]
1.3
思科 Port Security feature 可以防止 MAC 和 MAC/CAM ***。通過配置 Port Security 可以控制:
l 端口上最大可以通過的 MAC 地址數量
l 端口上學習或通過哪些 MAC 地址
l 對於超過規定數量的 MAC 處理進行違背處理
端口上學習或通過哪些 MAC 地址,可以通過靜態手工定義,也可以在交換機自動學習。交換機動態學習端口 MAC ,直到指定的 MAC 地址數量,交換機關機後重新學習。目前較新的技術是 Sticky Port Security ,交換機將學到的 mac 地址寫到端口配置中,交換機重啓後配置仍然存在。
對於超過規定數量的 MAC 處理進行處理一般有三種方式(針對交換機型號會有所不同):
l Shutdown 。這種方式保護能力最強,但是對於一些情況可能會爲管理帶來麻煩,如某臺設備中了病毒,病毒間斷性僞造源 MAC 在網絡中發送報文。
l Protect 。丟棄非法流量,不報警。
l Restrict 。丟棄非法流量,報警,對比上面會是交換機 CPU 利用率上升但是不影響交換機的正常使用。推薦使用這種方式。
1.4
port-security
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
配置
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30
通過配置
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000b.db1d.6ccd
switchport port-security mac-address sticky 000b.db1d.6cce
switchport port-security mac-address sticky 000d.6078.2d95
switchport port-security mac-address sticky 000e.848e.ea01
1.5
除了 Port Security 採用 DAI 技術也可以防範 MAC 地址欺騙。
cisco交換機MAC/CAW***防範
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.