針對交換網絡的***方式主要有四種:Mac層*** Vlan*** 欺騙*** ***交換機設備
1.Mac地址泛洪***
Hack向所連接的接入層SW發大量的數據幀,幀中封裝的都是無效的源Mac,這樣不斷的去刷SW的CAM表,使其溢出且充斥着無用的CAM條目,無法爲其他主機正常轉發數據。
解決辦法:端口安全(Port Securuity),首先定義允許的Mac,可以是明細的Mac地址(需手動配置)或者允許的地址個數,然後定義違反以上Mac地址後採取的動作,二層上關閉端口(err-Disabled)或者丟棄數據幀。
爲了省去挨個手動配置允許的Mac地址的麻煩(在園區網中這是個重活兒~),又不想只基於Mac地址個數做控制,就可以利用Sticky特性,比如我就允許學習到5個,那麼學到的這5個Mac地址我都記住,就這5個明細Mac,別的再來也不會刷掉。
2.Vlan跳躍***
***方式1:Hack僞裝自己的網卡爲一個Trunk協商端口,在沒有關閉DTP的情況下協商成功,Hack就會獲得訪問所有Vlan的渠道。
解決辦法:關閉DTP協議,手動配置Trunk
***方式2:Hack對自己的數據幀打上雙層標籤,外面封一層Native Vlan,裏面封一層要訪問的Vlan ID,這樣在數據幀進入到直連的SW時,Native Vlan的標籤會被剝去(SW默認的動作),然後發出去,這樣就可以實現跨Vlan的訪問。
解決辦法:1)VACL,即Vlan ACL,把問題放到三層上來解決 2)PVlan,私有Vlan,實現的層面更低一些。
3.DHCP欺騙
Hack利用DHCP軟件冒充DHCP服務器,給園區網中的客戶分配IP地址(終端的OS一般都會支持自動獲取IP),自己就成爲第一道網關,這樣所有流量都要先經過Hack再到真正的網關出口,Hack就可以有些動作,比如竊取或破解。
解決辦法:DHCP偵聽+源保護 DHCP偵聽是將交換機的端口分爲信任和不信任兩種,比如接PC的端口就是不信任的,如果從這樣的端口接受到DHCP應答就直接丟棄掉,因爲DHCP Server應該在信任的端口上,且只有DHCP Server才該發應答消息。
IP源保護(IPSG)在啓用後,一開始只允許DHCP數據包通過,直到分配了IP地址,會基於端口建立綁定,即這個端口下連的主機都是什麼Mac地址,分配到的IP地址有哪些,然後自動在這個接口加載基於端口的VACL,一旦有來自其他IP地址的上行流量,全部過濾掉。
IPSG的具體實現上需要DHCP偵聽開啓Option 82功能來區分用戶,協助建立綁定,每一個客戶向Server發送DHCP請求時會經過我這臺SW,我就打上Option 82標記來區分不同的客戶,在收到Server的DHCP應答(該應答會有同樣的Option 82標記)時,再去掉該標記。
4.ARP欺騙
ARP欺騙十分普遍,就是中間人***,用僞造的廣播ARP響應消息來響應ARP請求,從而成爲網關,這樣不僅可以Hackin一下還能進行限速,網上流傳的P2P限速軟件都是基於這個原理。
解決辦法:動態ARP檢測(DAI),DAI啓用的先決條件是啓用了DHCP偵聽或手動配置(其實依賴的是那些映射條目,Mac-IP-Port),將Trunk設置爲DAI信任端口,用戶端口設置爲DAI非信任端口,若從非信任端口收到ARP響應則進行排查,Hack發的ARP響應映射的是別人的IP和自己的Mac,很明顯不會通過,SW同時也會使這個接口進入err-disabled狀態。
5.STP安全
很多Hacker利用STP的特性***交換網絡,***途徑是以主機或者交換機參與BPDU傳遞和根橋選舉,破環原有的STP網絡拓撲,所以重點防禦區域是在接入層,同時我們也要注意由於物理故障導致的STP環路。
1.BPDU Guard 在Port Fast上啓用,如果從該端口收到BPDU,端口立即進入err-disabled狀態,並設置計時器,超時後恢復。
2.BPDU Filtering 在Port Fast上啓用,從該接口收到的BPDU全部丟棄,針對Port Fast端口就上述這兩種技術,相較之下Guard 比Filtering 更爲堅決一些。
3.Root Guard 根防禦,不允許新接入的SW的端口成爲根端口,只能是指定端口,這項技術是防止新添的SW成爲根橋,破壞原有的拓撲。
4.Loop Guard 環防禦,硬性規定即使不收到對方的BPDU,也不能開啓BLK口,要注意的是開啓了Loop Guard的端口不能開啓Root Guard。
Loop Guard 保證Root 端口和BLK端口從指定端口那裏接收BPDU,如果有端口停止接收了,就會將該端口置爲“Loop-inconsistent Blocking“狀態。
5.UDLD 單邊鏈路檢測,多用於光纖鏈路,鏈路裏的線可以簡化成兩根,一根發信號,一根收信號,啓用UDLD後,SW會自己檢測鏈路,週期性發信號看時候能返回,發現不能返回就Shutdown掉,UDLD和Loop Guard啓用一種就可以了。
6.三種認證
AAA認證: AAA Server就是在服務器上裝個AAA軟件,實現認證,授權和審計,支持的協議有RADIUS和TACACS+,這兩種方式需要SW連接相應的RADIUS Server和TACACS+ Server,通過Server中的數據庫對用戶進行認證,另外的兩種方式是No Authentication(就是沒有認證)和Local database(不藉助於Server,自己在SW上建立數據庫,認證工作在SW上完成)。
802.1x認證:主機通過SW訪問網絡要求先通過認證,專業的講,802.1x只允許EAPOL(LAN上的可擴展驗證協議)信息流通過端口,若沒能通過就只是物理層上的連接,鏈路層上是關閉的,同樣,802.1x也需要RADIUS Server的介入來實現。
PPPOE認證: PPPOE和802.1x差不多,實現上有一些區別,802.1x是在以太網上封裝IP報文,所以認證是在以太網層面完成的,PPPOE是在以太網上封裝PPP再封裝一層IP,所以認證是在PPP層面完成的,利用的是PPP的認證功能。