超詳細!乙太網交換機安全功能介紹

超詳細！乙太網交換機安全功能介紹

交換機作為區域網中最常見的設備，在安全上面臨著重大威脅，今天來給大家講講乙太網交換機安全功能介紹。

作者：佚名來源：思科CCIE俱樂部|2020-02-15 17:09

今天來給大家講講乙太網交換機安全功能介紹。

交換機作為區域網中最常見的設備，在安全上面臨著重大威脅，這些威脅有的是針對交換機管理上的漏洞，攻擊者試圖控制交換機。有的針對的是交換機的功能，攻擊者試圖擾亂交換機的正常工作，從而達到破壞甚至竊取數據的目的。

針對交換機的攻擊主要有以下幾類：

交換機配置/管理的攻擊 MAC泛洪攻擊 DHCP欺騙攻擊 MAC和IP欺騙攻擊 ARP欺騙 VLAN跳躍攻擊 STP攻擊 VTP攻擊

交換機的訪問安全

為了防止交換機被攻擊者探測或控制，必須在交換機上配置基本的安全：

使用合格的密碼 使用ACL，限制管理訪問 配置系統警告用語 禁用不需要的服務 關閉CDP 啟用系統日誌 使用SSH替代Telnet 關閉SNMP或使用SNMP V3

交換機的埠安全

交換機依賴MAC地址錶轉發數據幀，如果MAC地址不存在，則交換機將幀轉發到交換機上的每一個埠(泛洪)，然而MAC地址表的大小是有限的。

MAC泛洪攻擊利用這一限制用虛假源MAC地址轟炸交換機，直到交換機MAC地址表變滿。交換機隨後進入稱為 「失效開放」 (Fail-open)的模式，開始像集線器一樣工作，將數據包廣播到網絡上的所有機器。

因此，攻擊者可看到發送到無MAC地址表條目的另一臺主機的所有幀。要防止MAC泛洪攻擊，可以配置埠安全特性，限制埠上所允許的有效MAC地址的數量，並定義攻擊發生時埠的動作：關閉、保護、限制。

DHCP Snooping

當交換機開啟了 DHCP-Snooping後，會對DHCP報文進行偵聽，並可以從接收到的DHCP Request或DHCP Ack報文中提取並記錄IP位址和MAC地址信息。

另外，DHCP-Snooping允許將某個物理埠設置為信任埠或不信任埠。信任埠可以正常接收並轉發DHCP Offer報文，而不信任埠會將接收到的DHCP Offer報文丟棄。

這樣，可以完成交換機對假冒DHCP Server的屏蔽作用，確保客戶端從合法的DHCP Server獲取IP位址。

dhcp-snooping的主要作用就是隔絕非法的dhcp server，通過配置非信任埠。 與交換機DAI的配合，防止ARP病毒的傳播。 建立和維護一張dhcp-snooping的綁定表，這張表一是通過dhcp ack包中的ip和mac地址生成的，二是可以手工指定。這張表是後續DAI(dynamic arp inspect)和IPSource Guard 基礎。這兩種類似的技術，是通過這張表來判定ip或者mac地址是否合法，來限制用戶連接到網絡的。 通過建立信任埠和非信任埠，對非法DHCP伺服器進行隔離，信任埠正常轉發DHCP數據包，非信任埠收到的伺服器響應的DHCP offer和DHCPACK後，做丟包處理，不進行轉發。

DAI

動態ARP檢查(Dynamic ARP Inspection, DAI)可以防止ARP欺騙，它可以幫助保證接入交換機只傳遞「合法的"ARP請求和應答信息。

DAI基於DHCP Snooping來工作，DHCP Snooping監聽綁定表，包括IP位址與MAC地址的綁定信息，並將其與特定的交換機埠相關聯，動態ARP檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任埠的ARP請求和應答(主動式ARP和非主動式ARP) ，確保應答來自真正的MAC所有者。

交換機通過檢查埠紀錄的DHCP綁定信息和ARP應答的IP位址決定其是否是真正的MAC所有者，不合法的ARP包將被拒絕轉發。

DAI針對VLAN配置,對於同一VLAN內的接口，可以開啟DAI也可以關閉，如果ARP包是從一個可信任的接口接受到的，就不需要做任何檢查;

如果ARP包是從一個不可信任的接口上接收到的,該包就只能在綁定信息被證明合法的情況下才會被轉發出去。這樣,，DHCP Snooping 對於DAI來說也成為必不可少的。

DAI是動態使用的，相連的客戶端主機不需要進行任何設置上的改變。對於沒有使用DHCP的伺服器，個別機器可以採用靜態添加DHCP綁定表或ARP access-list的方法實現。

另外，通過DAI可以控制某個埠的ARP請求報文頻率。一旦ARP請求頻率超過預先設定的閾值，立即關閉該埠。該功能可以阻止網絡掃描工具的使用，同時對有大量ARP報文特徵的病毒或攻擊也可以起到阻斷作用。

【編輯推薦】

【責任編輯：

趙寧寧

TEL：（010）68476606】

點讚 0