超詳細!乙太網交換機安全功能介紹

2020-12-10 51CTO

超詳細!乙太網交換機安全功能介紹

交換機作為區域網中最常見的設備,在安全上面臨著重大威脅,今天來給大家講講乙太網交換機安全功能介紹。

作者:佚名來源:思科CCIE俱樂部|2020-02-15 17:09

今天來給大家講講乙太網交換機安全功能介紹。

交換機作為區域網中最常見的設備,在安全上面臨著重大威脅,這些威脅有的是針對交換機管理上的漏洞,攻擊者試圖控制交換機。有的針對的是交換機的功能,攻擊者試圖擾亂交換機的正常工作,從而達到破壞甚至竊取數據的目的。

針對交換機的攻擊主要有以下幾類:

  • 交換機配置/管理的攻擊
  • MAC泛洪攻擊
  • DHCP欺騙攻擊
  • MAC和IP欺騙攻擊
  • ARP欺騙
  • VLAN跳躍攻擊
  • STP攻擊
  • VTP攻擊

交換機的訪問安全

為了防止交換機被攻擊者探測或控制,必須在交換機上配置基本的安全:

  • 使用合格的密碼
  • 使用ACL,限制管理訪問
  • 配置系統警告用語
  • 禁用不需要的服務
  • 關閉CDP
  • 啟用系統日誌
  • 使用SSH替代Telnet
  • 關閉SNMP或使用SNMP V3

交換機的埠安全

交換機依賴MAC地址錶轉發數據幀,如果MAC地址不存在,則交換機將幀轉發到交換機上的每一個埠(泛洪),然而MAC地址表的大小是有限的。

MAC泛洪攻擊利用這一限制用虛假源MAC地址轟炸交換機,直到交換機MAC地址表變滿。交換機隨後進入稱為 「失效開放」 (Fail-open)的模式,開始像集線器一樣工作,將數據包廣播到網絡上的所有機器。

因此,攻擊者可看到發送到無MAC地址表條目的另一臺主機的所有幀。要防止MAC泛洪攻擊,可以配置埠安全特性,限制埠上所允許的有效MAC地址的數量,並定義攻擊發生時埠的動作:關閉、保護、限制。

DHCP Snooping

當交換機開啟了 DHCP-Snooping後,會對DHCP報文進行偵聽,並可以從接收到的DHCP Request或DHCP Ack報文中提取並記錄IP位址和MAC地址信息。

另外,DHCP-Snooping允許將某個物理埠設置為信任埠或不信任埠。信任埠可以正常接收並轉發DHCP Offer報文,而不信任埠會將接收到的DHCP Offer報文丟棄。

這樣,可以完成交換機對假冒DHCP Server的屏蔽作用,確保客戶端從合法的DHCP Server獲取IP位址。

  • dhcp-snooping的主要作用就是隔絕非法的dhcp server,通過配置非信任埠。
  • 與交換機DAI的配合,防止ARP病毒的傳播。
  • 建立和維護一張dhcp-snooping的綁定表,這張表一是通過dhcp ack包中的ip和mac地址生成的,二是可以手工指定。這張表是後續DAI(dynamic arp inspect)和IPSource Guard 基礎。這兩種類似的技術,是通過這張表來判定ip或者mac地址是否合法,來限制用戶連接到網絡的。
  • 通過建立信任埠和非信任埠,對非法DHCP伺服器進行隔離,信任埠正常轉發DHCP數據包,非信任埠收到的伺服器響應的DHCP offer和DHCPACK後,做丟包處理,不進行轉發。

DAI

動態ARP檢查(Dynamic ARP Inspection, DAI)可以防止ARP欺騙,它可以幫助保證接入交換機只傳遞「合法的"ARP請求和應答信息。

DAI基於DHCP Snooping來工作,DHCP Snooping監聽綁定表,包括IP位址與MAC地址的綁定信息,並將其與特定的交換機埠相關聯,動態ARP檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任埠的ARP請求和應答(主動式ARP和非主動式ARP) ,確保應答來自真正的MAC所有者。

交換機通過檢查埠紀錄的DHCP綁定信息和ARP應答的IP位址決定其是否是真正的MAC所有者,不合法的ARP包將被拒絕轉發。

DAI針對VLAN配置,對於同一VLAN內的接口,可以開啟DAI也可以關閉,如果ARP包是從一個可信任的接口接受到的,就不需要做任何檢查;

如果ARP包是從一個不可信任的接口上接收到的,該包就只能在綁定信息被證明合法的情況下才會被轉發出去。這樣,,DHCP Snooping 對於DAI來說也成為必不可少的。

DAI是動態使用的,相連的客戶端主機不需要進行任何設置上的改變。對於沒有使用DHCP的伺服器,個別機器可以採用靜態添加DHCP綁定表或ARP access-list的方法實現。

另外,通過DAI可以控制某個埠的ARP請求報文頻率。一旦ARP請求頻率超過預先設定的閾值,立即關閉該埠。該功能可以阻止網絡掃描工具的使用,同時對有大量ARP報文特徵的病毒或攻擊也可以起到阻斷作用。

【編輯推薦】

【責任編輯:

趙寧寧

TEL:(010)68476606】

點讚 0

相關焦點

  • 乙太網交換機的工作原理詳解!
    乙太網交換機是基於乙太網傳輸數據的交換機,乙太網採用共享總線型傳輸媒體方式的區域網。乙太網交換機的結構是每個埠都直接與主機相連,並且一般都工作在全雙工方式。交換機能同時連通許多對埠,使每一對相互通信的主機都能像獨佔通信媒體那樣,進行無衝突地傳輸數據。
  • 乙太網交換機的基本概念,具有什麼特點
    打開APP 乙太網交換機的基本概念,具有什麼特點 飛暢科技 發表於 2020-12-19 09:49:21 乙太網交換機這個名詞相信很多人都聽過吧,那麼大家知道什麼是乙太網交換機嗎?
  • Mellanox 推出 Spectrum-3乙太網交換機 首款為雲、存儲和AI應用...
    (納斯達克股票代碼:MLNX)是面向數據中心伺服器和存儲系統的高性能、端到端互連解決方案的領先供應商,該公司今天宣布,SN4000 系列乙太網交換機已正式量產。12.8 Tbps的 Spectrum- 3 乙太網交換機 ASIC交換機性能出色、高度可擴展且使用靈活,專為雲、以太存儲矩陣 (ESF) 和 AI 應用進行優化,是 SN4000 系列的強大後盾。
  • 深圳浩湖強勢推出高密度2.5G乙太網交換機
    2.5G乙太網技術標準提出由來已久,過去的數年以來,一直停留在紙面上,沒有規模化應用場景,一方面是早期對2.5G乙太網技術的應用場景較少,一方面行業內一直缺乏合適的2.5G交換機產品來支撐應用場景;傳統通信大廠普遍採用10G Base-T的產品降速適應來適應這個場景,但由於10Gbase-T在物理層PHY晶片以及高速RJ45(ICM)器件一直成本很高導致
  • 汽車乙太網技術及測試介紹
    近期,信而泰推出汽車乙太網測試方案,該方案通過專有的BigTao硬體測試平臺及協議和流量仿真軟體平臺Renix,可以針對汽車乙太網中的ECU終端、車載網關進行全面的2-7層功能和性能測試,包括AVB/TSN等協議測試,全面滿足汽車乙太網測試需求,助力國內汽車乙太網建設。
  • 工業交換機有哪些功能?
    摘要:工業交換機(Industrial Switch)也叫工業乙太網交換機,是一種工作在OSI第二層(數據鏈路層,參見「廣域網」定義)上的、基於MAC (網卡的介質訪問控制地址)識別、能完成封裝轉發數據包功能的網絡設備。
  • 第三季度乙太網交換機和路由器市場表現參差不齊
    根據IDC近日發布的乙太網交換機和路由器季度追蹤報告顯示,2020年第三季度(20Q3)全球乙太網交換機市場收入達到74.5億美元,同比增長1.9%。同時,該季度全球企業和服務提供商(SP)路由器市場總收入同比減少2.0%至36.7億美元。
  • 工業冗餘環網交換機的功能特點及應用
    工業冗餘環網交換機的功能特點及應用 佚名 發表於 2020-12-13 09:41:27 本系列產品採用工業冗餘環網設計,每臺設備有兩個用於組成環網的光纖埠,通過手拉手的級聯方式組成環形的網絡拓撲結構
  • 工業交換機和普通交換機的產品特點及應用優勢分析
    ,它極大的幫助我們提高了工作效率;但是一般我們會分為工業交換機和普通交換機,在實際應用當中,不同的環境和場合我們還是要有所區分的,接下來為大家詳細介紹下工業交換機和普通交換機的產品特點、優勢以及二者之間的區別,感興趣的朋友就一起來看看吧!
  • 工業交換機在工廠中使用需要注意什麼
    工業交換機也稱作工業乙太網交換機,即應用於工業控制領域的乙太網交換機設備,由於採用的網絡標準,其開放性好、應用廣泛以及價格低廉、使用的是透明而統一的TCP/IP協議,乙太網已經成為工業控制領域的主要通信標準。因為工廠的環境一般較為惡劣,在工廠使用工業交換機,必須了解工業交換機的使用注意事項。
  • 如何確保PoE交換機穩定連接,PoE交換機有哪些安全優勢
    接下來,就由飛暢科技的小編來為大家介紹下PoE交換機如何才能穩定連接以及PoE交換機有哪些安全優勢?一起來看看吧! 如何確保PoE交換機穩定連接 ①使用標準PoE交換機。非標準PoE交換機不具有IEEE802.3af或者IEEE802.3at協議,不管終端設備是否支持PoE供電,強制48V輸出供電,會損壞終端設備。
  • 乙太網基礎—認識區域網LAN
    乙太網區域網使用乙太網電纜,典型情況下這是一根參考了某個乙太網標準的線纜,其中不同速率的雙絞線是最便利和經濟的選擇。區域網使用乙太網電纜將不同的乙太網設備或節點連接到交換機的一個乙太網埠。下圖是一個SOHO乙太網區域網的網絡拓撲,包括一臺LAN交換機、五根電纜和其他五個乙太網節點:三臺pc機、一臺印表機和一個稱為路由器的網絡設備。(路由器將區域網連接到廣域網,這可以是一個大型園區網的匯聚交換機或核心交換機,也可以直接連接到網際網路。)
  • 交換機的作用是什麼【圖文】
    簡單的說,交換機(英文:Switch,意為「開關」)是一種用於電信號轉發的網絡設備。它可以為接入交換機的任意兩個網絡節點提供獨享的電信號通路。最常見的交換機是乙太網交換機。其他常見的還有電話語音交換機、光纖交換機等。
  • 華為S5720-28X-SI-AC交換機報價2800
    (中關村在線成都行情)華為 S5720-28X-SI-AC是一款可以提供業界最簡化的網絡管理方案的交換機,能夠實現接入交換機和無線AP的即插即用,連接接入超方便。這一系列的交換機產品基於高性能硬體和華為統一的VRP(Versatile Routing Platform)軟體平臺,擁有運行維護簡單、智能iStack堆疊、靈活以太組網、擴展支持MACSec、成熟的IPv6等特點。
  • 安全保障H3C S5120V2-28P-SI交換機現貨
    H3C S5120V2-28P-SI產品類型千兆乙太網交換機產品應用層級二層傳輸速率66Mpps/108MppsMAC地址表支持黑洞MAC地址,支持設置埠MAC地址學習最大個數埠數量28個埠描述24個10/100/1000Base-T乙太網埠
  • 關於各種工業乙太網技術的詳細分析
    關於各種工業乙太網技術的詳細分析 jf_10471008 發表於 2020-12-11 14:50:46 高性能、工廠設備和IT系統集成,以及工業物聯網的需求驅動促進了工業乙太網的增長
  • 25G光模塊的四種分類,主要用在25G乙太網和100G(4×25Gbps)乙太網中
    25G光模塊就是傳輸速率為25Gbps的光模塊,主要用在25G乙太網和100G(4×25Gbps)乙太網中,其功能是用於數據中心伺服器和交換機的互連,25G光模塊能夠提供最節能的方式來滿足數據中心網絡日益增長的需求。
  • ...SFNB 4TX/FX交換機貨源推薦 推薦諮詢「上海積進自動化設備供應...
    在管理模式下,智能交換機可輕鬆完成交換機組態,簡化網絡調試,並提供多種網絡診斷功能。管理型交換機功能豐富、設計多樣的管理型交換機菲尼克斯電氣的管理型交換機可提供比較好的實時性能,優化的數據通信,以及網絡診斷和冗餘機制。堅固耐用的DIN導軌式交換機滿足特定的工業環境要求,並支持PROFINET、EtherNet/IP™等自動化協議。千兆乙太網交換機不僅支持大數據容量,還提供支持乙太網供電的型號。
  • SFP收發器與交換機如何連接,應用方案分析
    打開APP SFP收發器與交換機如何連接,應用方案分析 飛暢科技 發表於 2020-12-19 12:04:02 SFP光纖收發器可通過光纖鏈路連接乙太網交換機設備,SFP收發器可通過單纖光模塊或雙纖光模塊進行互聯。
  • 華為S5735S-L48T4S-A交換機濟南特價
    華為S5735S-L48T4S-A系列交換機基於新一代高性能硬體和華為公司統一的VRP(Versatile Routing Platform)軟體平臺,靈活的以太組網,多樣的安全控制等特點,支持多種三層路由協議,具備更高性能和更豐富的業務處理能力