Switch Security 交换机安全设置指南

MAC layer attacks
1、MAC Flooding Attack 从一个接口学习无数个Mac;导致CAM表溢出;
解决方案:Port Security 端口安全特性;
触发条件:
a.未授权MAC地址
b.MAC地址学习个数限制
触发后结果:
shutdown:Put the port to “Err-Disable”.Send SNMP Trap;
restrict:Drop frame.Send SNMP Trap;
protect:Drop frame.Don’t send SNMP Trap;
Switch(config-if)#swi port-security [maximun value] violation {shutdown | restrict | protect}
a.未授权MAC地址实例:
SW1(config-if)#switchport port-security 开启安全特性,首先得激活此特性;
SW1(config-if)#switchport port-security mac-address aaaa.bbbb.cccc 设置允许的Mac
b.MAC地址学习个数限制
SW1(config-if)#switchport port-security maximum 4 默认是1
show 命令:
SW1#show interfaces ether0/0
Ethernet0/0 is down, line protocol is down (err-disabled)
SW1(config)#errdisable recovery cause psecure-violation
SW1(config)#errdisable recovery interval 30
SW1(config)#do show errdisable recovery
SW1(config)#do show port-security
SW1(config)#do show port-security address
外部人员要接入,无法知晓其Mac地址:
sticky动态去学Mac地址,定义最终能粘贴几个Mac即可;SW1(config-if)#switchport port-security mac-address sticky
静态写CAM表:
禁Mac地址:SW1(config)#mac address-table static 1121.1212.3312 vlan 4 drop 得Mac及vlan均满足则限制接入;3550以上的三层SW才有此命令;
阻止未知的单播(CAM表中无Mac地址)及未知组播通过:SW1(config-if)#switchport block [unicast | multicast]
SW1(config)#do show interfaces ether0/0 switchport
Name: Et0/0
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off……..
在SW建立SVI,默认只有pri混杂端口才能网关SW,其他端口不可以,ping SVI IP都不通
设置:SW1(config)#ip routing 首先开启路由功能
interface Vlan20
ip address 192.168.1.254 255.255.255.0
private-vlan mapping 501-502 添加相应的vlan

VLAN attacks
VLAN Hopping:跨越vlan
1、明确为何没使用的端口都打上:switch mode access 防止因为trunk协商其他接口的流量被外来接入截获(中间者攻击);
2、QinQ Double Tagging导致同两层tag(内层vlan 10 外层vlan 20)的trunk模式的端口可以一直泛洪广播或者单播桢攻击vlan20的接入;解决方式就是mode access 这样就直接turn off DTP了;
VACL:在SW上,至少3550配置,对IP/MAC drop/forword
sw(config)#vlan access-map map_name [seq#]
sw(config-access-map)#match {ip address {1-199 | 1300-2699 | acl_name} | ipx address {800-999 | acl_name} | {mac address acl_name}
sw(config-access-map)#action {drop [log]} | {forword [capture]} | {redirect {type slot/port}} | {port-channel channel_id}
sw(config)#vlan filter map_name vlan_list list
Private VLANS:弥补vlan的不足,以及隔离接入互访;
1、primary VLAN
2、secondary VLAN IsolatedVLAN里的主机不能与Community vlan里的主机互访;
a、Isolated 隔离vlan 此vlan里的主机不能互访,同protect;
b、Community 社团vlan 此vlan里的主机可以互访;
端口分类:
Primary端口:对应Primary VLAN
Promiscuous 混杂端口 可同其他任何端口通信;
Host端口: 对应secondary VLAN
1、Isolated 隔离端口 只能和混杂端口通信;
2、Community 端口 能和除了Isolated端口外的其他端口通信;
实例配置:
1、首先vtp mode transparent 交换机型号最低3560;
2、定义Pri/Sec VLAN:
SW(config)#
vlan 20
name PRIM_VLAN
private-vlan primary
private-vlan association 501-502 把主vlan和sec vlan关联;不然怎么知道sec vlan属于哪个主vlan;
vlan 29
vlan 501
name COM_VLAN
private-vlan community
vlan 502
name ISO_VLAN
private-vlan isolated
3、将端口划入相应的vlan
Prim端口:
interface Ethernet0/0
switchport private-vlan mapping 20 501-502 前面20是主vlan,后面的501-502是你能够访问的sec vlan;
switchport mode private-vlan promiscuous 设置vlan的模式为主
spanning-tree portfast edge
COM端口:
interface Ethernet0/2
switchport private-vlan host-association 20 501
switchport mode private-vlan host
spanning-tree portfast edge
ISO端口:
interface Ethernet1/0
switchport private-vlan host-association 20 502
switchport mode private-vlan host
spanning-tree portfast edge

SW1(config)#do show vlan private-vlan
Primary Secondary Type Ports
——- ——— —————– ——————————————
20 501 community Et0/0, Et0/2, Et0/3
20 502 isolated Et0/0, Et1/0, Et1/1
SW1(config)#do show interfaces ether0/1 switchport
Name: Et0/1
Switchport: Enabled
Administrative Mode: private-vlan promiscuous
Operational Mode: private-vlan promiscuous
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native

Spoofing attacks:
1、DHCP Spoof Attack:报文封装 E–IP–UDP–Bootrp–DHCP–FCS
Client—————————————————–sever (AP Win2008 SW Ru)
——discovery(广播包,0.0.0.0 255.255.255.255)——->
<——Offer(IP 掩码 网关 DNS等信息)——————–
——-Request(广播包)确认地址,放弃其他server的应答—> 先到先得
<——ACK———————————————
解决方案:DHCP Snooping dhcp窥探 定义两种接口untrusted非信任,trusted信任端口,交换机一旦启用dhcp snooping 则默认所有端口均是untrusted端口;
Untrusted:收Dis,收off(但是收到off报文就执行Drop丢弃动作),从此接口不发任何的DHCP消息;
trusted:收发任何DHCP消息;接合法DHCP服务器的接口设置成合法的以及上联口合法,其他均不合法即可!
注意:DHCP 如果跨三层了,要做DHCP 中继,将广播包转为单播发送到服务器;
报文能从trust接口发送到server,但是server的接口不能回包(offer消息),路由器server必须启用命令:ip dhcp relay information trust-all (作用是回的地址在交换机上会存在相应的snooping binding表)
R3(config)#ip dhcp relay information trust-all

1、全局启用dhcp snooping
SW(config)#
ip dhcp snooping 全局启用dhcp snooping
ip dhcp snooping vlan 20-30 对对应vlan生效 两条缺一不可!
2、相应接口开启trusted,其他默认为Untrusted;
interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
interface Ethernet0/2 默认是untrusted
switchport access vlan 20
switchport mode access
interface Ethernet0/3
switchport access vlan 30
switchport mode access
ip dhcp snooping trust
SW1(config)#do show ip dhcp snooping binding 存在绑定表??实验没有??
SW1(config)#do show ip dhcp snooping
例:
interface Vlan900
ip address 192.168.100.254 255.255.255.0
ip helper-address 192.168.102.88

欢迎访问小挨踢的博客

    一名女网络工程师的独白

    毕业已经4年了,从南昌市响当当的二本院校毕业时,面临着是开发还是网络的选择,因为本人的确对代码不感兴趣,同时听过写代码老的快的传言,最终选择走向网络这条道路,很快找到了一份职务为网络工程师的工作,还是签的一家外企,拿同学开玩笑的话来说,我是因为英语过了六级才被人力从垃圾桶里捞出来的人选,好吧,就当是个笑话吧,反正每每说到这我是开心的,因为我是很相信缘分的。毕业后到岗,企业在广东东莞,一个刚大力扫黄结束不久的城市,不少地方都还挂着誓将扫黄清除到底的标语,在这个城市我开始了人生中的第一份工作,公司可算正规了,入职就开始为期近一个月的培训(如未记错的话),包括企业文化+军事化培训,那些日子虽累但是很开心,有一群志同道合的小伙伴,一起流汗一起嗨。好吧,好像跑题了,说说工作了,我的网络生涯呐,哈哈。在学校没怎么摸过设备的我,来到这么一大企业(机房都好些个),我记得好像没过久就去机房逛了逛,虽然是在同事(只有同事有门禁权限)的带领下才进去的,进去,听同事介绍交换机型号,介绍基本的拓扑结构,心里当时没啥感觉,反正后面是没记住,不过机房好冷倒是印象深刻,突然想到一个问题,是不是该分段了,不然真可以一段话写完全文了。

一段快乐的日子即将来临,何为快乐呢?就是一下班就混球场,一到周末就混商场,哈哈,羽毛球水平蹭蹭的提升起来,还机缘巧合的学会了台球,结识了不少可爱的人儿,这也许是现在我认为一点也不后悔的原因了,不觉得时间有多浪费的唯一理由了。额,一直跑题,说说工作,我的工作内容真的超级简单,前三个月就是看文档,大家都知道的,看文档最容易干的事情就是催眠,逢看必睡,比大学上高数课的睡眠质量还要好,除了看了睡,睡了忘之外,就剩下枯燥乏味了。不过相信每一个刚毕业的做的第一份工作多半都一样,都是文档堆出来的。过了6个月,终于转正了,但是技能这块应该没有提升多少,我印象深刻的另一件事就是开始做网线,568B线序的5类线,不记得做了多少根了,但是在我看来还算蛮有意义的工作了,然后就是公司用的IP电话,一到月底就要统计核对电话费用,这种统计都是通过后台来完成的,后面也交给我做了。然后就是产品报价相关表格的制作,第一次知道思科的产品都是什么个价格,真心觉得贵,好像一台二层都动则几千,公司土豪的全是思科的产品。

浑浑噩噩的过了将近两年,和刚毕业的妹子一样,工作上庸庸碌碌,心思一丁点没放在上面,

最后因为特别的原因,从第一家企业离职来到了最想来的城市-杭州 继续阅读欢迎访问小挨踢的博客