Switch安全技術解析

針對交換網路的攻擊方式主要有四種：mac層攻擊 vlan攻擊欺騙攻擊攻擊交換機裝置

1.mac位址泛洪攻擊

hack向所連線的接入層sw發大量的資料幀，幀中封裝的都是無效的源mac，這樣不斷的去刷sw的cam表，使其溢位且充斥著無用的cam條目，無法為其他主機正常**資料。

解決辦法：埠安全（port securuity），首先定義允許的mac，可以是明細的mac位址（需手動配置）或者允許的位址個數，然後定義違反以上mac位址後採取的動作，二層上關閉埠（err-disabled）或者丟棄資料幀。

為了省去挨個手動配置允許的mac位址的麻煩（在園區網中這是個重活兒～），又不想只基於mac位址個數做控制，就可以利用sticky特性，比如我就允許學習到5個，那麼學到的這5個mac位址我都記住，就這5個明細mac，別的再來也不會刷掉。

2.vlan跳躍攻擊

攻擊方式1：hack偽裝自己的網絡卡為乙個trunk協商埠，在沒有關閉dtp的情況下協商成功，hack就會獲得訪問所有vlan的渠道。

解決辦法：關閉dtp協議，手動配置trunk

攻擊方式2：hack對自己的資料幀打上雙層標籤，外面封一層native vlan，裡面封一層要訪問的vlan id,這樣在資料幀進入到直連的sw時，native vlan的標籤會被剝去（sw預設的動作），然後發出去，這樣就可以實現跨vlan的訪問。

解決辦法：1）vacl，即vlan acl，把問題放到三層上來解決 2）pvlan，私有vlan，實現的層面更低一些。

3.dhcp欺騙

hack利用dhcp軟體冒充dhcp伺服器，給園區網中的客戶分配ip位址（終端的os一般都會支援自動獲取ip），自己就成為第一道閘道器，這樣所有流量都要先經過hack再到真正的閘道器出口，hack就可以有些動作，比如竊取或破解。

解決辦法：dhcp偵聽+源保護 dhcp偵聽是將交換機的埠分為信任和不信任兩種，比如接pc的埠就是不信任的，如果從這樣的埠接受到dhcp應答就直接丟棄掉，因為dhcp server應該在信任的埠上，且只有dhcp server才該發應答訊息。

ip源保護（ipsg）在啟用後，一開始只允許dhcp資料報通過，直到分配了ip位址，會基於埠建立繫結，即這個埠下連的主機都是什麼mac位址，分配到的ip位址有哪些，然後自動在這個介面載入基於埠的vacl，一旦有來自其他ip位址的上行流量，全部過濾掉。

ipsg的具體實現上需要dhcp偵聽開啟option 82功能來區分使用者，協助建立繫結，每乙個客戶向server傳送dhcp請求時會經過我這台sw，我就打上option 82標記來區分不同的客戶，在收到server的dhcp應答（該應答會有同樣的option 82標記）時，再去掉該標記。

4.arp欺騙

arp欺騙十分普遍，就是中間人攻擊，用偽造的廣播arp響應訊息來響應arp請求，從而成為閘道器，這樣不僅可以hackin一下還能進行限速，網上流傳的p2p限速軟體都是基於這個原理。

解決辦法：動態arp檢測（dai），dai啟用的先決條件是啟用了dhcp偵聽或手動配置（其實依賴的是那些對映條目，mac-ip-port），將trunk設定為dai信任埠，使用者埠設定為dai非信任埠，若從非信任埠收到arp響應則進行排查，hack發的arp響應對映的是別人的ip和自己的mac，很明顯不會通過，sw同時也會使這個介面進入err-disabled狀態。

5.stp安全

很多hacker利用stp的特性攻擊交換網路，攻擊途徑是以主機或者交換機參與bpdu傳遞和根橋選舉，破環原有的stp網路拓撲，所以重點防禦區域是在接入層，同時我們也要注意由於物理故障導致的stp環路。

1.bpdu guard 在port fast上啟用，如果從該埠收到bpdu，埠立即進入err-disabled狀態，並設定計時器，超時後恢復。

2.bpdu filtering 在port fast上啟用，從該介面收到的bpdu全部丟棄，針對port fast埠就上述這兩種技術，相較之下guard 比filtering 更為堅決一些。

3.root guard 根防禦，不允許新接入的sw的埠成為根埠，只能是指定埠，這項技術是防止新添的sw成為根橋，破壞原有的拓撲。

4.loop guard 環防禦，硬性規定即使不收到對方的bpdu，也不能開啟blk口，要注意的是開啟了loop guard的埠不能開啟root guard。

loop guard 保證root 埠和blk埠從指定埠那裡接收bpdu，如果有埠停止接收了，就會將該埠置為「loop-inconsistent blocking「狀態。

5.udld 單邊鏈路檢測，多用於光纖鏈路，鏈路裡的線可以簡化成兩根，一根發訊號，一根收訊號，啟用udld後，sw會自己檢測鏈路，週期性發訊號看時候能返回，發現不能返回就shutdown掉，udld和loop guard啟用一種就可以了。

6.三種認證

aaa認證： aaa server就是在伺服器上裝個aaa軟體，實現認證，授權和審計，支援的協議有radius和tacacs+，這兩種方式需要sw連線相應的radius server和tacacs+ server，通過server中的資料庫對使用者進行認證，另外的兩種方式是no authentication（就是沒有認證）和local database（不借助於server，自己在sw上建立資料庫，認證工作在sw上完成）。

802.1x認證：主機通過sw訪問網路要求先通過認證，專業的講，802.1x只允許eapol（lan上的可擴充套件驗證協議）資訊流通過埠，若沒能通過就只是物理層上的連線，鏈路層上是關閉的，同樣，802.1x也需要radius server的介入來實現。

pppoe認證： pppoe和802.1x差不多，實現上有一些區別，802.1x是在乙太網上封裝ip報文，所以認證是在乙太網層面完成的，pppoe是在乙太網上封裝ppp再封裝一層ip，所以認證是在ppp層面完成的，利用的是ppp的認證功能。

Switch安全技術解析

八大 IoT 安全關鍵技術解析

軟體安全技術

資訊保安技術

Switch安全技術解析

八大 IoT 安全關鍵技術解析

軟體安全技術

資訊保安技術

相關推薦