Switch&Router_第14课-端口安 全

第6章交换机端口安全学习目标：了解网络安全隐患掌握交换机端口安全技术大量的攻击工具随手拾来攻击工具更加“人性化”导致的结果：人人都可以说：核心层汇聚层核心设备攻击应用层攻击应用服务器群网络层攻击网络层攻击网络层攻击数据链路层攻击数据链路层攻击数据链路层攻击接入层非法ARP请求、DHCP请求、非法访问交换机需要防范攻击，保证全网安全每秒钟一万个MAC攻击、IP扫描、DoS/DDoS攻击网络攻击对各网络层次的影响FF.FF.FF.FF.FF.FF广播MAC地址00.d0.f8.00.07.3c前3个字节：IEEE分配给网络设备制造厂商的后3个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备MAC地址：链路层唯一标识接入交换机MACPortA1B2C3MAC地址表：空间有限MAC攻击MAC攻击攻击：交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部MAC地址表，使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个Hub，用户的信息传输也没有安全保障了交换机PCAMACAPCBMACBPCCMACCMACPortA1X2Y3交换机内部的MAC地址表空间很快被不存在的源MAC地址占满。没有空间学习合法的MACB，MACC单播流量在交换机内部以广播包方式在所有端口转发，非法者也能接受到这些报文MAC攻击：每秒发送成千上万个随机源MAC的报文MAC攻击交换机攻击者当端口学习的源MAC地址数量1个或源MAC地址和端口绑定的不一样，受到的数据帧丢弃/发送警告信息通知网管员/端口可关闭MAC攻击MAC攻击防范：利用交换机端口安全功能下的MAC动态地址锁/端口静态绑定MAC，来限定交换机某个端口上可以学习的源MAC数量或源MAC地址，当该端口学习的MAC数量超过限定数量时，交换机将产生违例动作。DHCP攻击：恶意用户通过更换MAC地址的方式向DHCPServer发送大量的DHCP请求，以消耗DHCPServer可分配的IP地址为目的，使得合法用户的IP请求无法实现DHCP攻击DHCP攻击DHCPServerPCClientDHCP攻击之一：恶意DHCP请求攻击者不断变化MAC地址DenialofServiceIPPool被耗尽DHCPDiscover(广播包)XDHCP可以分配的IP数量DHCPOffer(单播包)XDHCP可以分配的IP数量DHCPRequest(广播包)XDHCP可以分配的IP数量DHCPACK(单播包)XDHCP可以分配的IP数量防范：利用交换机端口安全功能：MAC动态地址锁和端口静态绑定MAC，来限定交换机某个端口上可以访问网络的MAC地址，从而控制：那些通过变化MAC地址来恶意请求不同IP地址和消耗IP资源的DHCP攻击。当交换机一个端口的MAC地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的MAC安全地址的包时，交换机则采取措施DHCP攻击MAC欺骗：盗用合法用户的MAC地址，侵入网络，使得正常用户无法上网；IP欺骗：•盗用合法用户的IP地址，使得到合法用户的通讯得不到响应，造成Pingofdeath，和ICMP不可达风暴•不断修改IP，发送TCPSYN连接，攻击Server，造成SYNFloodIP/MAC欺骗攻击IP/MAC欺骗攻击1、使用静态ARP缓存（应急办法）用arp-s命令在各主机上绑定网关的IP和MAC地址，同时在网关上绑定各主机的IP和MAC地址的方法。如果是WIN主机可编写一个批处理文件rarp.bat内容如下：（其中192.168.16.25400-22-aa-00-22-aa是网关的IP和MAC地址）@echooffarp-darp-s192.168.16.25400-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。IP/MAC欺骗攻击交换机防范：交换机端口安全：端口静态绑定，检查IP报文中源IP和源MAC是否和交换机中管理员设定的是否一致，不一致，报文丢弃，并发送告警信息192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB以PCB的地址192.168.10.2和MACB发送报文PCB用MACB发送报文以IP地址为PCB的192.168.10.2发送报文端口安全绑定，禁止非法报文通过攻击者：发送ARP欺骗IP/MAC欺骗攻击交换机端口安全功能利用交换机的端口安全功能，可以防止局域网内部攻击对用户、网络设备造成的破坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能1、限制交换机端口的最大连接数限制端口连接数，可以控制网络的恶意扩展和接入例：在学校宿舍网内限制端口最大连接数为1，可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。2、端口的安全地址绑定端口地址绑定，可以解决局域网中IP地址冲突、ARP欺骗等问题，指定连接网络的设备例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。交换机端口安全内容如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后;如果该端口收到一个源地址，不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例产生时，可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址的包（不是该端口的安全地址中的任何一个）。RestrictTrap：当违例产生时，将发送一个Trap通知。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。配置安全端口（1）配置端口安全最大连接数switchportport-security！打开该接口的端口安全功能switchportport-securitymaximumvalue！设置接口上安全地址的最大个数，范围是1－128，缺省值为128switchportport-securityviolation{protect|restrict|shutdown}！设置处理违例的方式注：1、端口安全功能只能在access端口上进行配置。2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。配置安全端口（2）端口的安全地址绑定switchportport-security！打开该接口的端口安全功能switchportport-security[mac-addressmac-address][ip-addressip-address]！手工配置接口上的安全地址注：1、端口安全功能只能在access端口上进行配置。2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP端口安全配置示例（3）配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，违例方式为protect。Switch#configureterminalSwitch(config)#interfacefa1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end端口安全配置示例（4）配置接口fastethernet0/3端口安全功能，端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.12.202Switch(config-if)#end验证命令（5）查看接口的安全统计信息，最大安全地址数，当前安全地址数，违例处理方式等。Switch#showport-securitySecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction---------------------------------------------------------------Gi1/381Protect验证命令（6）查看安全地址信息。Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)---------------------------------------------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredFa0/381课程回顾网络安全隐患常见网络攻击方法交换机端口安全功能交换机端口安全配置方法