?
快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

和記h188怡情慱娛:深入分析配置 杜絕交換機免受惡意攻擊

?

與路由器不合,互換機的安然要挾主要來自局域網內部。出于蒙昧、好奇,以致是惡意,某些局域網用戶會對互換機進行進擊。不管他們的念頭是什么,這都是治理和記h188怡情慱娛員們不愿看到的。為此,除了在規定、軌制長進行規范外,治理員們要從技巧上做好支配,讓進擊者無功而返。本文以Cisco互換機的安然支配為例,和大年夜家分享自己的履歷。

1、細節設置,確保互換機接入安然

(1).設置設置設備擺設擺設加密密碼

盡可能應用Enable Secret特權加密密碼,而不應用Enable Password創建的密碼。

(2).禁用不需要或不安然的辦事

在互換機上尤其是三層互換機上,不合的廠商默認開啟了不合的辦事、特點以及協議。為前進安然,應只開啟必須的部分,多余的任何器械都可能成為安然破綻。可結合實際需求,打開某些需要的辦事或是關閉一些不需要的辦事。下面這些辦事平日我們可以直接將其禁用。

禁用Http Server

no ip http server

禁用IP源路和記h188怡情慱娛由,防止路由詐騙

no ip source route

禁用Finger辦事

no service finger

禁用Config辦事

no service config

禁用Hootp辦事

no iP hootp server

禁用小的UDP辦事

no service udp-small-s

禁用小的TCP辦事

no service tcp-small-s

(3).節制臺和虛擬終真個安然支配

在節制臺上應用與虛擬終端(Vty)線路上設置設置設備擺設擺設認證,別的,還必要對Vty線路應用簡

單的造訪節制列表。

Switch(config)#access-list 1 permit 192.168.1.1

Switch(config)#line vty 0 4

Switch(config-line)#access-class 1 in

(4).用SSH代替Telnet

Telnet是治理員們連接至互換機的主要通道,然則在Telnet會話中輸入的每個字節都將會被明文發送,這可以被類似Sniffer這樣的軟件嗅探獲取用戶名、密碼等敏感信息。是以,應用安然機能更高的SSH強加密無疑比應用Telnet加倍安然。

Switch(config)#hostname test-ssh

test-ssh(config)#ip domain-name net.ctocio.com

test-ssh(config)#username test password 0 test

test-ssh(config)#line vty 0 4

test-ssh(config-line)#login local

test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com

test-ssh(config)#ip ssh time-out 180

test-ssh(config)#ip ssh authentication-retries 5

簡單闡明,經由過程上述設置設置設備擺設擺設將互換機命名為test-ssh,域名為net.ctocio.com,創建了一個命名test密碼為test的用戶,設置ssh的關鍵字名為test-ssh.net.ctocio.com,ssh超時為180秒,最大年夜連接次數為5次。

(5).禁用所有未用的端口

關于這一點,筆者見過一個案例:某單位有某員工“不小心” 將互換機兩個端口用網線直接連接,(范例的用戶蒙昧行徑),于是全部互換機的設置設置設備擺設擺設數據被清除了。在此,筆者強烈建議廣大年夜同仁必然要將未應用的端口ShutDown掉落。并且,此措施也能在必然程度上警備惡意用戶連接此端口并協商中繼模式。

(6).確保STP的安然

保護天生樹協議,主如果警備其他分公司在新加入一臺互換機時,因各單位收集治理員不必然清楚完備的收集拓撲,設置設置設備擺設擺設差錯使得新互換機成為根網橋,帶來意外的BPDU。是以,必要核心治理員啟用根防護與BPDU防護。

默認環境下互換機端口禁用根防護,要啟用它必要應用以下敕令:

Switch(config)#spanning-tree guard root

默認環境下,互換機端口也禁用BPDU防護。啟用它需應用下列敕令:

Switch(config)#Spanning-tree Portfast bpduguard default

假如要在所有端口上啟用BPDU防護,可應用下面的敕令:

Switch(config)#Spanning-tree Portfast bpduguard enable

2、ACL設置設置設備擺設擺設,確保互換機VLAN安然

大年夜家知道,ACL是一張規則表,互換機按照順序履行這些規則,并且處置懲罰每一個進入端口的數據包。每條規則根據數據包的屬性(如源地址、目的地址和協議)要么“容許”, 要么“回絕” 數據包經由過程。造訪列表能夠對經由過程互換機的數據流進行節制。ACL經由過程對收集資本進行

造訪輸入和輸出節制,確保收集設備不被不法造訪或被用作進擊跳板。

設置設置設備擺設擺設VLAN Access Map

Switch(config)#vlan access-map test1

//定義一個vlan accessmap,取名為test1

Switch(config-vlan-access)#match 和記h188怡情慱娛ip address 101

//設置匹配規則為acl 101

Switch(config-vlan-access)#action forward

//匹配后,設置數據流轉發(forward)

Switch(config)#vlan access-map test2

//定義一個vlan accessmap,取名為test2

Switch(config-vlan-access)#match ip address 102

//設置匹配規則為acl 102

Switch(config-vlan-access)#action forward

//匹配后,設置數據流轉發(forward)

利用VACL

Switch(config)#vlan filter test1 vlan-list 10

//將上面設置設置設備擺設擺設的test1利用到vlanl0中

Switch(config)#vlan filter test2 vlan-list 20

//將上面設置設置設備擺設擺設的test2利用到vlan20中

設置設置設備擺設擺設私有VL和記h188怡情慱娛AN

定義幫助VLAN10、20、30

Switch(config)#vlan 10

Switch(config-vlan)#private vlan community

定義主VLANIO0并與所有幫助VLAN建立關系

Switch(config)#vlan 100

Switch(config-vlan)#private vlan community

Switch(config-vlan)#private vlan association 10,20,30

定義端口在私有VLAN 中的模式為主機(Host)或混雜(Promiscuous),并設置設置設備擺設擺設關聯或映射

Switch(config-if)#switchport mode private host

Switch(config-if)#switchport mode private host-association 100 30

3、深入設置設置設備擺設擺設,確保互換機免受惡意進擊

(1).防動態中繼協議DTP進擊

互換機經由過程互換DTP協議,動態協商中繼鏈路的用法和封裝模式。然而,假如互換機中繼端口模式為Auto,它將等待處于模式Auto或On的另一臺互換機的哀求建立連接。這時,假如惡意用戶使用DTP考試測驗同互換機端口協商建立中繼鏈路,進擊者將可以捕獲任何經由過程該VLAN的數據流。

警備措施是:將任何連接到用戶的端口設置設置設備擺設擺設為Access模式,從而使它不能以Auto模式應用DTP。必要應用的敕令為:

Switch(config-if)#switchport mode access

(2).警備VLAN超過式進擊

在這種進擊措施中,進擊者位于通俗VLAN,發送被雙重標記的幀,就像應用和記h188怡情慱娛的是802.1q中繼鏈路。當然,進擊者連接的并非中繼線路,他經由過程捏造中繼封裝,詐騙互換機將幀轉發到另一個VLAN中,實現VLAN超過式進擊,從而在數據鏈路層就可不法造訪另一VLAN。

警備措施是:首先,改動本征VLAN ID并在中繼鏈路兩端將本征VLAN修剪掉落敕令為:

Switch(config-if)#switchport trunk native vlan 200

Switch(config-if)#switchport trunk allowed vlan remove 200

然后,強制所有的中繼鏈路給本征VLAN加標記,敕令為:

Switch(config)#vlan dotlq tagnative

(3).警備DHCP詐騙進擊

DHCP詐騙的道理可以簡述為,進擊者在某謀略機上運行捏造的DHCP辦事器,當客戶廣播DHCP哀求時,捏造辦事器將發送自己的DHCP應答,將其IP地址作為默認網關客戶收到該應答后,前往子網外的數據分組首先顛末偽網關。假如進擊者夠智慧,他將轉發

該數據分組到精確的地址,但同時他也捕獲到了這些分組。只管客戶信息泄露了,但他卻對此毫無所知。

警備措施是:在互換機上啟用DHCP探測。首先,在互換機的全局模式下啟用DHCP探測,其敕令為:

Switch(config)#ip dhcp snooping

接下來,指定要探測的VLAN,敕令為:

Switch(config)#ip dhcp snooping vlan 2

然后,將DHCP辦事器所在端口設置為相信端口,敕令為:

Switch(config-if)#ip dhcp snooping trust

著末,限定其他弗成信端口的DHCP分組速度,敕令為:

Switch(config-if)#ip dhcp snooping limit rate rate

(4).警備ARP詐騙進擊

ARP地址詐騙類病毒是一類特殊的病毒,該病毒一樣平常屬于木馬病毒,不具備主動傳

播的特點,不會自我復制。然則因為其發生發火的時刻會向全網發送捏造的ARP數據包,滋擾全網的運行,是以它的迫害比一些蠕蟲還要嚴重得多。著實, 我們只必要在互換機上綁定MAc地址,就能讓ARP病毒無用武之地。

首先,在互換機上啟用端口安然,敕令為:

Switch(config-if)#switchport port-security

然后,指定容許的MAC地址,以便容許合法的MAC地址造訪,敕令為:

Switch(config-if)#switchport port-security mac-address 000A.E698.84B7

當然,上述操作是靜態指定地址,對照麻煩。我們也可以動畫獲悉MAC,然后在端口上限定最大年夜容許進修的MAC數目,敕令為:

Switch(config-if)#switchport port-security 24

然后定義假如MAC地址違規則采取如何的步伐,敕令為:

Switch(config-if)#switchport port-security vislation shutdown

此中shutdown是關閉,restrrict是丟棄并記錄、警報,protect是丟棄但不記錄。

以上便是有關杜絕互換機的進擊的技巧細節。信托確保互換機這三個方面的安然設置,并共同響應的規章、軌制,就必然能夠包管互換機的安然。

免責聲明:以上內容源自網絡,版權歸原作者所有,如有侵犯您的原創版權請告知,我們將盡快刪除相關內容。

您可能還會對下面的文章感興趣:

浙江体彩20选5开奖号 金呈配资 江苏快3首页 股票为什么会涨跌 吉林11选5选五走势 甘肃十一选五走势图 申穆出资 杭州哈灵麻将一元群 甘肃省快3今日开奖 私募基金配资比例 浙江十一选五分布走势图一定牛 广东36选7开奖结果查询今天 四人麻将真人 射击类单机游戏电脑 3d丽人杀码今天 四川12快乐 10万理财一年多少收益