日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
超詳細!以太網(wǎng)交換機安全功能介紹

今天來給大家講講以太網(wǎng)交換機安全功能介紹。

網(wǎng)站建設(shè)哪家好,找成都創(chuàng)新互聯(lián)公司!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、成都微信小程序、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了溫泉免費建站歡迎大家使用!

交換機作為局域網(wǎng)中最常見的設(shè)備,在安全上面臨著重大威脅,這些威脅有的是針對交換機管理上的漏洞,攻擊者試圖控制交換機。有的針對的是交換機的功能,攻擊者試圖擾亂交換機的正常工作,從而達到破壞甚至竊取數(shù)據(jù)的目的。

針對交換機的攻擊主要有以下幾類:

  • 交換機配置/管理的攻擊
  • MAC泛洪攻擊
  • DHCP欺騙攻擊
  • MAC和IP欺騙攻擊
  • ARP欺騙
  • VLAN跳躍攻擊
  • STP攻擊
  • VTP攻擊

交換機的訪問安全

為了防止交換機被攻擊者探測或控制,必須在交換機上配置基本的安全:

  • 使用合格的密碼
  • 使用ACL,限制管理訪問
  • 配置系統(tǒng)警告用語
  • 禁用不需要的服務(wù)
  • 關(guān)閉CDP
  • 啟用系統(tǒng)日志
  • 使用SSH替代Telnet
  • 關(guān)閉SNMP或使用SNMP V3

交換機的端口安全

交換機依賴MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)幀,如果MAC地址不存在,則交換機將幀轉(zhuǎn)發(fā)到交換機上的每一個端口(泛洪),然而MAC地址表的大小是有限的。

MAC泛洪攻擊利用這一限制用虛假源MAC地址轟炸交換機,直到交換機MAC地址表變滿。交換機隨后進入稱為 “失效開放” (Fail-open)的模式,開始像集線器一樣工作,將數(shù)據(jù)包廣播到網(wǎng)絡(luò)上的所有機器。

因此,攻擊者可看到發(fā)送到無MAC地址表條目的另一臺主機的所有幀。要防止MAC泛洪攻擊,可以配置端口安全特性,限制端口上所允許的有效MAC地址的數(shù)量,并定義攻擊發(fā)生時端口的動作:關(guān)閉、保護、限制。

DHCP Snooping

當(dāng)交換機開啟了 DHCP-Snooping后,會對DHCP報文進行偵聽,并可以從接收到的DHCP Request或DHCP Ack報文中提取并記錄IP地址和MAC地址信息。

另外,DHCP-Snooping允許將某個物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報文,而不信任端口會將接收到的DHCP Offer報文丟棄。

這樣,可以完成交換機對假冒DHCP Server的屏蔽作用,確??蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。

  • dhcp-snooping的主要作用就是隔絕非法的dhcp server,通過配置非信任端口。
  • 與交換機DAI的配合,防止ARP病毒的傳播。
  • 建立和維護一張dhcp-snooping的綁定表,這張表一是通過dhcp ack包中的ip和mac地址生成的,二是可以手工指定。這張表是后續(xù)DAI(dynamic arp inspect)和IPSource Guard 基礎(chǔ)。這兩種類似的技術(shù),是通過這張表來判定ip或者mac地址是否合法,來限制用戶連接到網(wǎng)絡(luò)的。
  • 通過建立信任端口和非信任端口,對非法DHCP服務(wù)器進行隔離,信任端口正常轉(zhuǎn)發(fā)DHCP數(shù)據(jù)包,非信任端口收到的服務(wù)器響應(yīng)的DHCP offer和DHCPACK后,做丟包處理,不進行轉(zhuǎn)發(fā)。

DAI

動態(tài)ARP檢查(Dynamic ARP Inspection, DAI)可以防止ARP欺騙,它可以幫助保證接入交換機只傳遞“合法的"ARP請求和應(yīng)答信息。

DAI基于DHCP Snooping來工作,DHCP Snooping監(jiān)聽綁定表,包括IP地址與MAC地址的綁定信息,并將其與特定的交換機端口相關(guān)聯(lián),動態(tài)ARP檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任端口的ARP請求和應(yīng)答(主動式ARP和非主動式ARP) ,確保應(yīng)答來自真正的MAC所有者。

交換機通過檢查端口紀錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定其是否是真正的MAC所有者,不合法的ARP包將被拒絕轉(zhuǎn)發(fā)。

DAI針對VLAN配置,對于同一VLAN內(nèi)的接口,可以開啟DAI也可以關(guān)閉,如果ARP包是從一個可信任的接口接受到的,就不需要做任何檢查;

如果ARP包是從一個不可信任的接口上接收到的,該包就只能在綁定信息被證明合法的情況下才會被轉(zhuǎn)發(fā)出去。這樣,,DHCP Snooping 對于DAI來說也成為必不可少的。

DAI是動態(tài)使用的,相連的客戶端主機不需要進行任何設(shè)置上的改變。對于沒有使用DHCP的服務(wù)器,個別機器可以采用靜態(tài)添加DHCP綁定表或ARP access-list的方法實現(xiàn)。

另外,通過DAI可以控制某個端口的ARP請求報文頻率。一旦ARP請求頻率超過預(yù)先設(shè)定的閾值,立即關(guān)閉該端口。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用,同時對有大量ARP報文特征的病毒或攻擊也可以起到阻斷作用。


當(dāng)前標(biāo)題:超詳細!以太網(wǎng)交換機安全功能介紹
文章轉(zhuǎn)載:http://www.5511xx.com/article/cdcpsep.html