为什么要关注交换机安全???纵轴:网络设备(防火墙,路由器,交换机)横轴:网络模型(边界和DMZ,核心和分布层,接入层)这个图主要是说防火墙,路由器,交换机一般都放在边界或者DMZ,核心层和分布层,以及接入层;在这些设备中,为什么交换机最缺乏安全性?第一,防火墙或者路由器一般都放在核心机房,最大程度保证核心机房的物理安全(非管理人员一般不能进出核心机房)。容易接入接入层交换机)交换机层面可能涉及的攻击形式及防御措施:针对这么多的攻击形式,我们大致可以分为四类:MAC层攻击VLAN攻击欺骗攻击交换机设备攻击1.VLANhoppingattackutilizationTrunkorDoubleTag(native)从其他VLAN实现信息嗅探或攻击反制:将空闲端口设置为access模式(trunkoff),甚至shutdown;修改NativeVLAN,避免与ActiveVLAN相同。2.STP欺骗攻击通过伪造错误的BPDU消息影响生成树拓扑对策:(1)在连接主机或路由器的接口(access)上配置bpduguard。此类接口不应接收BPDU。设置为错误禁用状态。接口下的spanning-treebpduguardenable(2)或者在上面的接口上配置RootGuard,这种接口可以接收BPDU,但是如果是更好的BPDU,接口会被设置为errordisable状态,避免rootbridgechange.spanning-treeguardrootundertheinterface3.MACspoofingattackstealingotherMACaddressforgeryattack,orillegalaccesstonetworktostealinformation对策:端口安全,设置一个物理端口允许的合法MAC地址,以及sendtrafficsentbytheillegalMACaddress丢弃,甚至err-disable接口静态添加CAM表项(MAC与端口,VLAN绑定关系)4.CAM/MACflood攻击不断伪造MAC地址发包,提示交换机CAM表短时间内被删除垃圾MAC地址泛洪,真正的MAC被挤出,已知单播变成未知单播,强制泛洪,导致数据被嗅探。对策:端口安全,限制端口最大MAC地址学习数。5.DHCP服务器欺骗攻击通过非法的DHCP服务器为客户分配地址,通过发布虚假网关地址将客户流量引导至“中间人”。实施信息嗅探。对策:在三层交换机上配置DHCPSnooping,监听DHCP报文,拦截来自非法DHCP服务器的地址分配报文。6.DHCPstarvation(地址池耗尽)不断更改MAC地址,伪造DHCP请求报文,短时间内耗尽DHCP服务器地址池中的地址,导致合法用户无法获得IP地址。对策:同样利用端口安全技术限制一个端口最多可以学习到的MAC地址数,防止攻击者通过修改MAC地址伪造DHCP请求报文。在不改变MAC,只改变CHADDR的情况下,在启用DHCPSnooping技术的交换机上配置DHCP限速,设置满足常规地址获取要求的频率阈值,对尝试的端口进行阻塞隔离超出则异常获取地址。7、ARP欺骗释放虚假的ARP回复信息,将客户信息导向“中间人”,从而实现数据嗅探。对策:结合DHCPSnooping技术记录的合法地址绑定表(通常通过DHCP获取的地址在表中),使用动态ARP检测(DAI)技术判断ARP回复内容是否合法,检查并丢弃非法ARP回复信息。静态添加ARP与IP的关联表(无需ARP请求)8、IP地址欺骗、窃取IP地址、非法访问网络或冒充他人发送攻击流量对策:结合DHCP记录的合法地址绑定表Snooping,使用IPSourceGuard技术,判断IP地址是否合法,检查并丢弃非法IP流量。使用基于接口的ACL仅允许相关接口上的合法IP地址流量(拒绝非法IP)。9、拦截攻击交换机设备自身的CDP(明文)报文,获取交换机管理地址,然后进行密码暴力破解;拦截TelnetMessage(明文),嗅探密码。获得交换机的管理权限后,就可以为所欲为了。对策:在不需要的接口上禁用CDP消息。重要设备尽量不要使用Telnet协议,而是使用SSH协议加密传输登录管理设备。由于SSHv1存在众所周知的安全漏洞,因此建议使用v2。
