今天给大家讲讲以太网交换机的安全功能。交换机作为局域网中最常见的设备,面临着重大的安全威胁。其中一些威胁是针对交换机管理中的漏洞,攻击者试图控制交换机。有些是针对交换机的功能,攻击者试图破坏交换机的正常运行,从而达到破坏甚至窃取数据的目的。针对交换机的攻击主要分为以下几类:交换机配置/管理攻击MAC泛洪攻击DHCP欺骗攻击MAC和IP欺骗攻击ARP欺骗VLAN跳跃攻击STP攻击VTP攻击交换机访问安全为了防止交换机被攻击者检测或控制,基本必须在交换机上配置安全性:使用合格密码使用ACL,限制管理访问配置系统警告禁用不需要的服务关闭CDP启用系统日志使用SSH而不是Telnet关闭SNMP或使用SNMPV3交换机端口安全交换机相关性MAC地址表转发数据帧。如果MAC地址不存在,交换机会将帧转发到交换机上的每个端口(泛洪)。但是,MAC地址表的大小是有限的。MAC泛洪攻击利用此限制用伪造的源MAC地址轰炸交换机,直到交换机MAC地址表变满。然后,交换机进入一种称为“故障开放”的模式,并开始像集线器一样工作,向网络上的所有机器广播数据包。因此,攻击者可以看到发送到另一台没有MAC地址表条目的主机的所有帧。为防止MACFlooding攻击,可以配置端口安全特性,限制端口允许的有效MAC地址数量,并定义端口在受到攻击时的动作:关闭、保护和限制。DHCPSnooping当交换机启用DHCP-Snooping时,它会侦听DHCP数据包,并可以从收到的DHCPRequest或DHCPAck数据包中提取并记录IP地址和MAC地址信息。此外,DHCP-Snooping允许将物理端口设置为信任端口或不信任端口。信任端口可以正常接收和转发DHCPOffer报文,而非信任端口则丢弃收到的DHCPOffer报文。这样就可以完成交换机对假DHCPServer的屏蔽作用,保证客户端从合法的DHCPServer获取IP地址。dhcp-snooping的主要作用是通过配置不信任端口来隔离非法的dhcp服务器。配合交换机DAI,防止ARP病毒传播。建立并维护一个dhcp-snooping绑定表。这个表一是通过dhcpack包中的ip和mac地址生成,二是可以手动指定。这个表是后续DAI(dynamicarpinspect)和IPSourceGuard的基础。这两种类似的技术就是通过这个表来判断ip或者mac地址是否合法来限制用户连接网络。通过建立信任端口和非信任端口隔离非法DHCP服务器。受信任的端口通常转发DHCP数据包。非信任端口接收来自服务器的DHCPoffer和DHCPACK响应,并丢弃数据包而不是转发它们。DAI动态ARP检测(DynamicARPInspection,DAI)可以防止ARP欺骗,它可以帮助确保接入交换机只传输“合法”的ARP请求和响应信息。DAI基于DHCPSnooping工作。DHCPSnooping监听绑定表,包括IP地址和MAC地址的绑定信息,并将其关联到特定的交换机端口。动态ARP检测(DAI-DynamicARPInspection)可以用来检查非信任端口的所有ARP请求和响应(主动ARP和非主动ARP),确保响应来自真正的MAC拥有者。交换机通过检查端口上记录的DHCP绑定信息和ARP回复的IP地址来判断自己是否是真正的MAC拥有者。非法ARP包将被拒绝转发。DAI是为VLAN配置的。对于同一VLAN中的接口,可以启用或禁用DAI。如果ARP数据包是从可信接口收到的,则不需要检查;如果ARP数据包是从一个不受信任的接口在Internet上接收到的,只有证明绑定信息是合法的,这个数据包才会被转发。这样,DHCPSnooping就成为DAI必不可少的。DAI是动态使用的,连接的客户端主机不需要做任何配置更改。对于不使用DHCP的服务器,可以通过静态添加DHCP绑定表或ARPaccess-list的方式在个别机器上实现。此外,还可以通过DAI控制某个端口的ARP请求报文的频率。一旦ARP请求频率超过预设阈值,立即关闭端口。该功能可以防止使用网络扫描工具,也可以阻挡病毒或具有大量ARP包特征的攻击。
