Layer 2 Security
chenshowq 的那个贴子引出了网络安全的一些问题,现在贴上我BLOG里的一篇文字,希望能得到各位的指点,一向懒得文字,所以写得很简单,凑合着看吧。另外还有一些,等空了写出来再交流。
1、 VLAN HOPPINT ATTACKS
A、SENT MESSAGE使ACCESS PORT 变为TRUNK ,非法的VLAN流量可以通过。
B、封装两层801.1HERDER如分别问VLAN1、VLAN2,SWITCH收到该报文检查到VLAN1 TAG,将其去除转发到TRUNK,下一个SWITCH收到报文检查到VLAN2 TAG,将其除去HERDER 后转发到VLAN2 PORT(ACCESS)的HOST上,实现VLAN1的流量被劫持到VLAN2上,该过程不可逆,但仍存在危险。
防范措施:
1、 修改native vlan ,使其不为1
2、 不用的PORT全部SHUTDOWN,并将其划入一不使用的VLAN,如VLAN3000。
3、 不使用VLAN1。
4、 DTP OFF。
5、 TRUNK PORT上只传送需要传送的VLAN,不要用ALL。
6、 NATIVE VLAN TAG ENABLE.
2、 MAC ATTACKS
攻击原理:CAM TABLE OVERFLOW,后续的请求将会FLOOD,ATTACKER 可以通过sniffer截取到报文。
防范:
限制端口可以学习的MAC数量,对于SERVER,可以用静态绑定。
SWITCH:PORT SECURITY ENABLE
Switch(config-if)switchport port-security
Switch(config-if)switchport port-security villation {protect | restrict |shutdown}
Switch(config-if)switchport port-security maximum xx
Switch(config-if)switchport port-security aging time 2
Switch(config-if)switchport port-security aging type inactivity
3、 DHCP ATTACKS
PC—————————SWITCH————————DHCP SERVER
DHCP DISCOVER(BROADCAST)
————————————————————————————→
DHCP OFFER (UNICAST)
←————————————————————————————
DHCP REQUEST (BROADCAST)
————————————————————————————→
DHCP ACK (UNICAST)
←————————————————————————————
注:DHCP PACKET中有一字段client Hardware Address,DHCP OFFER根据其(而非SOURCE MAC)来发送报文,易被攻击者使用。
DHCP STARVATION ATTACK:攻击者不断发送DHCP REQUEST,将合法的DHCP IP耗尽,之后ROUGUE DHCP SERVER ATTACK:非法的DHCP SERVER将接替工作,为CLIENT分配WRONG IP 、WRONG GATEWAY(流量转移,SNIFFER)、WRONG DNS IP(指向假冒爷面……)等。
防范:
① DHCP STARVATION ATTACK------PORT SECURITY
② REGUE DHCP SERVER ATTACK ---DHCP SNOOPING
switch(config)#ip dhcp snooping
switch(config)#ip dhcp snooping vlan 4,10
switch(config)#no ip dhcp snooping information option
switch(config-if)#ip dhcp snooping trust switch对每个DHCP请求的IP和MAC对应关系记录在DHCPSNOOPING BINDING TABLE中,该表可通过TFTP保存到SERVER上,SWITCH重启后克倒回。
③ 使用ACL(DHCP PORT为68),禁止非法的DHCP SERVER。
4、 ARP ATTACKS
TOOLS:EFFERCAP、DSNIFF
防范:
Dynamic ARP inspection enable(FEATRUE),SWITCH对ARP PACKET 的内容检查。
前提:SWITCH 已经ENABLE DHCP SNOOPING,与DHCP SNOOPING BINDING TABLE中的IP---MAC 比对检查。
5、 SPOOFING ATTACKS
包括:MAC SPOOFING———伪造SOURCE MAC
IP SPOOFING——PING OF DTATH、ICMP UNREACHLABLE STORM、SYN FLOOD
SPOOFING IP 防范:①ACL -----防止本网络IP 成为被他人利用者
②反向路径检查:IP SOURCE GUARD(FEATURE)
switch(config-if)#ip verify source
6、 SPANNING TREE ATTACKS
SENT BPDUMESSAGE TO BECOME A ROOT BRIDGE
防范:BPDU GUARD ENABLE
switch(config)#spanning-tree portfast bpduguard
switch(config)#spanning-tree guard root (or rootguard)
7、 CDP
对内ENABLE,对外DISBLE
no cdp run
switch(config-if)no cdp enable
