|
|
|
联系客服020-83701501

网络安全之LAYER2 Security

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Internet安全之LAYER2 Security

基于TCP/IP参考模型的通讯数据封装,层与层之间有着密不可分的关系,假如不有底层为高层利用提供效能,那末高层效能也就无奈腐烂完成?对于Internet安全来讲这个事理异样适用,假如最底层的安全都不有做到,更何谈高层安全?物理层安全要保证配备实体不克不及受到近间隔的犯科访问或粉碎?配备供电琐细安全?物理途程安全等?在最基本的物理安全上得到保证后,我们旧日说下2层变迁安全[数据链路层]?这里我们以CISCO对变迁所授予的安全特性做论述?

MAC泛洪冲击

变迁机对报文中断2层识别转发并记实其源MAC所在到CAM表?但是CAM表只能记实特定个数的MAC 所在,当MAC所在数超个这个限定,变迁机将不克不及在继续进修到新的MAC,除非某些条款老化并在CAM表中失踪?当CAM表满载的时辰,变迁机对于扫数未知单播?组播?广播包,变迁机都将中断泛洪,发送到扫数的接口?

CISCO的端口安全技能之port-security不单能够限定接口能够进修的MAC所在数,还能够把持粘性进修[Sticky]技能或手工绑定接口对应的MAC,以此用来加强端口安全,当触发了端口安全内容,将中断相应的口头?

配置饬令

wildlee(config-if)#Switchport port-security

启用端口安全

wildlee(config-if)#Switchport port-security maximum value

设置该接口上应允接入的最大MAC所在数量,默以为一

wildlee(config-if)#Switchport port-security violation {protect|restrict|shutdown}

当未经应允的MAC颠末接口,此接口的举动口头

wildlee(config-if)#Switchport port-security mac-address mac_address

手工指定该接口上应允颠末的MAC所在

wildlee(config-if)#Switchport port-security mac-address sticky

启用端口粘性MAC所在进修

wildlee(config-if)#Switchport port-security [aging time aging_time | type {absolute | inactivity}

设置接口对MAC老化年光与口头

 

2层风暴管制

在Internet中每个与变迁相连贯的终端配备其都有的固定的带宽,连贯到变迁机上的任何一个终端都能够有心或无意的向其它终端或变迁机带动冲击?当一个终端PC向变迁机带动大量已知单播?未知单播?组播?广播流量之时,变迁机就得主动中断目标MAC单发或泛洪式转发,这无非是占用了其它终端配备的上行带宽,当这份数据对目标配备不有任何意义且该流量占用了全部配备的上行带宽之时,这无非是一种冲击[流量式冲击],这种情况下会直接组成接收此流量目标配备对外通讯腐败,同时Internet也会受到影响?另一种情况将小包[六4字节]以高转发率发送,等同条件下高速率的小包处理惩罚会使变迁机消耗更多的变迁机老本[CPU周期]?此例冲击直接影响变迁机转发恪守,更紧张的后果便是变迁机DOWN机?

cisco风暴管制技能storm-control,Strom-control技能能够限定带宽的把持也可以限定接口发包转发率?当限定的内容高于某个阀值时,将相应的接口中断壅塞,只能当限定的接口其限定内容只有低于某个值的时辰将回复复兴端口转发?

配置饬令

wildlee(config)#storm-control {broadcast|multicast|unicast} level {level[level-low] bps bps [bps-low] | pps pps [pps-low]}

wildlee(config)#storm-control action {shutdown | trap}

一种流量管制技能[停歇帧]

wildlee(config)#Flowcontrlo {send |receive} {on | off |desired}

 

端口隔特技能

在传统情况下,属于统一个局域网或VLAN的两个主机在2层上是无奈拒绝他们畴昔通讯的,跟着安全规定越来越细化,VLAN技能毛病被吐披露来?假如我们要建立多个主机隔绝地域,就不得不为此主机地域在建立一个VLAN哪怕只有一个主机,还得为此VLAN在分拨一个新的IP所在段并为此VLAN建立网关?这种情况下将组成VLAN数目扩充?STP共计繁冗?IP所在告急等后果?PVLAN技能的诞生能够使统一个VLAN下的两台主机拥有雷同的网关与IP所在段,但无奈互雷同信,从而得意安全哀告?旧日我们说的副角Protected技能也是一种端口隔特技能,能够完成与PVLAN雷同的功用,被配置了端口隔绝的端口之间将不克不及互雷同信?

配置饬令

wildlee(config-if)#switchport protected

 

端口壅塞技能

默认情况下变迁机泛洪未知目标MAC单播或组播流量,这种流量大要组成目标配备被流量式冲击?端口壅塞技能是一种抗御未知单播或组播中断流量冲击的技能,在端口上把持此技能,端口收到的未知单播与组播流量都将被丢弃,而不克不及被发送到此端口,但不克不及管制广播流量,我们知道局域网通讯与某些利用,奉求于一些广播利用?

配置饬令

wildlee(config-if)#switchport block unicast

wildlee(config-if)#switchport block multicast

 

QOS安全特性

其实Internet中利用QOS也是一种安全策略,如限定某个接口的上行或上行速率或鉴别效能转发数据?当Internet中有大量的P2P利用中断上传或下载,那末Internet畸形的效能就会受到影响,此时能够禁用掉P2P等法式大概限定此类法式的上行或上行?当Internet中发生活力梗塞的时辰,对重要Internet利用中断QOS标识表记标帜陈设转发,从而保证可用性?所以我们能够将QOS看作是一种安全技能利用?

CIR配置饬令

wildlee(config)#Rate-limit {input | output} [access-grouup acl_number] bps burst-normal burst-max conform-action conform_action exceed-action exceed_action

ACL安全技能

RACL[Router ACL]

RACL能够对变迁机上的路由接口做管制平面和数据平面通讯流过滤?能够将RACL利用以下接口如SVI?3层路由端口?3层通道端口等做基于Internet层与传输层内容过滤,但不克不及做数据链路层[2层]内容过滤?RACL具有IN与OUT之分的偏向性,在接口IN或OUT偏向不有把持RACL代表着放行,所以RACL不会组成单向通讯?RACL能够在IN与OUT偏向都能够把持,每个接口每个偏向只能把持一条RACL?

配置示例

wildlee(config)#access-list 一 permit ip 一九2.一六八.一.0

wildlee(config)#interface vlan 一0

wildlee(config-if)#ip access-group 一 in

PACL[Port ACL]

PACL 是指利用于变迁机2层接口的 ACL,过滤流的内容能够是基于TCP/IP参考模型的23四层数据内容字段?PACL只能利用到 IN 偏向?PACL优先级高于其它的ACL?

配置示例

一.wildlee(config)# mac access-list extended mac-acl

wildlee(config-ext-macl)# deny host 0000.0000.000一 host 0000.0000.0002

wildlee(config-ext-macl)# permit any any

Wildlee(config)# interface fastethernet 0/0

wildlee(config-if)# mac access-group mac-acl in

2.Wildlee(config)#mac-address-table static F5-F5-F5-一0-一0-一0 vlan 2 drop

在相应的Vlan丢弃流量

Wildlee(config)#mac-address-table static F5-F5-F5-一0-一0-一0 vlan 2 int f0/一

相应的接口丢弃流量

VACL[VLAN MAP]

VACL能够做VLAN与VLAN之间的通讯流过滤也可也做统一VLAN不同主机的通讯流过滤,过滤流的内容能够是基于TCP/IP参考模型的23四层数据内容字段?VACL绑定到VLAN上时是不分偏向的,即VLAN中扫数出入的匀被VACL立室并策略,简单组成单向通讯题目?一个VLAN 只能对应一个 Vlan Map ,一个 Vlan Map能够对应多个 VLAN,囊括多个立室条件?

配置示例

Wildlee(config)#access-list 一0一 permit tcp host 一九2.一六八.0.2 host 一九2.一六八.0.一0 eq telnet

Wildlee(config)#access-list 一0一 permit tcp host 一九2.一六八.0.一0 eq telnet host 一九2.一六八.0.2

Wildlee(config)#vlan access-map wildlee 一0

Wildlee(config-access-map)#match ip address 一0一

Wildlee(config-access-map)#action forward

Wildlee(config)#vlan filter wildlee vlan-list 2

生成树安全

当2层变迁Internet中假如有非授权变迁机接入Internet,参于了生成树的推举大要对Internet组成意想不到的粉碎,见于此我们能够对变迁机的边际端口[连贯终端配备]配置生成树防护?

BPDU Guard

当接口启用了BPDU Guard技能后,假如从接口再次收到BPDU报文,接口将进入err-disable外形,无奈继续转发用户数据?

配置饬令

Wildlee(config)#spanning-tree portfast bpduguard default

wildlee(config-if)#spanning-tree bpduguard enable

当BPDU guard禁用了端口,该端口会不停处于err-disable外形?回复复兴到畸形端口外形有以下两种举措:手动颠末shutdown/no shutdown重新激活,颠末设置年光周期被动回复复兴?

配置饬令

wildlee(config)#errdisable recovery cause bpduguard

wildlee(config)#errdisable recovery interval 400

BPDU Filter

其特性雷同于BPDU guard,BPDU FILTER利用到边际端口,边际端口收到BPDU的数据包只会过滤掉,而不会将接口err-disable,可在继续转发用户数据?

配置饬令

wildlee(config)#spanning-tree portfast bpdufilter default

wildlee(config-if)#spanning-tree bpdufilter enable

ROOT Guard

根珍爱确保启用了根珍爱的端口成为指定端口,根珍爱是基于每端口配置的,而且不应允该端口成为一个STP根端口? 设置了根珍爱的端口假如收到了一个优于原BPDU的新的BPDU,它将把本端口设为root-inconsIistent外形,至关于监听外形?该外形下不会收发数据,不会成为根端口,只会监听BPDU?当终了蒙受纰谬的最优BPDU时,该端口履历生成树历程后被动回复复兴?

配置饬令

wildlee(config-if)#spanning-tree root guard

 

DHCP安全

有一种对DHCP的冲击叫做耗竭冲击,其事理是颠末操纵编造的MAC所在[2层的MAC编造与DHCP报文中的客户机MAC所在编造]来对DHCP歹意带动所在租用乞求,短期租用光扫数的DHCP可分拨所在,让DHCP无奈对犯警用户主机提供DHCP效能,并因此而不克不及访问Internet?与此同时歹意的冲击者能够编造DHCP效能器,中断富余动态分发从而诱惑犯警用户主机,从而中断数据窃听与诈骗?

其实防的举措也有几种?一?在AD内容下能够将DHCP中断授权?2?启用端口安全技能,限定其接口进修的MAC所在数,不过变迁机无奈伺探到DHCP报文中的假MAC,冲击法式能够只修改DHCP报文中的MAC,这种富余报文乞求对DHCP是生效的?3?设置ACL只应允连贯到DHCP效能器的变迁端口,其UDP报文源端口六7能够颠末,拒绝非连贯DHCP效能器变迁端口的ip报文其UDP端口为六7分组颠末?

旧日我们说另一种抗御技能DHCP Snooping?DHCPSnooping技能事理变迁机监听来自于各端口的DHCP报文,检测其封装的DHCP乞求报文,将以太网帧头中的源MAC所在和DHCP乞求报文内DHCP客户机的硬件所在字段做对照,只有这二者雷同的乞求报文才会被转发,否则将被丢弃,多么就防备了DHCP耗竭冲击?

把持DHCPSnooping技能后可将变迁机连贯终端配备的变迁端口分为两类trust端口和untrust端口,只有其trust端口能够发送DHCP OFFER和ACK报文,而untrust端口将过滤DHCP OFFER和ACK报文,从而阻断犯科DHCP效能器接入Internet?

DHCP监听特性还能够对端口的DHCP报文中断限速?颠末在每个非相信端口下中断限速,将能够阻止犯警DHCP乞求报文的广播冲击?当变迁机收到一个DHCPdecline或DHCPrelease广播报文,而且报文头的源MAC所在具有于DHCP监听绑定表的一个条款中?但是报文的实际接收端口与绑定表条款中的端口字段不分歧时,该报文将被丢弃,防备冲击者开释犯警用户的DHCP租期?

DHCP Snooping还提供了一张动态的binding表,绑定表中囊括有失去到的IP 所在?客户真个MAC 所在?租约年光?绑定典范榜样(动态/动态)?VLAN 号?端标语等动态?该表能够抢救完成IPSG以及DAI等功用?

非相信端口只应允客户真个DHCP乞求报文颠末,这里只是相对DHCP报文来说的?其余非DHCP报文还是能够畸形转发的?这就透露表现客户端能够以动态指定IP所在的举措颠末非相信端口接入Internet?因为动态客户端不会发送DHCP报文,所以DHCP监听绑定表里也不会有该动态客户真个记实? 相信端口的客户端动态不会被记实到DHCP监听绑定表里?假如有一客户端连贯到了一个相信端口,即便它是颠末畸形的DHCP举措获得IP所在,DHCP监听绑定表里也不有该客户真个记实? DHCP中继将广播变单播?DHCP中继乞求IP,DHCP依照报文其网关IP所在必定该为哪个乞求分拨哪个ip所在段?

当DHCP效能器和客户端不在统一个子网内时,客户端要想从DHCP效能器上分拨到IP所在,就必需由DHCP中继署理(DHCP Relay Agent)来转发DHCP乞求包? DHCP中继署理将客户真个DHCP报文转发到DHCP效能器畴昔,能够拔出一些选项动态,以便DHCP效能器能更准确的得悉客户真个动态,从而能更灵敏的按相应的策略分拨IP所在和其余参数?这个选项被称为:DHCP relay agent information option(中继署理动态选项),选项号为八2,故又称为option 八2?默认情况下,封闭了DHCP Snooing的变迁机将对从非相信端口接收到的DHCP乞求报文拔出选项八2动态?

配置饬令

wildlee(config)# ip dhcp snooping

启用DHCP snooping

wildlee(config)# ip dhcp snooping vlan vlan-id

设置DHCP snooping传染感动于哪些VLAN

wildlee (config)# ip dhcp snooping verify mac-address

对照封装DHCP 乞求报文封装的以太网帧中的源MAC所在和DHCP 乞求报文内DHCP客户机的硬件所在

wildlee (config-if)# ip dhcp snooping trust

设置DHCP相信端口

wildlee (config-if)# ip dhcp snooping limit rate 一-204八

限定每秒从非相信端口颠末的DHCP报文个数

wildlee (config)# errdisable recovery cause dhcp-rate-limit

使因为DHCP报文限速起是以被禁用的端口能被动从err-disable外形回复复兴

wildlee (config)# errdisable recovery interval int-time

设置端口外形回复复兴年光

Wildlee#ip dhcp snooping binding mac-address vlan vlan-id ip-address interface type num expiry time

手工增长一条DHCP监听绑定条款

ARP诈骗防护

畴昔我说一种基于MAC泛洪冲击,其实还有种非泛洪式冲击,冲击毛病基于变迁进修任何报文的源MAC并与接收此报文的端口相映射中断数据转发?冲击者无需泛洪MAC,只需用其它主机或网关MAC做为报文的2层源所在封装,即能够干扰全部变迁转发机制,从而瘫痪Internet?ARP诈骗冲击颠末对目标主机中断富余的ARP乞求或应答,组成目标主机对目标ip主机纰谬的2层所在理解?ARP诈骗冲击能够使目标主机的通讯休止或数据被嗅探?在主机或路由出息行动态ARP绑定是一种解法办法。

配置饬令

Arp ip-address mac-address arpa

旧日我们说CISCO的DAI技能,其事理便是检测非相信端口收到的ARP报文,假如斯中ARP报文的发送者字段mac与ip对应动态与绑定表[DHCP Snooping生成的表]中的动态分歧则以为该ARP报文为犯警报文,若不分歧则被以为为犯科ARP报文并丢弃,且收到该报文的接口进入err-disabled外形,冲击者也就不克不及继续对Internet中断进一步的粉碎?

配置饬令

Wildlee(config)# ip arp inspection vlan-id

在某个VLAN中启用DAI技能

Wildlee(config-if)# ip arp inspection trust

设置为DAI的相信端口,默以为非相信

Wildlee(config-if)# ip arp inspection limit rate 0-204八

限定入站ARP包的速率,若超过,则端口进入err-disabled外形

Wildlee# show ip arp inspection interfaces

查抄接口下的DAI

Wildlee# show ip arp inspection vlan vlan-range

查抄VLAN下的DAI

IP源诈骗防护

在通讯历程中,因为2层数据链路层对3层Internet层具有透明性,3层并不珍爱2层的所在是甚么,它只珍爱3层的内容?这极简单组成一种IP源诈骗芊?wildlee实例阐明

A主机[冲击者] IP 一九2.一六八.一.2 MAC AA:AA:AA:AA:AA:AA

B主机[被编造者] IP 一九2.一六八.一.3 MAC BB:BB:BB:BB:BB:BB

C主机[被冲击者] IP 一九2.一六八.一.4 MAC CC:CC:CC:CC:CC:CC

现在A主机对C主机带动一次通讯,链路层封装源AA:AA:AA:AA:AA:AA,2层目标封装CC:CC:CC:CC:CC:CC.Internet层源ip 一九2.一六八.一.3,目标ip为一九2.一六八.一.4,现假如这是一个ICMP乞求报文?C主机收到此报文颠末3层果断后源主机是一九2.一六八.一.3,所以直接用B主机的MAC中断链路层封装并中断回复,B主机会莫名基妙收到一个ICMP回复报文?所以我们说2层对3层具有透明性?

CISCO对此类冲击把持了IPSG抗御技能?IP源珍爱(IP Source Guard,简称IPSG)是一种基于IP或IP+MAC的端口流量过滤技能,它能够防备IP所在诈骗冲击?而且还能确保非授权配备不克不及颠末人人指定IP所在的举措来访问Internet或冲击Internet导致Internet崩溃及瘫痪? IPSG技能操纵了DHCP Snooping技能提供的绑定表,对入流量中断检测,确保Internet层ip源所在与绑定表中的源ip异样才放行此报文,传染感动于非任何端口?异样能够做MAC+IP的全立室检测放行机制,从而完成ip所在诈骗防护?此技能雷同于端口ACL,不过该技能详细被动性与智能性?基于源IP+源MAC所在过滤: 依照源IP所在和源MAC所在对IP流量中断过滤,只有当源IP所在和源MAC所在都与IP源绑定条款立室,IP流量才应允颠末?当以IP和MAC所在作为过滤的时辰,为了确保DHCP协定大概畸形的责任,还必需启用DHCP监听选项八2? 对于不有选项八2的DHCP报文,变迁机不克不及必定用于转发DHCP效能器响应的客户端主机端口?相应地,DHCP效能器响应将被丢弃,客户机不克不及获得IP所在?

配置饬令

wildlee(config-if)# ip verify source

 

数安新闻+更多

证书相关+更多