版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
交換機接入安全端口安全 P320MAC表自動學習:動態(tài)(默認)保持300秒.手工設(shè)置:靜態(tài)(安全)默認,MAC表動態(tài)學習,MAC表MACAVLAN1MACBVLAN1MACCVLAN1MACDVLAN1
允許任何用戶接入。F0/1F0/2F0/3F0/4當未授權(quán)用戶E接入端口F0/4,則交換機會自動刷新MAC表,并允許E接入,則E便可以訪問網(wǎng)絡(luò)資源??梢酝ㄟ^多種方式來限制E對網(wǎng)絡(luò)的訪問,其中一種便是端口安全。S29S29(config)######或###實驗:端口安全1.在接入層交換機S29上,對于端口F0/1,2.,3,4只允許主機ABCD接入,違背關(guān)閉端口.intf0/1shutdown 目的:清理MAC表swmodeacc 默認dynamaic,不能啟用端口安全swport-security 啟用端口安全swport-securitymaximun1 關(guān)聯(lián)一個MAC(默認)swport-securitymac-address000c.1111.111a靜態(tài)綁定swport-securitymac-addresssticky動態(tài)學習MAC并綁定swport-securityviolationshutdown 違背關(guān)閉(默認)noshutdownS29(config)#intf0/4#shutdown#####swsw#####swswswswswmodeaccport-security 啟用端口安全port-securitymaximun1 關(guān)聯(lián)一個MAC(默認)port-securitymac-address000c.1111.111d靜態(tài)綁定port-securityviolationshutdown 違背關(guān)閉2.在交換機S3560上,S3560(config2.在交換機S3560上,S3560(config)#intf0/13.錯誤禁用的恢復手工恢復先shutdown,后noshutdown自動恢復S(config)#errdisablerecoverycausepsecure-violation#errdisablerecoveryinterval30access查看哪些行為的禁用可以自動恢復DHCP監(jiān)聽P326#shutdown#swmodeacc#swport-security#swport-securitymaximun3 關(guān)聯(lián)3個MAC(默認1個)#swport-securitymac-address000c.1111.111a靜態(tài)綁定#swport-securitymac-address000c.1111.111b#swport-securitymac-address000c.1111.111c#swport-securityviolationrestric 受限,合法通過,非法丟棄并產(chǎn)生日志消息Protect保護,合法通過,非法丟棄,在F0/1端口只允許主機ABC接入,其它禁止,違背受限.但不產(chǎn)生日志消息重新啟用的原因
恢復時間間隔注:1.啟用端口安全時,只能工作在access或trunk模式.(默認dynamaicauto)配置時,應(yīng)先將端口關(guān)閉,否則配置不起作用。sw#shport-securityinterfacef0/3sw#sherrdisabledetectErrDisableReasonDetectionMode -arp-inspectionEnabledportbpduguardEnabledportchannel-misconfigEnabledportdhcp-rate-limitEnabledportpsecure-violationEnabledportsw#sherrdisablerecovery防范欺騙攻擊
DHCP IP地址 子網(wǎng)掩碼 網(wǎng)關(guān) 54DNS…….分析DHCP攻擊:DHCP基于廣播,同一網(wǎng)絡(luò)中的所有主機都可以收到,惡意用戶D發(fā)送偽造的DHCP應(yīng)答,造成兩種后果。非法的IP地址 導致用戶不能聯(lián)網(wǎng)合法的IP地址,但將網(wǎng)關(guān)設(shè)為自己的IP:1.4 中間人攻擊導致用戶將訪問外網(wǎng)的流量發(fā)送到1.4,然后1.4將重要信息進行過濾,如上網(wǎng)帳號、郵箱帳號、電子銀行帳號等。解決辦法:DHCP監(jiān)聽防止偽造的DHCP應(yīng)答??尚哦丝?應(yīng)答通過不可信端口 應(yīng)答被丟棄注:啟用DHCP監(jiān)聽后,所有端口被視為不可信,應(yīng)將連接DHCP服務(wù)器的端口設(shè)為可信的??梢韵拗朴脩舭l(fā)送DHCP請求的速率,防止DHCP請求泛洪攻擊可以建立一個DHCP監(jiān)聽綁定表,用于防止IP欺騙和ARP欺騙。MACIP租用期限對應(yīng)端口A8F0/1B8F0/2C8F0/3D8F0/4分析教材CCNP302頁SW(config)#ipdhcpsnooping啟用DHCP監(jiān)聽功能#ipdhcpsnoopingvlan1-3指定在哪些VLAN下監(jiān)聽#intf0/20ipdhcpsnoopingtrust 設(shè)為可信端口intrangef0/1-19ipdhcpsnoopinglimitrate3 限制用戶的DHCP請求速率,超速shut實驗:DHCP監(jiān)聽sw#shipdhcpsnooping#shipdhcpsnoopingbindingclearipdhcpsnoopingbinding*clearipdhcpbinding*考試76,98題說明:SW2950有Bug,DHCP監(jiān)聽SW2950支持不好,連接用戶的接口如果不設(shè)trust,用戶的DHCP請求包也會被丟棄,而且也獲取不到DHCP監(jiān)聽綁定表。源IP地址防護(防止IP欺騙)P328惡意用戶攻擊服務(wù)器、交換機、路由器等設(shè)備,為防止被日志記錄,追查到自己防范1P欺駐攻擊樣查:LT2.Ifi.I.L1.防范1P欺駐攻擊樣查:LT2.Ifi.I.L1.淘i.252Vkfi1.TF欺U攻擊偽造IP地址:其它用戶 栽贓別人不存在的用戶 無法追查配置:intrangef0/1-4ipverifysource在f0/1-4上啟用IP源防護防范:啟用IP源防護,收到包,檢查IP和MAC與端口的對應(yīng)關(guān)系是否合法。可以借助于DHCP監(jiān)聽綁定表,也可以手工設(shè)置綁定表。借助DHCP監(jiān)聽綁定表。 CCNP教材304例:用戶D()假冒用戶A()的IP攻擊服務(wù)器。從端口F0/4發(fā)給交換機:MAC網(wǎng)關(guān)MACD攻擊報文F0/4 F0/4(監(jiān)聽表)IP-端口的對應(yīng)關(guān)系與DHCP監(jiān)聽綁定表內(nèi)容不同。偽造,丟棄。
2.手工綁定S3560(config)#ipsourceipipipsourcesourcesourcebinding000c.1212.121aMACbinding000c.1212.121bbinding000c.1212.121cbinding2.手工綁定S3560(config)#ipsourceipipipsourcesourcesourcebinding000c.1212.121aMACbinding000c.1212.121bbinding000c.1212.121cbinding000c.1212.121dvlanVLANvlanvlanvlanIPintf0/1接口intf0/2intf0/3intf0/4###(2)如果同時希望防止MAC欺騙,則必須啟用端口安全swport-security(啟用后默認特性:允許1個MAC,違規(guī)shutdown;當改為允許多個MAC時,違規(guī)自動變?yōu)閞estric)考試355題intrangef0/5swport-securityInterfaceFilter-typeFilter-modeIP-addressFa0/2ipinactive-no-snooping-vlanFa0/3ipInterfaceFilter-typeFilter-modeIP-addressFa0/2ipinactive-no-snooping-vlanFa0/3ipinactive-no-snooping-vlanFa0/4ipinactive-no-snooping-vlanFa0/5ip-macinactive-no-snooping-vlanMac-address查看:sw3550#shipverifysourceVlansw3550#shipsourcebindingMacAddressIpAddressLease(sec)TypeVLANInterface 00:26:9E:81:89:10 3 infinite static 1---FastEthernet0/500:E0:4C:82:1A:EE2423621dhcp-snooping1FastEthernet0/100:E0:4C:82:1A:EE1411916dhcp-snooping2FastEthernet0/1Totalnumberofbindings:3clearipdhcpsnoopingbinding*clearipdhcpbinding*動態(tài)ARP檢測(DAI.) P329分析:ARP欺騙。用戶上網(wǎng),先通過ARP找網(wǎng)關(guān)的MAC.A廣播查詢"1.254你的MAC是多少,請回答"所有主機都能收到,但正常只能網(wǎng)關(guān)回答:”1.254的MAC是MACG"主機D,ARP病毒搶先回答:1.254 MACD主機A在二層將用MACD封裝.最終,主機A訪問外網(wǎng)的所有流量都將被轉(zhuǎn)發(fā)到D. 中間人攻擊D可以對重要信息進行過濾,如上網(wǎng)帳號、郵箱帳號、電子銀行帳號等。注:與DHCP欺騙的區(qū)別DHCP欺騙 假冒網(wǎng)關(guān)IPARP欺騙 假冒網(wǎng)關(guān)MAC解決辦法:動態(tài)ARP檢查.(在交換機上進行)S3560(config)#iparpinspectionvlan1-3在VLAN1-3下啟用ARP檢測啟用后,交換機將會攔截VLNA1-3接口收到的ARP應(yīng)答,進行合法性檢查。在判斷是否存在欺騙行為時,可以采用以下2種方式:1.采用DHCP監(jiān)聽綁定表,或手工設(shè)置的IP-MAC-接口綁定關(guān)系表。MACIP租用期限對應(yīng)端口A8F0/1B8F0/2C8F0/3D8F0/4MACAMACD1.254MACDF0/4收到二層ARP應(yīng)答Nc.TimeSourceDestinationProtocolLengthInfo10.0000DOQuant就口_45:41:c2Bra<adcast:ARP i-2uihohas1?Tell020.000155Realteks_44:m:北Quanta£o_45:41:c2ARP 601S2.ICS.1.1115里0D:e0:4c:^4:03:db37.60662SQuantaCa_45:41:c2Bra>adcastARP i-1 192.16S.1.25^-?^Te11192.1CB.1.fiQ4F.bQGST■括DigltalE.oascZjeaQuantaco_45:41;czARP 741SZ.ICfl.1.25JISJTOH:00:2b:Oa:c.p:ea,I 'L @Frame4:7Abytescmwire〔592b1tsj,74bytescapiHired(5.^2bits)?EthernetTIaSire:Digita'lE_Oa:c7:ea(OS:00!2b!Oa:c7:ea)aOst'QuantaCD_jl5:41! (00!26:c2)i-iAddressResQlmtlonProrocol(reply)Hardwaretype:Ethernet(1)ProtDcolType:IP(DmOEQD)Hardwaresize:6Protocolsize:4Opcode:reply(2)[is.gratulTous:raise] __ __SenderMACaddress:DigitalE_0a:c7::eafQg買 :Dm「£苴成)<.senderipaddress:54C192.1?s717254)TargetMACaddress:QuantaCo_45:41::c2(00:26:9€:45:41^2)Targetipaddre.£s:192.163.1.so(192.168.1-60)如果沒有上述表項,可以手工配置ARP訪問列表.S3560(config)#arpaccess-listARP-01 手工建立ARP綁定表permitiphostmachost000c.0101.0101permitiphostmachost000c.0101.0102S3560(config)#iparpinspectionfilterARP-01vlan1調(diào)用ARP綁定表SW1 一^SW2其它配置:S3560(config)#intg0/1#iparpinspectiontrust(兩個交換機之間的ARP應(yīng)答視為可信,避免重復檢查.)考試300題
S3560(config)#intf0/2#iparpinspectionlimitrate10arp請求限速,防止arp泛洪攻擊。實驗測試的結(jié)果:ARP檢測合法應(yīng)答通過,非法應(yīng)答丟棄;ARP超速接口,動作是shutdown;DAI會自動調(diào)用已有的DHCP監(jiān)聽綁定表或手工IP-MAC-接口綁定表進行ARP檢測,也可調(diào)用已配置的ARP訪問列表。其它ARP安全措施:PC殺毒,安裝ARP防火墻。PC手HARP綁定 (在終端PC上進行)啟動項arp.batarp-s00-0c-ceT2T2T1arp-s00-0c-01-12-12-12arp-s00-0c-01-12-12-13路由器ARP綁定r1(config)#arpc007.1a30.f10darpa附:ARP表老化時間Windows2003/XP,ARP的老化時間默認為2分鐘,如果一個ARP緩存表項在2分鐘內(nèi)用到,則再延長2分鐘,直到最大生命周期10分鐘。然后被移除,再通過一個新的ARP請求/回應(yīng)來得新的對應(yīng)關(guān)系。CISCO路由器的ARP老化時間默認為4小時,可以進行修改。r1#shintf0/0FastEthernet0/0isup,lineprotocolisupHardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)Internetaddressis/24Half-duplex,10Mb/s,100BaseTX/FXARPtype:ARPA,ARPTimeout04:00:00r1(config)#intf0/0#arptimeout120r1#shintf0/0FastEthernet0/0isup,lineprotocolisupHardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)Internetaddressis/24ARPtype:ARPA,ARPTimeout00:02:00r1#sharpProtocolAddress Age(min)HardwareAddrTypeInterfaceInternet - c000.1e4c.0001 ARPA FastEthernet0/1Internet 1 c007.1a30.f10d ARPA FastEthernet0/0Int
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 銀行員工福利待遇制度
- 酒店餐飲服務(wù)規(guī)范制度
- 八年級英語Ontheradio課件
- 教師扎根鄉(xiāng)村奉獻青春演講稿(31篇)
- 《試模問題處理》課件
- 2025屆北京市第101中學高三第五次模擬考試數(shù)學試卷含解析
- 山西省靜樂縣第一中學2025屆高考英語考前最后一卷預測卷含解析
- 2025屆上海市6校高三下學期第五次調(diào)研考試語文試題含解析
- 2025屆安徽省六安市高三壓軸卷英語試卷含解析
- 10.1《勸學》課件 2024-2025學年統(tǒng)編版高中語文必修上冊-1
- 餐飲服務(wù)食品安全
- 【安井食品公司償債能力存在的問題及對策9000字】
- 2024年茶空間運營工作計劃
- 食品進銷存臺賬【模板】
- 大額采購監(jiān)督方案
- 提高感染性休克集束化治療達標率
- 《外科護理》第二十章 第一節(jié) 骨折病人的護理課件
- 電氣設(shè)備安全操作培訓
- 計算機專業(yè)大學生職業(yè)生涯發(fā)展展示
- 門診護士長年終工作總結(jié)
- 變壓器油箱制造工藝
評論
0/150
提交評論