思科交換機(jī)IOS常用安全特性介紹

思科交換機(jī)IOS常用安全特性介紹郞賢國北信工更新日期：2010-04-13瀏覽：201A字號選擇：大中小隨著網(wǎng)絡(luò)規(guī)模以指數(shù)形式的不斷增長，網(wǎng)絡(luò)結(jié)構(gòu)變得越來越復(fù)雜,承擔(dān)的任務(wù)也越來越關(guān)鍵，給ISP運(yùn)營商和管理網(wǎng)絡(luò)的人帶來了新的挑戰(zhàn)。如果缺乏一定的安全保障，無論是公共網(wǎng)絡(luò)還是企業(yè)專用網(wǎng)絡(luò)都難以抵擋網(wǎng)絡(luò)的不斷攻擊和非法入侵。對于某個(gè)特定的企業(yè)網(wǎng)來說，網(wǎng)絡(luò)攻擊既可能來自網(wǎng)絡(luò)內(nèi)部，也可能來自外部的Internet或Extranet。就目前來說，單靠口令訪問控制和一些簡單的安全措施不足以保證數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全性。因此，網(wǎng)絡(luò)管理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù)來最大限度地減少攻擊，在構(gòu)建和維護(hù)當(dāng)今高速增長的網(wǎng)絡(luò)方面，網(wǎng)絡(luò)安全扮演了舉足輕重的角色。如果沒有適當(dāng)?shù)陌踩胧┖桶踩脑L問控制方法，在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)很容易受到各式各樣的攻擊。網(wǎng)絡(luò)攻擊既有被動(dòng)型的，也有主動(dòng)型的。被動(dòng)攻擊通常指信息受到非法偵聽，而主動(dòng)攻擊則往往意味著對數(shù)據(jù)甚至網(wǎng)絡(luò)本身惡意的篡改和破壞。常見的網(wǎng)絡(luò)攻擊類型包括:竊聽、身份欺騙、中間人攻擊、拒絕服務(wù)攻擊等。針對上述攻擊，在構(gòu)建企業(yè)網(wǎng)絡(luò)的時(shí)候，經(jīng)常使用下面介紹的思科安全技術(shù)進(jìn)行有效防范。在網(wǎng)絡(luò)接入層合理部署安全策略，能夠在網(wǎng)絡(luò)的入口處對各種各樣的攻擊進(jìn)行第一時(shí)間的攔截和有效防范?？偨Y(jié)過去的一些相關(guān)工作經(jīng)驗(yàn)，整理出來作為勉勵(lì)，希望能夠給從事系統(tǒng)集成工作的同仁帶來一點(diǎn)益處。思科一直是網(wǎng)絡(luò)行業(yè)的領(lǐng)先者，不斷升級的操作系統(tǒng)，使得其霸主地位至今無人撼動(dòng)。在思科智能交換機(jī)中，集成了防范各式各樣攻擊的安全特性，其IOS的創(chuàng)新特性針對DHCP窺探，IP地址欺騙，MAC泛濫和蠕蟲掃描等類攻擊提供了全面的解決方案，對發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)網(wǎng)的第一入口處，其主要基于portsecurity、DAI、DHCPSnooping、IPsourceguard等幾個(gè)關(guān)鍵技術(shù)的應(yīng)用。下面說明如何在思科交換機(jī)上綜合運(yùn)用和部署上述網(wǎng)絡(luò)設(shè)備自身集成的安全技術(shù)來對各種攻擊進(jìn)行有效防范。端口安全控制技術(shù)

MAC泛濫攻擊交換機(jī)主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立和維護(hù)端口和MAC地址的對應(yīng)表，這個(gè)表就是我們通常所說的CAM表。CAM表的大小是固定的，MAC攻擊就是利用工具產(chǎn)生大量的MAC,快速填滿交換機(jī)的CAM表，使交換機(jī)無法學(xué)習(xí)新的MAC地址。非法攻擊者發(fā)生大量帶有隨機(jī)源MAC地址的數(shù)據(jù)包，這些新的MAC地址被交換機(jī)CAM學(xué)習(xí)，很快填滿MAC地址表，這些新目的MAC地址的數(shù)據(jù)包就會廣播到交換機(jī)所有端口，交換機(jī)就像HUB—樣工作，非法攻擊者可以利用監(jiān)聽工具監(jiān)聽所有端口的流量。此類攻擊不僅造成安全性的破壞，大量的廣播包也降低了交換機(jī)的性能，并最終導(dǎo)致交換機(jī)死機(jī)。防范方法限制單個(gè)端口所有連接MAC地址的數(shù)目可以有效防范上述攻擊。CISCOCatalyst交換機(jī)的端口安全(portsecurity)和動(dòng)態(tài)端口安全功能可以用來阻止MAC泛濫攻擊。通過端口安全功能，可以靜態(tài)設(shè)置每個(gè)端口所允許連接的合法MAC地址，實(shí)現(xiàn)設(shè)備級的安全授權(quán)，動(dòng)態(tài)端口安全則設(shè)置端口允許合法MAC地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。通過配置portsecurity可以控制端口上最大可以通過的MAC地址數(shù)量、端口上學(xué)習(xí)到的或通過哪些MAC地址，對于超過規(guī)定數(shù)量的MAC處理進(jìn)行違背處理。DHCPSnooping技術(shù)DHCP欺騙攻擊DHCPServer可以自動(dòng)為用戶提供IP地址、DNS等服務(wù)，但是也會遭遇各種各樣的攻擊。常見的有：DHCPserver的冒充、DHCPserver的DOS攻擊；有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。非法攻擊者利用各種工具可以發(fā)出大量帶有不同源MAC地址的DHCP請求，直到DHCP服務(wù)器所在的網(wǎng)段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可以和DHCP服務(wù)器欺騙結(jié)合，將流量重指到意圖進(jìn)行流量截取的惡意發(fā)生點(diǎn)。防范方法DHCPSnooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCPSnooping綁定表（如下圖）過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。當(dāng)打開此功能，所有端口除非特別設(shè)置，否則被認(rèn)為不可信任端口不應(yīng)該做出任何DHCP響應(yīng)，因此欺詐DHCP響應(yīng)包被交換機(jī)阻斷，合法的DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口，只有符合表中對應(yīng)關(guān)系的數(shù)據(jù)才被轉(zhuǎn)發(fā)。如下圖所示。押曲1可對|anq:hfk應(yīng)pngtmdmgL訊卿俾：』TypeVLAN（WQF:FCSMCrCS1?1闢10131662Wdhcp-smwpinsWFasienpmMiyi首先定義交換機(jī)上的信任端口和不信任端口，對于不信任端口的丟失報(bào)文進(jìn)行截獲和嗅探，丟掉來自這些端口的非正常DHCP響應(yīng)報(bào)文。IP源地址保護(hù)技術(shù)常見的欺騙攻擊非法攻擊者經(jīng)常使用的另一種手法是IP地址欺騙。常見的欺騙攻擊種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)。此方法也被廣泛用作DOS攻擊，目前較多的攻擊是PingofDeath、synflood等。另外，病毒和木馬的攻擊也會使用欺騙的源IP地址，互聯(lián)網(wǎng)上的蠕蟲病毒也往往利用欺騙技術(shù)來掩蓋他們真實(shí)的源頭主機(jī)。防范方法CatalystIP源地址保護(hù)(IpSourceGuard)功能打開后，可以根據(jù)DHCP偵聽記錄的IP綁定表動(dòng)態(tài)產(chǎn)生PVACL,強(qiáng)制來自此端口流量的源地址符合DHCP綁定表的記錄。這樣，攻擊者就無法通過假定一個(gè)合法用戶的IP地址來實(shí)施攻擊了。這個(gè)功能將只允許擁有合法源地址的數(shù)據(jù)保護(hù)進(jìn)行轉(zhuǎn)發(fā)，合法源地址是與IP地址綁定表保持一致的，也來源于DHCPSnooping綁定表。因此，DHCPSnooping功能對于這個(gè)功能的動(dòng)態(tài)實(shí)現(xiàn)也是必不可少的，對于那些沒有用到DHCP的網(wǎng)絡(luò)環(huán)境來說，該綁定表也可以靜態(tài)配置。IpSourceGuard不但可以配置成對IP地址的過濾，也可以配置成對MAC地址的過濾。這樣，就只有IP地址和MAC地址都與DHCPSnooping綁定表匹配的通信數(shù)據(jù)包才能夠被允許傳輸。此時(shí)，必須將IP源地址保護(hù)IpSourceGuard與端口安全portsecurity功能共同使用，并且需要DHCP服務(wù)器支持option82，才可以抵御“IP地址+MAC地址”的欺騙。ARP欺騙攻擊原理和防范ARP欺騙攻擊原理ARP用來實(shí)現(xiàn)MAC地址和IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通信發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MAC地址。由于ARP無任何身份校驗(yàn)機(jī)制，黑客程序發(fā)送誤導(dǎo)的主動(dòng)式ARP使網(wǎng)絡(luò)流量重指向惡意攻擊者的計(jì)算機(jī)，變成某個(gè)局域網(wǎng)段IP會話的中間人，達(dá)到竊取甚至篡改正常傳輸?shù)墓π?。防范方法這些攻擊都可以通過動(dòng)態(tài)A