【干货】连交换机的攻击、防御都不懂,还做什么网络工程师
為什么需要關注交換機安全????
縱軸:網絡設備(防火墻、路由器、交換機)???
橫軸:網絡模型(邊界和DMZ、核心和分布層、接入層)
這個圖主要是說,防火墻、路由器、交換機一般分別放在邊界或者DMZ、核心和分布層、接入層;
這些設備里面,為什么交換機最缺乏安全性呢?
首先,防火墻或者路由器一般都是放在核心機房,核心機房物理安全得到最大的保障(非管理人員一般無法進出核心機房)
其次,接入交換機一般零散分布,提供終端用戶的接入(非管理人員都能比較輕易接觸到接入層交換機)
?
交換機層面可能涉及的攻擊形式以及防御措施:
?
?
針對這么多的攻擊形式,我們大致可以分為四類:
MAC Layer Attacks
VLAN Attacks
Spoofing Attacks
Switch Device Attacks
?
?
?一、VLAN跳躍攻擊
?利用Trunk或Double Tag(native)實現從對其他VLAN的信息嗅探或攻擊
應對措施:?
1.將空閑端口置為access模式(trunk off),甚至shutdown;?
2.修改Native VLAN,避免與在用VLAN相同。
?
二、STP欺騙攻擊
?
通過偽造錯誤的BPDU消息影響生成樹拓撲
應對措施:?
1.在接主機或路由器的接口(access)配置bpdu guard,這類接口不應收到BPDU,如果收到則將接口置為error disable狀態。
接口下spanning-tree bpduguard enable
2.或在上述接口配置Root Guard,這類接口可以收到BPDU,但若是更優的BPDU,則接口置為error disable?狀態,避免根橋改變。
接口下spanning-tree guard root
?
三、MAC欺騙攻擊
?
盜用他人MAC地址偽造攻擊,或非法接入網絡竊取信息
應對措施:?
1.端口安全,設置某物理端口可以允許的合法MAC地址,將非法MAC地址發送的流量丟棄,甚至將接口err-disable
2.靜態添加CAM表項(MAC和端口、VLAN的綁定關系)
?
四、CAM/MAC泛洪攻擊
?
通過不斷偽造MAC地址并發送報文,促使交換機CAM表短時間內被垃圾MAC地址充斥,真實MAC被擠出,已知單播變未知單播,被迫泛洪,導致數據被嗅探。
應對措施:?
端口安全,限制端口可允許學習的最大MAC地址個數
?
五、DHCP服務器欺騙攻擊
?
通過非法DHCP服務器搶先為客戶分配地址,通過下發偽造的gateway地址,將客戶流量引導到“中間人”從而實現信息嗅探。
應對措施:?
在三層交換機上配置DHCP Snooping,監聽DHCP消息,攔截非法DHCP服務器的地址分配報文。
?
六、DHCP饑餓(地址池耗盡)?
?
不斷變換MAC地址,偽造DHCP請求消息,短時間內將DHCP服務器地址池中的地址消耗殆盡,導致合法用戶無法獲取IP地址。
應對措施:?
1.同樣使用端口安全技術,限制端口可允許學習的最大MAC地址個數,阻止攻擊者通過變換MAC地址的方式偽造DHCP請求報文。
2.針對不變換MAC,僅變換CHADDR的情況下,在啟用了DHCP Snooping技術的交換機配置DHCP限速,設定滿足常規地址獲取需求頻率的閥值,超出的情況下阻塞、隔離試圖異常獲取地址的端口。
?
七、ARP欺騙
?
發布虛假的ARP reply消息,將客戶消息引導至“中間人”,從而實現數據嗅探。
應對措施:?
1.結合DHCP Snooping技術所記錄的合法地址綁定表(正常通過DHCP獲取的地址都在表中),利用Dynamic ARP inspection(DAI)技術,判斷ARP reply內容是否合法,檢驗并丟棄非法ARP reply報文。
2.靜態添加ARP與IP的關聯表項(無需ARP request)
?
八、IP地址欺騙
?
盜用IP地址,非法訪問網絡或冒充他人發送攻擊流量
應對措施:?
1.?結合DHCP Snooping記錄的合法地址綁定表,利用IP Source Guard技術,判斷IP地址是否合法,檢驗并丟棄非法IP流量。
2.?使用基于接口的ACL,在相關接口只僅允許合法IP地址流量(deny非法IP)
?
九、針對交換機設備本身的攻擊
?
截獲CDP(明文)報文,獲取交換機管理地址,后續進行密碼暴力破解;截獲Telnet報文(明文),嗅探口令。獲取交換機管理權限后為所欲為。
應對措施:?
1.?在不必要的接口關閉CDP消息
2.?重要設備盡可能不使用Telnet協議,轉而使用加密傳輸的SSH協議登陸管理設備。由于SSH v1有眾所周知的安全漏洞,建議采用v2。
《新程序員》:云原生和全面數字化實踐50位技術專家共同創作,文字、視頻、音頻交互閱讀總結
以上是生活随笔為你收集整理的【干货】连交换机的攻击、防御都不懂,还做什么网络工程师的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: We Are Cisco|25年后,为什
- 下一篇: 【实验】不会端口映射?看完就会了