cisco网络方案

cisco网络方案内容摘要：

危害是极大的。 木马 、 蠕虫 病毒 的攻击 不仅仅是 攻击和欺骗， 同时还会带来 网络流量加大、设备 CPU 利用率过高、二层生成树环路 、 网络瘫痪 等现象。 网络 第二层 的攻击 是 网络安全 攻击者 最容易实施， 也是最不容易 被 发现的安全威胁，它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。 因 为任何一个 合法 用户都能获取一个以太网端口的访问权限，这些用户都 有 可能 成为 黑客， 同时由于设计 OSI 模型的时候，允许不同通信层在相互不了解情况下也 能进行工作，所以第二层的安全就变得至关重要。 如果这一层受到黑客的攻击，网络安全将受到严重威胁，而且其他层之间的通信还会继续进行，同时任何用户都不会感觉到攻击已经危及应用层的信息安全。 所以， 仅仅基于 认证（如 IEEE ） 和 访问控制列表（ ACL， Access Control Lists）的 安全措施 是无法防止本文中提到的 来自网络第二层的 安全攻击。 一个经过认证的用户仍然可以 有恶意 ， 并 可以 很容易 地 执行本文提到的所有攻击。 目前这类攻击和欺骗工具已经非常成熟和易用。 归纳前面提到的局域网目前普遍存在的安全问题 ，根据这些安全威胁的 特征分析 ， 这些攻击 都来自于网络的第二层，主要 包括 以下几种 ： MAC 地址 泛滥 攻击 DHCP服务器 欺骗 攻击 ARP 欺骗 IP/MAC 地址欺骗 Cisco Catalyst 智能交换系列的创新特性针对这类攻击 提供了全面 的解决方案， 将发生在网络第二层的攻击阻止在 通往内部网的 第一入口处， 主要基于下面的几个关键的技术。 Port Security DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard 下面主要针对目前 这些 非常典型的二层 攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术，从而防止在交换环境中 的 “ 中间人 ” 攻击、 MAC/CAM 攻击、 DHCP 攻击、地址欺骗等，更具意义的是通过上面技术的部署可以简化地址管理，直接跟踪用户 IP 和对应的交换机端口 ， 防止 IP 地址冲突。 同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。 MAC 地址泛滥 攻击的防范 MAC泛滥 攻击的原理和危害 交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小 是固定的，不同的交换机的 CAM表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC，快速填满 CAM 表，交换机 CAM 表被填满。 黑客发送大量带有随机源 MAC 地址的数据包，这些新 MAC 地址被交换机 CAM 学习，很快塞满 MAC 地址表，这时新目的 MAC 地址的数据包就会广播到交换机所有端口，交换机就像共享 HUB 一样工作，黑客可以用 sniffer 工具监听所有端口的流量。 此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能。 当交换机的 CAM 表被填满后， 交换机以广播方式处理通过交换机的报文，这时攻击者可以利用 各种嗅探攻击获取网络信息。 更为严重的是，这种攻击也会导致所有邻接的交换机CAM 表被填满 ，流量以洪泛方式发送到所有 交换机的所有含有此 VLAN 的 接口， 从而 造成交 换机负载过大 、 网络缓慢和丢包甚至瘫痪。 防范 方法 限制单个端口所连接 MAC 地址的数目可以有效防止类似 macof 工具和 SQL 蠕虫病毒发起的攻击， macof 可被网络用户用来产生随机源 MAC 地址和随机目的 MAC 地址的数据包，可以在不到 10 秒的时间内填满交换机的 CAM 表。 Cisco Catalyst 交换机的端口安全（ Port Security）和动态端口安全 功能可被用来阻止 MAC 泛滥攻击。 例如交换机连接单台工作站的端口，可以限制所学 MAC 地址数为 1；连接 IP 电话和工作站的端口可限制所学 MAC 地址数为 3： IP 电话、工作站和 IP 电话内的交换机。 通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法 MAC 地址，实现设备级的安全授权。 动态端口安全则设置端口允许合法 MAC 地址的数目，并以一定时间内所学习到的地址作为合法 MAC 地址。 通过配置 Port Security 可以控制： 端口上最大可以通过的 MAC 地址数量 端口上学习或通过哪些 MAC 地址 对于超过规定数量的 MAC 处理进行违背处理 端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。 交换机动态学习端口 MAC，直到指定的 MAC 地址数量，交换机关机后重新学习。 目前较新的技术是 Sticky Port Security，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存在。 对于超过规定数量的 MAC处理进行处理一般有三种方式（针对交换机型号会有所不同）： Shutdown：端口关闭。 Protect： 丢弃非法流量，不报警。 Restrict： 丢弃非法流量，报警。 配置 示例 Port Security配置选项： Switch(configif) switchport portsecurity ? aging Portsecurity aging mands macaddress Secure mac address maximum Max secure addresses violation Security violation mode 配置 Port Security 最 大 MAC数目，违背处理方式， 恢复方法 ： Switch(config)int fastEther 3/48 Switch (configif)switchport portsecurity Switch (configif)switchport portsecurity maximum 2 Switch (configif)switchport portsecurity violation shutdown Switch (config)errdisable recovery cause psecureviolation Switch (config)errdisable recovery interval 30 通过配置 sticky portsecurity学得的 MAC： interface FastEther3/29 switchport mode access switchport portsecurity switchport portsecurity maximum 5 switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky DHCP欺骗 攻击的防范 采用 DHCP 管理的常见问题 采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS、 WINS 等网络参数，简化了用户网络设置，提高了管理效率。 但在 DHCP 管理使用上也存在着一些另网管人员比较问题，常见的有： DHCP server 的冒充。 DHCP server 的 DOS 攻击。 有些用户随便指定地址，造成网络地址冲突。 由于 DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存 在多台 DHCP 服务器将会给网络照成混乱。 由于不小心配置了 DHCP 服务器引起的 网络混乱 也 非常常见。 黑客利用类似 Goobler 的工具可以发出大量带有不同源 MAC 地址的 DHCP 请求，直到DHCP 服务器对应网段的所有地址被占用，此类攻击既可以造成 DOS 的破坏，也可和 DHCP 服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。 DHCP 服务器欺诈可能是故意的，也可能是无意启动 DHCP 服务器功能，恶意用户发放错误的 IP 地址、 DNS 服务器信息或默认网关信息，以此来实现流量的截取。 一个 “ 不可靠 ” 的 DHCP 服务器通常被用来与攻击者协作，对网络实施 “ 中间人 ”MITM（ ManInTheMiddle） 攻击。 中间人攻击是一种攻击者利用正常的协议处理行为来更改两个终端之间的正常通信数据流而形成的一种攻击技术。 首先一个黑客会广播许多含有欺骗性MAC 地址的 DHCP 请求（动态主机配置请求），从而耗尽合法 DHCP 服务器上的地址空间，一旦其空间地址被耗尽，这个 “ 不可靠 ” 的 DHCP 服务器就开始向 “ 用户 ” 的 DHCP 请求进行应答了，这些应答信息中将包括 DNS 服务器和一个默认网关的信息，这些信息就被用来实施一个 MITM 中间人攻击。 黑客 也可以 利用冒充的 DHCP 服务器，为用户分配一个经过修改的 DNS Server，在用户 毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取 用户帐户和密码，这种攻击是非常恶劣的。 DHCP Snooping 技术 概述 DHCP Snooping 技术是 DHCP 安全特性，通过建立和维护 DHCP Snooping 绑定表过滤不可信任的 DHCP 信息，这些信息是指来自不信任区域的 DHCP 信息。 通过截取一个虚拟局域网内的 DHCP 信息，交换机可以在用户和 DHCP 服务器之间担任就像小型安全防火墙这样的角色， “DHCP 监听 ” 功能基于动态地址分配建立了一个 DHCP 绑定表，并将该表存贮在交换机里。 在没有 DHCP 的环境中，如数据中心，绑定条目可能被静态定义，每个 DHCP 绑定条目包含客户端地址（一个静态地址或者一个从 DHCP 服务器上获取的地址）、客户端 MAC 地址、端口、 VLAN ID、租借时间、绑定类型（静态的或者动态的）。 如下表所示： Cat6509sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface 00:0D:60:2D:45:0D 600735 dhcpsnooping 100 GigabitEther1/0/7 这张表不仅解决了 DHCP 用户的 IP 和端口跟踪定位问题，为用户管理提供方便，而且还供给动态 ARP 检测（ DAI）和 IP Source Guard 使用。 基本防范 为了防止这种类型的攻击， Catalyst DHCP 侦听（ DHCP Snooping）功能可有效阻止此类攻击，当打开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应该作出任何 DHCP 响应，因此欺诈 DHCP 响应包被交换机阻断，合法的 DHCP 服务器端口或上连端口应被设置为信任端口。 Catalyst DHCP 侦听（ DHCP Snooping）对于下边介绍的其他阻止 ARP 欺骗和 IP/MAC地址的欺骗是必需的。 首先定义交换机上的信任端口和不信任端口，对于不信任端口的 DHCP 报文进行截获和嗅探， DROP 掉来自这些端口的非正常 DHCP 响应 应报文 ，如下图所示： 基本配置示例如下表： IOS 全局命令： ip dhcp snooping vlan 100,200 /*定义哪些 VLAN 启用 DHCP 嗅探 ip dhcp snooping 接口命令 ： ip dhcp snooping trust no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps) /*一定程度上防止 DHCP 拒绝服务攻击 */ 手工添加 DHCP 绑定表 ： ip dhcp snooping binding vlan 10 interface gi1/1 expiry 1000 导出 DHCP绑定表到 TFTP 服务器 ： ip dhcp snooping database 需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh、 slot0、 ftp、 tftp)或导出到指定 TFTP 服务器上，否则交换机重启后 DHCP 绑定表丢失，对于已经申请到 IP 地址的设备在租用期内，不会再次发起 DHCP 请求， 如果此时交换机己经配置了下面所讲到的 DAI 和I。