规避风险 强化数据链路层安全

Security信息安全责任编辑：赵志远 投稿信箱：netadmin@365master.com规避风险 强化数据链路层安全■ 河南 刘建臣编者按： 在整个OSI网络分层模型中，第二层（即数据链路层）同其他层次相比，面临的安全风险是最大的。但是就安全防护的强度来说，二层又恰恰是一个短板，其安全防护往往是最弱的。因此，要强完善网络的整体安全性，必须强化对二层的安全保护。数据链路层存在的安全风险二层交换机工作原理很简单，其实是存在一定的安全隐患的。例如非法用户可以使用单播泛洪，伪造MAC地址等手法进行攻击。利用Port Security技术可有效阻止以上攻击。通过交换机特定端口可以学习到的MAC地址数量，将触发Shutdown、Restrict、Protect等行为，让MAC地址泛洪攻击失效。当交换机指定端口学习到的MAC地址数量超标时，默认执行Shutdown动作模式该接口处于errordisable状态并报警。如果指定了第二种方式，则丢弃不合规的数据包并报警。如果指定了第三种方式，则直接丢弃违规的数据包而不报警。对于同一个MAC地址来说，在交换机的中的同一个VLAN中的两个不同接口不能同时将其学习到，这可以防止伪造MAC地址攻击。注意，在默认情况下所有接口的Port Security的功能是禁用的。每个接口最大的MAC地址容量为1个。对于交换机的地址学习方式来说，包括自动学习（默认）、手工指派和Stick（粘帖）。对于手动指派来说，可以为指定的端口绑定某个MAC地址，如果其他主机连接上来，则视为违规。对于网络打印机、项，点击【上接第131页】New”“Go”按钮，输入新的WLAN和SSID名称（例如“AuthTLS”），来创建该WLAN。在其属性窗口中的“General”面板中的“Status”栏中选择“Enabled”项，激活该WLAN。在 “Security”面板中打开“AAA Servers”标签，在“Local EAP 中Mobility Client连接该SSID，注意在连接窗口中的“802.1X Configuratuion”栏中的两个列表中分别选择“Certificate”和“EAP-TLS”项，执行证书认证操作。当认证通过后，就可以顺利接入无线网络中了。Authentication”栏选择“Enabled”项，在“EAP Profile Name”列表中选择上述“Leapt”项目。在客户端使用Cisco AnyConnect Security 1322019.10 www.365master.com 责任编辑：赵志远 投稿信箱：netadmin@365master.com信息安全Security网络摄像头等特殊设备来说，因其MAC地址不易查看，所以可采用Sticky方式获得，即让指定端口学习到的第一个MAC地址以粘帖的方式进行绑定。启用端口安全，提高数据链路层安全性例如，当登录到交换机上后，执行“sh port-securoty interface ethernet 0/0”命令，在返回信息中的“Port Security”栏中如果“Disable”字样，说明该端口的Port Security功能没有开启。执行“config t”“，int ethernet 0/0”，“switch port-security”，来针对该端口开启Port Security功能。注意，如果是动态协商成Trunk的接口是不能开启Port Security功能的，只能是Access接口才可以。可以执行“switchport mode access”、“swithport access vlan x”命令，将其修改为Access模式即可。执行“switchport port-security maximum x”命令，可以将该端口最大可以学习的端口数量设置为“X”，“X”为具体的数量值。执行“switchport port-security violation protect”或者执行“switchport port-cause?”命令，会显示所有可能的原因，包括bpduguard，dtp-flap，link-flap，storm-control等等，这security violation restrict”命令，为其设置对应的动作模式。执行“switchport port-security mac-address x.x.x.x”命令，为其手动绑定指定的MAC地址。执行“switchport port-security mac-address sticky”命令，允许自动粘贴首个传入的MAC地址。至于可以绑定多少个地址，以上面设置的许可数值为准。执行“exit”，“sh run int ethernet 0/0”命令，可以查看该端口下的配置信息。在返回信息中如果会出现“Ethernet 0/0 is down,line protocol is down(error-disabled)”之类的内容，说明在该端口出现了违规问题。当然，引起error-里显然是因为“security-violation”引发的。对于处于error-disable状态的端口，恢复的方法包括自动和手动模式，对于前者来说，可以执行“errdisable recovery cause security-violation”命令，开启自动恢复功能，注意需要在该命令中指明违规的原因。执行“errdisable recovery interval x”命令，设置恢复的时间，单位为秒，范围从30到800。执行“sh errdisable recovery”命令，显示允许自动恢复的项目。例如将恢复时间设置为30秒，当达到时间点后，该端口会自动恢复。但是如果黑客的攻击持续不断，该端口会不断的处于关闭和恢复状态，这无疑会白白的消耗资disable状态的原因有很多，在全局配置模式下执行“errdisable recovery www.365master.com 2019.10133Security信息安全责任编辑：赵志远 投稿信箱：netadmin@365master.com源。因此，使用手动恢复可以有效避免该问题。其实现方法很简单，执行：config tint eth 0/0shutdownno shut即可恢复该端口活力。使用Root Guard保护根桥安全当多台交换机连接成一个环路时，会使用特定的法则算出一个接口被Block阻塞。方法是首先选择根桥，其上的所有端口都处于转发状态，之后在每个非根桥上选择一个根端口，使其处于转发状态，并在每一个网段选择一个指定端口，将其设置为转发状态，之后剩下的端口都处于Block状态。不管处于什么情况，只要交换机组成环路，都会使用STP技术为其Block一个接口。从环路的结构上分许，对于根桥来说，其上的所有端口都处于转发状态，如果有人非法在其上连接了一个交换机，如果其优先级最低，就将根桥的角色抢夺过来，造成原来网络的Block端口发生变化，该交换机上所有端口会自动处于转发状态。因为根桥可以汇聚流量，所有一旦让其得手，只要黑客在该交换机上连接一台主机，开启专用的嗅探抓包软件，就可以捕获该根桥上的所有数据。这样，网络中的所有流量就会彻底暴露在黑客面前。为了避免上述攻击方式，就需要采取Root Guard技术，避免让根桥随意发生变化。其原理是当确定某台交换机处于根桥角色时，则其他接入的交换机禁止抢夺根桥角色。例如在交换机管理命令行中执行“interface fa 0/1”，“spanning-tree guard root”命令，就可以针对fa 0/1接口Root Guard功能。此外，采用BPDU Guard方法，也可以实现同样的防护功能。我们知道，BPDU是交换机用来选择根桥以及计算哪些端口会被Block的数据包，对于有些端口（例如一些Access端口等）来说，是没有必要收到BPDU包的。对于这些Access端口来说，需要配置BPDU功能功能。对于BPDU的过滤，包括BPDU Guard和BPDU Filtering。对于前者来说，其安全级别最高，一旦被在端口下启动了BPDU Guard功能，只要其收到BPDU包，会自动将其设置为errdisable状态，并发出警告信息。例如，执行“interface fa 0/1”，“spanning-tree bpduguard enable”命令，可以在指定端口上启用BPDU Guard功能。如果执行：errdisable recovery cause bpduguarderrdisable recovery interval 30spanning-tree portfast bpduguard default可以在全局启动BPDU 1342019.10 www.365master.com 责任编辑：赵志远 投稿信箱：netadmin@365master.com信息安全SecurityGuard功能。如果端口的errdisable状态是因为BPDU Guard安全违规引起的，则经过30秒自动恢复。对于后者来说，当其端口发送和接收到BPDU包后，可以自动将其丢弃。执行正常的数据包转发操作，对BPDU包不予理睬。执行：interface fa 0/1spanning-tree bpdufilter enablespanning-tree portfast bpdufilter default可以在指定端口开启BPDU Filtering功能。防御VLAN跳跃攻击对于VALN跳跃攻击，同样不能掉以轻心。对于VALN跳跃攻击来说，有效的防御方法需要从设计角度来考虑。例如，在全局配置模式下执行：vlan 199shutdownvlan 198shutdown创建VLAN 198和VLAN 199，并将其Shutdown。执行“int range f0/15-20”命令，进入f0/15-20端口范围中，假设这些端口未被使用。执行“switchport access vlan 199”命令，将其划入VLAN 199。执行“switchport trunk encapsulation dot1q”命令，将其封装为Trunk接口，执行“switchport mode trunk”、“switch nonegotiate”命令，设置Trunk非协商功能，禁止其发送协商信息。执行“switchport trunk native vlan198”命令，将VLAN 198设置为Native VLAN。这样，VLAN 998和VLAN 999为手工关闭的VLAN，并将没有使用到的接口放置到其中。如果想使用某个未用接口（例如f 0/15），可以执行“int f 0/15”，“switchport access vlan 50”命令，将其放置到VLAN 50中，这里的VLAN 50为正常的可以使用的VALN。这样，就可以正常使用该端口了。不用的话，可以执行“switchport access vlan 199”命令，将其移动到关闭掉的VALN中。这样的话，这些未使用的端口就处于安全状态了。将Trunk协议设置为ON模式，禁止其自动协商，并禁止其定期发送相关消息。将Trunk上的Native VLAN设置为一个不使用的VLAN，在Tunk链路上配置所需要承载的具体的VLAN，并且为Native VLAN打上tag 标记。假设F0/19，f0/21为Trunk接口，执行“int range f/19,f0/21”命令，对其进行配置。执行“switchport trunk allowed vlan 10,20,30”命令，只允许其传递VLAN10，20，30的流量，这些VAN是正常可以正常使用的。执行“valn dot1q tag native”命令，对Native VLAN也打上tag标记，即将Native VLAN排除在外并禁止使用。www.365master.com 2019.10135