2010年9月23日 星期四

9/23 Cisco CCNP-BCMSN 15章 確保Switch的安全

l   Switchport port-security
根據MAC位址控制埠的存取。
在要使用的介面配置相關指令:
        Switch(config-if)#switchport port-security
        Switch(config-if)#switchport port-security maximum 允許存取的最大MAC數目
        此為動態配置,也可靜態配置位址
        Switch(config-if)#switchport port-security mac-address XXXX. XXXX. XXXX
l   DHCP Snooping
DHCP伺服器提供clinet在網路上運作的所有基本資訊。假設情況:攻擊者在client所在的子網路架設一台惡意的DHCP Server,當client廣播DHCP要求時,惡意伺服器將發送偽造的DHCP回應,其中的Default gateway是惡意伺服器的IP位址。而client前往外部的封包會先經過攻擊者的機器,攻擊者再轉送封包到目的地,同時查看攔截的每個封包。
DHCP snooping可以防範這類攻擊,啟用DHCP snooping可以將交換埠分成可信任和不可信任的,合法的DHCP Server位於可信任的port,其他為不可信任的。
交換器可以攔截來自不可信任port的所有DHCP要求,然後向整個VLAN flood;任何來自不信任portDHCP回應都被丟棄,同時連接的交換port也會自動關閉,進入errdisable狀態。     
相關指令:
Switch(config)#ip dhcp snooping    啟用dhcp snooping
Switch(config)#ip dhcp snooping vlan id  指定執行dhcp snoopingVlan

Switch(config)#interface type mod/num
Switch(config-if)#ip dhcp snooping trust 設定已知DHCP Server所在的
                                  port為可信任port
Switch(config)#ip dhcp snooping information option
透過新增選項82,提供了更多有關實際產生的DHCP要求的client資訊
l   IP來源防護
惡意或受到攻擊的主機卻不一定遵守上述的規則,他們可能使用自己的合法位址,也可能使用偽造的位址。IP來源防護則是進行偵測並阻斷位址偽造的攻擊,第二層交換器會學到MAC位址並儲存,交換器必須確定MAC與其關聯的IP位址。IP來源防護使用DHCP snooping 資料庫,以及使用靜態來源IP位址對應項目來完成。IP來源防護須搭配DHCP snooping,來源IP是否與DHCP snooping學到的或是靜態項目對應的IP位址相同是要注意的地方,或MAC是否與switch portDHCP snooping 得知的MAC相同。
相關指令為:
Switch(config)#ip source binding mac-address vlan vlan-id interface type
mod/num  此為將主機的MAC位址對應到特定的VLAN
IP位址,並只能在特定的交換器介面看到。
               
Switch(config)#interface type mod/num
Switch(config-if)# ip verify source[port-security]
檢查來源IP,若要同時檢查MAC則再補充port-security指令

Switch#show ip verify source 查看IP來源防護的情況
l   動態ARP檢查(DAI:Dynamic ARP inspection)
DHCP snooping的觀念有點類似,不過ARP欺騙是把攻擊者的機器加入到原本合法的不同路徑中,使封包傳送到攻擊者手中,而不是另一台主機或預設閘道。
相關指令為:
        Switch(config)# ip arp intspection vlan vlan-range VLAN啟用DAI

        Switch(config)# interface type mod/num
        Switch(config-if)# ip arp inspection trust 
DHCP snooping觀念類似,也是要設定信任的port

l   確保交換器安全的最佳方法:
n   設置加密密碼:善用enable secret,將密碼儲存在NVRAM
Service password-encapsulation  自動加密儲存
n   停用不必要的服務:以下配置指令,一定要加上關鍵字no停用它們
Service tcp-small-servers
Service udp-small-servers
Service finger
Service config
n   確保交換器的控制台安全:以實體設備防止他人連接到交換器控制台,並在控制台配置驗證。
n   確保交換器的控制台安全
張貼者:

沒有留言:

張貼留言

注意:只有此網誌的成員可以留言。

訂閱: 張貼留言 (Atom)