一.前言
本文所提到的***和欺騙行爲主要針對鏈路層和網絡層。在網絡實際環境中,其來源可歸納爲兩個途徑:人爲實施;病毒或蠕蟲。人爲實施一般是指使用一些***的工具對網絡進行掃描和嗅探,獲取管理賬戶和相關密碼,在網絡上中安插***,從而進行進一步竊取機密文件。***和欺騙過程每每比較隱蔽和安靜,但對於信息安全要求高的企業危害是極大的。而來自***或者病毒及蠕蟲的***和每每會偏離***和欺騙自己的目的,現象有時很是直接,會帶來網絡流量加大、設備 CPU 利用率太高、二層生成樹環路直至網絡癱瘓。
目前這類***和欺騙工具已經很是成熟和易用,而目前企業在部署這方面的防範還存在不少不足,有不少工做要作。思科針對這類***已有較爲成熟的解決方案,主要基於下面的幾個關鍵的技術:
Port Security feature
DHCP Snooping
Dynamic ARP Inspection (DAI)
IP Source Guard
下面部分主要針對目前很是典型的二層***和欺騙說明如何在思科交換機上組合運用和部署上述技術,從而實現防止在交換環境中實施「中間人」***、 MAC/CAM ***、 DHCP ***、地址欺騙等,更具意義的是經過上面技術的部署能夠簡化地址管理,直接跟蹤用戶 IP 和對應的交換機端口;防止 IP 地址衝突。同時對於大多數對二層網絡形成很大危害的具備地址掃描、欺騙等特徵的病毒能夠有效的報警和隔離。
1 MAC/CAM
1.1 MAC/CAM
交換機主動學習客戶端的 MAC
1.2
曾經對網絡照成很是大威脅的 SQL 蠕蟲病毒就利用組播目標地址,構造假目標 MAC 來填滿交換機 CAM 表。其特徵以下圖所示:
[img,523,474]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/arp2.files/dsfsa1.jpg[/img]
1.3
思科 Port Security feature 能夠防止 MAC 和 MAC/CAM ***。經過配置 Port Security 能夠控制:
l 端口上最大能夠經過的 MAC 地址數量
l 端口上學習或經過哪些 MAC 地址
l 對於超過規定數量的 MAC 處理進行違背處理
端口上學習或經過哪些 MAC 地址,能夠經過靜態手工定義,也能夠在交換機自動學習。交換機動態學習端口 MAC ,直到指定的 MAC 地址數量,交換機關機後從新學習。目前較新的技術是 Sticky Port Security ,交換機將學到的 mac 地址寫到端口配置中,交換機重啓後配置仍然存在。
對於超過規定數量的 MAC 處理進行處理通常有三種方式(針對交換機型號會有所不一樣):
l Shutdown 。這種方式保護能力最強,可是對於一些狀況可能會爲管理帶來麻煩,如某臺設備中了病毒,病毒間斷性僞造源 MAC 在網絡中發送報文。
l Protect 。丟棄非法流量,不報警。
l Restrict 。丟棄非法流量,報警,對比上面會是交換機 CPU 利用率上升可是不影響交換機的正常使用。推薦使用這種方式。
1.4
port-security
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
配置
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30
經過配置
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000b.db1d.6ccd
switchport port-security mac-address sticky 000b.db1d.6cce
switchport port-security mac-address sticky 000d.6078.2d95
switchport port-security mac-address sticky 000e.848e.ea01
1.5
除了 Port Security 採用 DAI 技術也能夠防範 MAC 地址欺騙。安全