cisco交換機MAC/CAW***防範

  一.前言
本文所提到的***和欺騙行爲主要針對鏈路層和網絡層。在網絡實際環境中,其來源可歸納爲兩個途徑:人爲實施;病毒或蠕蟲。人爲實施一般是指使用一些***的工具對網絡進行掃描和嗅探,獲取管理賬戶和相關密碼,在網絡上中安插***,從而進行進一步竊取機密文件。***和欺騙過程每每比較隱蔽和安靜,但對於信息安全要求高的企業危害是極大的。而來自***或者病毒及蠕蟲的***和每每會偏離***和欺騙自己的目的,現象有時很是直接,會帶來網絡流量加大、設備 CPU 利用率太高、二層生成樹環路直至網絡癱瘓。
目前這類***和欺騙工具已經很是成熟和易用,而目前企業在部署這方面的防範還存在不少不足,有不少工做要作。思科針對這類***已有較爲成熟的解決方案,主要基於下面的幾個關鍵的技術: 
  Port Security feature 
  DHCP Snooping 
  Dynamic ARP Inspection (DAI) 
  IP Source Guard 
下面部分主要針對目前很是典型的二層***和欺騙說明如何在思科交換機上組合運用和部署上述技術,從而實現防止在交換環境中實施「中間人」***、 MAC/CAM ***、 DHCP ***、地址欺騙等,更具意義的是經過上面技術的部署能夠簡化地址管理,直接跟蹤用戶 IP 和對應的交換機端口;防止 IP 地址衝突。同時對於大多數對二層網絡形成很大危害的具備地址掃描、欺騙等特徵的病毒能夠有效的報警和隔離。
二.實例
1 MAC/CAM***的防範 
1.1 MAC/CAM***的原理和危害 
交換機主動學習客戶端的 MAC 地址,並創建和維護端口和 MAC 地址的對應表以此創建交換路徑,這個表就是一般咱們所說的 CAM 表。 CAM 表的大小是固定的,不一樣的交換機的 CAM 表大小不一樣。 MAC/CAM ***是指利用工具產生欺騙 MAC ,快速填滿 CAM 表,交換機 CAM 表被填滿後,交換機以廣播方式處理經過交換機的報文,這時***者能夠利用各類嗅探***獲取網絡信息。 CAM 表滿了後,流量以洪泛方式發送到全部接口,也就表明 TRUNK 接口上的流量也會發給全部接口和鄰接交換機,會形成交換機負載過大,網絡緩慢和丟包甚至癱瘓。
1.2典型的病毒利用MAC/CAM***案例 
曾經對網絡照成很是大威脅的 SQL 蠕蟲病毒就利用組播目標地址,構造假目標 MAC 來填滿交換機 CAM 表。其特徵以下圖所示: 
[img,523,474]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/arp2.files/dsfsa1.jpg[/img]
1.3使用 Port Security feature 防範MAC/CAM*** 
思科 Port Security feature 能夠防止 MAC 和 MAC/CAM ***。經過配置 Port Security 能夠控制: 
l        端口上最大能夠經過的 MAC 地址數量 
l         端口上學習或經過哪些 MAC 地址 
l        對於超過規定數量的 MAC 處理進行違背處理 
端口上學習或經過哪些 MAC 地址,能夠經過靜態手工定義,也能夠在交換機自動學習。交換機動態學習端口 MAC ,直到指定的 MAC 地址數量,交換機關機後從新學習。目前較新的技術是 Sticky Port Security ,交換機將學到的 mac 地址寫到端口配置中,交換機重啓後配置仍然存在。 
對於超過規定數量的 MAC 處理進行處理通常有三種方式(針對交換機型號會有所不一樣): 
l        Shutdown 。這種方式保護能力最強,可是對於一些狀況可能會爲管理帶來麻煩,如某臺設備中了病毒,病毒間斷性僞造源 MAC 在網絡中發送報文。 
l        Protect 。丟棄非法流量,不報警。 
l        Restrict 。丟棄非法流量,報警,對比上面會是交換機 CPU 利用率上升可是不影響交換機的正常使用。推薦使用這種方式。 
1.4配置 
port-security 配置選項:
Switch(config-if)# switchport port-security ? 
aging Port-security aging commands 
mac-address Secure mac address 
maximum Max secure addresses 
violation Security violation mode 
配置 port-security 最大 mac 數目,違背處理方式,恢復方法
Cat4507(config)#int fastEthernet 3/48 
Cat4507 (config-if)#switchport port-security 
Cat4507 (config-if)#switchport port-security maximum 2 
Cat4507 (config-if)#switchport port-security violation shutdown 
Cat4507 (config)#errdisable recovery cause psecure-violation 
Cat4507 (config)#errdisable recovery interval 30 
經過配置 sticky port-security學得的MAC 
interface FastEthernet3/29 
switchport mode access 
switchport port-security 
switchport port-security maximum 5 
switchport port-security mac-address sticky 
switchport port-security mac-address sticky 000b.db1d.6ccd 
switchport port-security mac-address sticky 000b.db1d.6cce 
switchport port-security mac-address sticky 000d.6078.2d95 
switchport port-security mac-address sticky 000e.848e.ea01 
1.5使用 其它技術 防範MAC/CAM*** 
除了 Port Security 採用 DAI 技術也能夠防範 MAC 地址欺騙。安全

相關文章
相關標籤/搜索