第4章-交换机安全配置交换机安全配置.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,正文,-,*,第四章,交换机安全配置,培养目标,通过本章的学习，希望您能够：,掌握思科,IOS,的口令验证方式及配置方法,掌握交换机端口安全原理及配置方法,管理配置,Cisco IOS,设备,限制设备访问 配置口令,使用机柜和上锁的机架限制人员实际接触网络设备是不错的做法,必须从本地为每台设备配置口令以限制访问。,在此介绍的口令有：,-控制台口令 用于限制人员通过控制台连接访问设备,-使能口令 用于限制人员访问特权执行模式,-使能加密口令 经加密，用于限制人员访问特权执行模式,-VTY 口令 用于限制人员通过 Telnet 访问设备,限制设备访问 配置口令,Switch(config)#line console 0,Switch(config-line)#password,password,Switch(config-line)#login,限制设备访问 配置口令,请尽可能使用 enable secret 命令，而不要 使用较老版本的 enable password 命令。enable secret 命令可提供更强的安全性，因为使用此命令设置的口令会被加密。enable password 命令仅在尚未使用 enable secret 命令设置口令时才能使用。,Router(config)#enable password,password,Router(config)#enable secret,password,Router(config)#line vty 0 4,Router(config-line)#password,password,Router(config-line)#login,限制设备访问 配置口令和使用标语,限制设备访问 配置口令,加密显示口令,它可在用户配置口令后使口令加密显示。service password-encryption 命令对所有未加密的口令进行弱加密。当通过介质发送口令时，此加密手段不适用，它仅适用于配置文件中的口令。此命令的用途在于防止未经授权的人员查看配置文件中的口令。,Router(config)#service password-encryption,4.1.6,配置特权等级,通过设置口令保护和划分特权级别来实现网络管理的灵活性和安全性，是控制网络上的终端访问和管理交换机的最简单办法。用户级别范围是,015,级，级别,0,是最低的级别。交换机设备系统只有两个受口令保护的授权级别：普通用户级别（,0,级）和特权用户级别（,15,级）。,用户模式只有,Show,的权限和其他一些基本命令；特权模式拥有所有的权限，包括修改、删除配置。在实际情况下，如果给一个管理人员分配用户模式权限，可能不能满足实际操作需求，但是分配给特权模式则权限太大，容易发生误操作或密码泄漏。使用特权等级，可以定制多个等级特权模式，每一个模式拥有的命令可以按需定制。,Switch,(config)#username,username,privilege,level,password,password,设置管理人员的登录用户名、密码和相应的特权等级,Switch(config)#,privilege,mode,level,level command,设置命令的级别划分。,mode,代表命令的模式，有：,configure,表示全局配置模式、,exec,表示特权命令模式、,interface,表示接口配置模式等等。,level,代表授权级别，范围从,0,到,15,。,level 1,是普通用户级别，,level 15,是特权用户级别，在各用户级别间切换可以使用,enable,命令。,command,代表要授权的命令。,注意：一旦一条命令被赋予一个特权等级，比该特权等级低的其他特权等级均不能使用该命令。,4.2,交换机端口安全,控制,准备知识（二）,常见针对交换机的安全攻击,MAC,地址泛洪,-,主机,A,向主机,B,发送流量。交换机收到帧，并在其,MAC,地址表中查找目的,MAC,地址。如果交换机在,MAC,地址表中无法找到目的,MAC,，则交换机将复制帧并将其从每一个交换机端口广播出去。,MAC,地址泛洪,主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2，并将该信息写入 MAC 地址表。,主机,C,也收到从主机,A,发到主机,B,的帧，但是因为该帧的目的,MAC,地址为主机,B,，因此主机,C,丢弃该帧。,MAC,地址泛洪,由主机,A,（或任何其它主机）发送给主机,B,的任何帧都转发到交换机的端口,2,，而不是从每一个端口广播出去。,MAC,地址泛洪,攻击者使用交换机的正常操作特性来阻止交换机正常工作。,MAC,地址泛洪,只要网络攻击工具一直运行，交换机的,MAC,地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机,A,发送到主机,B,的帧也会从交换机上的端口,3,向外广播。,欺骗攻击,攻击者窃取网络流量的一种办法是伪装有效,DHCP,服务器发出的响应,欺骗攻击,要防止,DHCP,攻击，请使用,Cisco Catalyst,交换机上的,DHCP,侦听和端口安全性功能,。,CDP 攻击,默认情况下,，大多数,Cisco 路由器和交换机都启用了CDP。,建议如果设备不需要使用,CDP,，则在设备上禁用,CDP,。,telnet,攻击,的,类型：,暴力密码攻击,Dos,攻击,抵御暴力密码攻击：,-,经常更改密码,-,使用强密码,-,限制可通过,vty,线路进行通信的人员,抵御暴力密码攻击：,更新为最新版本的,Cisco IOS,软件,4.2.1,风暴控制,在以太网网络中，广播数据是必然存在的，是一种正常的数据。但是，有时候因为网络蠕虫病毒、攻击者或者网络错误的配置等发送大量的广播，导致网络拥塞和报文传输超时，影响网络的正常通信，因此需要通过交换机来发现和限定这种异常流量（风暴流量）的发生，交换机将暂时禁止相应类型的包的转发直到数据流恢复正常。,缺省情况下，,Cisco,二层交换机针对广播的风暴控制功能均被关闭。我们可以在交换机的接口模式下打开其广播的风暴控制开关。接口配置模式下通过命令,no storm-control broadcast level,来关闭接口相应的风暴控制功能。,步骤,命令,含义,步骤,1,Switch#,configure terminal,进入全局配置模式。,步骤,2,Switch(config)#,interface,interface-id,进入接口配置模式。,步骤,3,Switch(config-if)#,storm-control broadcast level,x,打开对广播风暴的控制功能，设置网络风暴阀值，数值是按百分比算的，如果你是百兆口，数值设为,1,，那就代表,1%,步骤,4,Switch(config-if)#,end,回到特权模式。,步骤,5,Switch#,sh storm-control broadcast,验证配置。,步骤,6,Switch#,copy running-config startup-config,保存配置。,(,可选,),显示风暴控制使能状态,我们可以在特权模式下，通过,show storm-control broadcast,命令来查看接口的风暴控制使能状态。,4.2.4,端口保护控制,交换机的端口安全,是工作在交换机二层端口上的一个安全特性,只允许特定,MAC,地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络,限制端口接入的设备数量，防止用户将过多的设备接入到网络中,配置端口安全存在以下限制,一个安全端口必须是一个,Access,端口，而非,Trunk,端口,一个安全端口不能是一个聚合端口（,Aggregate Port,）,一个安全端口不能是镜像（,SPAN,）的目的端口。,步骤,命令,含义,步骤,1,Switch#,configure terminal,进入全局配置模式。,步骤,2,Switch(config)#,interface,interface-id,选定一个接口，并进入接口配置模式。,步骤,3,Switch(config-if)#,switchport protected,将该接口设置为保护口,Switch(config-if)#,no switchport protected,取消该接口的保护口,步骤,4,Switch(config-if)#,end,退回到特权模式。,步骤,5,Switch#,show interfaces switchport,验证配置,步骤,6,Switch#,copy running-config startup-config,保存配置（可选）。,端口保护控制的配置步骤,4.2.4,交换机端口安全,如果用户操作超出端口安全允许的操作范围，这种现象称之为违例。,当违例产生时，有下面,3,种违例的处理模式：,Protect,：安全端口将丢弃未知名地址,(,不是该端口的安全地址中的任何一个,),的包,Restrict,：交换机不但丢弃接收到的帧（,MAC,地址不在安全地址表中），而且将发送一个,SNMP Trap,报文，给网管,Shutdown,：交换机将丢弃接收到的帧（,MAC,地址不在安全地址表中），发送一个,SNMP Trap,报文，而且将端口关闭。,端口安全的配置,打开该接口的端口安全功能,设置接口上安全地址的最大个数,配置处理违例的方式,Switch(conifg-if),#,switchport port-security,Switch(conifg-if),#,switchport port-security maximum,number,Switch(conifg-if),#,switchport port-security violation protect|restrict|shutdown,端口安全默认配置,端口安全的配置,配置安全端口上的安全地址,配置安全端口上的安全地址,当端口由于违规操作而进入“,err-disabled”,状态后，必须在全局模式下使用如下命令手工将其恢复为,UP,状态,使用,errdisable,recovery命令后所有的违例端口都会被恢复,设置端口从,“err-disabled”,状态自动恢复所等待的时间,Switch(conifg-if),#,switchport port-security,mac-address,mac-address,ip-address,ip-address,Switch(conifg),#,errdisable recovery /6.x,版本模拟器上无此指令,Switch(conifg),#,errdisable recovery interval,time,配置端口安全,配置安全地址的老化时间，时间过后地址更新,关闭一个接口的安全地址老化功能（老化时间为,0,）,使老化时间仅应用于动态学习到的安全地址,Switch(conifg-if),#,switchport port-security aging,static,|,time,time,Switch(conifg-if),#,no switchport port-security aging time,Switch(conifg-if),#,no switchport port-security aging static,查看端口安全信息,显示所有接口的安全设置状态、违例处理等信息,来查看安全地址信息，显示安全地址及老化时间,显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等,Router#,show port-security interface,interface-id,Router#,show port-security address,Router#,show port-security,在,Cisco Catalyst,交换机上配置端口安全性,端口安全的配置,验证端口安全性,端口安全的配置,针对常见安全攻击,禁用未使用的端口,一种简单方法是禁用网络交换机上所有未使用的端口,，这样做可保护网络，使其免受未经授权的访问。,？Any Question,