局域網(wǎng)的安全與防御

    提到安全***，往往會想到***來自于互聯(lián)網(wǎng)，而內(nèi)部的局域網(wǎng)安全問題被忽略。在企業(yè)局域網(wǎng)中也存在很多安全隱患，本篇博客介紹幾種局域網(wǎng)內(nèi)部的安全***與防御

常見的局域網(wǎng)***

1、MAC地址擴(kuò)散***

    我們知道，交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)幀時，會查詢MAC地址表中該接口對應(yīng)的源MAC地址條目，如果沒有數(shù)據(jù)幀的源MAC地址，交換機(jī)將學(xué)習(xí)源MAC地址并與接口對應(yīng)，添加到MAC地址表中，再根據(jù)目的MAC地址進(jìn)行查找。如果目的MAC地址沒找到，就會以廣播的形式轉(zhuǎn)發(fā)數(shù)據(jù)幀。而MAC地址擴(kuò)散***就是利用交換機(jī)的這種特性

    ***原理：每臺交換機(jī)的MAC地址表空間是有限的，如果某主機(jī)發(fā)送大量的偽造源MAC地址數(shù)據(jù)幀，使得交換機(jī)MAC地址表溢出。這時，交換機(jī)在接收正常的數(shù)據(jù)幀，MAC地址表將找不到對應(yīng)的條目，該數(shù)據(jù)幀會被轉(zhuǎn)發(fā)，***者將得到正常的通信數(shù)據(jù)，如下圖：

    使用MAC地址擴(kuò)散***時，有個明顯現(xiàn)象就是交換機(jī)CPU利用率偏高，容易被發(fā)現(xiàn)。使用“show processes cpu”命令可以查看設(shè)備的CPU利用率

2、ARP***與欺騙

（1）ARP***的原理

● ***主機(jī)制造假的ARP應(yīng)答，并發(fā)送給被***主機(jī)之外所有主機(jī)。ARP應(yīng)答中包括***主機(jī)的IP地址和虛假的MAC地址

● ***主機(jī)制造假的ARP應(yīng)答，并發(fā)送給被***主機(jī)。ARP應(yīng)答中包括***主機(jī)之外所有主機(jī)的IP地址和虛假的MAC地址

    只要執(zhí)行上邊的一種***就可以實現(xiàn)被***主機(jī)與其他主機(jī)無法正常通信

（2）ARP欺騙的原理

    ARP欺騙不是使網(wǎng)絡(luò)無法正常通信，而是通過冒充網(wǎng)關(guān)或其他主機(jī)，從而控制流量或竊取機(jī)密信息

3、DHCP服務(wù)器欺騙與地址耗盡

（1）DHCP服務(wù)器欺騙：客戶端將自己配置為DHCP服務(wù)器分發(fā)虛假的IP地址，或直接響應(yīng)DHCP請求

（2）DHCP地址耗盡：客戶端不斷地冒充新客戶機(jī)發(fā)送DHCP請求，請求服務(wù)器為自己分派IP地址，從而使服務(wù)器地址耗盡，而正常主機(jī)無法獲得IP地址

4、IP地址欺騙

    客戶端使用自己配置的IP地址冒充其他客戶端或網(wǎng)絡(luò)管理員，對其他主機(jī)、設(shè)備、服務(wù)器等進(jìn)行非法操作.0

防御***的解決方案

方案1：交換機(jī)的端口安全配置

    Cisco交換機(jī)提供一種基于MAC地址控制端口訪問權(quán)限的安全特性，對MAC地址進(jìn)行流量限制、設(shè)定端口允許接入的主機(jī)數(shù)量，也可以手動在端口上設(shè)置MAC地址。只有綁定的MAC地址才能轉(zhuǎn)發(fā)

    端口安全是一種網(wǎng)絡(luò)接入的驗證，只有符合設(shè)置規(guī)則的客戶端才可以接入局域網(wǎng)，避免未授權(quán)的客戶端接入網(wǎng)絡(luò)，可實現(xiàn)以下功能：

● 基于MAC地址限制、允許客戶端流量

● 避免MAC地址擴(kuò)散***

● 避免MAC地址欺騙***

（1）啟動交換機(jī)接口安全特性

    在接口模式下配置命令如下：

switch(config-if)# switchport port-security

注意：啟動安全特性的接口不能是動態(tài)（Dynamic）協(xié)商模式，必須是接入（Access）或干道（Trunk）模式

（2）配置允許訪問的網(wǎng)絡(luò)MAC地址

    限制允許訪問網(wǎng)絡(luò)的最大的MAC地址數(shù)和靜態(tài)綁定MAC地址，命令如下：

switch(config-if)# switchport port-security maximum {max-addr}        //max-addr默認(rèn)為1，范圍是1-8192
switch(config-if)# switchport port-security mac-address {mac-addr}      //mac-addr為靜態(tài)綁定的MAC地址，格式為X.X.X

（3）配置老化時間

    默認(rèn)情況下，交換機(jī)不刪除接口獲得的MAC地址，如果接口的客戶端經(jīng)常變換，而舊MAC地址一直保留，可能導(dǎo)致新連接的客戶端無法通信?？梢耘渲美匣瘯r間，讓交換機(jī)刪除一段時間沒有流量的MAC地址 ，配置命令如下：

switch(config-if)# switchport port-security aging time {time}      //time范圍是1-1440min，默認(rèn)為0，不刪除
switch(config-if)# switchport port-security aging type {absolute | inactivity}

absolute表示老化時間到后，刪除所有MAC地址并重新學(xué)習(xí)

inactivity表示一段時間（老化時間）沒有流量，就將其MAC地址從地址表中刪除

注意：靜態(tài)綁定的MAC地址不受老化時間影響

    有些工作環(huán)境要求靜態(tài)綁定的MAC地址也受老化時間影響，配置命令如下：

switch(config-if)# switchport port-security aging static

（4）配置MAC地址違規(guī)后的策略

    當(dāng)出現(xiàn)以下情況時，就出現(xiàn)MAC地址違規(guī)

● 最大安全數(shù)目的MAC地址表之外的一個新的MAC地址訪問該端口

● 配置在其他端口安全的MAC地址試圖訪問這個端口

     當(dāng)出現(xiàn)MAC地址違規(guī)是，有三種處理方法，配置命令如下：

switch(config-if)# switchport port-security violation {protect | restrict | shutdown}

protect將違規(guī)的MAC地址的分組丟棄，但端口處于up狀態(tài)。交換機(jī)不記錄違規(guī)分組

restrict將違規(guī)的MAC地址的分組丟棄，但端口處于up狀態(tài)。交換機(jī)記錄違規(guī)分組

shutdown端口成為err-disabled狀態(tài)，相當(dāng)于關(guān)閉端口。

    在出現(xiàn)err-disabled狀態(tài)時，默認(rèn)不會自動恢復(fù)。恢復(fù)端口有兩種方法：

手動恢復(fù)：先關(guān)閉端口（shutdown），在打開端口（no shutdown）

自動恢復(fù)：設(shè)置計時器，端口進(jìn)入err-disabled狀態(tài)時開始計時，計時器超過后，自動恢復(fù)。計時器配置命令如下：

switch(config)# errdisable recovery cause psecure-violation    //配置出現(xiàn)err-disabled狀態(tài)的原因
switch(config)# errdisable recovery interval {time}         //time為30-86400，單位為s

（5）配置端口安全的Sticky（粘連）特性

    如果為每個端口配置靜態(tài)綁定，工作量非常大，用端口安全Sticky特性，動態(tài)的將交換機(jī)學(xué)習(xí)的MAC地址轉(zhuǎn)換為Sticky MAC地址，并加入運(yùn)行配置中，自動形成了端口安全允許的靜態(tài)MAC地址表項。保存配置，交換機(jī)重啟將不會重新學(xué)習(xí)。配置命令如下：

switch(config)# switchport port-security mac-address  sticky

（6）查看和清除端口狀態(tài)

switch# show port-security int f0/1         //查看啟用端口安全的狀態(tài)
switch# show interfaces status err-disabled      //查看處于err-disabled狀態(tài)的端口摘要信息
switch# show port-security                 //查看端口安全的摘要信息
switch# clear port-security dynamic {address mac-addr | int f0/1}    //清除接口的MAC地址或全部端口緩存

案例：在交換機(jī)配置端口安全，命令如下：

switch(config)# int f0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan 2
switch(config-if)# switchport port-security         //啟用端口安全
switch(config-if)# switchport port-security mac-address 0025.1234.1258    //靜態(tài)綁定MAC地址                
switch(config-if)# switchport port-security aging time 1        //配置老化時間1min 
switch(config-if)# switchport port-security aging type inactivity       //配置刪除端口MAC的策略
switch(config-if)# switchport port-security violation restrict        //配置出現(xiàn)違規(guī)時的策略

    在端口f0/1啟用端口安全，允許最大MAC地址為1，并靜態(tài)綁定MAC地址

查看啟用端口安全的狀態(tài)

switch# show port-security int f0/1
Port Security              : Enabled              //端口安全啟用
Port Status                : Secure-up            //端口狀態(tài)為up
Violation Mode             : Restrict             //出現(xiàn)違規(guī)MAC地址采取的策略
Aging Time                 : 1 mins               //老化時間
Aging Type                 : Inactivity           //端口MAC地址刪除策略
SecureStaticAddress Aging  : Disabled             //是否允許端口刪除靜態(tài)綁定MAC地址
Maximum MAC Addresses      : 1                    //最大MAC地址數(shù)量
Total MAC Addresses        : 1                    //端×××躍MAC地址數(shù)（包括靜態(tài)綁定MAC地址）
Configured MAC Addresses   : 1                    //靜態(tài)綁定的MAC地址數(shù)
Sticky MAC Addresses       : 0                    //粘連的MAC地址數(shù)
Last Source Address:Vlan   : 0025.1234.1258:2     //最新的源MAC地址及其所在的VLAN
Security Violation Count   : 0                    //安全違規(guī)次數(shù)

方案2：DHCP監(jiān)聽

    DHCP監(jiān)聽（DHCP Snooping）是一種保護(hù)DHCP服務(wù)器的安全機(jī)制，可以通過過濾來著網(wǎng)絡(luò)中的主機(jī)或其他設(shè)備的非信任DHCP報文，以保證客戶端能夠從正確的DHCP服務(wù)器獲得IP地址，避免DHCP服務(wù)器欺騙和DHCP地址耗盡

    DHCP監(jiān)聽將交換機(jī)端口分為：

非信任端口：連接終端設(shè)備的端口。該端口客戶端只能發(fā)送DHCP請求報文，丟棄來著該端口的其他所有DHCP報文

信任端口：連接合法的DHCP服務(wù)器或匯集端口

    DHCP監(jiān)聽還可以限制客戶端發(fā)送DHCP的請求速率，從而減緩DHCP資源耗盡***。Cisco交換機(jī)支持在每個VLAN上啟用DHCP監(jiān)聽

DHCP監(jiān)聽的配置

（1）啟用DHCP監(jiān)聽的命令如下：

switch(config)# ip dhcp snooping

    設(shè)置DHCP監(jiān)聽作用于哪個VLAN的命令如下：

switch(config)# ip dhcp snooping vlan number     //number為VLAN號，可以一次設(shè)多個VLAN，如2、3-5

（2）配置端口信任或非信任

    啟用DHCP監(jiān)聽后，默認(rèn)所有端口為非信任。若要配置端口為信任，配置命令如下：

switch(config-if)# ip dhcp snooping trust

（3）配置預(yù)防DHCP耗盡***

    限制DHCP報文速率，減緩DHCP耗盡***，在非信任端口配置以下命令：

switch(config-if)# ip dhcp snooping limit rate {rate}     //rate為報文速率，單位p/s，Cisco2960交換機(jī)1-2048p/s

    還可以啟用核實MAC地址功能，避免虛假MAC地址請求IP地址，從而實現(xiàn)DHCP耗盡***，配置命令如下：

switch(config)# ip dhcp snooping verify mac-address

    當(dāng)非信任端口的DHCP報文速率大于規(guī)定值，就會出現(xiàn)違規(guī)情況，端口將出現(xiàn)err-disabled狀態(tài)。和上面MAC地址違規(guī)一樣，也可以手動恢復(fù)，下面介紹下自動恢復(fù)，設(shè)置err-disabled計時器，命令如下：

switch(config)# errdisable recovery cause dhcp-rate-limit    //配置出現(xiàn)err-disabled狀態(tài)的原因
switch(config)# errdisable recovery interval {time}         //time為30-86400，單位為s

（4）DHCP監(jiān)聽狀態(tài)查詢

switch# show ip dhcp snooping                 //查看當(dāng)前DHCP監(jiān)聽狀態(tài)及各端口情況
switch# show ip dhcp snooping binding          //查看當(dāng)前DHCP監(jiān)聽表
switch# clear ip dhcp snooping binding         //清除DHCP監(jiān)聽表

案例：在交換機(jī)上啟用DHCP監(jiān)聽，限制非信任端口DHCP報文速率為100p/s

switch(config)# ip dhcp snooping                 //啟用DHCP監(jiān)聽
switch(config)# ip dhcp snooping vlan 1          //監(jiān)聽的VLAN 
switch(config)# int f0/21
switch(config-if)# ip dhcp snooping trust 
switch(config-if)# exit
switch(config)# int range f0/1 - 20
switch(config-if-range)# ip dhcp snooping limit rate 100
switch(config-if-range)# exit
switch(config)# int range f0/22 - 24
switch(config-if-range)# ip dhcp snooping limit rate 100
switch(config-if-range)# exit

    如果上面的DHCP服務(wù)器是一臺路由器是，客戶端可能無法獲得IP地址，可以在其上面配置以下任意一臺命令：

router(config-if)# ip dhcp relay information trusted       //接收DHCP報文的接口
或者
router(config)# ip dhcp relay information trust-all        //全局模式，對所有接口生效

方案3：部署網(wǎng)絡(luò)版防病毒軟件

    網(wǎng)絡(luò)版和單機(jī)版防病毒軟件最大的不同在于可以通過控制中心管理網(wǎng)絡(luò)中任意一臺計算機(jī)，統(tǒng)一殺毒、升級病毒庫等，實現(xiàn)全網(wǎng)管理。一般有服務(wù)器端和客戶端組成，具有以下特點：

（1）可以遠(yuǎn)程安裝或卸載客戶端防病毒軟件

（2）可以禁止用戶自行卸載客戶端防病毒軟件

（3）可以全網(wǎng)范圍統(tǒng)一制定、分發(fā)、執(zhí)行防病毒策略

（4）可以遠(yuǎn)程監(jiān)控客戶端系統(tǒng)健康狀態(tài)

（5）提供遠(yuǎn)程報警手段，自動將病毒信息發(fā)送給網(wǎng)絡(luò)管理員

（6）允許客戶端自定義防病毒策略