二層網(wǎng)絡安全防范筆記

  此文參考思科網(wǎng)絡安全部分書箱所作筆記，當然此筆記只是二層網(wǎng)絡安全防范里的一部分，需要根據(jù)自身的實際環(huán)境回以實施以保證網(wǎng)絡安全。

MAC***與防范：

• ***：MAC     Address泛洪***，可利用某些工具(如：Ettercap、macof)產(chǎn)生大量MAC Address占滿交換機MAC Table，導致整個網(wǎng)絡癱瘓

• 防范：1) port     security 端口安全

          2) MAC address activity notification　MAC 地址活動性通告

          3) unknow unicast flooding protection　未知單播泛洪保護(6509才有此功能)    

STP生成樹***與防范

• ***：1)人為偽造網(wǎng)橋根(bridge ID)

          2) 利用BPDU泛洪的DoS***(網(wǎng)絡環(huán)路)

          3) 利用配置BPDU泛洪

          4) 模擬一臺雙雙宿主機(Dual-homed)交換機橋接

• 防范：1) Root     guard(根保護),確保該端口為指定端口(designated     port)

          2) BPDU-guard(BPDU保護)

          3) BPDU Filtering (BPDU過濾)

          4) Layer 2 PDU rate limiter(第二層的PDU速率限制器)

VLANN***與防范

• ***：利用工具劫持標籤Vlan即是TAG vlan。注：native VLAN 上幀是被無標記(untagged)傳播的。工具:Yersinia可實現(xiàn)cdp、dhcp、dot1q、dtp、hsrp、isl、mpls、stp、vtp等***；

• 防范：1).確保不將native VLAN分配給任何訪問端口

          2).從Trunk中清除native VALN(不建議使用)

          3).強制Trunk上所有的流量都攜帶一個tag

DHCP***與防范

• 說明：DHCP客戶端偵聽數(shù)據(jù)報協(xié)議(User Datagram Protocol, UDP)的68 Port,而DHCP服務器偵聽UDP的67     Port；

• ***：1) 耗盡DHCP的地址池范圍(DHCP scope exhaustion);

          2) 安裝一臺非法(rouge)DHCP服務器

•  防范：利用DHCP　snooping 監(jiān)視并限制DHCP操作:

           a. 端口級DHCP消息速率限制；

           b. DHCP消息確認(validation)

           c. Option 82的插入和移除

           ** ip dhcp snooping informationoption -->寫入option82

           d. 防止通過DHCP發(fā)起的DoS***

• DHCP　Snooping配置如下：

     Switch(config)#ip dhcp snooping   //打開DHCP Snooping功能

     Switch(config)#ip dhcp snooping vlan 10   //設置DHCP Snooping功能將作用于哪些VLAN

     Switch(config)#ip dhcp snooping verify mac-address//檢測非信任端口收到的DHCP請求報文的源MAC和CHADDR字段是否相同，以防止DHCP耗竭***，該功能默認即為開啟  

     Switch(config-if)#ip dhcp snooping trust   //配置接口為DHCP監(jiān)聽特性的信任接口，所有接口默認為非信任接口

     Switch(config-if)#ip dhcp snooping limit rate 15  //限制非信任端口的DHCP報文速率為每秒15個包（默認即為每秒15個包）如果不配該語句，則show ip dhcp snooping的結(jié)果里將不列出沒有該語句的端口，可選速率范圍為1-2048

建議：在配置了端口的DHCP報文限速之后，最好配置以下兩條命令
     Switch(config)#errdisable recovery cause dhcp-rate-limit//使由于DHCP報文限速原因而被禁用的端口能自動從err-disable狀態(tài)恢復

     Switch(config)#errdisable recovery interval 30 //設置恢復時間；端口被置為err-disable狀態(tài)后，經(jīng)過30秒時間才能恢復

     Switch(config)#ip dhcp snooping information option //設置交換機是否為非信任端口收到的DHCP報文插入Option 82，默認即為開啟狀態(tài)

     Switch(config)#ip dhcp snooping information option allow-untrusted //設置匯聚交換機將接收從非信任端口收到的接入交換機發(fā)來的帶有選項82的DHCP報文

     Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131interface fa0/2 expiry 692000  //特權(quán)模式命令；手工添加一條DHCP監(jiān)聽綁定條目；expiry為時間值，即為監(jiān)聽綁定表中的lease（租期）

     witch(config)#ip dhcp snooping database flash:dhcp_snooping.db//將DHCP監(jiān)聽綁定表保存在flash中，文件名為dhcp_snooping.db

      Switch(config)#ip dhcpsnooping database tftp://10.133.131.142/Switch/dhcp_snooping.db //將DHCP監(jiān)聽綁定表保存到tftp服務器；192.168.2.5為tftp服務器地址，必須事先確定可達。URL中的Switch是tftp服務器下一個文件夾；保存后的文件名為dhcp_snooping.db，當更改保存位置后會立即執(zhí)行“寫”操作。

     Switch(config)#ip dhcp snooping database write-delay 30//指DHCP監(jiān)聽綁定表發(fā)生更新后，等待30秒，再寫入文件，默認為300秒；可選范圍為15-86400秒

     Switch(config)#ip dhcp snooping database timeout 60//指DHCP監(jiān)聽綁定表嘗試寫入操作失敗后，重新嘗試寫入操作，直到60秒后停止嘗試。默認為300秒；可選范圍為0-86400秒

說明：實際上當DHCP監(jiān)聽綁定表發(fā)生改變時會先等待write-delay的時間，然后執(zhí)行寫入操作，如果寫入操作失?。ū热鐃ftp服務器不可達），接著就等待timeout的時間，在此時間段內(nèi)不斷重試。在timeout時間過后，停止寫入嘗試。但由于監(jiān)聽綁定表已經(jīng)發(fā)生了改變，因此重新開始等待write-delay時間執(zhí)行寫入操作……不斷循環(huán)，直到寫入操作成功。

     Switch#renew ip dhcp snooping database flash:dhcp_snooping.db//特權(quán)級命令；立即從保存好的數(shù)據(jù)庫文件中讀取DHCP監(jiān)聽綁定表。

• 顯示DHCP Snooping的狀態(tài)

     Switch#show ip dhcpsnooping   //顯示當前DHCP監(jiān)聽的各選項和各端口的配置情況

      Switch#show ip dhcp snooping binding//顯示當前的DHCP監(jiān)聽綁定表

      Switch#show ip dhcp snoopingdatabase //顯示DHCP監(jiān)聽綁定數(shù)據(jù)庫的相關(guān)信息
      Switch#show ip dhcp snoopingstatistics//顯示DHCP監(jiān)聽的工作統(tǒng)計

      Switch#clear ip dhcp snoopingbinding //清除DHCP監(jiān)聽綁定表；注意：本命令無法對單一條目進行清除，只能清除所有條目

      Switch#clear ip dhcp snoopingdatabase statistics//清空DHCP監(jiān)聽綁定數(shù)據(jù)庫的計數(shù)器

      Switch#clear ip dhcp snoopingstatistics  //清空DHCP監(jiān)聽的工作統(tǒng)計計數(shù)器

ARP***與防范

• ARP的風險分析:缺乏認證、信息泄露、可用性問題

• ***：ARP spoofing(ARP欺騙)，***工具:dsniff、ettercap、cain

• 防范：

  1) 增加三層交換機。借助于從DHCP學到的正規(guī)(ip,mac)映射，丟棄所有欺騙的ARP應答數(shù)據(jù)包

　  2) 主機，可以忽略免費ARP數(shù)據(jù)包

      3) ***檢測系統(tǒng)(Intrusion Detection System,IDS)。可以保持所有(ip,mac)映射的狀態(tài)，并能檢測是否有人企圖改變現(xiàn)有映射　

     ** Cisco IOS啟用DAI

    **Cisco IOS中高級的DAI配置

PoE以太網(wǎng)***與防范

• PoE檢測機制：

  1).Cisco標準，從5類線的一對雙絞線上發(fā)送一個交流電(AC)信號并檢查該電流是否能夠從另一對返回。

        2).IEEE 802.3af。從5類線的兩對雙絞線上以一個直流(DC)電壓，并檢查是否有電流流動。

• PoE風險分析：

  1). 電能損耗(Power Gobbling)。未經(jīng)授權(quán)的設備連接至交換機上請求大量的電能，以至于授權(quán)PES無電可用

        2). 改變功率(Power Changing)

        3). 燒毀(Burning)。***者欺騙交換機的供電檢測機制，導致交換機向不需要通過5類線供電的末端工作站提供電能

        4). 關(guān)閉(shutting down) 如果***者關(guān)閉交換機或切斷電纜，PES將無法收到電源并被關(guān)閉

• 防范：1) 防疫偷電行為

      **　設備端口為7W(7000mw)

HSRP***與防范

• HSRP說明：HSRP運行在UDP之上，IPV4的端口號為1985，IPv6的端口號為2029。HSRP數(shù)據(jù)包被發(fā)送至多播地址224.0.0.2 或是224.0.0.102，TTL值被設定為1。

• HSRP***：

              1).DoS***，工具IRPAS軟件包中的HSRP工具，命令如下：

               hsrp -d 224.0.0.2 -v 192.168.0.8 -a cisco -g-i eth0 -S 192.168.0.66

              2).中間人***

              3).信息泄露

• HSRP防范：1).強制認證，使用MD5　HMAC驗證所有的HSRP消息

              2).使用ACL過濾非源自附連接主機發(fā)送HSRP消息

VRRP***與防范

• VRRP說明：VRRP運行在IP協(xié)議上，端口號為112.VRRP數(shù)據(jù)包被發(fā)往多播地址224.0.0.18，TTL值為225。

• VRRP***：1).中間人***(MIMT)，所有末端工作站將數(shù)據(jù)包發(fā)送給***者而非真正的路由器

              2).DoS***

• VRRP防范：1).使用強制認證，使用MD5驗證VRRP消息

              2).使用ACL過濾非源自附連接主機發(fā)送的VRRP欺騙

CDP***與防范

• CDP說明：CDP并非運行在IP協(xié)議之上，而是直接在數(shù)據(jù)鏈路層上運行。

• CDP***:1).軟件或是系統(tǒng)BUG

            2).輔助(Auxiliary) VLAN,***者可獲悉IP電話所使用的VLAN

            3).CDP緩存溢出

            4).占用CDP緩存

• CDP防范：1).檢查系統(tǒng)BUG并升級

              2).關(guān)閉CDP

交換機三種平面

• 數(shù)據(jù)平面：數(shù)據(jù)平面完成數(shù)據(jù)包轉(zhuǎn)發(fā)。

• 控制平面：1)地址解析協(xié)議(ARP)數(shù)據(jù)包

              2)Cisco 發(fā)現(xiàn)協(xié)議(CDP)數(shù)據(jù)包

              3)VLAN Trunk協(xié)議(VTP) /　生成樹協(xié)議(STP)數(shù)據(jù)包

              4)路由協(xié)議信息

• 管理平臺:管理平面負責對交換機的轉(zhuǎn)發(fā)行為進行控制/配置

• ***交換機：

  1) 大多數(shù)數(shù)據(jù)平面流量僅影響交換機的fabric和以太網(wǎng)控制器

        2) 控制平面流量由一個以太陽網(wǎng)控制器傳入，并經(jīng)一條交換機通首進入中央CPU

　　 3) 管制平面流量與控制平面流量所經(jīng)過經(jīng)歷的路徑相同

• 防范交換機***：

  1) 盡量使用帶外管理　

　　 2) 僅接受來自特定子網(wǎng)或主機的流量

        3) 對所有管理流量加密(SSH和SNMP V3)

         4) 使用認證、授權(quán)和計賬(AAA)

         5) 啟用syslog / SNMP Trap消息監(jiān)控所有管理平面的行為

控制平面的監(jiān)管

• 駐留于控制平面的數(shù)據(jù):

       1) 二層處理(L2     Processing)。一臺交換機必須處理和響應以下數(shù)據(jù)包STP、PVST、LACP、PAgP、802.1X、CDP、DTP、UDLD、VTP以及keepalive數(shù)據(jù)包

       2) Internet管理組管理協(xié)議(IGMP)

       3) Internet控制消息協(xié)議(ICMP)

       4) 三層處理(L3 Processing)

       5) 管理流量

• 保護交換機的控制平面:

  1)基于硬件的CoPP(Hardware-based     CoPP)，針對不必要的流量，運用底層的ASIC特性將丟棄，或?qū)ζ鋵嵭兴俾氏拗?rate-limit)，C6509具備硬件的CoPP，使用mls rate-limit命令來改變速率限制器的值。如為了限制因TTL到期而被丟棄的每秒數(shù)據(jù)包的量；

　　C6509(config)#mls rate-limit all ttl-failure 10

     * C6509上啟動多層交換(MLS) QoS特性，就可以在中央策略特性卡(Policy Feature Card,PFC)以及支持分布式轉(zhuǎn)發(fā)的線卡          上啟用基本硬件的CoPP；

　　C6509(config)#mls qos

        2)基于軟件的CoPP(Software-basedCoPP，針對不必要的流量，使用中央CPU將其丟棄或?qū)ζ鋵嵭兴俾氏拗?/span>

            a. 關(guān)鍵流量等級(critical)

            b. 重要流量等級(important)

            c. 正常(normal)

            d. 不必要流量特級

                          e.默認流量等級

利用交換機發(fā)現(xiàn)數(shù)據(jù)平面的拒絕服務***(DoS)

• 使用NetFlow檢測DoS

• 利用RMON(Remote Monitoring,遠程監(jiān)控)保護網(wǎng)絡

線速訪問控制列表保護網(wǎng)絡

• 過濾Bogons網(wǎng)段 ，bogon網(wǎng)段不會出現(xiàn)在Internet上. 包括下列地址：

      1)RFC 1918定義的私有地址

      2)Loopback 口地址(127.0.0.0/8).

      3)IANA 保留的地址.

      4)多播地址(224.0.0.0/4).

      5)學術(shù)研究用地址 (240.0.0.0/4).

      6)DHCP 本地私有地址 (169.254.0.0/16). This is what your PC uses if it cannot find aDHCP server from which to acquire its addressing information.

•  這些地址不在互聯(lián)網(wǎng)上的路由表中出現(xiàn)，***經(jīng)常使用這些地址用來發(fā)起DOS***，或是IP欺騙等，可以使用下面的方法來堵塞這些地址：

     1)ACL filtering

     2)BGP prefix filtering

     3)Black hole routing

     4)Route policy filtering with route maps

在Internet的進口處啟用ACL過濾Bogons

Router(config)# ipaccess-list extended ingress-filter

Router(config-ext-nacl)#remark Unassigned IANA addresses //IANA未分配的地址

Router(config-ext-nacl)#deny ip 1.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 2.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 5.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 7.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 23.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 27.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 31.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 36.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 37.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 39.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 41.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 42.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 49.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 50.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 58.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 59.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 60.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 70.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 71.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 72.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 73.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 74.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 75.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 76.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 77.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 78.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 79.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 83.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 84.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 85.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 86.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 87.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 88.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 89.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 90.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 91.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 92.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 93.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 94.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 95.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 96.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 97.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 98.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 99.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 100.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 101.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 102.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 103.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 104.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 105.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 106.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 107.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 108.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 109.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 110.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 111.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 112.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 113.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 114.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 115.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 116.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 117.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 118.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 119.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 120.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 121.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 122.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 123.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 124.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 125.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 126.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 197.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 201.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#remark RFC 1918 private addresses //RFC1918定義的私有地址

Router(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any

Router(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any

Router(config-ext-nacl)#remark Other bogons //其他bogons地址

Router(config-ext-nacl)#deny ip 224.0.0.0 15.255.255.255 any //組播地址

Router(config-ext-nacl)#deny ip 240.0.0.0 15.255.255.255 any //學術(shù)研究地址

Router(config-ext-nacl)#deny ip 0.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 169.254.0.0 0.0.255.255 any //DHCP 本地私有地址

Router(config-ext-nacl)#deny ip 192.0.2.0 0.0.0.255 any //測試地址

Router(config-ext-nacl)#deny ip 127.0.0.0 0.255.255.255 any //回環(huán)口地址

Router(config-ext-nacl)#remark Internal networks //內(nèi)部網(wǎng)段的地址

Router(config-ext-nacl)#deny ip 200.1.1.0 0.0.0.255 any //內(nèi)部服務器網(wǎng)段的地址

Router(config-ext-nacl)#remark Allow Internet to specific services

Router(config-ext-nacl)#remark permit <what you need to permit>

Router(config-ext-nacl)#deny ip any any

Router(config-ext-nacl)#exit

Router(config)#interface ethernet1

Router(config-if)# ipaccess-group ingress-filter in 在WAN口的IN方向上應用