交換機(jī)安全配置交換機(jī)安全配置課件

1、第四章 交換機(jī)安全配置培養(yǎng)目標(biāo)通過本章的學(xué)習(xí)，希望您能夠：掌握思科IOS的口令驗(yàn)證方式及配置方法掌握交換機(jī)端口安全原理及配置方法管理配置Cisco IOS設(shè)備限制設(shè)備訪問 配置口令使用機(jī)柜和上鎖的機(jī)架限制人員實(shí)際接觸網(wǎng)絡(luò)設(shè)備是不錯的做法必須從本地為每臺設(shè)備配置口令以限制訪問。在此介紹的口令有：- 控制臺口令 用于限制人員通過控制臺連接訪問設(shè)備- 使能口令 用于限制人員訪問特權(quán)執(zhí)行模式- 使能加密口令 經(jīng)加密，用于限制人員訪問特權(quán)執(zhí)行模式- VTY 口令 用于限制人員通過 Telnet 訪問設(shè)備限制設(shè)備訪問 配置口令Switch(config)#line console 0Switch(conf

2、ig-line)#password passwordSwitch(config-line)#login限制設(shè)備訪問 配置口令請盡可能使用 enable secret 命令，而不要 使用較老版本的 enable password 命令。enable secret 命令可提供更強(qiáng)的安全性，因?yàn)槭褂么嗣钤O(shè)置的口令會被加密。enable password 命令僅在尚未使用 enable secret 命令設(shè)置口令時才能使用。Router(config)#enable password passwordRouter(config)#enable secret password Router(confi

3、g)#line vty 0 4Router(config-line)#password passwordRouter(config-line)#login限制設(shè)備訪問 配置口令和使用標(biāo)語限制設(shè)備訪問 配置口令加密顯示口令它可在用戶配置口令后使口令加密顯示。service password-encryption 命令對所有未加密的口令進(jìn)行弱加密。當(dāng)通過介質(zhì)發(fā)送口令時，此加密手段不適用，它僅適用于配置文件中的口令。此命令的用途在于防止未經(jīng)授權(quán)的人員查看配置文件中的口令。Router(config)# service password-encryption 4.1.6 配置特權(quán)等級 通過設(shè)置口令保護(hù)

4、和劃分特權(quán)級別來實(shí)現(xiàn)網(wǎng)絡(luò)管理的靈活性和安全性，是控制網(wǎng)絡(luò)上的終端訪問和管理交換機(jī)的最簡單辦法。用戶級別范圍是015級，級別0是最低的級別。交換機(jī)設(shè)備系統(tǒng)只有兩個受口令保護(hù)的授權(quán)級別：普通用戶級別（0級）和特權(quán)用戶級別（15級）。 用戶模式只有Show的權(quán)限和其他一些基本命令；特權(quán)模式擁有所有的權(quán)限，包括修改、刪除配置。在實(shí)際情況下，如果給一個管理人員分配用戶模式權(quán)限，可能不能滿足實(shí)際操作需求，但是分配給特權(quán)模式則權(quán)限太大，容易發(fā)生誤操作或密碼泄漏。使用特權(quán)等級，可以定制多個等級特權(quán)模式，每一個模式擁有的命令可以按需定制。Switch (config)#username username pri

5、vilege level password password設(shè)置管理人員的登錄用戶名、密碼和相應(yīng)的特權(quán)等級Switch(config)# privilege mode level level command設(shè)置命令的級別劃分。 mode代表命令的模式，有：configure表示全局配置模式、exec表示特權(quán)命令模式、interface表示接口配置模式等等。 level代表授權(quán)級別，范圍從0到15。level 1是普通用戶級別， level 15是特權(quán)用戶級別，在各用戶級別間切換可以使用enable命令。 command代表要授權(quán)的命令。注意：一旦一條命令被賦予一個特權(quán)等級，比該特權(quán)等級低的其他

6、特權(quán)等級均不能使用該命令。4.2 交換機(jī)端口安全控制準(zhǔn)備知識（二）常見針對交換機(jī)的安全攻擊MAC地址泛洪- 主機(jī) A 向主機(jī) B 發(fā)送流量。交換機(jī)收到幀，并在其 MAC 地址表中查找目的 MAC 地址。如果交換機(jī)在 MAC 地址表中無法找到目的 MAC，則交換機(jī)將復(fù)制幀并將其從每一個交換機(jī)端口廣播出去。MAC地址泛洪 主機(jī) B 收到幀并向主機(jī) A 發(fā)送響應(yīng)。交換機(jī)隨后獲知主機(jī) B 的 MAC 地址位于端口 2，并將該信息寫入 MAC 地址表。 主機(jī) C 也收到從主機(jī) A 發(fā)到主機(jī) B 的幀，但是因?yàn)樵搸哪康?MAC 地址為主機(jī) B，因此主機(jī) C 丟棄該幀。MAC地址泛洪 由主機(jī) A（或任何其

7、它主機(jī)）發(fā)送給主機(jī) B 的任何幀都轉(zhuǎn)發(fā)到交換機(jī)的端口 2，而不是從每一個端口廣播出去。MAC地址泛洪 攻擊者使用交換機(jī)的正常操作特性來阻止交換機(jī)正常工作。MAC地址泛洪只要網(wǎng)絡(luò)攻擊工具一直運(yùn)行，交換機(jī)的 MAC 地址表就會始終保持充滿。當(dāng)發(fā)生這種情況時，交換機(jī)開始將所有收到的幀從每一個端口廣播出去，這樣一來，從主機(jī) A 發(fā)送到主機(jī) B 的幀也會從交換機(jī)上的端口 3 向外廣播。欺騙攻擊 攻擊者竊取網(wǎng)絡(luò)流量的一種辦法是偽裝有效DHCP服務(wù)器發(fā)出的響應(yīng)欺騙攻擊要防止 DHCP 攻擊，請使用 Cisco Catalyst 交換機(jī)上的 DHCP偵聽和端口安全性功能。CDP 攻擊 默認(rèn)情況下，大多數(shù) Ci

8、sco 路由器和交換機(jī)都啟用了CDP。建議如果設(shè)備不需要使用 CDP，則在設(shè)備上禁用 CDP。telnet攻擊的類型：暴力密碼攻擊 Dos攻擊抵御暴力密碼攻擊：-經(jīng)常更改密碼-使用強(qiáng)密碼-限制可通過vty線路進(jìn)行通信的人員抵御暴力密碼攻擊： 更新為最新版本的Cisco IOS軟件4.2.1 風(fēng)暴控制 在以太網(wǎng)網(wǎng)絡(luò)中，廣播數(shù)據(jù)是必然存在的，是一種正常的數(shù)據(jù)。但是，有時候因?yàn)榫W(wǎng)絡(luò)蠕蟲病毒、攻擊者或者網(wǎng)絡(luò)錯誤的配置等發(fā)送大量的廣播，導(dǎo)致網(wǎng)絡(luò)擁塞和報文傳輸超時，影響網(wǎng)絡(luò)的正常通信，因此需要通過交換機(jī)來發(fā)現(xiàn)和限定這種異常流量（風(fēng)暴流量）的發(fā)生，交換機(jī)將暫時禁止相應(yīng)類型的包的轉(zhuǎn)發(fā)直到數(shù)據(jù)流恢復(fù)正常。缺省情

9、況下，Cisco二層交換機(jī)針對廣播的風(fēng)暴控制功能均被關(guān)閉。我們可以在交換機(jī)的接口模式下打開其廣播的風(fēng)暴控制開關(guān)。接口配置模式下通過命令no storm-control broadcast level來關(guān)閉接口相應(yīng)的風(fēng)暴控制功能。步驟命令含義步驟1Switch# configure terminal 進(jìn)入全局配置模式。 步驟2Switch(config)#interface interface-id 進(jìn)入接口配置模式。 步驟3Switch(config-if)#storm-control broadcast level x打開對廣播風(fēng)暴的控制功能，設(shè)置網(wǎng)絡(luò)風(fēng)暴閥值，數(shù)值是按百分比算的，如果你是百

10、兆口，數(shù)值設(shè)為1，那就代表1%步驟4Switch(config-if)#end 回到特權(quán)模式。 步驟5Switch# sh storm-control broadcast 驗(yàn)證配置。 步驟6Switch#copy running-config startup-config 保存配置。(可選) 顯示風(fēng)暴控制使能狀態(tài)我們可以在特權(quán)模式下，通過show storm-control broadcast命令來查看接口的風(fēng)暴控制使能狀態(tài)。4.2.4 端口保護(hù)控制交換機(jī)的端口安全是工作在交換機(jī)二層端口上的一個安全特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)限制端口接入

11、的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中配置端口安全存在以下限制一個安全端口必須是一個Access端口，而非Trunk端口一個安全端口不能是一個聚合端口（Aggregate Port）一個安全端口不能是鏡像（SPAN）的目的端口。步驟命令含義步驟1Switch# configure terminal 進(jìn)入全局配置模式。 步驟2Switch(config)# interface interface-id 選定一個接口，并進(jìn)入接口配置模式。 步驟3Switch(config-if)# switchport protected 將該接口設(shè)置為保護(hù)口 Switch(config-if)# no s

12、witchport protected取消該接口的保護(hù)口步驟4Switch(config-if)# end 退回到特權(quán)模式。 步驟5Switch# show interfaces switchport 驗(yàn)證配置 步驟6Switch# copy running-config startup-config 保存配置（可選）。 端口保護(hù)控制的配置步驟4.2.4 交換機(jī)端口安全如果用戶操作超出端口安全允許的操作范圍，這種現(xiàn)象稱之為違例。當(dāng)違例產(chǎn)生時，有下面3種違例的處理模式：Protect：安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個)的包Restrict：交換機(jī)不但丟棄接收到的幀（MA

13、C地址不在安全地址表中），而且將發(fā)送一個SNMP Trap報文，給網(wǎng)管Shutdown：交換機(jī)將丟棄接收到的幀（MAC地址不在安全地址表中），發(fā)送一個SNMP Trap報文，而且將端口關(guān)閉。端口安全的配置打開該接口的端口安全功能設(shè)置接口上安全地址的最大個數(shù)配置處理違例的方式Switch(conifg-if)#switchport port-securitySwitch(conifg-if)# switchport port-security maximum numberSwitch(conifg-if)# switchport port-security violation protect |

14、 restrict | shutdown 端口安全默認(rèn)配置 端口安全的配置配置安全端口上的安全地址配置安全端口上的安全地址當(dāng)端口由于違規(guī)操作而進(jìn)入“err-disabled”狀態(tài)后，必須在全局模式下使用如下命令手工將其恢復(fù)為UP狀態(tài)使用errdisable recovery命令后所有的違例端口都會被恢復(fù)設(shè)置端口從“err-disabled”狀態(tài)自動恢復(fù)所等待的時間Switch(conifg-if)#switchport port-security mac-address mac-address ip-address ip-addressSwitch(conifg)#errdisable rec

15、overy /6.x版本模擬器上無此指令Switch(conifg)#errdisable recovery interval time配置端口安全配置安全地址的老化時間，時間過后地址更新關(guān)閉一個接口的安全地址老化功能（老化時間為0）使老化時間僅應(yīng)用于動態(tài)學(xué)習(xí)到的安全地址Switch(conifg-if)#switchport port-security agingstatic | time time Switch(conifg-if)#no switchport port-security aging timeSwitch(conifg-if)#no switchport port-security aging static 查看端口安全信息顯示所有接口的安全設(shè)置狀態(tài)、違例處理等信息來查看安全地址信息，顯示安全地址及老化時間顯示所有安全端口的統(tǒng)計(jì)信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以