3、深入配置,确保交换机免受恶意攻击
(1).防动态中继协议DTP攻击
交换机通过交换DTP协议,动态协商中继链路的用法和封装模式。然而,如果交换机中继端口模式为Auto,它将等待处于模式Auto或On的另一台交换机的请求建立连接。这时,如果恶意用户利用DTP尝试同交换机端口协商建立中继链路,攻击者将可以捕获任何通过该VLAN的数据流。
防范方法是:将任何连接到用户的端口配置为Access模式,从而使它不能以Auto模式使用DTP。需要使用的命令为:
Switch(config-if)#switchport mode access
(2).防范VLAN跨越式攻击
在这种攻击方法中,攻击者位于普通VLAN,发送被双重标记的帧,就像使用的是802.1q中继链路。当然,攻击者连接的并非中继线路,他通过伪造中继封装,欺骗交换机将帧转发到另一个VLAN中,实现VLAN跨越式攻击,从而在数据链路层就可非法访问另一VLAN。
防范方法是:首先,修改本征VLAN ID并在中继链路两端将本征VLAN修剪掉命令为:
Switch(config-if)#switchport trunk native vlan 200
Switch(config-if)#switchport trunk allowed vlan remove 200
然后,强制所有的中继链路给本征VLAN加标记,命令为:
Switch(config)#vlan dotlq tagnative
(3).防范DHCP欺骗攻击
DHCP欺骗的原理可以简述为,攻击者在某计算机上运行伪造的DHCP服务器,当客户广播DHCP请求时,伪造服务器将发送自己的DHCP应答,将其IP地址作为默认网关客户收到该应答后,前往子网外的数据分组首先经过伪网关。如果攻击者够聪明,他将转发
该数据分组到正确的地址,但同时他也捕获到了这些分组。尽管客户信息泄露了,但他却对此毫无所知。
防范方法是:在交换机上启用DHCP探测。首先,在交换机的全局模式下启用DHCP探测,其命令为:
Switch(config)#ip dhcp snooping
接下来,指定要探测的VLAN,命令为:
Switch(config)#ip dhcp snooping vlan 2
然后,将DHCP服务器所在端口设置为信任端口,命令为:
Switch(config-if)#ip dhcp snooping trust
最后,限制其他不可信端口的DHCP分组速率,命令为:
Switch(config-if)#ip dhcp snooping limit rate rate
(4).防范ARP欺骗攻击
ARP地址欺骗类病毒是一类特殊的病毒,该病毒一般属于木马病毒,不具备主动传
播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。其实, 我们只需要在交换机上绑定MAc地址,就能让ARP病毒无用武之地。
首先,在交换机上启用端口安全,命令为:
Switch(config-if)#switchport port-security
然后,指定允许的MAC地址,以便允许合法的MAC地址访问,命令为:
Switch(config-if)#switchport port-security mac-address 000A.E698.84B7
当然,上述操作是静态指定地址,比较麻烦。我们也可以动画获悉MAC,然后在端口上限制最大允许学习的MAC数目,命令为:
Switch(config-if)#switchport port-security 24
然后定义如果MAC地址违规则采取怎样的措施,命令为:
Switch(config-if)#switchport port-security vislation shutdown
其中shutdown是关闭,restrrict是丢弃并记录、警报,protect是丢弃但不记录。
以上就是有关杜绝交换机的攻击的技术细节。相信确保交换机这三个方面的安全设置,并配合相应的规章、制度,就一定能够保证交换机的安全。