? 今天海翎光電的小編來給大家聊聊以太網(wǎng)交換機(jī)安全功能。

? 交換機(jī)作為局域網(wǎng)中最常見的設(shè)備，在安全上面臨著重大威脅，這些威脅有的是針對交換機(jī)管理上的漏洞，攻擊者試圖控制交換機(jī)。有的針對的是交換機(jī)的功能，攻擊者試圖擾亂交換機(jī)的正常工作，從而達(dá)到破壞甚至竊取數(shù)據(jù)的目的。針對交換機(jī)的攻擊主要有以下幾類：

1、交換機(jī)配置/管理的攻擊

2、MAC 泛洪攻擊

3、DHCP 欺騙攻擊

4、MAC 和 IP 欺騙攻擊

5、ARP 欺騙

6、VLAN 跳躍攻擊

7、STP 攻擊

8、VTP 攻擊

? 交換機(jī)的訪問安全為了防止交換機(jī)被攻擊者探測或控制，必須在交換機(jī)上配置基本的安全：

1、使用合格的密碼

2、使用 ACL，限制管理訪問

3、配置系統(tǒng)警告用語

4、禁用不需要的服務(wù)

5、關(guān)閉 CDP

6、啟用系統(tǒng)日志

7、使用 SSH 替代 Telnet

8、關(guān)閉 SNMP 或使用 SNMP V3

??? 交換機(jī)的端口安全

? ? 交換機(jī)依賴 MAC 地址表轉(zhuǎn)發(fā)數(shù)據(jù)幀，如果 MAC 地址不存在，則交換機(jī)將幀轉(zhuǎn)發(fā)到交換機(jī)上的每一個端口(泛洪)，然而 MAC 地址表的大小是有限的。MAC 泛洪攻擊利用這一限制用虛假源 MAC 地址轟炸交換機(jī)，直到交換機(jī) MAC地址表變滿。交換機(jī)隨后進(jìn)入稱為 “失效開放” (Fail-open)的模式，開始像集線器一樣工作，將數(shù)據(jù)包廣播到網(wǎng)絡(luò)上的所有機(jī)器。

? ? 因此，攻擊者可看到發(fā)送到無 MAC 地址表條目的另一臺主機(jī)的所有幀。要防止MAC 泛洪攻擊，可以配置端口安全特性，限制端口上所允許的有效 MAC 地址的數(shù)量，并定義攻擊發(fā)生時端口的動作：關(guān)閉、保護(hù)、限制。

? ? DHCP Snooping

? ? 當(dāng)交換機(jī)開啟了 DHCP-Snooping 后，會對 DHCP 報文進(jìn)行偵聽，并可以從接收到的 DHCP Request 或 DHCP Ack 報文中提取并記錄 IP 地址和 MAC 地址信息。另外，DHCP-Snooping 允許將某個物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā) DHCP Offer 報文，而不信任端口會將接收到的 DHCPOffer 報文丟棄。

? ? 這樣，可以完成交換機(jī)對假冒 DHCP Server 的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP Server 獲取 IP 地址。

? ? 1、dhcp-snooping 的主要作用就是隔絕非法的 dhcp server，通過配置非信任端口。

? ? 2、與交換機(jī) DAI 的配合，防止 ARP 病毒的傳播。

3、建立和維護(hù)一張 dhcp-snooping 的綁定表，這張表一是通過 dhcp ack 包中的 ip 和 mac 地址生成的，二是可以手工指定。這張表是后續(xù) DAI（dynamic arpinspect）和 IPSource Guard 基礎(chǔ)。這兩種類似的技術(shù)，是通過這張表來判定 ip或者 mac 地址是否合法，來限制用戶連接到網(wǎng)絡(luò)的。

4、通過建立信任端口和非信任端口，對非法 DHCP 服務(wù)器進(jìn)行隔離，信任端口正常轉(zhuǎn)發(fā) DHCP 數(shù)據(jù)包，非信任端口收到的服務(wù)器響應(yīng)的 DHCP offer 和 DHCPACK后，做丟包處理，不進(jìn)行轉(zhuǎn)發(fā)。

? ? DAI

? ? 動態(tài) ARP 檢查(Dynamic ARP Inspection, DAI)可以防止 ARP 欺騙，它可以幫助保證接入交換機(jī)只傳遞“合法的"ARP 請求和應(yīng)答信息。

? ? DAI 基于 DHCP Snooping 來工作，DHCP Snooping 監(jiān)聽綁定表，包括 IP 地址與 MAC 地址的綁定信息，并將其與特定的交換機(jī)端口相關(guān)聯(lián)，動態(tài) ARP 檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任端口的 ARP 請求和應(yīng)答(主動式 ARP 和非主動式 ARP) ，確保應(yīng)答來自真正的 MAC 所有者。交換機(jī)通過檢查端口紀(jì)錄的 DHCP 綁定信息和 ARP 應(yīng)答的 IP 地址決定其是否是真正的 MAC 所有者，不合法的 ARP 包將被拒絕轉(zhuǎn)發(fā)。

? ? DAI 針對 VLAN 配置,對于同一 VLAN 內(nèi)的接口，可以開啟 DAI 也可以關(guān)閉，如果ARP 包是從一個可信任的接口接受到的，就不需要做任何檢查；如果 ARP 包是從一個不可信任的接口上接收到的,該包就只能在綁定信息被證明合法的情況下才會被轉(zhuǎn)發(fā)出去。這樣,，DHCP Snooping 對于 DAI 來說也成為必不可少的。

? ? DAI 是動態(tài)使用的，相連的客戶端主機(jī)不需要進(jìn)行任何設(shè)置上的改變。對于沒有使用 DHCP 的服務(wù)器，個別機(jī)器可以采用靜態(tài)添加 DHCP 綁定表或 ARP access-list的方法實現(xiàn)。

? ? 另外，通過 DAI 可以控制某個端口的 ARP 請求報文頻率。一旦 ARP 請求頻率超過預(yù)先設(shè)定的閾值，立即關(guān)閉該端口。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用，同時對有大量 ARP 報文特征的病毒或攻擊也可以起到阻斷作用。文章來源地址http://www.zghlxwxcb.cn/news/detail-478896.html

到了這里，關(guān)于交換機(jī)安全功能介紹的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！