超详细！以太网交换机安全功能介绍

本日来给各人讲讲以太网互换机安详成果先容。

互换机作为局域网中最常见的装备，在安详上面对着重大威胁，这些威胁有的是针对互换机打点上的裂痕，进攻者试图节制互换机。有的针对的是互换机的成果，进攻者试图侵扰互换机的正常事变，从而到达粉碎乃至窃取数据的目标。

针对互换机的进攻首要有以下几类：

互换机设置/打点的进攻

MAC泛洪进攻

DHCP诱骗进攻

MAC和IP诱骗进攻

ARP诱骗

VLAN跳跃进攻

STP进攻

VTP进攻

互换机的会见安详

为了防备互换机被进攻者探测或节制，必需在互换机上设置根基的安详：

行使及格的暗码

行使ACL，限定打点会见

设置体系告诫用语

禁用不必要的处事

封锁CDP

启用体系日记

行使SSH更换Telnet

封锁SNMP或行使SNMP V3

互换机的端口安详

互换机依靠MAC地点表转发数据帧，假如MAC地点不存在，则互换机将帧转发到互换机上的每一个端口(泛洪)，然而MAC地点表的巨细是有限的。

MAC泛洪进攻操作这一限定用卖弄源MAC地点轰炸互换机，直到互换机MAC地点表变满。互换机随后进入称为 “失效开放” (Fail-open)的模式，开始像集线器一样事变，将数据包广播到收集上的全部呆板。

因此，进攻者可看到发送到无MAC地点表条目标另一台主机的全部帧。要防备MAC泛洪进攻，可以设置端口安详特征，限定端口上所应承的有用MAC地点的数目，并界说进攻产生时端口的举措：封锁、掩护、限定。

DHCP Snooping

当互换机开启了 DHCP-Snooping后，会对DHCP报文举办侦听，并可以从吸取到的DHCP Request或DHCP Ack报文中提取并记录IP地点和MAC地点信息。

其它，DHCP-Snooping应承将某个物理端口配置为信赖端口或不信赖端口。信赖端口可以正常吸取并转发DHCP Offer报文，而不信赖端口会将吸取到的DHCP Offer报文扬弃。

这样，可以完成互换机对假意DHCP Server的屏障浸染，确保客户端从正当的DHCP Server获取IP地点。

dhcp-snooping的首要浸染就是距离犯科的dhcp server，通过设置非信赖端口。

与互换机DAI的共同，防备ARP病毒的撒播。

成立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地点天生的，二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IPSource Guard 基本。这两种相同的技能，是通过这张表来鉴定ip可能mac地点是否正当，来限定用户毗连到收集的。

通过成立信赖端口和非信赖端口，对犯科DHCP处事器举办断绝，信赖端口正常转发DHCP数据包，非信赖端口收到的处事器相应的DHCP offer和DHCPACK后，做丢包处理赏罚，不举办转发。

DAI

动态ARP搜查(Dynamic ARP Inspection, DAI)可以防备ARP诱骗，它可以辅佐担保接入互换机只转达“正当的"ARP哀求和应答信息。

DAI基于DHCP Snooping来事变，DHCP Snooping监听绑定表，包罗IP地点与MAC地点的绑定信息，并将其与特定的互换机端口相干联，动态ARP检测(DAI-Dynamic ARP Inspection)可以用来搜查全部非信赖端口的ARP哀求和应答(主动式ARP和非主动式ARP) ，确保应答来自真正的MAC全部者。

互换机通过搜查端口记载的DHCP绑定信息和ARP应答的IP地点抉择其是否是真正的MAC全部者，不正当的ARP包将被拒绝转发。

DAI针对VLAN设置,对付统一VLAN内的接口，可以开启DAI也可以封锁，假如ARP包是从一个可信赖的接口接管到的，就不必要做任何搜查;

假如ARP包是从一个不行信赖的接口上吸取到的,该包就只能在绑定信息被证明正当的环境下才会被转发出去。这样,，DHCP Snooping 对付DAI来说也成为必不行少的。

DAI是动态行使的，相连的客户端主机不必要举办任何配置上的改变。对付没有行使DHCP的处事器，个体呆板可以回收静态添加DHCP绑定表或ARP access-list的要领实现。

其它，通过DAI可以节制某个端口的ARP哀求报文频率。一旦ARP哀求频率高出预先设定的阈值，当即封锁该端口。该成果可以阻止收集扫描器材的行使，同时对有大量ARP报文特性的病毒或进攻也可以起到阻断浸染。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!