2层安全及其攻击探究

简介:

我们在设计园区网是总是会考虑到边界安全的防护,如RFC1918 RFC 2827等安全措施,却极少关注园区网内部的安全,随着便携设备无线设备的增加,这个问题尤其显得重要了许多,这里我们就说下2层攻击安全.

攻击类型:1.交换机配置及其管理

                    2.mac层攻击

                    3.vlan攻击

                    4.stp cdp vtp 协议的攻击

防护措施:1.关闭不需要的服务

 关闭BOOTP服务 no ip bootp server
关闭CDP服务   no cdp run
关闭配置自动加载服务(默认关闭)no service config
关闭DNS服务 系统会自动向255.255.255.255广播查询dns 如果使用DNS一定要配置服务器名字ip name server add1   不用no ip domain-lookup
关闭FTP服务器 no ftp-server enable  no ftp-server write-enable
关闭finger服务    no ip finger   no service finge
关闭无根据的ARP no ipgratuitous-arps
关闭http        no ip http server
关闭ip无类别路由选择服务 no ip classless
关闭ip定向广播 int f0/0   no ip directed-broadcast 
关闭ip鉴别  no ip identd
关闭ICMP掩码应答 (默认关闭)int f0/0 no ip mask-relay
关闭路由重定向   int f0/0 no ip redirect 边界路由过滤
关闭ip源路由选项   no ip source-route
关闭ICMP不可达信息   int f0/0 no ip unreach
关闭NTP服务  int f0/0 ntp disable 
关闭pad服务    no service  pad(闭关)
关闭代理ARP    在边界路由外部网络接口  no ip proxy-arp
关闭SNMP     
关闭小服务   no service tcp-small-servers
启用keeplive    service tcp-keeplives-in    service tcp-keeplives-out
关闭tftp   no tftp-server flash device:filename  
2. 防止非法授权访问

SW(config-t)#enable secret 
SW(config-t)#no enable password 
SW(config-t)#service password-encryption
SW(config-t)#line vty 0 4 
SW(config-line)#exec-timeout 10 0
access-list 110 permit ip 192.168.1.110 0.0.0.0 192.168.1.254 0.0.0.0 log 
line vty 0 4
access-class 101 in 
exec-timeout 5  0
SW(config-t)#username admin pass 5 434535e2 
SW(config-t)#aaa new-model 
SW(config-t)#radius-server host 192.168.1.254 key key-string 
SW(config-t)#aaa authentication login neteng group radius local 
SW(config-t)#line vty 0 4 
SW(config-line)#login authen neteng

3.端口安全cisco提供了5种保护特性

1.基于主机MAC的允许流量

2.基于主机MAC的限制流量

3.在端口堵塞单播扩散

4.避免MAC地址扩散攻击

5.避免MAC地址欺骗攻击

 

int f0/1

sw

switchport mode acc

sw port-security

sw port-se mac-add 0000.0000.0005

sw port-se maximun 1

sw port-se aging static (也可指定学习时间)

sw port-se violation shutdown

在vlan2中过滤掉 0000.0010.0100 单播流量(对组播多播没有用)

mac-add-table static 0000.0010.0100 vlan2 drop

我们还可以在接口下过滤单播和多播的流量

int f0/1

sw block unicast

sw block multicast

4.关于vlan的攻击防御

1.dhcp监听

 

我们通过把端口设为信任和非信任(推荐在分布层和接入层之间设为信任,客户端设为非信任)交换机只接受信任端口的DHCP报文

ip dhcp snooping

ip dhcp snooping  vlan 20

ip dhcp snooping information option

int f0/5

ip dhcp snooping trust

int range f0/6 -15

ip dhcp snooping limit rate 80 (默认所有的接口都是非信任的,一定要非信任接口制定rate,否则收不到dhcp 给定的ip)

我们还可以通过vlan acl 做访问控制阻止无赖dhcp

ip access-list  extended  permiter

permit udp host 192.1.1.254 any eq 68      192.1.1.254为dhcp服务器

permit udp host 192.1.1.110  any eq 68

deny udp any any eq  68

permit ip  any any  log

 

还有一点我们在dmz或者服务器集中区配置pvlan

5.STP防护

spanning-tree uplinkfast

spanning-tree portfast bpduguard

spanning-tree guard root

综合概述:

1.对所有中继端口使用相同的vlan

2.避免使用vlan1

3.对用户端口部署端口安全

4.启用stp安全防护

5.服务器部署pvlan

6.对vtp进行加密

7.不需要的地方禁用cdp

8禁用所有不用的端口放在统一vlan下

9.部署dhcpsnooping

当然还有其他的方法保护2层安全 如802.1x  aaa认证   等!安全工程师要做的是在适当的地点部署合理的安全方案,这里需要我们来共同探究!

 


本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/508939,如需转载请自行联系原作者

相关文章
|
6月前
|
机器学习/深度学习 编解码 并行计算
【FasterVIT】试图从FasterVIT网络结构中窥探出一些有用的信息
【FasterVIT】试图从FasterVIT网络结构中窥探出一些有用的信息
80 0
【FasterVIT】试图从FasterVIT网络结构中窥探出一些有用的信息
|
3月前
八问八答搞懂Transformer内部运作原理
【8月更文挑战第28天】这篇名为“Transformer Layers as Painters”的论文通过一系列实验,深入探讨了Transformer模型内部不同层级的信息处理机制。研究发现,中间层级在表示空间上具有一致性,但功能各异,且模型对层级的去除或重排表现出较强的鲁棒性。此外,论文还分析了层级顺序、并行执行及循环等因素对模型性能的影响,揭示了不同任务下层级顺序的重要性差异,并指出随机化层级顺序和循环并行化对性能损害最小。
47 5
|
6月前
|
计算机视觉
YOLOv5改进 | 2023检测头篇 | 利用AFPN增加小目标检测层(让小目标无所遁形)
YOLOv5改进 | 2023检测头篇 | 利用AFPN增加小目标检测层(让小目标无所遁形)
275 0
|
5月前
|
机器学习/深度学习 数据采集 自然语言处理
【注意力机制重大误区】网络模型增加注意力机制后,性能就一定会得到提升?有哪些影响因素?
【注意力机制重大误区】网络模型增加注意力机制后,性能就一定会得到提升?有哪些影响因素?
|
6月前
|
安全 前端开发
SSRF基础原理(浅层面解释 + 演示)
SSRF基础原理(浅层面解释 + 演示)
|
6月前
|
机器学习/深度学习 计算机视觉 网络架构
【FCN】端到端式语义分割的开篇之作! 从中窥探后续语义分割网络的核心模块(一)
【FCN】端到端式语义分割的开篇之作! 从中窥探后续语义分割网络的核心模块(一)
405 0
【FCN】端到端式语义分割的开篇之作! 从中窥探后续语义分割网络的核心模块(一)
|
6月前
|
计算机视觉
YOLOv8改进 | 2023检测头篇 | 利用AFPN增加小目标检测层(让小目标无所遁形)
YOLOv8改进 | 2023检测头篇 | 利用AFPN增加小目标检测层(让小目标无所遁形)
386 0
|
6月前
|
机器学习/深度学习 算法
黑盒攻击中迁移攻击和通用对抗扰动的讲解及实战(附源码)
黑盒攻击中迁移攻击和通用对抗扰动的讲解及实战(附源码)
250 1
|
6月前
|
网络协议 网络架构
计算机网络的体系结构的各层在整个过程中起到什么作用?
计算机网络的体系结构的各层在整个过程中起到什么作用?
|
机器学习/深度学习 算法 安全
深度学习中,面对不可知攻击,如何才能做到防御「有的放矢」?(2)
深度学习中,面对不可知攻击,如何才能做到防御「有的放矢」?