以太网安全技术交流PPT课件

1、n以太网常见的安全问题 n几个以太网安全技术n以太网常用安全技术介绍n案例分析目目 录录第1页/共43页以太网常见的安全问题攻击类型攻击行为交换机安全特性参考指令资源耗尽型攻击MAC表攻击端口MAC数限制mac-address max-mac-count conut-value禁止某个VLAN的MAC地址学习 静态MAC表mac-address mac-learning disablemac-address static mac-address interface interface-type interface-number端口安全port-security enableMAC + IP +

2、 端口绑定,端口安全中的1个特性am user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-numberDHCP DOS攻击DHCP Relay Option 82dhcp server relay information enableDHCP Snooping Option 82dhcp-snooping information enableCPU恶意冲击ARP限速arp source-suppression limit total|local|through value防范攻

3、击的其它特性广播风暴抑制broadcast-suppression ratio 环路检测loopback detection enableEAD特性security-policy-server ip-address802.1x dot1x enable端口安全特性port-security enable第2页/共43页假冒伪装型攻击假冒伪装型攻击ARP欺骗攻击ARP入侵检测arp source-suppression limit total|local|through value端口隔离port isolateIsolate-User-VLANisolate-user-vlan enableM

4、AC/IP欺骗攻击DHCP relay Securitydhcp-security ip-address mac-addressIP源地址保护ip-protect enableDHCP服务器欺骗攻击DHCP Snooping Trustdhcp-snooping trust根桥伪装攻击STP根保护stp root-protectionBPDU保护stp bpdu-protectionTCN攻击TC-BPDU报文非立即处理机制stp tc-protection enable路由源伪装攻击OSPF/RIP路由MD5验证ospf authentication-mode md5 key-id keyr

5、ip authentication-mode md5 rfc2082 key key-id第3页/共43页设备控制权攻击设备控制权攻击用户信息嗅探SSH2.0protol inbound sshSNMPv3snmp-agent sys-info version v3SFTPsftp server enable管理人员泄密远程管理终端限制(Telnet VTY 配置ACL)acl acl-number inbound用户分级level level-value暴力尝试攻击 远程管理终端限制(Telnet VTY 配置ACL)acl acl-number inbound第4页/共43页n以太网常见的

6、安全问题 n几个以太网安全技术n以太网常用安全技术介绍n案例分析目目 录录第5页/共43页端口隔离技术为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN 资源。采用端口隔离特性，可以实现同一VLAN 内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。端口隔离特性与端口所属的VLAN 无关。同VLAN 下同一隔离组内相互隔离，同VLAN 不同隔离组或者隔离组内外不隔离，隔离组内的端口和隔离组外端口二层流量双向互通。为了使隔离组与隔离组外二层互通，隔离组内必须存在上行端口

7、。VLAN 内非端口隔离组成员即为上行端口，隔离组内上行端口的数量没有限制。第6页/共43页DLDP技术在实际组网中，有时会出现一种特殊的现象单向链路（即单通）。所谓单向链路是指本端设备可以通过链路层收到对端设备发送的报文，但对端设备不能收到本端设备的报文。单向链路会引起一系列问题，比如生成树拓扑中存在环路等。DLDP（Device Link Detection Protocol，设备链路检测协议）可以监控光纤或铜质双绞线的链路状态。如果发现单向链路存在，DLDP 会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。第7页/共43页AAAAAA 是Authenticati

8、on、Authorization、Accounting（认证、授权、计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。AAA一般采用客户机/服务器结构，客户端运行于NAS（Network Access Server，网络接入服务器）上，服务器上则集中管理用户信息。NAS对于用户来讲是服务器端，对于服务器来说是客户端。第8页/共43页SSHSSH 是Secure Shell（安全外壳）的简称。用户通过一个不能保证安全的网络环境远程登录到设备时，SSH 可以利用加密和强大的认证功能提供安全保障，保护设备不受诸如IP 地址欺诈、明文密码截取等攻击。设备支持SSH 服务器功能

9、，可以接受多个SSH 客户端的连接。同时，设备还支持SSH 客户端功能，允许用户与支持SSH 服务器功能的设备建立SSH 连接，从而实现从本地设备通过SSH 登录到远程设备上。第9页/共43页IP Source Guard通过IP Source Guard 绑定功能，可以对端口转发的报文进行过滤控制，防止非法报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard 绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。绑定功能是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。IP Source Guard

10、支持的报文特征项包括：源IP 地址、源MAC 地址和VLAN 标签。并且，可支持端口与如下特征项的组合：IP、MAC、IPMACIPVLAN、MACVLAN、IPMACVLAN第10页/共43页n以太网常见的安全问题 n几个以太网安全技术n以太网常用安全技术介绍n案例分析目目 录录第11页/共43页以太网访问列表主要作用:在整个网络中分布实施接入安全性Internet第12页/共43页访问列表第13页/共43页流分类第14页/共43页访问控制列表的构成第15页/共43页时间段的相关配置 undo time-range time-name start-time to end-time days-

11、of-the-week from start-time start-date to end-time end-date 第16页/共43页定义访问控制列表 第17页/共43页基本访问控制列表的子规则配置 第18页/共43页端口操作符及语法第19页/共43页子规则匹配原则第20页/共43页激活访问控制列表第21页/共43页访问控制列表的维护和调试 第22页/共43页802.1X的作用第23页/共43页802.1X的系统组成EAP Over SomethingAuthentication ServerAuthenticatorEAPOLSupplicant第24页/共43页802.1X的受控端口（

12、1）第25页/共43页802.1X的受控端口（2）第26页/共43页端口受控方式第27页/共43页802.1X优势明显第28页/共43页典型应用（1）第29页/共43页典型应用（2）第30页/共43页典型应用（3）第31页/共43页n 仿冒网关仿冒网关 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关n 仿冒终端用户仿冒终端用户/ /服务器服务器n 欺骗网关发送错误的终端用户的IPMAC的对应关系给网关，导致网关无法和合法终端用户正常通信n 欺骗终端用户发送错误的终端用户/服务器的IPMAC的对应关系给受害的终端用户，导致两个终端用户之间无法正常通信n

13、其他其他nARP FLOODING 攻击ARPARP攻击防御攻击防御第32页/共43页网关G用户接入设备n 网关防御网关防御n 合法ARP绑定，防御网关被欺骗n VLAN内的ARP学习数量限制，防御ARP泛洪攻击1 1 接入设备防御接入设备防御n 将合法网关IP/MAC进行绑定，防御仿冒网关攻击n 合法用户IP/MAC绑定，过滤掉仿冒报文n ARP限速n 绑定用户的静态MAC2 2n 客户端防御客户端防御n 合法ARP绑定，防御网关被欺骗3 3ARPARP攻击防御的三个控制点攻击防御的三个控制点第33页/共43页动态获取动态获取IPIP地址的网络推荐地址的网络推荐DHCP SnoopingDH

14、CP Snooping模式模式网关接入设备接入设备接入设备接入设备监控DHCP报文信息，绑定用户MAC-IP-PORT关系1保护屏障保护屏障DHCP响应响应DHCP请求请求配置命令：全局模式：dhcpsnooping（全局开关）VLAN模式：ARP detection enable：（使能ARP detection enable检测，限制ARP报文数量）上行接口：ARP detection trust（ 将上行口配置为信任接口不检查ARP）DHCP第34页/共43页启用接入认证的网络推荐认证模式启用接入认证的网络推荐认证模式网关接入设备接入设备接入设备接入设备认证客户端绑定网关的IP-MAC对

15、应关系3iNode客户端客户端 iNode客户端客户端 iNode客户端客户端 iNode客户端客户端 CAMS服务器服务器 IP Address GMAC G00-e0-fc-00-00-04 静态静态ARPARP绑定：绑定：第35页/共43页n以太网常见的安全问题 n几个以太网安全技术n以太网常用安全技术介绍n案例分析目目 录录第36页/共43页案例点评案例点评1 1：某大型企业总部网络：某大型企业总部网络第37页/共43页大厦局域网大厦局域网第38页/共43页案例点评案例点评2 2：某大型企业广域网：某大型企业广域网第39页/共43页案例点评案例点评3 3：某大型企业数据中心：某大型企业数据中心第40页/共43页构建安全的交换网络是一个系统工程构建安全的交换网络是一个系统工程 总之，构建安全的交换网络，是一个系统工程，