保护VLAN的攻击-Racl-Vacl-Pacl

1、保护VLAN的攻击，解决VLAN的跳跃问题一、VLAN跳跃其实有两方式： 1、一般我们的Trunk只能交换机和交换机之间来建立，但是我们的攻击者它可以欺骗这个交换机，让这个交换机让为它（攻击者）也是一个交换机，可以让这个交换机把Trunk打开，Trunk打开后攻击者想访问那个VLAN就能访问那个VLAN了。2、Trunk的链路会被动态的协商3、攻击者就会访问任何一个VALN解决的方法：关掉DTP(Dynamic Trunk Protocol） 只要把这个接口配置成Switchport mode access，就关闭这个Trunk功能了二、VLAN Hoping witch Double Tag

2、ging(双Tag的vlan跳跃攻击)下面开始Double Tagging的讲解讲解前的说明：l 访问接口（access）收到一个有802.1Q Tag的包会怎么样一般来说802.1Q这种包只会在Trunk链路里面收到，但现的的问题在于如果一个访问接口收到一个802.1Q这种包会怎么样，这个交换机会接受这个802.1Q流量仅仅只是这个Tag匹配我这个访问接口所配置的VLAN，比如说交换机的这个接口是mode access vlan20，我可以接受有802.1Q Tag的包，但这个Tag必须是20的，只有这样我是可以收的。至于打着其它标记的都会被悄无声息的被丢掉。 1、攻击有一个条件：就是攻击者

3、的主机在VLAN10，如果它想去访问VLAN20去实现一个VLAN的跳跃，前提我这个攻击者的VLAN是交换机Trunk的Native VLAN(Native VLAN默认是1)，也就是说我这个攻击者必须要被划到Native里面，如果它不在Native VLAN里攻击是无法成功的。交换机连接攻击者PC的接口一般是访问接口（access），这个接口被划Native VLAN(比如access vlan10)，攻击者会发送这和一个包数据前面有两层Dot1Q的TAG，外层TAG是VLAN10，内层TAG是VLAN20，这么一个包从交换机的访问接口进入，这个访问接口是可以收的，因为交换机访问接口看到外层

4、这是VLAN10的，而交换机这个接口也是access vlan 10的，收到了之后它会把外层的TAG移除掉保留内部这部分，它是源自于VLAN 10的，所以说这个VLAN 10的包要穿越Trunk是不追加TAG的，也就是说这个包从2号交换机出来，对端的交换机也会收到这个包，但是目的交换机收到之后，它可不认为这个是没有TAG的，因为内层TAG会被物理交换机发现，物理交换机会认为这个包是TAG 20的应该送给VLAN20内的主机，这个包就会实现这么一个穿越，这就叫VLAN Tagging 跳跃攻击。解决VLAN跳跃问题Unsed ports1、Shut down掉没有被使用的接口2、配置没有被使用的

5、接口为access3、配置一个访问 VLAN为所有没有被使用接口到这个没有被使用的VLAN4、如果接口是接最终的用户，就没有必要启用CDP5、配置这些没有被使用的接口的Native VLAN到一个没有被使用的VLANSW(config)#int f0/42SW(config-if)#switchport trunk native vlan 400Trunk ports解决办法1、配置trunk接口到trunk模式，关闭Trunk协商功能。sw(config)#int f0/1sw(config-if)#switchport trunk encapsulation dot1qsw(config-

6、if)#switchport mode trunk sw(config-if)#switchport nonegotiate2、配置一个Native VLAN在Trunk接口到一个没有被使用的VLAN sw(config)#int f0/1 /F0/1是trunk接口sw(config-if)#switchport trunk native 500小结、：我创建了两个VLAN：一个vlan 400(名字是no-use-port)，把所有没有被使用的接口都放到这个VLAN400里面去。另一个是VLAN 500，任何接口都不放到VLAN500里，VLAN500作为所有trunk的Native VL

7、AN.3、配置允许的VLAN在Trunk接口，不要允许Native VLAN SW(config)#int f0/1SW(config-if)#switchport trunk allowed vlan 10,20_三、访问控制列表类型1、RACLSW(config)#vlan 3SW(config)#name TestVLAN3SW(config)#int vlan 3SW(config-if)#ip add 10.1.2.254 255.255.255.0SW(config)#int range f0/3 , f0/4SW(config-if-range)#switchport acces

8、s vlan 3SW(config-if-range)#endSW(config)#vlan 2SW(config)#name TestVLAN2SW(config)#int vlan 2SW(config-if)#ip add 10.1.1.254 255.255.255.0SW(config)#int range f0/1 , f0/2SW(config-if-range)#switchport access vlan 2SW(config-if-range)#endSW(config)#ip routingR1(config)#int f0/0R1(config-if)#ip add 1

9、0.1.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.254R2(config)#int f0/0R2(config-if)#ip add 10.1.1.2 255.255.255.0R2(config-if)#no shR2(config-if)#exitR2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.254R3(config)#int f0/0R3(config-if)#ip add 10.1.2.3 25

10、5.255.255.0R3(config-if)#no shR3(config-if)#exitR3(config)#ip route 0.0.0.0 0.0.0.0 10.1.2.254R4(config)#int f0/0R4(config-if)#ip add 10.1.2.4 255.255.255.0R4(config-if)#no shR4(config-if)#exitR4(config)#ip route 0.0.0.0 0.0.0.0 10.1.2.254R1#ping 10.1.1.254R1#ping 10.1.1.2R1#ping 10.1.2.3R1#ping 10.

11、1.2.4相互之间都是可以Ping通的下面我把各个路由器的telnet配置上R1(config)#line vty 15R1(config-line)#password ciscoR1(config-line)#exitR2(config)#line vty 15R2(config-line)#password ciscoR2(config-line)#exitR3(config)#line vty 15R3(config-line)#password ciscoR3(config-line)#exitR4(config)#line vty 15R4(config-line)#password

12、 ciscoR4(config-line)#exit现在是什么访问控制都没有，互相Ping也能Ping通，互相Telnet也没问题。下面开始在交换机上的SVI口上作RACL需求：1、在VLAN2和VLAN3的入方向配置RACL2、只允许10.1.1.0/24和10.1.2.0/24之间的Telnet流量3、测试R1能够Telnet R44、测试R4能够Telnet R1现在VLAN2和VLAN3之间即能Telnet，又能PING，一会我作完了就只能Telnet，不能PING了。SW(config)#ip access-list extended VLAN2.INSW(config-ext-na

13、cl)#permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq 23 /VLAN 2内的主机去Telnet VLAN3内主机的流量SW(config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 eq 23 10.1.2.0 0.0.0.255/VLAN3的主机Telnet VLAN2的的主机时还回的流量。SW(config)#ip access-list extended VLAN3.INSW(config-ext-nacl)#permit tcp 10.1.2.0 0.0.0.255 10.1.1.0 0.0

14、.0.255 eq 23 /VLAN 3内的主机去Telnet VLAN2内主机的流量SW(config-ext-nacl)#permit tcp 10.1.2.0 0.0.0.255 eq 23 10.1.1.0 0.0.0.255/VLAN2的主机Telnet VLAN3的的主机时还回的流量。SW#show access lists下面把路由器的RACL在SVI的接口上面调用SW(config)# int vlan 2SW(config-if)#ip access-group VLAN2.IN inSW(config)# int vlan 3SW(config-if)#ip access-

15、group VLAN3.IN in下面测试一下R1#telnet 10.1.2.3 /是可以Telnet的R1#ping 10.1.2.3 /PING是不可以的R3#telnet 10.1.1.1 /Telnet是可以的R3#ping 10.1.1.1 /PING是不通的2、VACL介绍（VLAN访问控制列表） VACL的特点： 1、能够对VLAN内和VLAN间的流量进行控制 2、能够对IP和none-IP(MAC绑定列表来实现)的流量进行控制 3、VACL优先于RACL进行处理 4、无方向性，进入或者离开都受控制 5、能够实现Capture实验需求：配置VACL：因为我们的VACL即能控制V

16、LAN间的，也能控制VLAN内的。你不要只允许H中的2了，VACL是优先的，你不放VLAN间的流量，G又实现不了了。SW(config)#ip access-list extanted inter.vlan /VLAN间的流量SW(config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq 23SW(config-ext-nacl)#permit tcp 10.1.2.0 0.0.0.255 eq 23 10.1.1.0 0.0.0.255SW(config-ext-nacl)#permit tcp 10.1.2.0

17、 0.0.0.255 10.1.1.0 0.0.0.255 eq 23SW(config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 eq 23 10.1.2.0 0.0.0.255SW(config)#ip access-list extanted intra.vlan /VLAN内的流量SW(config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 23SW(config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 eq 23 10.1.1

18、.0 0.0.0.255 SW(config)#mac access-list extended Intra.vlan.arpSW(config-ext-nacl)#permit any any 0x806 0x0下面配置VACLSW(config)#vlan access-map VACL 10SW(config-access-map)#match ip address inter.vlanSW(config-access-map)#action forward SW(config-access-map)#exitSW(config)#vlan access-map VACL 20SW(co

19、nfig-access-map)# match ip address intra.vlanSW(config-access-map)#action forwardSW(config-access-map)#exitSW(config)#vlan access-map VACL 30SW(config-access-map)# match ip address Intra.vlan.arpSW(config-access-map)#action forwardSW(config-access-map)#exitSW(config)#vlan access-map VACL 40 /其余所有IP和非IP所有