巩固网络安全并加强OSI数据链路层保护. doc

巩固网络安全性并增强对OSI数据链路层教育资源库的保护在网络安全性设计中，设计人员可以分析来自组织外部的更多安全威胁，而较少分析来自组织内部的安全威胁. 内部用户具有更多可控制的协议（包括第2层网络协议），因为它们直接访问第2层网络. 因此，使用这些协议功能引起的安全威胁更加多样化. 在OSI模型的不同级别上，标准化组织开发了各种安全协议，包括身份验证和加密，但是OSI第2层数据链路层的安全协议较少. 同时，网络第二层的安全性通常引起计划人员的注意，这使网络第二层成为网络安全性中的薄弱环节. 本文对网络中的第2层安全威胁进行了深入的讨论，并提出了合理的预防措施. MAC MAC泛洪是对第2层交换机的攻击，但主要目的是在交换网络环境中实现嗅探. 当MAC帧通过交换机时，交换机将检查帧中的源MAC地址，并建立MAC地址和端口的映射表. 该映射表存储在交换机的CAM（内容可寻址内存）中. 执行帧转发时，交换机将查看映射表，并将具有已知MAC地址的帧转发到相应的端口. 只有具有未知MAC地址的帧才会被泛洪到所有端口. 通过这种转发行为，交换机可以有效地避免在HUB环境中生成的嗅探和攻击MAC洪泛. 攻击者发送的MAC帧的源地址不断变化（带有虚拟MAC地址），从而导致CAM溢出，因此交换机无法学习新的MAC地址.

同时，攻击者与T BPDU（在STP协议中宣布生成树的拓扑变化的BPDU）配合使用，以加速现有真实MAC地址条目的老化，并最终使CAM完全充满伪造的MAC地址条目. 通过交换机的数据帧将泛洪到所有端口，因为未找到相应的MAC条目. 通过MAC泛洪，攻击者已经将难以嗅探的交换环境转变为可以被嗅探的共享环境. 在Cisco交换机中启用端口安全性会限制每个端口上可能出现的MAC地址，从而可以抑制MAC泛洪攻击. 配置命令: CatOS（启用）> set port security 1/1 maximum#限制端口1/1上最多可以显示2个MAC地址. CatOS（启用）>设置端口安全性1/1后来的MAC STP安全性STP（生成树协议，生成树协议）是一种通常在第2层网络中运行的协议，其主要目的是避免存在第2层环路在网络上. STP以根网桥（Root Bridge）为根反复出现您当前的网络存在链路层劫持，并发送BPDU（网桥协议数据单元，网桥协议数据单元）来构建无环树拓扑.

由于STP缺乏信息认证机制，错误的STP信息将引起严重的网络安全问题. 如图所示，攻击者访问两个交换机，并使用较小的网桥ID BPDU声明自己为根网桥. 这样，以攻击者为根的生成树拓扑将发生变化. 所有流量不再通过交换机之间的链接，而是通过攻击者. 这样，攻击者可以发起嗅探，会话劫持和中间人（Man Cisco交换机中的BPDU Guard功能可以很好地解决STP攻击. 当在端口上启用BPDU Guard时，交换机将不接受收到的BPDU）. 通常，可以从此接口在PortFast端口上启用BPDU Guard，因为大多数PortFast端口仅连接到主机终端，并且不生成BPDU；当交换机从启用了BPDU Guard功能的端口接收BPDU时，该端口将关闭. 配置命令: CatOS（启用）> set spantree porfast bpduguard enable#在PortFast端口上启用BPDU Guard功能，Root Guard功能可防止交换机接受该端口上根桥的BPDU声明，从而防止攻击者将自己声明为root但是，攻击者通过仔细选择网桥ID，仍可以将流量引导到流量.

因此，使用BPDU Guard是防止STP攻击的基本方法. 配置命令: CatOS（启用）> set spantree guard root 1/4#1/4端口不接受端口BPDU. 在宣布CDP安全攻击之前，攻击者通常通过各种方式收集有关攻击目标的信息，以便发现安全漏洞. CDP（思科发现协议）是在思科网络环境中用于在相邻设备之间交换设备相关信息的协议. 该信息包括设备功能，运行的IOS版本号等. 攻击者可能会通过IOS版本号知道此版本的安全漏洞，然后攻击该漏洞. CDP在了解网络状况和逐步进行故障排除方有一定作用，因此建议在连接到最终用户的端口上关闭CDP协议（如图所示）. 如有必要，您可以完全关闭网络中的CDP协议. 配置命令: 交换机（config-if）#no cdp enable#停止在接口上运行CDP交换机（config）#no cdp在设备上禁用#CDP协议VTP安全VTP（VLAN中继协议）VTP服务器模式交换机发送VTP信息以达到在交换机之间共享VLAN的目的，从而减少VLAN配置的工作量.

如果攻击者伪造VTP信息并删除VTP域中的所有VLAN，则先前分配的VLAN端口将被关闭，并且将发生DoS攻击. 通过在VTP域中设置密码，可以有效防止VTP信息的伪造. 通过123下一个友善提示: 特别！在端口上使用vtpdomain模式服务器被动Trunk协议）协议和端口类型协商来确定端口是处于Access还是Trunk状态. 如果主机扮演交换机的角色，并且交换机的端口协商成为Trunk反复出现您当前的网络存在链路层劫持，则主机将能够访问所有VLAN. 基本VLAN转发的解决方案是关闭DTP协商或将访问端口设置为访问状态. 配置命令: CatOS（启用）> set trunk 1/1 off#禁用DTP协议Sode access#将端口置于访问状态ARP安全性ARP（地址解析协议）是将IP地址映射到MAC地址的协议. 由于ARP没有IP所有权的概念，即MAC地址和IP地址是分开的，这意味着MAC地址可以播放任意MAC地址.

可以通过ARP欺骗发起各种攻击. 如图所示，主机192.168.1.25发送伪造的ARP信息，通知路由器192.168.1.34 MAC地址为11-22-33-44-55-66，从而导致路由器的ARP表错误，因此该信息从路由器发送到192.168.1.34的MAC地址不存在. ARP重定向比ARP欺骗更近了一步. 受攻击的主机不仅无法访问网络，还可能导致嗅探主机信息. 如图所示，192.168.1.25向路由器通告192.168.1.34 MAC地址为00-0f-3d-82-bc-7e. 192.168.1.34的信息将定向到00-0f-3d-82-bc-7e（192.168.1.25），在此处嗅探​​或修改信息. ARP欺骗和ARP重定向均基于伪造的ARP响应. 绑定IP-MAC可以有效避免ARP欺骗. Catalyst交换机具有ARP检查功能（ARP ACL）来过滤不满足IP-MAC绑定规则的ARP响应. ARP ACL与ACL相似，因为它们也明确允许隐式拒绝. 当网络上有很多主机时，配置ARP ACL的工作量很大.

配置命令: CatOS（启用）>设置安全性acl ip acl-95允许arp-检查主机192.168.1.25 00-0f-3d-82-bc-7e #bind IP-MAC CatOS（启用）>设置安全性acl ip acl-95允许arp-checking主机192.168.1.34 00-0f-3d-82-bc-7f为了保持ARP欺骗的有效性，有必要连续发送伪造的ARP响应. 可以通过限制接口上的ARP响应数量，在达到阈值时丢弃ARP响应或关闭接口来抑制ARP欺骗. CatOS（启用）#set port arp-inspection 1/1 drop-threshold 10 shutdoic主机配置协议）通过DHCP服务器将配置信息分配给客户端的IP地址，网关等. 通过在网络上引入未经授权的DHCP服务器，可能为客户端分配了错误的IP地址，从而导致客户端无法访问网络. 如果将未经授权的DHCP服务器分配给恶意DNS，则客户将访问错误的服务器；如果它是恶意网关，则可能会嗅探或修改用户信息.

在交换机上配置DHCP，以允许连接到受信任端口的主机发送DHCP响应，而不受信任端口则不允许DHCP响应. 配置命令: 交换机（config）#ip dhcp snooping#启用DHCP侦听交换机（config）#ip dhcp snooping vlan#在vlan2中启用DHCP侦听交换机（config-if）#ip dhcp snooping trust#定义DHCP可信端口可能的安全性描述了网络第二层的问题及其预防方法. 将来，我们将讨论两种增强网络第二层安全性的措施: PVLAN（专用VLAN）. PVLAN PVLAN通过将VLAN中的端口划分为具有相同子网地址的隔离端口来增强网络安全性. 无需使用PVLAN隔离端口划分IP网段，从而大大节省了IP地址. 由于这些特性，PVLAN被广泛用于住宅宽带访问和DMZ服务器访问. PVLAN端口有三种类型: 隔离端口，混杂端口和社区端口.

独立端口只能与混杂端口通信，并连接不与子网中的主机通信的主机. 混杂端口可以与任何端口通信，通常连接到上层设备的端口. 社区可以与混杂端口通信或与混杂端口通信. ，连接到与子网上的一部分主机进行通信的主机. 配置命令: CatOS（启用）> setvlan 10 pvlanprimary#将vlan10设置为主vlan CatOS（启用）> set vlan 100 pvlan isolated#将vlan100设置为独立vlan CatOS（enable）> set vlan 101 pvlan munity #Set vlan101 as a组vlan CatOS（启用）>设置vlan 10 100 3/13#将vlan100捆绑到主vlan10并分配端口CatOS（启用）>设置vlan 10 101 3 / 2-12#将vlan101绑定到主vlan10并分配端口CatOS（启用） >将vlan 10100映射3/1 #set 3/1映射为vlan100混杂端口CatOS（启用）> ste vlan 10101映射3/1 #set 3/1映射为vlan101混杂端口出现在网络的第二层上安全威胁要求攻击者直接访问网络，因此为了确保网络安全，除了使用各种措施之外，对用户的安全教育和监督也至关重要. 上一页123友情提醒: 特别！

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-162200-1.html