以太網(wǎng)安全技術(shù)交流PPT課件

1、n以太網(wǎng)常見的安全問題 n幾個以太網(wǎng)安全技術(shù)n以太網(wǎng)常用安全技術(shù)介紹n案例分析目目 錄錄第1頁/共43頁以太網(wǎng)常見的安全問題攻擊類型攻擊行為交換機(jī)安全特性參考指令資源耗盡型攻擊MAC表攻擊端口MAC數(shù)限制mac-address max-mac-count conut-value禁止某個VLAN的MAC地址學(xué)習(xí) 靜態(tài)MAC表mac-address mac-learning disablemac-address static mac-address interface interface-type interface-number端口安全port-security enableMAC + IP +

2、 端口綁定,端口安全中的1個特性am user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-numberDHCP DOS攻擊DHCP Relay Option 82dhcp server relay information enableDHCP Snooping Option 82dhcp-snooping information enableCPU惡意沖擊ARP限速arp source-suppression limit total|local|through value防范攻

3、擊的其它特性廣播風(fēng)暴抑制broadcast-suppression ratio 環(huán)路檢測loopback detection enableEAD特性security-policy-server ip-address802.1x dot1x enable端口安全特性port-security enable第2頁/共43頁假冒偽裝型攻擊假冒偽裝型攻擊ARP欺騙攻擊ARP入侵檢測arp source-suppression limit total|local|through value端口隔離port isolateIsolate-User-VLANisolate-user-vlan enableM

4、AC/IP欺騙攻擊DHCP relay Securitydhcp-security ip-address mac-addressIP源地址保護(hù)ip-protect enableDHCP服務(wù)器欺騙攻擊DHCP Snooping Trustdhcp-snooping trust根橋偽裝攻擊STP根保護(hù)stp root-protectionBPDU保護(hù)stp bpdu-protectionTCN攻擊TC-BPDU報文非立即處理機(jī)制stp tc-protection enable路由源偽裝攻擊OSPF/RIP路由MD5驗證ospf authentication-mode md5 key-id keyr

5、ip authentication-mode md5 rfc2082 key key-id第3頁/共43頁設(shè)備控制權(quán)攻擊設(shè)備控制權(quán)攻擊用戶信息嗅探SSH2.0protol inbound sshSNMPv3snmp-agent sys-info version v3SFTPsftp server enable管理人員泄密遠(yuǎn)程管理終端限制(Telnet VTY 配置ACL)acl acl-number inbound用戶分級level level-value暴力嘗試攻擊 遠(yuǎn)程管理終端限制(Telnet VTY 配置ACL)acl acl-number inbound第4頁/共43頁n以太網(wǎng)常見的

6、安全問題 n幾個以太網(wǎng)安全技術(shù)n以太網(wǎng)常用安全技術(shù)介紹n案例分析目目 錄錄第5頁/共43頁端口隔離技術(shù)為了實現(xiàn)報文之間的二層隔離，可以將不同的端口加入不同的VLAN，但會浪費(fèi)有限的VLAN 資源。采用端口隔離特性，可以實現(xiàn)同一VLAN 內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案。端口隔離特性與端口所屬的VLAN 無關(guān)。同VLAN 下同一隔離組內(nèi)相互隔離，同VLAN 不同隔離組或者隔離組內(nèi)外不隔離，隔離組內(nèi)的端口和隔離組外端口二層流量雙向互通。為了使隔離組與隔離組外二層互通，隔離組內(nèi)必須存在上行端口

7、。VLAN 內(nèi)非端口隔離組成員即為上行端口，隔離組內(nèi)上行端口的數(shù)量沒有限制。第6頁/共43頁DLDP技術(shù)在實際組網(wǎng)中，有時會出現(xiàn)一種特殊的現(xiàn)象單向鏈路（即單通）。所謂單向鏈路是指本端設(shè)備可以通過鏈路層收到對端設(shè)備發(fā)送的報文，但對端設(shè)備不能收到本端設(shè)備的報文。單向鏈路會引起一系列問題，比如生成樹拓?fù)渲写嬖诃h(huán)路等。DLDP（Device Link Detection Protocol，設(shè)備鏈路檢測協(xié)議）可以監(jiān)控光纖或銅質(zhì)雙絞線的鏈路狀態(tài)。如果發(fā)現(xiàn)單向鏈路存在，DLDP 會根據(jù)用戶配置，自動關(guān)閉或通知用戶手工關(guān)閉相關(guān)端口，以防止網(wǎng)絡(luò)問題的發(fā)生。第7頁/共43頁AAAAAA 是Authenticati

8、on、Authorization、Accounting（認(rèn)證、授權(quán)、計費(fèi)）的簡稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，提供了認(rèn)證、授權(quán)、計費(fèi)三種安全功能。AAA一般采用客戶機(jī)/服務(wù)器結(jié)構(gòu)，客戶端運(yùn)行于NAS（Network Access Server，網(wǎng)絡(luò)接入服務(wù)器）上，服務(wù)器上則集中管理用戶信息。NAS對于用戶來講是服務(wù)器端，對于服務(wù)器來說是客戶端。第8頁/共43頁SSHSSH 是Secure Shell（安全外殼）的簡稱。用戶通過一個不能保證安全的網(wǎng)絡(luò)環(huán)境遠(yuǎn)程登錄到設(shè)備時，SSH 可以利用加密和強(qiáng)大的認(rèn)證功能提供安全保障，保護(hù)設(shè)備不受諸如IP 地址欺詐、明文密碼截取等攻擊。設(shè)備支持SSH 服務(wù)器功能

9、，可以接受多個SSH 客戶端的連接。同時，設(shè)備還支持SSH 客戶端功能，允許用戶與支持SSH 服務(wù)器功能的設(shè)備建立SSH 連接，從而實現(xiàn)從本地設(shè)備通過SSH 登錄到遠(yuǎn)程設(shè)備上。第9頁/共43頁IP Source Guard通過IP Source Guard 綁定功能，可以對端口轉(zhuǎn)發(fā)的報文進(jìn)行過濾控制，防止非法報文通過端口，提高了端口的安全性。端口接收到報文后查找IP Source Guard 綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉(zhuǎn)發(fā)該報文，否則做丟棄處理。綁定功能是針對端口的，一個端口被綁定后，僅該端口被限制，其他端口不受該綁定影響。IP Source Guard

10、支持的報文特征項包括：源IP 地址、源MAC 地址和VLAN 標(biāo)簽。并且，可支持端口與如下特征項的組合：IP、MAC、IPMACIPVLAN、MACVLAN、IPMACVLAN第10頁/共43頁n以太網(wǎng)常見的安全問題 n幾個以太網(wǎng)安全技術(shù)n以太網(wǎng)常用安全技術(shù)介紹n案例分析目目 錄錄第11頁/共43頁以太網(wǎng)訪問列表主要作用:在整個網(wǎng)絡(luò)中分布實施接入安全性Internet第12頁/共43頁訪問列表第13頁/共43頁流分類第14頁/共43頁訪問控制列表的構(gòu)成第15頁/共43頁時間段的相關(guān)配置 undo time-range time-name start-time to end-time days-

11、of-the-week from start-time start-date to end-time end-date 第16頁/共43頁定義訪問控制列表 第17頁/共43頁基本訪問控制列表的子規(guī)則配置 第18頁/共43頁端口操作符及語法第19頁/共43頁子規(guī)則匹配原則第20頁/共43頁激活訪問控制列表第21頁/共43頁訪問控制列表的維護(hù)和調(diào)試 第22頁/共43頁802.1X的作用第23頁/共43頁802.1X的系統(tǒng)組成EAP Over SomethingAuthentication ServerAuthenticatorEAPOLSupplicant第24頁/共43頁802.1X的受控端口（

12、1）第25頁/共43頁802.1X的受控端口（2）第26頁/共43頁端口受控方式第27頁/共43頁802.1X優(yōu)勢明顯第28頁/共43頁典型應(yīng)用（1）第29頁/共43頁典型應(yīng)用（2）第30頁/共43頁典型應(yīng)用（3）第31頁/共43頁n 仿冒網(wǎng)關(guān)仿冒網(wǎng)關(guān) ARP病毒通過發(fā)送錯誤的網(wǎng)關(guān)MAC對應(yīng)關(guān)系給其他受害者，導(dǎo)致其他終端用戶不能正常訪問網(wǎng)關(guān)n 仿冒終端用戶仿冒終端用戶/ /服務(wù)器服務(wù)器n 欺騙網(wǎng)關(guān)發(fā)送錯誤的終端用戶的IPMAC的對應(yīng)關(guān)系給網(wǎng)關(guān)，導(dǎo)致網(wǎng)關(guān)無法和合法終端用戶正常通信n 欺騙終端用戶發(fā)送錯誤的終端用戶/服務(wù)器的IPMAC的對應(yīng)關(guān)系給受害的終端用戶，導(dǎo)致兩個終端用戶之間無法正常通信n

13、其他其他nARP FLOODING 攻擊ARPARP攻擊防御攻擊防御第32頁/共43頁網(wǎng)關(guān)G用戶接入設(shè)備n 網(wǎng)關(guān)防御網(wǎng)關(guān)防御n 合法ARP綁定，防御網(wǎng)關(guān)被欺騙n VLAN內(nèi)的ARP學(xué)習(xí)數(shù)量限制，防御ARP泛洪攻擊1 1 接入設(shè)備防御接入設(shè)備防御n 將合法網(wǎng)關(guān)IP/MAC進(jìn)行綁定，防御仿冒網(wǎng)關(guān)攻擊n 合法用戶IP/MAC綁定，過濾掉仿冒報文n ARP限速n 綁定用戶的靜態(tài)MAC2 2n 客戶端防御客戶端防御n 合法ARP綁定，防御網(wǎng)關(guān)被欺騙3 3ARPARP攻擊防御的三個控制點(diǎn)攻擊防御的三個控制點(diǎn)第33頁/共43頁動態(tài)獲取動態(tài)獲取IPIP地址的網(wǎng)絡(luò)推薦地址的網(wǎng)絡(luò)推薦DHCP SnoopingDH

14、CP Snooping模式模式網(wǎng)關(guān)接入設(shè)備接入設(shè)備接入設(shè)備接入設(shè)備監(jiān)控DHCP報文信息，綁定用戶MAC-IP-PORT關(guān)系1保護(hù)屏障保護(hù)屏障DHCP響應(yīng)響應(yīng)DHCP請求請求配置命令：全局模式：dhcpsnooping（全局開關(guān)）VLAN模式：ARP detection enable：（使能ARP detection enable檢測，限制ARP報文數(shù)量）上行接口：ARP detection trust（ 將上行口配置為信任接口不檢查ARP）DHCP第34頁/共43頁啟用接入認(rèn)證的網(wǎng)絡(luò)推薦認(rèn)證模式啟用接入認(rèn)證的網(wǎng)絡(luò)推薦認(rèn)證模式網(wǎng)關(guān)接入設(shè)備接入設(shè)備接入設(shè)備接入設(shè)備認(rèn)證客戶端綁定網(wǎng)關(guān)的IP-MAC對

15、應(yīng)關(guān)系3iNode客戶端客戶端 iNode客戶端客戶端 iNode客戶端客戶端 iNode客戶端客戶端 CAMS服務(wù)器服務(wù)器 IP Address GMAC G00-e0-fc-00-00-04 靜態(tài)靜態(tài)ARPARP綁定：綁定：第35頁/共43頁n以太網(wǎng)常見的安全問題 n幾個以太網(wǎng)安全技術(shù)n以太網(wǎng)常用安全技術(shù)介紹n案例分析目目 錄錄第36頁/共43頁案例點(diǎn)評案例點(diǎn)評1 1：某大型企業(yè)總部網(wǎng)絡(luò)：某大型企業(yè)總部網(wǎng)絡(luò)第37頁/共43頁大廈局域網(wǎng)大廈局域網(wǎng)第38頁/共43頁案例點(diǎn)評案例點(diǎn)評2 2：某大型企業(yè)廣域網(wǎng)：某大型企業(yè)廣域網(wǎng)第39頁/共43頁案例點(diǎn)評案例點(diǎn)評3 3：某大型企業(yè)數(shù)據(jù)中心：某大型企業(yè)數(shù)據(jù)中心第40頁/共43頁構(gòu)建安全的交換網(wǎng)絡(luò)是一個系統(tǒng)工程構(gòu)建安全的交換網(wǎng)絡(luò)是一個系統(tǒng)工程 總之，構(gòu)建安全的交換網(wǎng)絡(luò)，是一個系統(tǒng)工程，