項(xiàng)目二配置鏈路層安全

項(xiàng)目2配置鏈路層安全職業(yè)教育網(wǎng)絡(luò)信息安全“十三五”規(guī)劃教材”網(wǎng)絡(luò)空間安全”賽項(xiàng)大賽資源轉(zhuǎn)化教材機(jī)械工業(yè)出版社

數(shù)據(jù)鏈路層是OSI參考模型中的第二層，最基本的功能是向該層用戶提供透明的和可靠的數(shù)據(jù)傳送基本服務(wù)，其通信連接就安全而言，是較為薄弱的環(huán)節(jié)。本項(xiàng)目以交換式以太網(wǎng)技術(shù)為基礎(chǔ)，分析數(shù)據(jù)鏈路層的不安全因素，有針對性地采用相應(yīng)的解決思路和操作方法。通過該項(xiàng)目學(xué)習(xí)，能夠使用VLAN技術(shù)合理規(guī)劃和配置虛擬工作組，并能實(shí)現(xiàn)跨交換機(jī)VLAN中繼和三層交換機(jī)VLAN間路由；能夠根據(jù)無線接入安全要求，配置wep、wpa、wpa2等不同的安全認(rèn)證方式，并進(jìn)行接入測試；能夠通過采用端口安全與限制、防ARP攻擊技術(shù)使網(wǎng)絡(luò)更加健壯和安全。本章導(dǎo)讀Thechapter’sintroduction任務(wù)1分隔廣域網(wǎng)：vlan技術(shù)任務(wù)描述

銀河公司辦公區(qū)共有三個樓層，設(shè)有市場部、銷售部、人事部、戰(zhàn)略部、財(cái)務(wù)部五個部門，擁有近80個信息點(diǎn)，采用四臺24端口二、三層交換機(jī)構(gòu)建局域網(wǎng)，如圖2-1-1所示?，F(xiàn)要求運(yùn)用VLAN技術(shù)實(shí)現(xiàn)廣播域分隔，即將局域網(wǎng)內(nèi)的設(shè)備按邏輯特性劃分成若干個虛擬工作組，在不改動網(wǎng)絡(luò)物理連接的情況下可以任意移動工作站組成新的邏輯工作組或虛擬子網(wǎng)。通過Vlan技術(shù)可促使虛擬工作組之間流量均衡、互相隔離、互不干擾，并在此基礎(chǔ)上，網(wǎng)絡(luò)管理員可根據(jù)實(shí)際需求實(shí)施不同安全策略，從而構(gòu)建穩(wěn)定、安全的網(wǎng)絡(luò)系統(tǒng)。任務(wù)一分隔廣域網(wǎng)：Vlan技術(shù)任務(wù)1分隔廣域網(wǎng)：vlan技術(shù)任務(wù)分析

首先，根據(jù)該公司當(dāng)前的信息點(diǎn)分布圖確定各部門對應(yīng)的VLANID和交換機(jī)各端口的歸屬，完成VLAN規(guī)劃；然后，根據(jù)用戶類別創(chuàng)建VLAN虛擬工作組，通過VLAN中繼技術(shù)實(shí)現(xiàn)VLAN跨交換機(jī)互訪；最后，通過SVI技術(shù)實(shí)現(xiàn)VLAN間互通。任務(wù)1分隔廣域網(wǎng)：vlan技術(shù)任務(wù)實(shí)施一、VLAN規(guī)劃

根據(jù)信息點(diǎn)分布圖，依據(jù)物理樓層給予設(shè)備合理命名，如一樓第二臺交換機(jī)命名為“SW1-2”，依據(jù)各部門的信息點(diǎn)數(shù)量合理分配端口，為各部門設(shè)置VLAN編號、名稱和IP網(wǎng)段，具體情況如表2-1-1，圖2-1-2為網(wǎng)絡(luò)拓?fù)鋱D。

設(shè)備部門端口范圍VLANIDNameIP網(wǎng)段一樓SW1-1銷售部F0/1-F0/22Vlan10XSB/24SW1-2F0/1-F0/10戰(zhàn)略部F0/11-F0/13Vlan30ZLB/24市場部F0/14-F0/21Vlan20SCB/24二樓SW2-1F0/1-F0/20三樓SW3-1財(cái)務(wù)部F0/1-F0/8Vlan50CWB/24人事部F0/9-F0/16Vlan40RSB/24戰(zhàn)略部F0/17-F0/22Vlan30ZLB/24表2-1-1VLAN規(guī)劃圖任務(wù)1分隔廣域網(wǎng)：vlan技術(shù)圖2-1-2網(wǎng)絡(luò)拓?fù)鋱D二、VLAN配置（一）單交換機(jī)VLAN配置1.創(chuàng)建VLAN從網(wǎng)絡(luò)拓?fù)鋱D上看，該交換機(jī)只有一個部門的用戶的接入，擬乎只需創(chuàng)建一個對應(yīng)的VLAN即可，但VLAN具有交換網(wǎng)絡(luò)的全局特性，應(yīng)創(chuàng)建交換網(wǎng)絡(luò)中全部VLAN來保障正常通信。其它交換機(jī)的配置同上。2.端口劃分

任務(wù)1分隔廣域網(wǎng)：vlan技術(shù)3.測試以一樓的交換網(wǎng)絡(luò)為例，按照圖2-1-3接入PC1、PC2、PC3、PC4、PC5,并配置相應(yīng)的IP地址。請講行如下測試，并對結(jié)果進(jìn)行分析：（1）銷售部PC1ping銷售部PC2。（2）銷售部PC1ping戰(zhàn)略部PC3。（3）銷售部PC1ping銷售部PC5。正常情況下，相同部門PC機(jī)互通，不同部門之間的PC機(jī)不能互通。但由于跨越交換機(jī)，銷售部PC1ping銷售部PC5不能ping通，這需要后續(xù)的VLAN中繼技術(shù)來解決。圖2-1-3接入測試PC機(jī)任務(wù)1分隔廣域網(wǎng)：vlan技術(shù)（二）跨交換機(jī)VLAN中繼不在同一臺物聯(lián)交換機(jī)上的同類邏輯用戶如何能夠正?；ピL呢？如何將兩臺物理交換機(jī)變成一臺邏輯交換機(jī)呢？這將需要VLAN中繼技術(shù)來解決。將交換機(jī)之間連接的端口的屬性設(shè)置為Trunk，如SW1-1和SW1-2的F0/23端口，并允許全部VLAN數(shù)據(jù)通過，即在交換機(jī)之間的干部鏈路上放行全部VLAN數(shù)據(jù)按照圖2-1-4接入PC1、PC2等8臺PC機(jī)（也可根據(jù)實(shí)際情況選擇性的接入部分PC機(jī)），并配置相應(yīng)的IP地址。網(wǎng)絡(luò)管理員可通過查看配置清單來校對正確性，也可通過PC機(jī)終端的ping命令來測試連通性。圖2-1-4接入測試PC機(jī)任務(wù)1分隔廣域網(wǎng)：vlan技術(shù)三、交換機(jī)虛擬端口技術(shù)通過VLAN技術(shù)可以實(shí)現(xiàn)不同虛擬工作組之間的隔離，但我們希望隔離的是廣播幀，而不是單播幀，因此虛擬工作組之間還需要互通?，F(xiàn)通過交換機(jī)虛擬端口（SVI）技術(shù)來實(shí)現(xiàn)不同VLAN間互通，也稱之為VLAN間路由。VLAN間“路由”是三層的概念，二層交換機(jī)不具備該功能，路由器執(zhí)行效率低，也難以勝任，因此出現(xiàn)了將二層交換與三層路由功能集成在一起的三層交換機(jī)，并在局域網(wǎng)中廣泛使用。三層交換機(jī)在內(nèi)部生成“VLAN虛擬端口”，用于各VLAN收發(fā)數(shù)據(jù)，并分別對應(yīng)各VLAN的虛擬網(wǎng)關(guān)，通過三層交換機(jī)的SVI技術(shù)，實(shí)現(xiàn)不同VLAN的連通任務(wù)2無線安全WEP、WPA任務(wù)描述網(wǎng)絡(luò)管理員小蘇分別給華強(qiáng)、華達(dá)、華康三家剛剛起步的微型公司配置家用無線路由器。依據(jù)公司所采購產(chǎn)品的特性和網(wǎng)絡(luò)安全要求，配置wep、wpa、wpa2等不同的安全認(rèn)證方式來保障無線網(wǎng)絡(luò)的安全性，并進(jìn)行接入測試。幾個月后，華達(dá)公司的規(guī)模極速擴(kuò)大，無線網(wǎng)絡(luò)接入規(guī)模進(jìn)一步增長，性能要求更高，現(xiàn)要求小蘇對公司所布署的無線AP進(jìn)行配置，保障無線用戶安全接入。任務(wù)二

無線安全WEP、WPA任務(wù)2無線安全WEP、WPA任務(wù)分析通過查看家用路由器的產(chǎn)品說明書，或?yàn)g覽相關(guān)網(wǎng)站，熟悉所選型的幾款產(chǎn)品的配置方式與環(huán)境，并搭建基礎(chǔ)網(wǎng)絡(luò)；依據(jù)任務(wù)要求，對幾款產(chǎn)品進(jìn)行無線網(wǎng)絡(luò)安全配置，并使用終端進(jìn)行無線接入測試；在實(shí)踐的基礎(chǔ)上進(jìn)一步理解wep、wpa、wpa2等安全加密模式的特點(diǎn)和原理。任務(wù)2無線安全WEP、WPA一、家用路由器的無線安全配置華強(qiáng)、華達(dá)、華康三家公司分別選用了華為、小米、TP-LINK三款無線路由器產(chǎn)品，現(xiàn)要求分別配置wep、wpa/wpa2混合、wpa2三種安全加密模式。（一）WEP安全模式共享式安全類型采用WEP加密標(biāo)準(zhǔn)。WEP即WiredEquivalentPrivacy的縮寫，表示有線等效保密。1999年WEP加密協(xié)議獲得通過，提供了與有線連接等效的加密安全性。現(xiàn)以華為的WS550無線路由器為例。按要求接線并通電之后，打開網(wǎng)頁瀏覽器，輸入地址“/”，初始設(shè)置或直接輸入用戶名、密碼，打開主頁后切換到“家庭網(wǎng)絡(luò)”頁面，如圖2-2-1。點(diǎn)擊左側(cè)菜單中的“無線網(wǎng)絡(luò)設(shè)置”選項(xiàng)，在所切換的頁面中選中“無線加密設(shè)置”選項(xiàng)，彈出“無線加密設(shè)置”相關(guān)內(nèi)容，如圖2-2-2所示。圖2-2-2無線加密設(shè)置頁面【任務(wù)實(shí)現(xiàn)】任務(wù)2無線安全WEP、WPA設(shè)置wifi名稱為“華強(qiáng)”的縮寫“huaqiang”，將安全模式從默認(rèn)的“WPA-PSK/WPA2-PSK”方式改為“WEP”方式，此時，后續(xù)選項(xiàng)將跟隨安全模式的切換而變化，如圖2-2-3所示。密鑰長度有128位和64位兩種選擇，現(xiàn)采用默認(rèn)的“128位長度”，并輸入13位長度的密鑰（若采用64位，則輸入5位長度的密鑰）。圖2-2-3無線加密wep安全模式設(shè)置任務(wù)2無線安全WEP、WPA路由器配置完畢后，再使用信息終端進(jìn)行無線連接測試，如圖2-2-4所示，在彈出的對話框中輸入預(yù)先設(shè)置的安全密鑰。在Windows7中的無線網(wǎng)卡安全性設(shè)置中提供了7種選擇：無身份驗(yàn)證（開放式）、共享式、WPA2-個人、WPA–個人、WPA2–企業(yè)、WPA–企業(yè)、802.1X，如圖2-2-5所示。連接成功后，右鍵點(diǎn)擊該連接，彈出“無線網(wǎng)絡(luò)屬性”對話框，可以看到該連接的加密方式為“共享式”，即wep模式，如圖2-2-6所示，與任務(wù)要求相符。。圖2-2-4無線連接圖2-2-5無線網(wǎng)絡(luò)安全類型選擇圖2-2-6無線網(wǎng)絡(luò)wep加密類型任務(wù)2無線安全WEP、WPA一般計(jì)算機(jī)第一次連接到一個無線路由器的時候會自動獲取無線網(wǎng)絡(luò)的安全類型和加密類型。但是也有時候需要手動設(shè)置電腦的無線連接，這個時候就需要注意讓電腦上的無線安全性設(shè)置與路由器上的設(shè)置匹配。然而更容易出現(xiàn)的問題是，當(dāng)路由器配置了較新的安全認(rèn)證方式，如WPA2-PSK，而電腦比較舊，其網(wǎng)卡不支持這種安全認(rèn)證方式，此時計(jì)算機(jī)可能就無法搜尋到該無線路由器提供的無線網(wǎng)絡(luò)。遇到這種情況，就需要將路由器上的無線安全性設(shè)置調(diào)低，比如WPA-PSK，甚至需要選擇共享式（采用WEP加密）。任務(wù)2無線安全WEP、WPA（二）WAP2安全模式事實(shí)證明WEP很容易遭到破解，于是WPA加密方式應(yīng)運(yùn)而生。所以，有更高加密標(biāo)準(zhǔn)可用的時候，一般不使用WEP加密類型。現(xiàn)以小米的無線路由器為例，要求配置比較常用，且安全級別很高的WAP2加密模式，設(shè)置界面如圖2-2-7所示。該款產(chǎn)品默認(rèn)的安全模式是“WPA/WPA2混合加密”，將其調(diào)整為“強(qiáng)加密（WPA2個人版）”，然后輸入相關(guān)密鑰，點(diǎn)擊保存后路由器自動重啟。完成路由器配置之后，使用信息終端進(jìn)行無線連接測試，并查看連接的安全類型，如圖2-2-8所示。。圖2-2-7wpa2加密方式設(shè)置圖2-2-8無線網(wǎng)絡(luò)wpa安全類型任務(wù)2無線安全WEP、WPA圖2-2-9無線路由器無線設(shè)置任務(wù)2無線安全WEP、WPA二、無線AP安全配置由于華達(dá)公司的規(guī)模極速擴(kuò)大，一般的家電無線路由器已經(jīng)不能滿足接入點(diǎn)數(shù)量和性能的要求，現(xiàn)要求對所部署的無線網(wǎng)絡(luò)中的AP進(jìn)行安全模式的配置，從而保障無線用戶能安全接入?，F(xiàn)以銳捷網(wǎng)絡(luò)RG-AP220-E系列無線AP為例，網(wǎng)絡(luò)拓?fù)淙鐖D2-2-10所示，具體的網(wǎng)絡(luò)部署相關(guān)配置省略，著重關(guān)注安全模式相關(guān)配置。圖2-2-10無線網(wǎng)絡(luò)拓?fù)溆捎跓o線網(wǎng)絡(luò)使用的是開放性媒介采用公共電磁波作為載體來傳輸數(shù)據(jù)信號，通信雙方?jīng)]有線纜連接，如果傳輸鏈路未采取適當(dāng)?shù)募用鼙Ｗo(hù)，數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn)就會大大增加。因此在WLAN中無線安全顯得尤為重要。為了增強(qiáng)無線網(wǎng)絡(luò)安全性，無線設(shè)備需要提供無線層面下的認(rèn)證和加密兩個安全機(jī)制。其中，認(rèn)證機(jī)制用來對用戶的身份進(jìn)行驗(yàn)證，以限定特定的用戶（授權(quán)的用戶）可以使用網(wǎng)絡(luò)資源；加密機(jī)制用來對無線鏈路的數(shù)據(jù)進(jìn)行加密，以保證無線網(wǎng)絡(luò)數(shù)據(jù)只被所期望的用戶接收和理解。任務(wù)2無線安全WEP、WPA【知識鏈接】1.WEP技術(shù)WEP（WiredEquivalentPrivacy，有線等效保密），只從名字上來看，似乎是一個針對有線網(wǎng)絡(luò)的安全加密協(xié)議，但事實(shí)并非如此。WEP標(biāo)準(zhǔn)在無線網(wǎng)絡(luò)出現(xiàn)的早期就已創(chuàng)建，它的安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，是無線局域網(wǎng)WLAN的必要的安全防護(hù)層。目前常見的是64位WEP加密和128位WEP加密。隨著無線安全的一度升級，WEP加密已經(jīng)出現(xiàn)了100%破解的方法，通過抓包注入，獲取足夠的數(shù)據(jù)包，即可徹底瓦解WEP機(jī)密，有黑客驗(yàn)證，在短短5分鐘之內(nèi)即可破解出10位數(shù)的WEP密碼。當(dāng)在無線設(shè)備“安全認(rèn)證類型”選擇“自動選擇”、“開放系統(tǒng)”、“共享密鑰”這三項(xiàng)的時候，使用的就是WEP加密技術(shù)，“自動選擇”是無線路由器可以和客戶端自動協(xié)商成“開放系統(tǒng)”或者“共享密鑰”。任務(wù)2無線安全WEP、WPA【知識鏈接】2.WPA技術(shù)WPA全名為Wi-FiProtectedAccess，有WPA和WPA2兩個標(biāo)準(zhǔn)，是一種保護(hù)無線電腦網(wǎng)絡(luò)（Wi-Fi）安全的系統(tǒng)，它是應(yīng)研究者在前一代的系統(tǒng)有線等效加密（WEP）中找到的幾個嚴(yán)重的弱點(diǎn)而產(chǎn)生的。WPA實(shí)作了IEEE802.11i標(biāo)準(zhǔn)的大部分，是在802.11i完備之前替代WEP的過渡方案。WPA的設(shè)計(jì)可以用在所有的無線網(wǎng)卡上，但未必能用在第一代的無線取用點(diǎn)上。WPA2具備完整的標(biāo)準(zhǔn)體系，但其不能被應(yīng)用在某些老舊型號的網(wǎng)卡上。WPA（Wi-FiProtectedAccess）加密方式目前有四種認(rèn)證方式：WPA、WPA-PSK、WPA2、WPA2-PSK。采用的加密算法有二種：AES（AdvancedEncryptionStandard高級加密算法）和TKIP（TemporalKeyIntegrityProtocol臨時密鑰完整性協(xié)議）。

任務(wù)2無線安全WEP、WPA【知識鏈接】（1）WPAWPA是用來替代WEP的。WPA繼承了WEP的基本原理而又彌補(bǔ)了WEP的缺點(diǎn)：WPA加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析，也幾乎無法計(jì)算出通用密鑰；WPA中還增加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。WPA的資料是以一把128位元的鑰匙和一個48位元的初向量(IV)的RC4streamcipher來加密。WPA超越WEP的主要改進(jìn)就是在使用中可以動態(tài)改變鑰匙的“臨時鑰匙完整性協(xié)定”（TemporalKeyIntegrityProtocol，TKIP），加上更長的初向量，這可以擊敗知名的針對WEP的金鑰匙取攻擊。（2）WPA-PSK即預(yù)先共享密鑰Wi-Fi保護(hù)訪問。WPA-PSK適用于個人或普通家庭網(wǎng)絡(luò)，使用預(yù)先共享密鑰，秘鑰設(shè)置的密碼越長，安全性越高。WPA-PSK只能使用TKIP加密方式。（3）WPA2WPA2是WPA的增強(qiáng)型版本，與WPA相比，WPA2新增了支持AES的加密方式。（4）WPA2-PSKWPA-PSK類似，適用于個人或普通家庭網(wǎng)絡(luò)，使用預(yù)先共享密鑰，支持TKIP和AES兩種加密方式。一般在我們家庭無線路由器設(shè)置頁面上，選擇使用WPA-PSK或WPA2-PSK認(rèn)證類型即可，對應(yīng)設(shè)置的共享密碼盡可能長些，并且在經(jīng)過一段時間之后更換共享密碼，確保家庭無線網(wǎng)絡(luò)的安全。任務(wù)3端口限制與安全任務(wù)描述華康公司近期網(wǎng)絡(luò)故障頻發(fā)，運(yùn)行狀態(tài)極不穩(wěn)定，經(jīng)過管理員的全面排查，發(fā)現(xiàn)網(wǎng)絡(luò)接入層存在諸多問題，例如：銷售一部有用戶私自接入交換設(shè)備來擴(kuò)展接入點(diǎn)數(shù)量，這種不受控制的隨意擴(kuò)展易造成網(wǎng)絡(luò)環(huán)路；銷售二部有不安全的用戶終端直接接入網(wǎng)絡(luò)，增加了運(yùn)行中網(wǎng)絡(luò)的許多安全隱患。公司網(wǎng)絡(luò)拓?fù)淙鐖D2-3-1所示，現(xiàn)要求網(wǎng)絡(luò)管理員采取相應(yīng)的策略：嚴(yán)格控制接入層交換機(jī)各端口的連接數(shù)；對所接入的信息終端進(jìn)行安全檢測與接入授權(quán)；對部分接入的用戶實(shí)施相互隔離，排除不安全的接入用戶對其它用戶的影響。任務(wù)三端口限制與安全圖2-3-1網(wǎng)絡(luò)拓?fù)鋱D任務(wù)3端口限制與安全任務(wù)分析針對銷售一部私接交換設(shè)備的問題，采用端口安全之最大連接數(shù)限制配置來解決；針對銷售二部有不安全用戶接入的問題，采用端口安全之端口、MAC、IP三者綁定的方法來解決，或者采用802.1x認(rèn)證來實(shí)現(xiàn)；針對接入用戶之間互相影響而產(chǎn)生安全風(fēng)險(xiǎn)的問題，采用端口隔離技術(shù)來解決。任務(wù)3端口限制與安全任務(wù)實(shí)施一、端口連接數(shù)控制限制交換機(jī)端口的最大連接數(shù)是設(shè)置端口安全的重要手段，端口最大連接數(shù)默認(rèn)為128，可以根據(jù)需要進(jìn)行限制。為防止用戶私接交換設(shè)備，可將交換機(jī)的最大連接數(shù)設(shè)置為1，即僅允許一個對象接入。現(xiàn)要求對銷售一部用戶接入端口進(jìn)行連接數(shù)限制，具體配置如下：HK_SW2_1(config)#interfacerangeFastEthernet0/1-10!進(jìn)入F0/1-10端口組模式HK_SW2_1(config-if-rage)#switchportport-security!啟用端口安全配置HK_SW2_1(config-if-rage)#switchportport-securitymaximum1!限制最大連接數(shù)為1HK_SW2_1(config-if-rage)#switchportport-secruityviolationshutdown!設(shè)置違例處理為shutdown配置了交換機(jī)的端口安全功能后，當(dāng)用戶接入數(shù)超出配置的要求時，交換機(jī)的管理機(jī)制將會出現(xiàn)安全違例，針對安全違例的處理方式有3種：protect--安全端口將丟棄違例用戶的數(shù)據(jù)包。Restrict--安全端口將丟棄違例用戶的數(shù)據(jù)包，并將發(fā)送一個Trap通知。Shutdown--安全端口將關(guān)閉該端口，并發(fā)送一個Trap通知。系統(tǒng)默認(rèn)的處理方式是protect。當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復(fù)過來。該端口安全功能只能在ACCESS端口模式下進(jìn)行配置。完成上述配置后，可以嘗試私接交換機(jī)，并在交換機(jī)上連接若干信息終端，通過觀察交換機(jī)端口安全的執(zhí)行效果來測試是否滿足了管理需求。任務(wù)3端口限制與安全二、接入對象身份控制（一）MAC地址綁定管理員不僅可以控制端口的連接數(shù)量，還可以控制連接對象的身份。管理員可以對計(jì)劃接入的PC機(jī)等終端進(jìn)行安全檢查，檢查合格的登記MAC地址，并在相應(yīng)的端口做好綁定，防止用戶進(jìn)行惡意的ARP欺騙?，F(xiàn)以銷售二部李經(jīng)理為例，通過命令ipconfig/all，查出他的PC機(jī)的MAC地址是C03F-D5E8-AF10，IP地址是7/24，他所接入的交換機(jī)端口為F0/17。李經(jīng)理的PC機(jī)經(jīng)過安全檢查后，由管理員在交換機(jī)上進(jìn)行相應(yīng)MAC地址綁定操作，具體配置如下：HK_SW2_1(config)#interfaceFastEthernet0/17!進(jìn)入F0/17端口模式HK_SW2_1(config-if)#switchportport-security!啟用端口安全配置HK_SW2_1(config-if)#switchportport-securitymaximum1!限制最大連接數(shù)為1HK_SW2_1(config-if)#switchportport-securitymac-addressC03F.D5E8.AF10ip-address7!端口與MAC和IP地址綁定LH_SW2_1(config-if)#switchportport-secruityviolationshutdown!設(shè)置違例處理為shutdown當(dāng)不是李經(jīng)理的PC機(jī)（非安全MAC地址）接入該交換機(jī)F0/8端口時，該端口就會shutdown。管理員可以采用上述的方法對其它端口進(jìn)行限制，嚴(yán)格控制接入對象的身份。任務(wù)3端口限制與安全二）端口802.1x認(rèn)證IEEE802.1X是根據(jù)用戶ID，對交換機(jī)端口進(jìn)行鑒權(quán)的標(biāo)準(zhǔn)，也被稱之為“端口級別的鑒權(quán)”。它采用RADIUS(遠(yuǎn)程認(rèn)證撥號用戶服務(wù))方法，并將其劃分為三個不同小組:請求方、認(rèn)證方和授權(quán)服務(wù)器。認(rèn)證和授權(quán)都通過鑒權(quán)服務(wù)器后端通信實(shí)現(xiàn)。IEEE802.1X提供自動用戶身份識別，集中進(jìn)行鑒權(quán)、密鑰管理和LAN連接配置。整個802.1x的實(shí)現(xiàn)由請求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三個部分組成?，F(xiàn)以S1為認(rèn)證服務(wù)器，IP地址為/24，客戶端以銷售二部的王經(jīng)理為例，他所使用的PC機(jī)為pc4，接入交換機(jī)F0/15端口。具體配置如下：HK_SW2_1(config)#radius-serverhostauth-port1812!指定RADIUS服務(wù)器的地址及UDP認(rèn)證端口HK_SW2_1(config)#aaaaccountingserver!指定記賬服務(wù)器的地址HK_SW2_1(config)#aaaaccountingacc-port1813!指定記賬服務(wù)器的UDP端口HK_SW2_1(config)#aaaauthenticationdot1x!開啟AAA功能中的802.1x認(rèn)證功能HK_SW2_1(config)#aaaaccounting!開啟AAA功能中的記賬功能HK_SW2_1(config)#radius-serverkeystar!設(shè)置RADIUS服務(wù)器認(rèn)證字HK_SW2_1(config)#snmp-servercommunitypublicrw!為通過簡單網(wǎng)絡(luò)管理協(xié)議訪問交換機(jī)設(shè)置認(rèn)證名（public為缺省認(rèn)證名）并分配讀寫權(quán)限HK_SW2_1(config)#interfacefastEthernet0/15!進(jìn)入F0/15端口模式HK_SW2_1(config-if)#dot1xport-controlauto!設(shè)置該端口參與802.1x認(rèn)證任務(wù)3端口限制與安全三、端口隔離VLAN技術(shù)實(shí)現(xiàn)了不同工作組之間的隔離。但在現(xiàn)實(shí)中，有時同一工作組內(nèi)的用戶之間也不需要共享資源和互訪，它們僅僅需要通過級聯(lián)端口或其它特殊端口訪問服務(wù)器和互聯(lián)網(wǎng)資源。在這種環(huán)境下，管理員可以通過端口隔離技術(shù)來消除用戶之間不安全因素的互相影響，以VLAN16為例，具體配置如下：HK_SW2_2(config)#interfacerangeFastEthernet0/1-20!進(jìn)入F0/1-20端口模式LH_SW2_2(config-if-rage)#switchportprotect!實(shí)施端口隔離配置后請用ping命令檢查，將發(fā)現(xiàn)工程部用戶之間不能ping通，即說明端口隔離生效了。任務(wù)3端口限制與安全【知識鏈接】1.端口安全技術(shù)端口安全，通過MAC地址表記錄連接到交換機(jī)端口的信息終端網(wǎng)卡MAC地址，并只允許某個MAC地址通過本端口通信。其他MAC地址發(fā)送的數(shù)據(jù)包通過此端口時，端口安全特性會阻止它。使用端口安全特性可以防止未經(jīng)允許的設(shè)備訪問網(wǎng)絡(luò)，并增強(qiáng)安全性，也可用于防止MAC地址泛洪造成MAC地址表溢出。通過在交換機(jī)端口上做MAC地址綁定、端口+MAC+IP綁定，可防止ARP、DHCP攻擊2.交換機(jī)802.1x認(rèn)證過程交換機(jī)802.1x認(rèn)證過程如圖2-3-2所示?？蛻舳讼蚪尤虢粨Q機(jī)發(fā)送一個EAPOL-Start報(bào)文，啟動802.1x認(rèn)證接入；接入交換機(jī)向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端將用戶名送上來；客戶端回應(yīng)一個EAP-Response/Identity給接入交換機(jī)的請求，其中包括用戶名；接入交換機(jī)將EAP-Response/Identity報(bào)文封裝到RADIUSAccess-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器；認(rèn)證服務(wù)器產(chǎn)生一個Challenge，通過接入交換機(jī)將RADIUSAccess-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5challenge；接入交換機(jī)通過EAP-Request/MD5challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證；客戶端收到EAP-Request/MD5challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，將EAP-Response/MD5challenge回應(yīng)給接入交換機(jī)；接入交換機(jī)將Challenge，ChallengedPassword和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證；RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備，如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)，如果認(rèn)證失敗，則流程到此結(jié)束；如果認(rèn)證通過，用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCPRelay)，通過接入交換機(jī)獲取規(guī)劃的IP地址；如果認(rèn)證通過，接入交換機(jī)發(fā)起計(jì)費(fèi)開始請求給RADIUS用戶認(rèn)證服務(wù)器；RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請求報(bào)文。用戶上線完畢。任務(wù)3端口限制與安全【知識鏈接】3.端口隔離與VLAN的區(qū)別端口隔離操作與之同學(xué)習(xí)的VLAN配置不同。端口隔離的端口之間無法相互通信，但可以與級聯(lián)端口通信；VLAN是同VLANID的端口可以任意通信，不同VLAN之間不能直接通信；端口隔離的各個端口仍然處于同一IP段，VLAN則一般每個VLAN對應(yīng)一個獨(dú)立的IP段；端口隔離僅限于單臺交換機(jī)，即無法控制級聯(lián)的兩臺交換機(jī)之間的隔離端口的通信，VLAN可以跨越多臺交換機(jī)，只要VLANID不同，就無法直接通信。級聯(lián)端口無法區(qū)分端口隔離的數(shù)據(jù)來自哪個端口，但是可以區(qū)分VLAN的數(shù)據(jù)歸屬于哪個VLAN。圖2-3-2802.1x認(rèn)證過程任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)任務(wù)四防ARP攻擊與DHCPSnoop技術(shù)任務(wù)描述最近華康公司員工抱怨無法正常訪問互聯(lián)網(wǎng)，經(jīng)網(wǎng)絡(luò)管理員故障排查發(fā)現(xiàn)客戶端PC機(jī)ARP緩存表綁定記錄有誤，從該現(xiàn)象可以判斷網(wǎng)絡(luò)可能出現(xiàn)了ARP欺騙攻擊，導(dǎo)致客戶端PC機(jī)不能獲取正確的ARP記錄，以至不能夠訪問目標(biāo)網(wǎng)絡(luò)。同時還發(fā)現(xiàn)客戶端PC通過DHCP獲得了錯誤的IP地址，從該現(xiàn)象可以判斷出網(wǎng)絡(luò)中可能出現(xiàn)了DHCP攻擊，有人私自架設(shè)了DHCP服務(wù)器（偽DHCP服務(wù)器）導(dǎo)致客戶端PC不能獲得正確的IP地址信息，以至不能夠正常訪問網(wǎng)絡(luò)資源。企業(yè)網(wǎng)絡(luò)拓?fù)鋱D如圖2-4-1所示，現(xiàn)要求管理員針對所出現(xiàn)的異常情況，采用相應(yīng)的安全策略優(yōu)化華康公司網(wǎng)絡(luò)環(huán)境，徹底解決ARP攻擊問題。圖2-4-1網(wǎng)絡(luò)拓?fù)鋱D任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)任務(wù)分析可在Attacker攻擊機(jī)上開啟scapy和Yersinia程序來模擬ARP欺騙和DHCP泛洪攻擊。針對任務(wù)中所存在的問題，可采用switchportport-security和ARP檢測相結(jié)合的方案來防止ARP欺騙；采用DHCPSnoop技術(shù)來防止DHCP服務(wù)器偽裝和DHCP泛洪攻擊；采用HDCPSnoop+DAI技術(shù)有效防止動態(tài)地址獲取環(huán)境下的ARP欺騙攻擊。任務(wù)實(shí)施一、ARP檢測在命令窗口輸入“arp-a”，查看arp列表，如果存在多條與網(wǎng)關(guān)IP相對應(yīng)的MAC地址，或所對應(yīng)的MAC地址被篡改，則表明局域網(wǎng)存在ARP攻擊。如圖3所示，當(dāng)PC1發(fā)出ARP請求，刷新ARP緩存中網(wǎng)關(guān)對應(yīng)的MAC地址時，正常情況下，只有網(wǎng)關(guān)會響應(yīng)，其他主機(jī)不會響應(yīng)。ARP欺騙攻擊可以通過攻擊機(jī)發(fā)送請求包或響應(yīng)包兩種方式進(jìn)行，下面利用scapy工具向PC1發(fā)送非正常的ARP請求包來模擬一次ARP欺騙攻擊的過程。步驟1：在Attacker攻擊機(jī)上開啟scapy程序，如圖2-4-2所示。圖2-4-3構(gòu)造ARP包任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)圖2-4-2開啟scapy程序步驟2：構(gòu)造一個ARP包，并查看相關(guān)的參數(shù)，如圖2-4-3所示。圖中“op=who-has”表示這是一個ARP請求包，“hwsrc”表示源MAC地址，“psrc”表示源IP地址，“hwdst”表示目標(biāo)MAC地址，“pdst”表示目標(biāo)IP地址?！癶wsrc”和“psrc”會分別默認(rèn)設(shè)置為本機(jī)的MAC地址和IP地址。步驟3：將ARP包發(fā)送的源IP偽造成網(wǎng)關(guān)的IP地址，并設(shè)置目標(biāo)IP為PC1的IP地址，如圖2-4-4所示。圖2-4-4偽造ARP包任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)步驟4：發(fā)送該ARP請求包，如圖2-4-5所示。。圖2-4-5ARP請求包任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)默認(rèn)情況下只發(fā)送一次，loop=1表示循環(huán)發(fā)送，直到按下Ctrl+C終止。步驟5：驗(yàn)證攻擊效果查看PC1上的ARP緩存表，如圖2-4-6所示，可以看到此時與網(wǎng)關(guān)地址54相對應(yīng)的MAC地址被修改成了Attacker攻擊機(jī)的MAC地址，即達(dá)到了網(wǎng)關(guān)欺騙的效果。圖2-4-6查看ARP緩存表任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)由于存在錯誤的記錄，訪問時無法找到正確網(wǎng)關(guān)，而數(shù)據(jù)包被Attacker截獲，如圖2-4-7所示。為了能防止ARP欺騙，管理員采用switchportport-security和ARP檢測相結(jié)合的方案，具體配置如下：圖2-4-7靜態(tài)IP地址環(huán)境下的ARP欺騙攻擊任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)HK_SW2_1(config)#port-securityarp-check!開啟ARP檢測功能HK_SW2_1(config)#interfaceFastEthernet0/5!進(jìn)入F0/3端口模式HK_SW2_1(config-if)#switchportport-security!開啟端口安全功能HK_SW2_1(config-if)#switchportport-securitymac-addressCEEA.0091.2030ip-address!端口與MAC地址和IP地址綁定通過以上配置，F(xiàn)0/5與所連接對象的真實(shí)身份綁定，Attacker無法通過該端口發(fā)送欺騙信息。如果Attacker偽裝成網(wǎng)關(guān)，宣稱自己是54，則會將被F0/3的端口安全設(shè)施所過濾，如果假冒成其它對象實(shí)施欺騙也同樣會被過濾。這樣就有效解決了靜態(tài)手工IP地址配置環(huán)境下的ARP欺騙攻擊。二、DHCP監(jiān)聽如圖2-4-8所示，RogueDHCPServer為偽裝的DHCP服務(wù)器，它向VLAN10發(fā)送非法的DHCP報(bào)文，使得DHCPClient用戶不能獲取正確的IP地址。此外，網(wǎng)絡(luò)內(nèi)的惡意用戶還可能對合法的DHCP服務(wù)進(jìn)行泛洪攻擊。任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)圖2-4-8DHCP監(jiān)聽任務(wù)深入Yersinia是一款底層協(xié)議攻擊入侵檢測工具，它能實(shí)施針對多種協(xié)議的多種攻擊。在kaliLinux系統(tǒng)中就集成了該工具，通過yersinia–G命令即可啟動圖形界面。下面利用該工具來模擬一次對DHCP服務(wù)器泛洪攻擊。步驟1：在kaliLinux攻擊機(jī)上通過命令行輸入“yersinia–G”命令可啟動該工具的圖形界面，如圖2-4-9所示。圖2-4-9啟動yersinia程序任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)步驟2：選擇攻擊協(xié)議為DHCP，如圖2-4-10所示。圖2-4-10DHCP攻擊任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)這里針對DHCP的攻擊有四種方式:sendingRAWpacket--發(fā)送原始數(shù)據(jù)包sendingDISCOVERpacket--發(fā)送請求獲取IP地址數(shù)據(jù)包，占用所有的IP，造成拒絕服務(wù)。creatingDHCProgueserver--創(chuàng)建虛假DHCP服務(wù)器，讓用戶鏈接，真正的DH無法工作。sendingRELEASEpacket--發(fā)送釋放IP請求到DHCP服務(wù)器，致使正在使用的IP全部失效。步驟3：選擇“sendingDISCOVERpacket”選項(xiàng)，對DHCP服務(wù)進(jìn)行泛洪攻擊，如圖2-4-11所示。任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)圖2-4-11DHCP泛洪攻擊從圖中可看到攻擊機(jī)不斷發(fā)送大量的DHCP請求數(shù)據(jù)包。一旦DHCP服務(wù)器被DISCOVER攻擊，地址池內(nèi)所有的有效IP都會被占用，新的用戶就無法再獲取到IP地址。（注：這里雖然所有的IP地址被占用，但是在DHCP服務(wù)器的地址池內(nèi)是沒有顯示的。）步驟4：選取網(wǎng)絡(luò)內(nèi)的一臺主機(jī)來驗(yàn)證攻擊結(jié)果，如圖2-4-12所示。任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)圖2-4-12驗(yàn)證攻擊結(jié)果

在試圖通過命令重新獲得IP地址時，發(fā)現(xiàn)連接DHCP服務(wù)器超時，只能獲取到一個以169開頭的內(nèi)部保留地址，由此說明DHCP泛洪攻擊已生效。為防御此類攻擊，網(wǎng)絡(luò)管理員可以通過開啟DHCP監(jiān)聽，過濾網(wǎng)絡(luò)中接入的偽DHCP（非法的、不可信的）發(fā)送的DHCP報(bào)文來增強(qiáng)網(wǎng)絡(luò)安全性。DHCP監(jiān)聽還可以檢查DHCP客戶端發(fā)送的DHCP報(bào)文的合法性，防止DHCP泛洪攻擊。具體配置如下：HK_SW2_1(config)#ipdhcpsnooping!開啟DHCPSnooping功能HK_SW2_1(config)#interfaceFastEthernet0/24!進(jìn)入F0/24端口模式HK_SW2_1(config-if)#ipdhcpsnoopingtrust!將端口設(shè)置為DHCP可信端口HK_SW3(config)#ipdhcpsnooping!開啟DHCPSnooping功能HK_SW3(config)#interfaceFastEthernet0/24!進(jìn)入F0/24端口模式HK_SW3(config-if)#ipdhcpsnoopingtrust!將端口設(shè)置為DHCP可信端口HK_SW3(config-if)#interfaceFastEthernet0/9!進(jìn)入F0/9端口模式HK_SW3(config-if)#ipdhcpsnoopingtrust!將端口設(shè)置為DHCP可信端口通過以上配置，交換機(jī)級聯(lián)端口和接入合法DHCP服務(wù)器所對應(yīng)的端口都被設(shè)置為trust，其它端口默認(rèn)為untrust。因此偽DHCP服務(wù)器將無法在F0/5端口發(fā)送DHCP響應(yīng)報(bào)文，即無法提供非法IP地址。用戶僅能通過Trust通道獲取合法DHCP服務(wù)器所提供的IP地址。與之同時，DHCPSnooping監(jiān)聽并記錄相應(yīng)的IP地址和MAC地址的綁定情況，形成綁定表，為動態(tài)ARP檢測提供依據(jù)。任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)三、動態(tài)ARP檢測如果采用ARP檢查功能來解決ARP欺騙攻擊，需要在交換機(jī)每個接入端口上配置IP、MAC地址綁定。如果網(wǎng)絡(luò)接入點(diǎn)數(shù)量龐大，或接入用戶變化頻繁，則靜態(tài)綁定的工作量巨大。因此解決此類ARP欺騙攻擊問題需采用動態(tài)ARP檢測技術(shù)，即DAI+DHCPSnooping技術(shù)。如圖2-4-13所示，DHCPClient從HK_SW3的DHCPServer上獲到IP地址，同時在交換機(jī)上所開啟的DHCPSnoop功能監(jiān)聽并記錄正確的端口、IP地址、MAC地址對應(yīng)表項(xiàng)。PC2被入侵成為Attacker后，偽裝成其它對象通過F0/5發(fā)送欺騙信息時，F(xiàn)0/12端口的安全機(jī)制將會對該對象地址信息與DHCPSnoop表項(xiàng)進(jìn)行核對，如果找不到該表項(xiàng)，則丟棄該報(bào)文。通過動態(tài)ARP檢測技術(shù)將有效抑制動態(tài)IP地址環(huán)境下的ARP欺騙攻擊。任務(wù)4防ARP攻擊與DHCPSnoop技術(shù)圖2-4-13動態(tài)IP地址獲取環(huán)境下的ARP欺騙攻擊HK_SW2_1(config)#iparpinspection!開啟DAI功能HK_SW2_1(config)#iparpinspectionVLAN10!DAI功能應(yīng)用于VLAN17用戶HK_SW2_1(config)#interfacef0/24!進(jìn)入F0/24端口模式HK_SW2_1(config-if)#iparpinspectiontrust!將端口設(shè)置為DAI信任端口HK_SW3(config)#iparpinspection!開啟DAI功能HK_SW3(config)#iparpinspectionVLAN10!DAI功能應(yīng)用于VLAN17用戶HK_SW3(config)#interfacef0/24!進(jìn)入F0/24端口模式HK_SW3(config-if)#iparpinspectiontrust!將端口設(shè)置為DAI信任端口HK_SW3(config-if)#interfacef0/9!進(jìn)入F0/9端口模式HK_SW3(config-if)#iparpinspectiontrust!將端口設(shè)置為DAI信任端口在實(shí)施DHCPSnoop技術(shù)的基礎(chǔ)上通過以上配置使攻擊者無法通過所連接的交換機(jī)端口發(fā)送ARP欺騙信息。如果攻擊者假冒成其它對象實(shí)施ARP欺騙，則會被端口安全檢測機(jī)制所過濾。HDCPSnoop+DAI技術(shù)有效防止了動態(tài)地址獲取環(huán)境下的ARP欺騙攻擊。任務(wù)4防ARP攻擊與DHCP