2层安全及其攻击探究

我们在设计园区网是总是会考虑到边界安全的防护，如RFC1918 RFC 2827等安全措施，却极少关注园区网内部的安全，随着便携设备无线设备的增加，这个问题尤其显得重要了许多，这里我们就说下2层攻击安全.

攻击类型：1.交换机配置及其管理

                    2.mac层攻击

                    3.vlan攻击

                    4.stp cdp vtp 协议的攻击

防护措施：1.关闭不需要的服务

 关闭BOOTP服务 no ip bootp server
关闭CDP服务   no cdp run
关闭配置自动加载服务（默认关闭）no service config
关闭DNS服务 系统会自动向255.255.255.255广播查询dns 如果使用DNS一定要配置服务器名字ip name server add1   不用no ip domain-lookup
关闭FTP服务器 no ftp-server enable  no ftp-server write-enable
关闭finger服务    no ip finger   no service finge
关闭无根据的ARP no ipgratuitous-arps
关闭http        no ip http server
关闭ip无类别路由选择服务 no ip classless
关闭ip定向广播 int f0/0   no ip directed-broadcast 
关闭ip鉴别  no ip identd
关闭ICMP掩码应答 （默认关闭）int f0/0 no ip mask-relay
关闭路由重定向   int f0/0 no ip redirect 边界路由过滤
关闭ip源路由选项   no ip source-route
关闭ICMP不可达信息   int f0/0 no ip unreach
关闭NTP服务  int f0/0 ntp disable 
关闭pad服务    no service  pad（闭关）
关闭代理ARP    在边界路由外部网络接口  no ip proxy-arp
关闭SNMP     
关闭小服务   no service tcp-small-servers
启用keeplive    service tcp-keeplives-in    service tcp-keeplives-out
关闭tftp   no tftp-server flash device：filename  
2. 防止非法授权访问

SW(config-t)#enable secret 
SW(config-t)#no enable password 
SW(config-t)#service password-encryption
SW(config-t)#line vty 0 4 
SW(config-line)#exec-timeout 10 0
access-list 110 permit ip 192.168.1.110 0.0.0.0 192.168.1.254 0.0.0.0 log 
line vty 0 4
access-class 101 in 
exec-timeout 5  0
SW(config-t)#username admin pass 5 434535e2 
SW(config-t)#aaa new-model 
SW(config-t)#radius-server host 192.168.1.254 key key-string 
SW(config-t)#aaa authentication login neteng group radius local 
SW(config-t)#line vty 0 4 
SW(config-line)#login authen neteng

3.端口安全cisco提供了5种保护特性

1.基于主机MAC的允许流量

2.基于主机MAC的限制流量

3.在端口堵塞单播扩散

4.避免MAC地址扩散攻击

5.避免MAC地址欺骗攻击

int f0/1

sw

switchport mode acc

sw port-security

sw port-se mac-add 0000.0000.0005

sw port-se maximun 1

sw port-se aging static (也可指定学习时间)

sw port-se violation shutdown

在vlan2中过滤掉 0000.0010.0100 单播流量（对组播多播没有用）

mac-add-table static 0000.0010.0100 vlan2 drop

我们还可以在接口下过滤单播和多播的流量

int f0/1

sw block unicast

sw block multicast

4.关于vlan的攻击防御

1.dhcp监听

我们通过把端口设为信任和非信任（推荐在分布层和接入层之间设为信任，客户端设为非信任）交换机只接受信任端口的DHCP报文

ip dhcp snooping

ip dhcp snooping  vlan 20

ip dhcp snooping information option

int f0/5

ip dhcp snooping trust

int range f0/6 -15

ip dhcp snooping limit rate 80 (默认所有的接口都是非信任的，一定要非信任接口制定rate，否则收不到dhcp 给定的ip)

我们还可以通过vlan acl 做访问控制阻止无赖dhcp

ip access-list  extended  permiter

permit udp host 192.1.1.254 any eq 68      192.1.1.254为dhcp服务器

permit udp host 192.1.1.110  any eq 68

deny udp any any eq  68

permit ip  any any  log

还有一点我们在dmz或者服务器集中区配置pvlan

5.STP防护

spanning-tree uplinkfast

spanning-tree portfast bpduguard

spanning-tree guard root

综合概述：

1.对所有中继端口使用相同的vlan

2.避免使用vlan1

3.对用户端口部署端口安全

4.启用stp安全防护

5.服务器部署pvlan

6.对vtp进行加密

7.不需要的地方禁用cdp

8禁用所有不用的端口放在统一vlan下

9.部署dhcpsnooping

当然还有其他的方法保护2层安全 如802.1x  aaa认证   等！安全工程师要做的是在适当的地点部署合理的安全方案，这里需要我们来共同探究！

本文转自q狼的诱惑 51CTO博客，原文链接：http://blog.51cto.com/liangrui/508939，如需转载请自行联系原作者