局域網(wǎng)的安全與防御-創(chuàng)新互聯(lián)

提到安全***，往往會(huì)想到***來(lái)自于互聯(lián)網(wǎng)，而內(nèi)部的局域網(wǎng)安全問(wèn)題被忽略。在企業(yè)局域網(wǎng)中也存在很多安全隱患，本篇博客介紹幾種局域網(wǎng)內(nèi)部的安全***與防御

創(chuàng)新互聯(lián)專注于企業(yè)成都營(yíng)銷網(wǎng)站建設(shè)、網(wǎng)站重做改版、山陽(yáng)網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、成都h5網(wǎng)站建設(shè)、商城開(kāi)發(fā)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為山陽(yáng)等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。

常見(jiàn)的局域網(wǎng)***

1、MAC地址擴(kuò)散***

  我們知道，交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)幀時(shí)，會(huì)查詢MAC地址表中該接口對(duì)應(yīng)的源MAC地址條目，如果沒(méi)有數(shù)據(jù)幀的源MAC地址，交換機(jī)將學(xué)習(xí)源MAC地址并與接口對(duì)應(yīng)，添加到MAC地址表中，再根據(jù)目的MAC地址進(jìn)行查找。如果目的MAC地址沒(méi)找到，就會(huì)以廣播的形式轉(zhuǎn)發(fā)數(shù)據(jù)幀。而MAC地址擴(kuò)散***就是利用交換機(jī)的這種特性

  ***原理：每臺(tái)交換機(jī)的MAC地址表空間是有限的，如果某主機(jī)發(fā)送大量的偽造源MAC地址數(shù)據(jù)幀，使得交換機(jī)MAC地址表溢出。這時(shí)，交換機(jī)在接收正常的數(shù)據(jù)幀，MAC地址表將找不到對(duì)應(yīng)的條目，該數(shù)據(jù)幀會(huì)被轉(zhuǎn)發(fā)，***者將得到正常的通信數(shù)據(jù)，如下圖：

  使用MAC地址擴(kuò)散***時(shí)，有個(gè)明顯現(xiàn)象就是交換機(jī)CPU利用率偏高，容易被發(fā)現(xiàn)。使用“show processes cpu”命令可以查看設(shè)備的CPU利用率

2、ARP***與欺騙

（1）ARP***的原理

● ***主機(jī)制造假的ARP應(yīng)答，并發(fā)送給被***主機(jī)之外所有主機(jī)。ARP應(yīng)答中包括***主機(jī)的IP地址和虛假的MAC地址

● ***主機(jī)制造假的ARP應(yīng)答，并發(fā)送給被***主機(jī)。ARP應(yīng)答中包括***主機(jī)之外所有主機(jī)的IP地址和虛假的MAC地址

  只要執(zhí)行上邊的一種***就可以實(shí)現(xiàn)被***主機(jī)與其他主機(jī)無(wú)法正常通信

（2）ARP欺騙的原理

  ARP欺騙不是使網(wǎng)絡(luò)無(wú)法正常通信，而是通過(guò)冒充網(wǎng)關(guān)或其他主機(jī)，從而控制流量或竊取機(jī)密信息

3、DHCP服務(wù)器欺騙與地址耗盡

（1）DHCP服務(wù)器欺騙：客戶端將自己配置為DHCP服務(wù)器分發(fā)虛假的IP地址，或直接響應(yīng)DHCP請(qǐng)求

（2）DHCP地址耗盡：客戶端不斷地冒充新客戶機(jī)發(fā)送DHCP請(qǐng)求，請(qǐng)求服務(wù)器為自己分派IP地址，從而使服務(wù)器地址耗盡，而正常主機(jī)無(wú)法獲得IP地址

4、IP地址欺騙

  客戶端使用自己配置的IP地址冒充其他客戶端或網(wǎng)絡(luò)管理員，對(duì)其他主機(jī)、設(shè)備、服務(wù)器等進(jìn)行非法操作.0

防御***的解決方案

方案1：交換機(jī)的端口安全配置

  Cisco交換機(jī)提供一種基于MAC地址控制端口訪問(wèn)權(quán)限的安全特性，對(duì)MAC地址進(jìn)行流量限制、設(shè)定端口允許接入的主機(jī)數(shù)量，也可以手動(dòng)在端口上設(shè)置MAC地址。只有綁定的MAC地址才能轉(zhuǎn)發(fā)

  端口安全是一種網(wǎng)絡(luò)接入的驗(yàn)證，只有符合設(shè)置規(guī)則的客戶端才可以接入局域網(wǎng)，避免未授權(quán)的客戶端接入網(wǎng)絡(luò)，可實(shí)現(xiàn)以下功能：

● 基于MAC地址限制、允許客戶端流量

● 避免MAC地址擴(kuò)散***

● 避免MAC地址欺騙***

（1）啟動(dòng)交換機(jī)接口安全特性

  在接口模式下配置命令如下：

switch(config-if)# switchport port-security

注意：啟動(dòng)安全特性的接口不能是動(dòng)態(tài)（Dynamic）協(xié)商模式，必須是接入（Access）或干道（Trunk）模式

（2）配置允許訪問(wèn)的網(wǎng)絡(luò)MAC地址

  限制允許訪問(wèn)網(wǎng)絡(luò)的大的MAC地址數(shù)和靜態(tài)綁定MAC地址，命令如下：

switch(config-if)# switchport port-security maximum {max-addr}        //max-addr默認(rèn)為1，范圍是1-8192
switch(config-if)# switchport port-security mac-address {mac-addr}      //mac-addr為靜態(tài)綁定的MAC地址，格式為X.X.X

（3）配置老化時(shí)間

  默認(rèn)情況下，交換機(jī)不刪除接口獲得的MAC地址，如果接口的客戶端經(jīng)常變換，而舊MAC地址一直保留，可能導(dǎo)致新連接的客戶端無(wú)法通信?？梢耘渲美匣瘯r(shí)間，讓交換機(jī)刪除一段時(shí)間沒(méi)有流量的MAC地址 ，配置命令如下：

switch(config-if)# switchport port-security aging time {time}      //time范圍是1-1440min，默認(rèn)為0，不刪除
switch(config-if)# switchport port-security aging type {absolute | inactivity}

absolute表示老化時(shí)間到后，刪除所有MAC地址并重新學(xué)習(xí)

inactivity表示一段時(shí)間（老化時(shí)間）沒(méi)有流量，就將其MAC地址從地址表中刪除

注意：靜態(tài)綁定的MAC地址不受老化時(shí)間影響

  有些工作環(huán)境要求靜態(tài)綁定的MAC地址也受老化時(shí)間影響，配置命令如下：

switch(config-if)# switchport port-security aging static

（4）配置MAC地址違規(guī)后的策略

  當(dāng)出現(xiàn)以下情況時(shí)，就出現(xiàn)MAC地址違規(guī)

● 大安全數(shù)目的MAC地址表之外的一個(gè)新的MAC地址訪問(wèn)該端口

● 配置在其他端口安全的MAC地址試圖訪問(wèn)這個(gè)端口

    當(dāng)出現(xiàn)MAC地址違規(guī)是，有三種處理方法，配置命令如下：

switch(config-if)# switchport port-security violation {protect | restrict | shutdown}

protect將違規(guī)的MAC地址的分組丟棄，但端口處于up狀態(tài)。交換機(jī)不記錄違規(guī)分組

restrict將違規(guī)的MAC地址的分組丟棄，但端口處于up狀態(tài)。交換機(jī)記錄違規(guī)分組

shutdown端口成為err-disabled狀態(tài)，相當(dāng)于關(guān)閉端口。

  在出現(xiàn)err-disabled狀態(tài)時(shí)，默認(rèn)不會(huì)自動(dòng)恢復(fù)?；謴?fù)端口有兩種方法：

手動(dòng)恢復(fù)：先關(guān)閉端口（shutdown），在打開(kāi)端口（no shutdown）

自動(dòng)恢復(fù)：設(shè)置計(jì)時(shí)器，端口進(jìn)入err-disabled狀態(tài)時(shí)開(kāi)始計(jì)時(shí)，計(jì)時(shí)器超過(guò)后，自動(dòng)恢復(fù)。計(jì)時(shí)器配置命令如下：

switch(config)# errdisable recovery cause psecure-violation    //配置出現(xiàn)err-disabled狀態(tài)的原因
switch(config)# errdisable recovery interval {time}         //time為30-86400，單位為s

（5）配置端口安全的Sticky（粘連）特性

  如果為每個(gè)端口配置靜態(tài)綁定，工作量非常大，用端口安全Sticky特性，動(dòng)態(tài)的將交換機(jī)學(xué)習(xí)的MAC地址轉(zhuǎn)換為Sticky MAC地址，并加入運(yùn)行配置中，自動(dòng)形成了端口安全允許的靜態(tài)MAC地址表項(xiàng)。保存配置，交換機(jī)重啟將不會(huì)重新學(xué)習(xí)。配置命令如下：

switch(config)# switchport port-security mac-address  sticky

（6）查看和清除端口狀態(tài)

switch# show port-security int f0/1         //查看啟用端口安全的狀態(tài)
switch# show interfaces status err-disabled      //查看處于err-disabled狀態(tài)的端口摘要信息
switch# show port-security                 //查看端口安全的摘要信息
switch# clear port-security dynamic {address mac-addr | int f0/1}    //清除接口的MAC地址或全部端口緩存

案例：在交換機(jī)配置端口安全，命令如下：

switch(config)# int f0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan 2
switch(config-if)# switchport port-security         //啟用端口安全
switch(config-if)# switchport port-security mac-address 0025.1234.1258    //靜態(tài)綁定MAC地址                
switch(config-if)# switchport port-security aging time 1        //配置老化時(shí)間1min 
switch(config-if)# switchport port-security aging type inactivity       //配置刪除端口MAC的策略
switch(config-if)# switchport port-security violation restrict        //配置出現(xiàn)違規(guī)時(shí)的策略

  在端口f0/1啟用端口安全，允許大MAC地址為1，并靜態(tài)綁定MAC地址

查看啟用端口安全的狀態(tài)

switch# show port-security int f0/1
Port Security              : Enabled              //端口安全啟用
Port Status                : Secure-up            //端口狀態(tài)為up
Violation Mode             : Restrict             //出現(xiàn)違規(guī)MAC地址采取的策略
Aging Time                 : 1 mins               //老化時(shí)間
Aging Type                 : Inactivity           //端口MAC地址刪除策略
SecureStaticAddress Aging  : Disabled             //是否允許端口刪除靜態(tài)綁定MAC地址
Maximum MAC Addresses      : 1                    //大MAC地址數(shù)量
Total MAC Addresses        : 1                    //端×××躍MAC地址數(shù)（包括靜態(tài)綁定MAC地址）
Configured MAC Addresses   : 1                    //靜態(tài)綁定的MAC地址數(shù)
Sticky MAC Addresses       : 0                    //粘連的MAC地址數(shù)
Last Source Address:Vlan   : 0025.1234.1258:2     //最新的源MAC地址及其所在的VLAN
Security Violation Count   : 0                    //安全違規(guī)次數(shù)

方案2：DHCP監(jiān)聽(tīng)

   DHCP監(jiān)聽(tīng)（DHCP Snooping）是一種保護(hù)DHCP服務(wù)器的安全機(jī)制，可以通過(guò)過(guò)濾來(lái)著網(wǎng)絡(luò)中的主機(jī)或其他設(shè)備的非信任DHCP報(bào)文，以保證客戶端能夠從正確的DHCP服務(wù)器獲得IP地址，避免DHCP服務(wù)器欺騙和DHCP地址耗盡

   DHCP監(jiān)聽(tīng)將交換機(jī)端口分為：

非信任端口：連接終端設(shè)備的端口。該端口客戶端只能發(fā)送DHCP請(qǐng)求報(bào)文，丟棄來(lái)著該端口的其他所有DHCP報(bào)文

信任端口：連接合法的DHCP服務(wù)器或匯集端口

   DHCP監(jiān)聽(tīng)還可以限制客戶端發(fā)送DHCP的請(qǐng)求速率，從而減緩DHCP資源耗盡***。Cisco交換機(jī)支持在每個(gè)VLAN上啟用DHCP監(jiān)聽(tīng)

DHCP監(jiān)聽(tīng)的配置

（1）啟用DHCP監(jiān)聽(tīng)的命令如下：

switch(config)# ip dhcp snooping

  設(shè)置DHCP監(jiān)聽(tīng)作用于哪個(gè)VLAN的命令如下：

switch(config)# ip dhcp snooping vlan number     //number為VLAN號(hào)，可以一次設(shè)多個(gè)VLAN，如2、3-5

（2）配置端口信任或非信任

   啟用DHCP監(jiān)聽(tīng)后，默認(rèn)所有端口為非信任。若要配置端口為信任，配置命令如下：

switch(config-if)# ip dhcp snooping trust

（3）配置預(yù)防DHCP耗盡***

  限制DHCP報(bào)文速率，減緩DHCP耗盡***，在非信任端口配置以下命令：

switch(config-if)# ip dhcp snooping limit rate {rate}     //rate為報(bào)文速率，單位p/s，Cisco2960交換機(jī)1-2048p/s

  還可以啟用核實(shí)MAC地址功能，避免虛假M(fèi)AC地址請(qǐng)求IP地址，從而實(shí)現(xiàn)DHCP耗盡***，配置命令如下：

switch(config)# ip dhcp snooping verify mac-address

  當(dāng)非信任端口的DHCP報(bào)文速率大于規(guī)定值，就會(huì)出現(xiàn)違規(guī)情況，端口將出現(xiàn)err-disabled狀態(tài)。和上面MAC地址違規(guī)一樣，也可以手動(dòng)恢復(fù)，下面介紹下自動(dòng)恢復(fù)，設(shè)置err-disabled計(jì)時(shí)器，命令如下：

switch(config)# errdisable recovery cause dhcp-rate-limit    //配置出現(xiàn)err-disabled狀態(tài)的原因
switch(config)# errdisable recovery interval {time}         //time為30-86400，單位為s

（4）DHCP監(jiān)聽(tīng)狀態(tài)查詢

switch# show ip dhcp snooping                 //查看當(dāng)前DHCP監(jiān)聽(tīng)狀態(tài)及各端口情況
switch# show ip dhcp snooping binding          //查看當(dāng)前DHCP監(jiān)聽(tīng)表
switch# clear ip dhcp snooping binding         //清除DHCP監(jiān)聽(tīng)表

案例：在交換機(jī)上啟用DHCP監(jiān)聽(tīng)，限制非信任端口DHCP報(bào)文速率為100p/s

switch(config)# ip dhcp snooping                 //啟用DHCP監(jiān)聽(tīng)
switch(config)# ip dhcp snooping vlan 1          //監(jiān)聽(tīng)的VLAN 
switch(config)# int f0/21
switch(config-if)# ip dhcp snooping trust 
switch(config-if)# exit
switch(config)# int range f0/1 - 20
switch(config-if-range)# ip dhcp snooping limit rate 100
switch(config-if-range)# exit
switch(config)# int range f0/22 - 24
switch(config-if-range)# ip dhcp snooping limit rate 100
switch(config-if-range)# exit

  如果上面的DHCP服務(wù)器是一臺(tái)路由器是，客戶端可能無(wú)法獲得IP地址，可以在其上面配置以下任意一臺(tái)命令：

router(config-if)# ip dhcp relay information trusted       //接收DHCP報(bào)文的接口
或者
router(config)# ip dhcp relay information trust-all        //全局模式，對(duì)所有接口生效

方案3：部署網(wǎng)絡(luò)版防病毒軟件

  網(wǎng)絡(luò)版和單機(jī)版防病毒軟件大的不同在于可以通過(guò)控制中心管理網(wǎng)絡(luò)中任意一臺(tái)計(jì)算機(jī)，統(tǒng)一殺毒、升級(jí)病毒庫(kù)等，實(shí)現(xiàn)全網(wǎng)管理。一般有服務(wù)器端和客戶端組成，具有以下特點(diǎn)：

（1）可以遠(yuǎn)程安裝或卸載客戶端防病毒軟件

（2）可以禁止用戶自行卸載客戶端防病毒軟件

（3）可以全網(wǎng)范圍統(tǒng)一制定、分發(fā)、執(zhí)行防病毒策略

（4）可以遠(yuǎn)程監(jiān)控客戶端系統(tǒng)健康狀態(tài)

（5）提供遠(yuǎn)程報(bào)警手段，自動(dòng)將病毒信息發(fā)送給網(wǎng)絡(luò)管理員

（6）允許客戶端自定義防病毒策略

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁(yè)名稱：局域網(wǎng)的安全與防御-創(chuàng)新互聯(lián)
本文網(wǎng)址：http://www.muchs.cn/article36/dodesg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、微信公眾號(hào)、域名注冊(cè)、外貿(mào)建站、云服務(wù)器、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)