《学习情境2企业内网安全控制精编版》由会员分享,可在线阅读,更多相关《学习情境2企业内网安全控制精编版(88页珍藏版)》请在金锄头文库上搜索。
1、企业内网安全控制,学习情境2,复杂程度,Internet飞速增长,时间,第一代 引导性病毒,第二代 宏病毒 DOS 电子邮件 有限的黑客攻击,第三代 网络DOS攻击 混合威胁(蠕虫+病毒+特洛伊) 广泛的系统黑客攻击,下一代 网络基础设施黑客攻击 瞬间威胁 大规模蠕虫 DDoS 破坏有效负载的病毒和蠕虫,波及全球网络基础架构 地区网络 多个网络 单个网络 单台计算机,周,天,分钟,秒,影响目标,1980s,1990s,今天,未来,安全事件对我们的威胁越来越快,网络安全的演化,VLAN,北京总部,广州分公司,上海分公司,VLAN,VLAN,VLAN,VLAN,VLAN,VLAN,情景二:构建企业
2、交换式局域网,情景三:企业内部路由配置 情景四:企业内网安全控制,情景五:企业广域网接入配置,课程综合项目:Center公司网络改造项目,Internet,情景一:网络设备选型,课程项目进度,本章目标,了解网络安全的基础知识 掌握网络互联设备的安全控制保护措施 掌握交换机端口的安全知识 学习访问控制列表技术 区别不同的访问控制列表技术,任务分解,3,配置扩展访问控制列表访问安全技术,任务进度,2.1 网络安全概述,安全威胁 窃听 、重传 、篡改 、拒绝服务攻击 、行为否认 、电子欺骗 、非授权访问 、传播病毒 网络攻击方法 获取口令 放置木马程序 WWW的欺骗技术 电子邮件攻击 通过一个节点来
3、攻击其他节点 网络监听 寻找系统漏洞 利用帐号进行攻击 偷取特权,手段多样的网络攻击:,网络攻击的防御技术,身份认证技术 加解密技术 边界防护技术 访问控制技术 主机加固技术 安全审计技术 检测监控技术,2.2 管理设备控制台安全,对于大多数企业内部网来说,连接网络中各个节点的互联设备,是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点,对这个接入点的破坏,直接造成整个网络瘫痪。如果网络互相设备没有很好的安全防护措施,来自网络内部的攻击或者恶作剧式的破坏,将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。 据国外调查显示,80%的安全破
4、坏事件都是由薄弱的口令引起的,因此为网络互联设备,配置一个恰当口令,是保护网络不受侵犯最根本保护,保护设备控制台的安全措施,通过一根配置线缆连接到交换机的配置端口(Console),另一端连接到配置计算机的串口。通过如下命令,配置登入交换机控制台特权密码 Switch Switch#configure terminal Switch(config)#enable secret mypassword!配置特权密文密码 Switch(config)#login!配置登陆时需要验证密码,配置线缆,配置交换机的连接模式,配置线缆,配置交换机远程登录的安全措施,除通过Console端口与设备直接相连管理
5、设备之外,用户还可以通过Telnet程序和交换机RJ45口建立远程连接,以方便管理员对网络设备进行远程管理。 配置交换机远程登录密码过程如下(路由器远程登录密码的配置与之相同)。 Switch Switch#configure terminal Switch(config)#line vty 0 4!开启Telnet线路 Switch(config-line)#password mypassword !配置Telnet登录密码 Switch(config-line)#login!配置登陆时需要验证密码,2.3交换机端口安全,端口安全概述 大部分网络攻击行为都采用欺骗源IP或源MAC地址的方法,
6、对网络的核心设备进行连续的数据包攻击,如典型的ARP攻击、MAC攻击和DHCP攻击等。这些针对交换机端口产生的攻击行为,可以通过启用交换机端口安全功能特性加以防范。,FF.FF.FF.FF.FF.FF,广播MAC地址,00.d0.f8. 00.07.3c,前3个字节:IEEE分配给网络设备制造厂商的,后3个字节:网络设备制造厂商自行分配的,不重复,生产时写入设备,MAC地址:链路层唯一标识,接入交换机,MAC Port A 1 B 2 C 3,MAC地址表:空间有限,MAC攻击,攻击: MAC地址表空间是有限,MAC攻击会占满交换机地址表; 使得单播包在交换机内部也变成广播包, 向所有端口转发
7、,每个连在端口上客户端都可以收到该报文; 交换机变成了一个Hub,用户的信息传输也没有安全保障了,MAC攻击,端口安全配置方式,配置安全地址:当开启交换机端口安全功能并为交换机端口配置安全MAC地址,则这个端口将不转发除安全源MAC地址外的其他任何数据帧。 配置安全地址数:交换机安全端口不仅可以配置安全MAC地址,也可以设置安全地址数目,也就是说,一个安全端口可以配置多个安全MAC地址。 配置安全违例处理方式:当发生安全违规事件时,可以指定不同的处理方式。 配置老化时间和处理方式:可以为安全端口设置老化时间和处理方式,可以清除长时间不活动的安全MAC地址。 将IP地址绑定到MAC地址:可以在交
8、换机上将IP地址绑定到MAC地址,以实现在特定端口上允许特定的IP终端接入。,端口安全的配置和维护,配置安全端口的过程包括启用端口安全,设置安全MAC地址的最大数量、配置安全地址、设置违例发生后的处理方式、配置老化时间和将MAC地址与IP地址绑定等。 对于Cisco交换机,需要注意的是: Cisco系列交换机可以做基于2层的端口安全,即MAC地址与端口进行绑定。 Cisco3550以上交换机均可做基于2层和3层的端口安全,即MAC地址与端口绑定以及MAC地址与IP地址绑定。,交换机端口安全功能,交换机的端口安全功能,防止网内部攻击, 如MAC地址攻击、ARP攻击、IP/MAC欺骗等。 交换机端
9、口安全的基本功能 1、端口安全地址绑定, 解决网中IP地址冲突、ARP欺骗 例:在学校宿舍网内端口地址绑定,可以解决学生随意更改IP地址,造成IP地址冲突,或者学生利用黑客工具,进行ARP地址欺骗。 2、限制端口最大连接数 ,控制恶意扩展接入 例:学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络,对网络造成破坏。,配置端口安全MAC地址,下面以以Cisco交换机为例,来介绍端口安全地址绑定。MAC地址与端口绑定可以实现两种应用: (1)设定一端口只接受第一次连接该端口的计算机MAC地址,当该端口第一次获得某计算机MAC地址后,其他计算机接入到此端口所发送的数据帧则认为非法,做丢弃处理。
10、 Switch#config terminal Switch(config)#interface interface-id !进入端口 Switch(config-if)#switchport mode access !配置端口为交换模式 Switch(config-if)#switchport port-security !打开端口安全模式 Switch(config-if)#switchport port-security violation protect!设置违例处理,配置端口安全MAC地址,(2)设定一端口只接受某一特定计算机MAC地址,其他计算机均无法接入到此端口。 Switch#
11、config terminal Switch(config)#interface interface-id Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation protect / 以上步骤与第一种应用相同 Switch(config-if)#switchport port-security mac-address mac-address / 将端口绑定到特定的MAC地址,设置
12、安全端口最大连接数,可以通过MAC地址来限制端口流量。以下配置允许一接口最多通过100个MAC地址,超过100时,来自新主机的数据帧将丢失。具体配置如下: Switch#config terminal Switch(config)#interface fastEthernet 0/1 Switch(config)#Switchport mode access Switch(config-if)#switchport port-security maximum 100 / 允许通过的最大MAC地址数目为100 Switch(config-if)#switchport port-security
13、violation protect / 当主机MAC地址数超过100时,交换机继续工作,但来自新主机的数据帧将丢失,配置安全违例,当交换机端口配制成安全端口后,以下情况发生时就产生了一个安全违例事件: 端口安全地址数已达最大安全数目,这时,如果有一个安全MAC地址表外的MAC地址试图访问这个端口。 如果一个站点试图访问这个端口,而这个站点的源MAC地址已被配置为其他的端口的安全地址。,配置安全违例,当安全违例产生时,可以选择多种方式来处理违例: protect:当MAC地址的数量达到了这个端口所最大允许的数目,带有未知的源地址的数据帧就会被丢弃,直到删除了足够数量的MAC地址为止。 restr
14、ict:当安全违例发生时,产生一个Trap消息并将“安全违规”计数器增加1。 shutdown:一旦违例发生,马上关闭该端口,并且发送Trap消息。安全端口由于违例被关闭后处在error-disable状态。如要恢复该端口,必须敲入全局命令errdisable recovery cause psecure-violation,或者手动的shutdown然后再no shutdown恢复该端口。这个是Cisco交换机端口安全违例的默认处理方式。,配置安全端口与IP地址绑定,MAC地址与IP地址绑定基本原理是:在交换机内建立MAC地址和IP地址映射的ARP表。端口获得的IP和MAC地址将匹配该表,不
15、符合则丢弃该端口发送的数据帧。具体实现方法如下: Switch#configure terminal Switch(config)#arp ip地址 mac地址 arpa 如下命令建立ip地址1.1.1.1和mac地址0001.0001.1111绑定: Switch(config)#arp 1.1.1.1 0001.0001.1111 arpa 注意: 需要将网段内所有IP都建立MAC地址映射,没有使用的IP地址可以与0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。,配置端口安全老化,当为端口指定最大安全MAC地址数时,交换机可以不断学习到新MAC地址,并
16、将它添加到该端口的安全MAC地址表中。这时,安全MAC地址表中可能会有一些MAC地址长期处于不活动状态。为了保障此端口能够得以充分利用,可以采用设置端口安全老化时间和模式的方式,使系统能够自动删除长时间不活动的MAC地址,从而减少网络维护的工作量。配置端口安全老化的过程如下: Switch(config)#interface interface_id !指定欲配置端口安全老化的接口 Switch(config-if)#switchport port-security aging time aging_time / 为安全端口配置老化时间 Switch(config-if)#switchport port-security aging type absolute|inactivity / 为安全端口设置老化类型,查看端口安全设置,在完成端口安全相关设置后,可用下列命令查看端口安全配置: Switch#show port-security !查看哪些接口启用了
