防范交換機惡意攻擊的幾種應對方案
防范交換機惡意攻擊的幾種應對方案,在使用交換機的時侯,經常會遇到防范交換機惡意攻擊的問題,這里將介紹配置加密密碼,禁用不必要或不安全的服務,控制臺和虛擬終端的安全部署,用SSH代替Telnet等防范交換機惡意攻擊的方法。
與路由器不同,交換機的安全威脅主要來自局域網內部。出于無知、好奇,甚至是惡意,某些局域網用戶會對交換機進行攻擊。不管他們的動機是什么,這都是管理員們不愿看到的。為此,除了在規定、制度上進行規范外,管理員們要從技術上做好部署,讓攻擊者無功而返。本文以Cisco交換機的安全部署為例,和大家分享自己的經驗。
防范交換機惡意攻擊:配置加密密碼
盡可能使用Enable Secret特權加密密碼,而不使用Enable Password創建的密碼。
防范交換機惡意攻擊:禁用不必要或不安全的服務
在交換機上尤其是三層交換機上,不同的廠商默認開啟了不同的服務、特性以及協議。為提高安全,應只開啟必須的部分,多余的任何東西都可能成為安全漏洞。可結合實際需求,打開某些必要的服務或是關閉一些不必要的服務。下面這些服務通常我們可以直接將其禁用。
禁用Http Server
no ip http server
禁用IP源路由,防止路由欺騙
no ip source route
禁用Finger服務
no service finger
禁用Config服務
no service config
禁用Hootp服務
no iP hootp server
禁用小的UDP服務
no service udp-small-s
禁用小的TCP服務
no service tcp-small-s
防范交換機惡意攻擊:控制臺和虛擬終端的安全部署
在控制臺上使用與虛擬終端(Vty)線路上配置認證,另外,還需要對Vty線路使用簡單的訪問控制列表。
Switch(config)#access-list 1 permit 192.168.1.1
Switch(config)#line vty 0 4
Switch(config-line)#access-class 1 in
防范交換機惡意攻擊:用SSH代替Telnet
Telnet是管理員們連接至交換機的主要通道,但是在Telnet會話中輸入的每個字節都將會被明文發送,這可以被類似Sniffer這樣的軟件嗅探獲取用戶名、密碼等敏感信息。因此,使用安全性能更高的SSH強加密無疑比使用Telnet更加安全。
Switch(config)#hostname test-ssh
test-ssh(config)#ip domain-name net.ctocio.com
test-ssh(config)#username test password 0 test
test-ssh(config)#line vty 0 4
test-ssh(config-line)#login local
test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com
test-ssh(config)#ip ssh time-out 180
test-ssh(config)#ip ssh authentication-retries 5
簡單說明,通過上述配置將交換機命名為test-ssh,域名為net.ctocio.com,創建了一個命名test密碼為test的用戶,設置ssh的關鍵字名為test-ssh.net.ctocio.com,ssh超時為180秒,最大連接次數為5次。
防范交換機惡意攻擊:禁用所有未用的端口
關于防范交換機惡意攻擊這一點,筆者見過一個案例:某單位有某員工“不小心” 將交換機兩個端口用網線直接連接,(典型的用戶無知行為),于是整個交換機的配置數據被清除了。在此,筆者強烈建議廣大同仁一定要將未使用的端口ShutDown掉。并且,此方法也能在一定程度上防范惡意用戶連接此端口并協商中繼模式。
防范交換機惡意攻擊:確保STP的安全
保護生成樹協議,主要是防范其他分公司在新加入一臺交換機時,因各單位網絡管理員不一定清楚完整的網絡拓撲,配置錯誤使得新交換機成為根網橋,帶來意外的BPDU。因此,需要核心管理員啟用根防護與BPDU防護。
默認情況下交換機端口禁用根防護,要啟用它需要使用以下命令:
Switch(config)#spanning-tree guard root
默認情況下,交換機端口也禁用BPDU防護。啟用它需使用下列命令:
Switch(config)#Spanning-tree Portfast bpduguard default
如果要在所有端口上啟用BPDU防護,可使用下面的命令:
Switch(config)#Spanning-tree Portfast bpduguard enable
