文档详情

交换机安全问题.ppt

发布:2017-06-15约7.53千字共29页下载文档
文本预览下载声明
Minimizing Service Loss and Data Theft in a Campus Network Understanding Switch Security Issues 网络安全 随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。 概述交换安全 非法接入点 非法网络设备包括: 无线AP 无线路由器 接入交换机 集线器 这些设备通常是连接在接入级交换机上 非法接入点 非法接入点通常有多种表现形式,因为非法介入设备花费不高且容易获得,有时候雇员通过将其插入到现有LAN中就可以实现建立对等的网络,而无需IT部门同意或知晓。因为非法接入点能够插入到企业防火墙之后的网络端口,所以就使得非授权用户能够很容易地使用这些访问点来拦截网络流量或截取客户会话。 非法接入点包括以下类型: 因雇员扩展网络而连接的非授权交换机:这可能会使得新加入的交 换机成为STP的根。 雇员连接的集线器设备:这可能会导致网络环路。 连接到网络中的非授权笔记本或工作站:新加入笔记本电脑或工作 站可能不满足防病毒或操作系统补丁的安全要求。此类设备可能将 蠕虫或病毒感染其他雇员设备。 交换攻击分类 MAC层的攻击 VLAN的攻击 欺骗攻击 攻击交换设备 MAC泛洪攻击 端口安全 端口安全通过MAC地址限制对端口的访问 端口安全 网络管理员面临的一个日渐严峻的挑战是决定哪些人可以访问单位内部的网络,哪些人不可以。如果公司需要演示某个外来客户的产品,将以太网电缆从公司内部一台计算机上拔下来,插到的客户电脑上。这样一来,他计算机内部的蠕虫、病毒什么的对你的局域网就是一个极大威胁了。今天我们看一下怎样通过配置交换机端口来解决类似的安全问题。从基本原理上讲,Port Security(端口安全)特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只允许某个MAC地址通过本端口通信。如果任何其它MAC地址试图通过此端口通信,端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络,并增强安全性。 在交换机上配置端口安全 开启端口安全( port security ) 设置MAC地址限制规则 指定允许的MAC地址 确定侵犯惩罚 端口安全惩罚 可以配置接口的三种违规模式,这三种模式基于违规发生后的动作: protect:当mac地址的数量达到了这个端口所最大允许的数量,带 有未知的源地址的包就会被丢弃,直到删除了足够数量的 mac地址才会不丢弃。 restrict:一个限制数据并引起“安全违规”计数器的增加的端口安全 违规动作。 shutdown:一个导致接口马上shutdown,并且发送SNMP陷阱的 端口安全违规动作。当一个安全端口处在error - disable状态,你要恢复正常必须得敲入全局下的 errdisable recovery cause psecure-violation 命 令,或者你可以手动的shut再no shut端口。 验证端口安全 验证端口安全 验证端口安全 端口安全的 Sticky MAC地址 Sticky MAC地址功能能够使交换机动态学习并存储MAC地址 Sticky MAC地址 用sticky方式只允许连接两台PC,第三台连上后,端口关闭 AAA 网络安全服务AAA提供了有关在Cisco IOS或Cisco CatOS交换机上配置访问控制的基本框架。AAA是一个体系结构框架,用于以统一的方式配置三种独立的安全功能。AAA提供了一种完成下述服务的模块化方法: 身份验证 授权 审计 AAA 网络配置 Authentication(认证) 验证用户的身份 Authorization(授权) 依据认证结果开放网络服务给用户 Accou
显示全部
相似文档