計算機網(wǎng)絡安全管理技術項目三局域網(wǎng)的安全管理任務3.1二層交換安全的配置任務3.2VLAN的安全配置任務3.3生成樹協(xié)議的安全配置任務3.4無線局域網(wǎng)的安全配置【學習目標】知識目標

1．識記：二層交換攻擊和防御方法；VLAN攻擊和防御方法。2．領會：生成樹協(xié)議攻擊和防御方法；無線局域網(wǎng)攻擊和防御方法。技能目標

1．能解決二層交換及VLAN的安全問題；2．能完成生成樹協(xié)議安全的配置；3．學會無線路由器安全的操作。素質(zhì)目標

1．從國家和民族層面認識到網(wǎng)絡安全對于國家安全的重要性；2．通過局域網(wǎng)攻擊和防御的學習，勇于承擔維護網(wǎng)絡安全的責任信念。項目三任務3.1二層交換安全的配置子任務1端口安全的配置

子任務2DHCP監(jiān)聽的配置

子任務3二層交換的其他安全配置局域網(wǎng)的安全管理【任務目標】

1．領會二層交換機的端口安全并掌握正確配置方法2．能配置二層交換機的DHCP監(jiān)聽功能3．學會二層交換機其他安全配置的操作方法項目三任務3.1二層交換安全的配置

子任務1端口安全的配置

子任務2DHCP監(jiān)聽的配置

子任務3二層交換的其他安全配置局域網(wǎng)的安全管理

【任務環(huán)境】1、主流PC機一臺2、PacketTracer軟件

任務3.1二層交換安全的配置

子任務1端口安全的配置【網(wǎng)絡拓撲圖】【網(wǎng)絡IP地址分配表】

設備名接口IP地址/子網(wǎng)掩碼PC1Fa0192.168.1.1/24PC2Fa0192.168.1.2/24任務3.1二層交換安全的配置

子任務1端口安全的配置【知識支撐】1、MAC地址欺騙攻擊當攻擊者將其主機的MAC地址進行修改，以匹配目標主機的已知MAC地址時，將發(fā)生MAC地址欺騙攻擊。攻擊主機隨后通過網(wǎng)絡發(fā)送帶有新配置的MAC地址的數(shù)據(jù)幀。當交換機接收到該幀時，它會檢查源MAC地址。交換機將會覆蓋當前的MAC地址表條目并且將MAC地址指派給新端口，然后它就會把去往目標主機的數(shù)據(jù)幀轉(zhuǎn)發(fā)到攻擊主機。任務3.1二層交換安全的配置

子任務1端口安全的配置當交換機改變MAC地址表后，目標主機不會收到任何流量，直到它發(fā)送數(shù)據(jù)流。當目標主機發(fā)送流量后，交換機接收并且檢查該幀，從而導致MAC地址表再次重寫，還原MAC地址到初始的端口。

為了阻止交換機從偽造的MAC地址端口分配返回到正確的狀態(tài),攻擊主機可以創(chuàng)建一個程序或腳本，連續(xù)地向交換機發(fā)送數(shù)據(jù)幀，以便交換機維護不正確的或偽造的信息。由于第二層沒有任何安全機制讓交換機驗證源MAC地址，這就使得它很容易被欺騙或冒充。任務3.1二層交換安全的配置

子任務1端口安全的配置

2、MAC地址表溢出攻擊除了MAC欺騙政擊，第二層設備上也容易受到MAC地址表溢出攻擊。因為MAC地址表的空間是有限制的，MAC地址泛洪就利用了這個限制。它使用大量假的源MAC地址來攻擊交換機，直到交換機的MAC地址表被充滿。如果在舊的條目到期之前已經(jīng)有足夠多的條目進入到了MAC地址表，該表不再接受任何新的條目。任務3.1二層交換安全的配置

子任務1端口安全的配置當以上情況發(fā)生時，交換機開始泛洪進入的流量到所有端口，因為在表中沒有空間來獲知任何合法的MAC地址。此時的交換機，從本質(zhì)上講，就成了一個集線器。最終導致的結(jié)果是，攻擊者可以看到所有從一個主機發(fā)送到另外一個主機的所有數(shù)據(jù)幀。

任務3.1二層交換安全的配置

子任務1端口安全的配置3、端口安全配置端口安全可以用來防御MAC欺騙和MAC地址表溢出這兩種攻擊。使用端口安全，管理員可以靜態(tài)指定MAC地址到特定交換機端口，或者允許交換機針其端口動態(tài)地學習數(shù)量固定的MAC地址。配置完成后，端口只允許授權MAC地址通過本端口通信，其他非授權MAC地址發(fā)送的數(shù)據(jù)包通過此端口時，端口安全特性會阻止它。使用端口安全特性可以防止未經(jīng)允許的設備訪問網(wǎng)絡，并增強安全性。

任務3.1二層交換安全的配置

子任務1端口安全的配置

【任務實施】1、繪制網(wǎng)絡拓撲圖2、接口IP地址的配置

根據(jù)網(wǎng)絡IP地址分配表為每個設備接口配置IP地址，并驗證之間的連通性

任務3.1二層交換安全的配置

子任務1端口安全的配置3、端口安全的配置

1）在SW1的Fa0/1端口上配置端口安全，要求只允許一臺設備接入，否則將關閉端口，主要配置命令如下：

SW1(config)#intf0/1SW1(config-if)#swmodeaccess//將端口設置成接入模式SW1(config-if)#swport-security//開啟端口安全SW1(config-if)#swport-securitymaximum1//設置該端口只能允許一個設備接入SW1(config-if)#swport-securityviolotionshutdown//設置觸發(fā)規(guī)則是關閉端口SW1(config-if)#swport-securitymac-addresssticky//設置端口mac地址學習方式為粘連任務3.1二層交換安全的配置

子任務1端口安全的配置

2）驗證端口安全首先在PC1上使用ping命令來驗證與PC2的連通性，使端口學習到PC1的MAC地址，然后斷開PC1的連接，將PC3接入到SW1的Fa0/1端口上，并配置與PC1相同的IP地址。此時使用ping命令來驗證PC3與PC2的連通性，發(fā)現(xiàn)無法連通，而且在SW1上會出現(xiàn)以下日志信息，表明此端口已經(jīng)被關閉。

%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoadministrativelydown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetodown任務3.1二層交換安全的配置

子任務1端口安全的配置同時查看此端口的信息，發(fā)現(xiàn)其狀態(tài)變?yōu)榱薳rr-disabled，如下所示。此時如果要將端口恢復到正常狀態(tài)，首先將PC1重新連接至交換機SW1的Fa0/1端口上，然后在SW1上對Fa0/1端口進行關閉和開啟端口的命令后即可恢復正常。

SW1#showintf0/1FastEthernet0/1isdown,lineprotocolisdown(err-disabled)……任務3.1二層交換安全的配置

子任務1端口安全的配置項目三任務3.1二層交換安全的配置子任務1端口安全的配置

子任務2DHCP監(jiān)聽的配置

子任務3二層交換的其他安全配置局域網(wǎng)的安全管理【任務環(huán)境】1、主流PC機一臺2、PacketTracer軟件

任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置【網(wǎng)絡拓撲圖】【網(wǎng)絡IP地址分配表】

設備名接口IP地址/子網(wǎng)掩碼S1Fa0192.168.1.254/24S2Fa0192.168.2.254/24PC1Fa0自動獲取任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置【知識支撐】

1、DHCP欺騙攻擊在沒有DHCP欺騙攻擊的情況下，DHCP客戶機可以從合法的DHCP服務器上獲取正確的IP地址、掩碼、網(wǎng)關和DNS等信息。如果網(wǎng)絡中被攻擊者安放了非法的DHCP服務器，該服務器可以任意向外分配地址，非法的DHCP服務器一般距離客戶機較近，這樣客戶機才可以從非法的DHCP服務器上獲得非法的IP地址。

任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置如果非法DHCP服務器僅是隨便分配IP地址，影響用戶正常的上網(wǎng)，并沒有惡意攻擊，危害還不算大，如果攻擊者分配假的網(wǎng)關，并把網(wǎng)關指向一臺攻擊主機，攻擊主機再把網(wǎng)絡流量轉(zhuǎn)發(fā)給真正的網(wǎng)關，這樣雖然不影響用戶正常的上網(wǎng)，但客戶機的所有流量都流經(jīng)攻擊主機，很容易泄露一些機密信息，所以這種攻擊也叫中間人攻擊。

任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置2、DHCP監(jiān)聽（DHCPSnooping）DHCP監(jiān)聽可以防范利用DHCP發(fā)起的多種攻擊行為，如DHCP中間人攻擊，偽造多臺設備耗盡地址池。DHCP監(jiān)聽允許可信端口上的所有DHCP消息，但是卻過濾非可信端口上的DHCP消息，DHCP監(jiān)聽還會在非可信端口上檢查DHCP客戶端消息。

任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置

DHCP監(jiān)聽還有一個非常重要的作用就是建立一張DHCP監(jiān)聽綁定表（DHCPSnoopingBinding）。一旦一個連接在非信任端口的客戶端獲得一個合法的DHCPOffer，交換機就會自動在DHCP監(jiān)聽綁定表里添加一個綁定條目，內(nèi)容包括了該非信任端口的客戶端IP地址、MAC地址、端口號、VLAN編號和租期等信息。任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置

【任務實施】1、繪制網(wǎng)絡拓撲圖2、接口IP地址的配置根據(jù)網(wǎng)絡IP地址分配表為每個設備接口配置IP地址任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置3、DHCP服務器的配置

分別在S1和S2上配置DHCP服務，如下圖所示

任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置4、DHCP客戶端的配置在PC1上分別使用ipconfig/release和ipconfig/renew命令來釋放和獲取IP地址，如下所示。

C:\>ipconfig/releaseIPAddress......................:0.0.0.0SubnetMask.....................:0.0.0.0DefaultGateway.................:0.0.0.0DNSServer......................:0.0.0.0C:\>ipconfig/renewIPAddress......................:192.168.2.1SubnetMask.....................:255.255.255.0DefaultGateway.................:192.168.2.254DNSServer......................:2.2.2.2C:\>ipconfig/releaseIPAddress......................:0.0.0.0SubnetMask.....................:0.0.0.0DefaultGateway.................:0.0.0.0DNSServer......................:0.0.0.0C:\>ipconfig/renewIPAddress......................:192.168.1.1SubnetMask.....................:255.255.255.0DefaultGateway.................:192.168.1.254DNSServer......................:1.1.1.1任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置

從以上結(jié)果可以看出，PC1獲取IP地址是隨機的，這和DHCP的工作原理相關，給攻擊者以可乘之機，所以需要配置DHCP監(jiān)聽服務來杜絕DHCP欺騙攻擊的發(fā)生。

任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置5、DHCP監(jiān)聽的配置

在SW2上配置DHCP監(jiān)聽，要求只允許S1服務器可以提供DHCP服務，配置命令如下。SW2(config)#ipdhcpsnooping//開啟DHCP監(jiān)聽服務SW2(config)#intf0/1SW2(config-if)#ipdhcpsnoopingtrust//設置Fa0/1端口為DHCP服務可信任端口任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置再次在PC1上分別使用ipconfig/release和ipconfig/renew命令來釋放和獲取IP地址，如下所示。

C:\>ipconfig/releaseIPAddress......................:0.0.0.0SubnetMask.....................:0.0.0.0DefaultGateway.................:0.0.0.0DNSServer......................:0.0.0.0C:\>ipconfig/renewIPAddress......................:192.168.1.3SubnetMask.....................:255.255.255.0DefaultGateway.................:192.168.1.254DNSServer......................:1.1.1.1C:\>ipconfig/releaseIPAddress......................:0.0.0.0SubnetMask.....................:0.0.0.0DefaultGateway.................:0.0.0.0DNSServer......................:0.0.0.0C:\>ipconfig/renewIPAddress......................:192.168.1.2SubnetMask.....................:255.255.255.0DefaultGateway.................:192.168.1.254DNSServer......................:1.1.1.1任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置

從以上結(jié)果可以看出，此時PC1只能獲取S1服務器所提供的IP地址，這樣就可以杜絕DHCP欺騙攻擊，客戶機不會從非法的DHCP服務器上獲得非法的IP地址。任務3.1二層交換安全的配置

子任務2DHCP監(jiān)聽的配置項目三任務3.1二層交換安全的配置子任務1端口安全的配置

子任務2DHCP監(jiān)聽的配置

子任務3二層交換的其他安全配置局域網(wǎng)的安全管理【任務環(huán)境】1、主流PC機一臺2、PacketTracer軟件

任務3.1二層交換安全的配置

子任務3二層交換的其他安全配置【網(wǎng)絡拓撲圖】

任務3.1二層交換安全的配置

子任務3二層交換的其他安全配置【知識支撐】

1、LAN風暴攻擊第二層設備同樣很容易受到LAN風暴攻擊。LAN風暴發(fā)生在當數(shù)據(jù)包在LAN內(nèi)泛洪時，這會生成大量的流量從而降低網(wǎng)絡性能。協(xié)議棧中的錯誤、網(wǎng)絡配置不當或者用戶發(fā)起的攻擊均可以導致風暴。

任務3.1二層交換安全的配置

子任務3二層交換的其他安全配置由于交換機會通過所有端口將廣播轉(zhuǎn)發(fā)出去，因此在攻擊期間，廣播、組播和單播幀在同一個VLAN內(nèi)的所有端口上泛洪。LAN風暴會導致交換機CPU的利用率提升至100%，當用戶通過該交換機進行通信時將無法獲得服務。

任務3.1二層交換安全的配置

子任務3二層交換的其他安全配置2、風暴控制風暴控制可以防止LAN上的流量被一個物理接口上的廣播、組播和單播風暴所破壞。風暴控制監(jiān)視從一個接口發(fā)送到交換機的數(shù)據(jù)包，并且判斷該數(shù)據(jù)包是單播、組播還是廣播。交換機在特定時間間隔內(nèi)對接收到的指定類型的數(shù)據(jù)包進行總數(shù)統(tǒng)計，并且會和預先定義好的抑制級別門限值進行比較，如果超過了門限值時，風暴控制就會阻塞流量，這種類型的所有流量在下一個時間段將會丟棄。

任務3.1二層交換安全的配置

子任務3二層交換的其他安全配置2、盡量少用或禁用思科發(fā)現(xiàn)協(xié)議（CDP）

CDP是CiscoDiscoveryProtocol的縮寫，它是由思科公司推出的一種私有的二層網(wǎng)絡協(xié)議，它能夠運行在大部分的思科設備上面。通過運行CDP，思科設備能夠在與它們直連的設備之間分享有關操作系統(tǒng)軟件版本，以及IP地址，硬件平臺等信息。但這也會給黑客就會利用CDP進行欺騙攻擊，從而獲取網(wǎng)絡中的相關信息從而描述出整個網(wǎng)絡的拓撲情況。因此在不必要的環(huán)境下盡量少用或禁用CDP。任務3.1二層交換安全的配置

子任務3二層交換的其他安全配置3、禁用不需要的或未用的服務（包括DNS、SNMP和DHCP服務等）

4、關閉不使用的端口5、動態(tài)ARP檢查（DAI）

6、IP源地址保護(IPSourceGuard)……

任務3.1二層交換安全的配置

子任務3二層交換的其他安全配置

【任務實施】1、繪制網(wǎng)絡拓撲圖2、風暴控制的配置主要配置命令如下：SW1(config)#intf0/1SW1(config-if)#storm-controlbroadcastlevel50//將風暴控制級別的門閥值設置為50SW2(config)#intf0/2SW2config-if)#storm-controlbroadcastlevel50SW3(config)#intrangef0/1-2//進入多個端口SW3(config-if-range)#storm-controlbroadcastlevel50任務3.1二層交換安全的配置

子任務3二層交換的其他安全配置3、禁用CDP的配置SW1的所有端口和SW3的Fa0/1端口禁用CDP1）查看CDP鄰居信息，以SW3為例SW3#showcdpneighbors……DeviceIDLocalIntrfceHoldtmeCapabilityPlatformPortIDSW1Fas0/1136S2960Fas0/1SW2Fas0/2161S2960Fas0/2//以上輸出可以看到SW3的CDP鄰居SW1和SW2的相關信息任務3.1二層交換安全的配置

子任務3二層交換的其他安全配置2）禁用CDP

主要配置命令如下：

SW1(config)#nocdprun//禁用SW1所有端口的CDPSW3(config)#intf0/1SW3(config-if)#nocdpenable//禁用SW3的Fa0/1端口的CDP任務3.1二層交換