任務(wù)3.2 VLAN的安全配置_第1頁(yè)
任務(wù)3.2 VLAN的安全配置_第2頁(yè)
任務(wù)3.2 VLAN的安全配置_第3頁(yè)
任務(wù)3.2 VLAN的安全配置_第4頁(yè)
任務(wù)3.2 VLAN的安全配置_第5頁(yè)
已閱讀5頁(yè),還剩28頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)項(xiàng)目三任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

子任務(wù)2管理VLAN的安全配置局域網(wǎng)的安全管理【任務(wù)目標(biāo)】

1.能正確配置VLAN中繼鏈路的安全操作方法2.能正確配置管理VLAN的安全操作方法項(xiàng)目三任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

子任務(wù)2管理VLAN的安全配置局域網(wǎng)的安全管理【任務(wù)環(huán)境】1、主流PC機(jī)一臺(tái)2、PacketTracer軟件

任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置【網(wǎng)絡(luò)拓?fù)鋱D】【VLAN及IP地址分配表】

設(shè)備名接口所屬VlanIP地址/子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)SW1Fa0/24Trunk————Vlan10——54/24——Vlan20——54/24——SW2Fa0/1Vlan10————Fa0/2Vlan20————Fa0/24Trunk————PC1Fa0——/2454PC2Fa0——/2454任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置【知識(shí)支撐】1、VLAN跳躍攻擊在路由器的幫助下,VLAN跳躍使得來(lái)自一個(gè)VLAN的流量可以被其他VLAN看到。在某些情況下,攻擊者可以嗅探數(shù)據(jù)并提取密碼和其他敏感的信息。這種攻擊是通過(guò)配置不正確的中繼端口來(lái)實(shí)現(xiàn)的。默認(rèn)情況下,中繼端口能夠訪問(wèn)所有VLAN并且通過(guò)相同的物理鏈路傳遞多個(gè)VLAN的流量,這種鏈路一般是在交換機(jī)之間。任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置在基本的VLAN跳躍攻擊中,攻擊者利用大多數(shù)交換機(jī)上的默認(rèn)自動(dòng)中繼配置。攻擊者通過(guò)配置,把自己偽裝成交換機(jī)。這一欺騙要求攻擊者能夠模擬ISL或802.1Q信令以及Cisco專有的動(dòng)態(tài)中繼協(xié)議(DTP)。通過(guò)欺騙一個(gè)交換機(jī),使它認(rèn)為攻擊者是一個(gè)需要中繼的另一臺(tái)交換機(jī),攻擊者隨后就可以獲得對(duì)中繼端口上允許的所有VLAN的訪問(wèn)。這一攻擊需要在端口上進(jìn)行配置,支持auto或dynamic中繼模式,才能取得成功。最終,攻擊者成為在交換機(jī)上中繼的所有VLAN的成員并且能夠跳躍。

任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置VLAN跳躍攻擊可以采用下面兩種方法發(fā)起:(1)從攻擊主機(jī)發(fā)出欺騙DTP信息導(dǎo)致交換機(jī)進(jìn)入中繼模式。攻擊者可以發(fā)送標(biāo)記為目標(biāo)VLAN的流量,交換機(jī)隨后就會(huì)把該數(shù)據(jù)表轉(zhuǎn)發(fā)到目的地;

(2)引入一個(gè)欺詐交換機(jī)并且啟用中繼配置。攻擊者隨后就可以通過(guò)欺詐交換機(jī)到受害者交換機(jī)上的所有VLAN。任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置2、VLAN雙重標(biāo)簽攻擊另一種VLAN攻擊類型是雙重標(biāo)簽(或雙重封裝)VLAN跳躍攻擊。這種攻擊的類型利用了交換機(jī)硬件的工作方式。大多數(shù)交換機(jī)只執(zhí)行一層802.1Q的解封裝,這就可能允許攻擊者在特定環(huán)境下把隱藏的802.1Q標(biāo)簽嵌入到數(shù)據(jù)幀中。這個(gè)標(biāo)簽允許數(shù)據(jù)幀進(jìn)入到初始802.1Q標(biāo)簽沒有指定的VLAN。雙重封裝VLAN跳躍攻擊的一個(gè)重要特性就是即使中繼端口被禁用了,主機(jī)通常也能在沒有中繼鏈路的網(wǎng)段上發(fā)送數(shù)據(jù)幀。

任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置這種類型的攻擊是單向的,而且只有當(dāng)攻擊者連接的端口在特定VLAN中,此VLAN與中繼端口的本征VLAN一樣時(shí),該攻擊才奏效。這種攻擊的思路是雙重標(biāo)簽允許攻擊者在VLAN上向主機(jī)或服務(wù)器發(fā)送數(shù)據(jù),而這些數(shù)據(jù)本應(yīng)該被某些類型的訪問(wèn)控制配置阻塞掉的;而且這些返回流量也將被放行,這使得攻擊者能夠與通常被阻塞的VLAN上的設(shè)備進(jìn)行通信。任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

3、確保VLAN中繼鏈路的安全

(1)將用戶端口設(shè)置為接入模式

(2)關(guān)閉DTP

(3)手動(dòng)配置中繼模式

(4)將用戶不使用的VLAN作為NativeVlan

(5)中繼鏈路上配置allowedvlan

任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

【任務(wù)實(shí)施】1、繪制網(wǎng)絡(luò)拓?fù)鋱D2、根據(jù)VLAN及IP地址分配表創(chuàng)建VLAN,同時(shí)將端口劃入相應(yīng)的VLAN中,主要配置命令如下:

SW2(config)#intf0/1SW2(config-if)#swmodeaccess//設(shè)置端口為接入模式SW2(config-if)#swaccessvlan10//將端口劃入到vlan10中SW2(config)#intf0/2SW2(config-if)#swmodeaccessSW2(config-if)#swaccessvlan20SW1(config)#vlan10SW1(config)#vlan20//創(chuàng)建vlanSW2(config)#vlan10SW2(config)#vlan20任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

3、根據(jù)VLAN及IP地址分配表配置各設(shè)備的ip地址等參數(shù),主要配置命令如下:

SW1(config)#iprouting//開啟三層交換SW1(config)#intvlan10SW1(config-if)#ipadd54

SW1(config)#intvlan20SW1(config-if)#ipadd54

//創(chuàng)建交換機(jī)SVI接口,并設(shè)置其IP地址任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

4、交換機(jī)間創(chuàng)建中繼鏈路,主要配置命令如下:

SW1(config)#intf0/24SW1(config-if)#swtrunkencapdot1q//封裝802.1q協(xié)議SW1(config-if)#swmodetrunk//設(shè)置端口為中繼模式SW1(config-if)#swnonegotiate//關(guān)閉DTP協(xié)議SW2(config)#intf0/24SW2(config-if)#swmodetrunkSW2(config-if)#swnonegotiate任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

5、NativeVlan的配置,主要配置命令如下:

SW1(config)#vlan15SW1(config)#intf0/24SW1(config-if)#swtrunknativevlan15//將中繼鏈路上的本征vlan設(shè)置為vlan15SW2(config)#vlan15SW2(config)#intf0/24SW2(config-if)#swtrunknativevlan15任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

6、AllowedVlan的配置,主要配置命令如下:

SW1(config)#intf0/24SW1(config-if)#swtrunkallowedvlan10,20//設(shè)置中繼鏈路上只允許通過(guò)vlan10和vlan20的流量SW2(config)#intf0/24SW2(config-if)#swtrunkallowedvlan10,20任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

7、查看中繼鏈路信息,以SW1為例,如下所示。

SW1#showinttrunkPortModeEncapsulationStatusNativevlanFa0/24on802.1qtrunking15PortVlansallowedontrunkFa0/2410,20……//以上輸出信息可以看到中繼的封裝協(xié)議、狀態(tài)、NativeVlan和AllowedVlan等信息任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

8、驗(yàn)證PC1與PC2間的連通性,如下所示。

PacketTracerPCCommandLine1.0C:\>pingPingingwith32bytesofdata:Replyfrom:bytes=32time=1msTTL=127Replyfrom:bytes=32time<1msTTL=127Replyfrom:bytes=32time<1msTTL=127Replyfrom:bytes=32time<1msTTL=127Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=1ms,Average=0ms任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

9、在PacketTracer環(huán)境下保存文件,下一個(gè)任務(wù)-管理VLAN的安全配置將在此網(wǎng)絡(luò)拓?fù)涞幕A(chǔ)上進(jìn)行。

任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置項(xiàng)目三任務(wù)3.2VLAN的安全配置

子任務(wù)1VLAN中繼鏈路的安全配置

子任務(wù)2管理VLAN的安全配置局域網(wǎng)的安全管理【任務(wù)環(huán)境】1、主流PC機(jī)一臺(tái)2、PacketTracer軟件

任務(wù)3.2VLAN的安全配置

子任務(wù)2管理VLAN的安全配置【網(wǎng)絡(luò)拓?fù)鋱D】

任務(wù)3.2VLAN的安全配置

子任務(wù)2管理VLAN的安全配置【VLAN分配表】【網(wǎng)絡(luò)IP地址分配表】

設(shè)備名接口所屬VlanSW1Fa0/24TrunkSW2Fa0/1Vlan10Fa0/2Vlan20Fa0/3Vlan30Fa0/24Trunk設(shè)備名接口IP地址/子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)SW1Vlan1054/24——Vlan2054/24——Vlan3054/24——SW2Vlan3053/24——PC1Fa0/2454PC2Fa0/2454PC3Fa0/2454任務(wù)3.2VLAN的安全配置

子任務(wù)2管理VLAN的安全配置【知識(shí)支撐】

1、標(biāo)記攻擊標(biāo)記攻擊屬于惡意攻擊,利用它,一個(gè)VLAN上的用戶可以非法訪問(wèn)另一個(gè)VLAN上的用戶。例如,如果將交換機(jī)端口配置成DTPauto模式,用于接收偽造DTP分組,那么它將成為中繼端口,并有可能接收通往任何VLAN的流量。由此,惡意用戶可以通過(guò)受控制的端口與其它VLAN通信。有時(shí)即便只是接收普通分組,交換機(jī)端口也可能違背自己的初衷,像全能中繼端口那樣操作。例如,從本地以外的其它VLAN接收分組,這種現(xiàn)象通常稱為“VLAN滲漏”。任務(wù)3.2VLAN的安全配置

子任務(wù)2管理VLAN的安全配置2、確保管理VLAN的安全

(1)將用戶不使用的vlan作為管理Vlan

(2)管理交換機(jī)的設(shè)備不可以與其他用戶通信

(3)交換機(jī)使用SSH協(xié)議作為遠(yuǎn)程訪問(wèn)協(xié)議

(4)只有管理交換機(jī)的設(shè)備可以遠(yuǎn)程登錄到各交換機(jī)上進(jìn)行遠(yuǎn)程管理任務(wù)3.2VLAN的安全配置

子任務(wù)2管理VLAN的安全配置

【任務(wù)實(shí)施】1、打開上次任務(wù)的文件,在此基礎(chǔ)上繪制網(wǎng)絡(luò)拓?fù)鋱D2、根據(jù)VLAN分配表創(chuàng)建VLAN,同時(shí)將端口劃入相應(yīng)的VLAN中,主要配置命令如下:

SW2(config)#intf0/3SW2(config-if)#swmodeaccess//設(shè)置端口為接入模式SW2(config-if)#swaccessvlan30//將端口劃入到vlan30中SW1(config)#vlan30SW2(config)#vlan30//創(chuàng)建vlan任務(wù)3.2VLAN的安全配置

子任務(wù)2管理VLAN的安全配置3、根據(jù)VLAN及IP地址分配表配置各設(shè)備的ip地址等參數(shù)。

4、AllowedVlan的配置,主要配置命令如下:SW1(config)#intf0/24SW1(config-if)#swtrunkallowedvlanadd30//設(shè)置中繼鏈路上添加可通過(guò)vlan30的流量SW2(config)#intf0/24SW2(config-if)#swtrunkallowedvlanadd30SW1(config)#intvlan30SW1(config-if)#ipadd54

SW2(config)#intvlan30SW1(config-if)#ipadd53

任務(wù)3.2VLAN的安全配置

子任務(wù)2管理VLAN的安全配置5、驗(yàn)證各PC間的連通性通過(guò)驗(yàn)證發(fā)現(xiàn)此時(shí)各PC間可以互通。

6、配置PC3不可以和其他PC連通,并進(jìn)行驗(yàn)證。主要配置命令如下:SW1(config)#access-list1denyhostSW1(config)#access-list1permitany//設(shè)置訪問(wèn)控制列表,阻止PC3的流量SW1(config)#intvlan10SW1(config-if)#ipaccess-group1out//將訪問(wèn)控制列表應(yīng)用到vlan10接口的出方向上SW1(config)#intvlan20SW1(config-if)#ipaccess-group1out//將訪問(wèn)控制列表應(yīng)用到vlan20接口的出方向上任務(wù)3.2VLAN的安全配置

子任務(wù)2管理VLAN的安全配置7、開啟SW1和SW2的遠(yuǎn)程訪問(wèn)SW1(config)#ipdomain-nameSW1(config)#cryptokeygeneratersaSW1(config)#usernameuser01passwordP@ssw0rd1SW1(config)#linevty015SW1(c

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論