热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

网络安全之LAYER2 Security

发布时间:2012-01-19 10:22文章来源:网络文章作者:wildlee 点击次数:
摘要:基于TCP/IP参考模型的通信数据封装,层与层之间有着密不可分的关系,如果没有底层为高层应用提供服务,那么高层服务也就无法成功实现。对于网络安全来讲这个道理同样适用,如果最底层的安全都没有做到,更何谈高层安全。物理层安全要保证设备实体不能...

MAC泛洪攻击

交换机对报文进行二层识别转发并记录其源MAC地址到CAM表。但是CAM表只能记录特定个数的MAC 地址,当MAC地址数超个这个限制,交换机将不能在继续学习到新的MAC,除非某些条目老化并在CAM表中消失。当CAM表满载的时候,交换机对于所有未知单播、组播、广播包,交换机都将进行泛洪,发送到所有的接口。

CISCO的端口安全技术之port-security不但可以限制接口可以学习的MAC地址数,还可以使用粘性学习[Sticky]技术或手工绑定接口对应的MAC,以此用来增强端口安全,当触发了端口安全内容,将进行相应的动作。

配置命令

wildlee(config-if)#Switchport port-security

启用端口安全

wildlee(config-if)#Switchport port-security maximum value

设置该接口上允许接入的最大MAC地址数量,默认为1

wildlee(config-if)#Switchport port-security violation {protect|restrict|shutdown}

当未经允许的MAC通过接口,此接口的行为动作

wildlee(config-if)#Switchport port-security mac-address mac_address

手工指定该接口上允许通过的MAC地址

wildlee(config-if)#Switchport port-security mac-address sticky

启用端口粘性MAC地址学习

wildlee(config-if)#Switchport port-security [aging time aging_time | type {absolute | inactivity}

设置接口对MAC老化时间与动作

 

二层风暴控制

在网络中每个与交换相连接的终端设备其都有的固定的带宽,连接到交换机上的任何一个终端都可以有意或无意的向其它终端或交换机发起攻击。当一个终端PC向交换机发起大量已知单播、未知单播、组播、广播流量之时,交换机就得被动进行目标MAC单发或泛洪式转发,这无非是占用了其它终端设备的下行带宽,当这份数据对目标设备没有任何意义且该流量占用了整个设备的下行带宽之时,这无非是一种攻击[流量式攻击],这种情况下会直接造成接收此流量目标设备对外通信失败,同时网络也会受到影响。另一种情况将小包[64字节]以高转发率发送,同等条件下高速率的小包处理会使交换机花费更多的交换机资源[CPU周期]。此例攻击直接影响交换机转发性能,更严重的后果就是交换机DOWN机。

cisco风暴控制技术storm-control,Strom-control技术可以限制带宽的使用也可以限制接口发包转发率。当限制的内容高于某个阀值时,将相应的接口进行阻塞,只能当限制的接口其限制内容只有低于某个值的时候将恢复端口转发。

配置命令

wildlee(config)#storm-control {broadcast|multicast|unicast} level {level[level-low] bps bps [bps-low] | pps pps [pps-low]}

wildlee(config)#storm-control action {shutdown | trap}

一种流量控制技术[暂停帧]

wildlee(config)#Flowcontrlo {send |receive} {on | off |desired}

 

端口隔离技术

在传统情况下,属于同一个局域网或VLAN的两个主机在二层上是无法拒绝他们之前通信的,随着安全规则越来越细化,VLAN技术缺点被暴露出来。如果我们要建立多个主机隔离区域,就不得不为此主机区域在创建一个VLAN哪怕只有一个主机,还得为此VLAN在分配一个新的IP地址段并为此VLAN建立网关。这种情况下将造成VLAN数目扩大、STP计算复杂、IP地址紧张等后果。PVLAN技术的诞生可以使同一个VLAN下的两台主机拥有相同的网关与IP地址段,但无法彼此通信,从而满足安全要求。今天我们说的主角Protected技术也是一种端口隔离技术,可以实现与PVLAN相同的功能,被配置了端口隔离的端口之间将不能互相通信。

配置命令

wildlee(config-if)#switchport protected

 

端口阻塞技术

默认情况下交换机泛洪未知目标MAC单播或组播流量,这种流量可能造成目标设备被流量式攻击。端口阻塞技术是一种防御未知单播或组播进行流量攻击的技术,在端口上使用此技术,端口收到的未知单播与组播流量都将被丢弃,而不能被发送到此端口,但不能控制广播流量,我们知道局域网通信与某些应用,依赖于一些广播应用。

配置命令

wildlee(config-if)#switchport block unicast

wildlee(config-if)#switchport block multicast

 

QOS安全特性

其实网络中应用QOS也是一种安全策略,如限制某个接口的上行或下行速率或区分服务转发数据。当网络中有大量的P2P应用进行上传或下载,那么网络正常的服务就会受到影响,此时可以禁用掉P2P等程序或是限制此类程序的上行或下行。当网络中发生拥塞的时候,对重要网络应用进行QOS标记调度转发,从而保证可用性。所以我们可以将QOS看作是一种安全技术应用。

CIR配置命令

wildlee(config)#Rate-limit {input | output} [access-grouup acl_number] bps burst-normal burst-max conform-action conform_action exceed-action exceed_action

ACL安全技术

RACL[Router ACL]

RACL可以对交换机上的路由接口做控制平面和数据平面通信流过滤。可以将RACL应用以下接口如SVI、三层路由端口、三层通道端口等做基于网络层与传输层内容过滤,但不能做数据链路层[二层]内容过滤。RACL具有IN与OUT之分的方向性,在接口IN或OUT方向没有使用RACL代表着放行,所以RACL不会造成单向通信。RACL可以在IN与OUT方向都可以使用,每个接口每个方向只能使用一条RACL。

配置示例

wildlee(config)#access-list 1 permit ip 192.168.1.0

wildlee(config)#interface vlan 10

wildlee(config-if)#ip access-group 1 in

PACL[Port ACL]

PACL 是指应用于交换机二层接口的 ACL,过滤流的内容可以是基于TCP/IP参考模型的二三四层数据内容字段。PACL只能应用到 IN 方向。PACL优先级高于其它的ACL。

配置示例

1.wildlee(config)# mac access-list extended mac-acl

wildlee(config-ext-macl)# deny host 0000.0000.0001 host 0000.0000.0002

wildlee(config-ext-macl)# permit any any

Wildlee(config)# interface fastethernet 0/0

wildlee(config-if)# mac access-group mac-acl in

2.Wildlee(config)#mac-address-table static F5-F5-F5-10-10-10 vlan 2 drop

在相应的Vlan丢弃流量

Wildlee(config)#mac-address-table static F5-F5-F5-10-10-10 vlan 2 int f0/1

相应的接口丢弃流量

VACL[VLAN MAP]

VACL可以做VLAN与VLAN之间的通信流过滤也可也做同一VLAN不同主机的通信流过滤,过滤流的内容可以是基于TCP/IP参考模型的二三四层数据内容字段。VACL绑定到VLAN上时是不分方向的,即VLAN中所有进出的匀被VACL匹配并策略,容易造成单向通信问题。一个VLAN 只能对应一个 Vlan Map ,一个 Vlan Map可以对应多个 VLAN,包含多个匹配条件。

配置示例

Wildlee(config)#access-list 101 permit tcp host 192.168.0.2 host 192.168.0.10 eq telnet

Wildlee(config)#access-list 101 permit tcp host 192.168.0.10 eq telnet host 192.168.0.2

Wildlee(config)#vlan access-map wildlee 10

Wildlee(config-access-map)#match ip address 101

Wildlee(config-access-map)#action forward

Wildlee(config)#vlan filter wildlee vlan-list 2

标签分类:

上一篇:AAA之802.1x网络接入控制
下一篇:Timthumb缩略图插件漏洞简介与演示