办公网常见的安全问题及华为交换机上的配置说明
2011-06-12 | 15:36转自 http://blog.sina.com.cn/s/blog_5374d6e30100smmp.html 李晓红的新浪博客
常见办公网安全问题:
1、arp欺骗
2、耗尽dhcp server的IP池
3、私设dhcp server
4、私设IP地址,绕过dhcp server的IP分配策略
5、产生大量dhcp分配请求,使dhcp server无法响应导致拒绝服务攻击
6、产生大量arp请求,使目标无法响应正常的arp请求导致的拒绝服务攻击
7、产生其它大量的服务请求包,如icmp,导致目标cpu过高,无法处理别的请求等
8、在本来接办公电脑的端口上,私接交换机
每个厂家的交换机都有一定的防护措施,但是不一定能堵住所有漏洞。另外,既便针对同一个安全问题,厂家的措施不一定能全部能堵住。
最好是交换机跟dhcp服务配合在一起,来防止arp欺骗、私设IP等,原理是交换机监听dhcp请求与响应的包,在内部建立一张端口、MAC地址与IP的表,这样在某个端口收到arp请求或响应包,就可以判断是不否是arp欺骗了,另外也可以在端口上收到IP包时,看它的源地址是否与内部登记中的一致,如果不一致,就属于私设IP,直接丢弃,这样也就达到了避免私设IP的效果了。
下面是针对华为的S2352和S3328的文档整理的安全配置方法,请参考。
作用:限制icmp包的数量,减少对CPU的占用,防止大量ICMP包攻击
适用:3层交换机,避免网关IP被大量ICMP包攻击
icmp rate-limit total threshold 50
作用:避免下连的设备伪造大量MAC地址过来,产生的危害,如大量进行dhcp请求而用光dhcp server的可用IP,从而导致正常用户无法获得IP;可以用来避免端口下连交换机,只允许连服务器,方法是限制动态学到的mac地址条目数为1
适用:适用于接入或3层交换机,一般配置在接入交换机上
mac-address restrict (起用mac地址限制功能)
interface Ethernet0/0/1 (针对指定的接口配置,如下连用户设备的接口一般都要配)
mac-table limit 3 (限制动态学到的mac地址条目数为3)
port-security enable (起用指定端口的安全功能)
作用:避免各种针对dhcp动态分配IP服务的攻击,arp欺骗
适用:接入和3层交换机,一般配置在接入交换机上
dhcp snooping enable (全局起用dpch探测功能)
dhcp snooping arp security enable (防止arp欺骗)
vlan 1 (每个vlan都需要配,如果需要加固的话)
dhcp snooping enable (起用指定vlan的探测功能)
dhcp snooping check arp enable (检查arp请求和应答,防止arp欺骗)
dhcp snooping check ip enable (检查所有IP包,避免用户绕过dhcp,私设IP)
dhcp snooping check dhcp-rate enable (限制1秒内可能的dhcp请求数,避免攻击dhcp 服务器)
dhcp snooping trusted interface Ethernet0/0/48 (避免私设dhcp server,只有trusted接口中能收到dhcp server的包,别的接口收到之后直接丢弃)
dhcp option82 rebuild enable interface Ethernet0/0/1 to 0/0/47 (支持上面的各项功能的配置项,建议加上,不加不知道行不行,没有试过)
作用:避免伪造的arp回应毒害arp条目,收到arp响应后,只有此前请求过对应的IP,才接受,反之丢弃
适用:3层交换机
arp learning strict
作用:避免某个条目在短时间内多次修改
达用:3层交换机
arp-suppress enable
最新评论