试验3Layer2交换器装置之安全性设定与操作课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《试验3Layer2交换器装置之安全性设定与操作课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 试验 Layer2 交换 装置 安全性 设定 操作 课件
- 资源描述:
-
1、國立雲林科技大學自由軟體研發中心實驗 3:Layer 2 交換器裝置之安全性設定與操作國立雲林科技大學國立雲林科技大學 自由軟體研發中心自由軟體研發中心實驗 3:Layer 2 交換器裝置之安全性設定與操作2實驗目的本實驗講解如何設定Port Security、DHCP Snooping、BPDU Guard等方法來抵御下列幾種攻擊:nCAM table overflownMAC address spoofingnDHCP starvationnSTP manipulation而在講解如何在交換器上設定對應的防禦機制前,將會簡述以上四種攻擊法,能夠讓各位更能了解這些防禦機制的工作原理。國立雲林
2、科技大學國立雲林科技大學 自由軟體研發中心自由軟體研發中心實驗 3:Layer 2 交換器裝置之安全性設定與操作3CAM table overflow 攻擊簡述pCAM table overflow的目的是透過發送大量偽造MAC address的封包,使得交換器的CAM table紀錄的對應資料中不含有正常的主機MAC address,在這種狀況下交換器的工作方式就如同集線器一樣,將收到的封包將所有的連接埠送(除了來源的連接埠),攻擊者便可藉此竊聽所有流經交換器的訊息。p場景如左圖1,一開始交換器上的CAM table存有主機A位於連接埠1、主機B位於連接埠2的對應資訊,當主機A要傳送資料給主
3、機B時,由於CAM table中存在主機B存在連接埠2這項對應資訊,所以A傳送給B的訊息會直接送往連接埠2。p如圖2,之後主機C發送偽造MAC address的封包,當交換器收到後會更新CAM table中的資料,此時因為數量超過了CAM table所能紀錄的大小,所以會將先前存在的對應資料覆蓋掉,可以看到CAM table中紀錄到了X、Y這兩個不存在的MAC address位在連接埠3的資訊。p如圖3,最後假設主機A要傳訊息給主機B,交換器收到封包後發現CAM table中沒有紀錄主機B是位在哪個連接埠,因此將該訊息送往連接埠2、3。此時主機C就可收到主機A傳給主機B的訊息,。圖1圖2圖3國
4、立雲林科技大學國立雲林科技大學 自由軟體研發中心自由軟體研發中心實驗 3:Layer 2 交換器裝置之安全性設定與操作4MAC address spoofing 攻擊簡述pMAC address spoofing的目的是藉由送出一個來源MAC address為攔截目標的MAC address的封包給交換器,讓交換器上的CAM table紀錄錯誤的訊息,讓其後要送給目標主機的訊息都傳送攻擊者所在的連接埠。注意MAC address spoofing與CAM table overflow的差別在於MAC address spoofing只會收到攻擊目標的封包,而CAM table overflow
5、則是會竊聽到所有流經交換器的封包。p我們用左方的圖來簡述MAC address spoofing的攻擊流程,場景如左圖1,一開始CAM table中紀錄主機A在連接埠2、主機B在連接埠1、主機C在連接埠3。p之後主機B送出一個來源MAC address欄位填上A的MAC address的封包,當交換器收到後,會更新CAM table,使得交換器認為主機A在連接埠1,如圖2。p接著所有要送給主機A的訊息,全部都會往連接埠1傳送,使得主機B可以收到原本要傳給主機A的訊息,如圖3。直到A主機再度送出訊框更新CAM table中的資訊,A主機才能夠收到原本該收到的封包。圖1圖3圖2國立雲林科技大學國立
6、雲林科技大學 自由軟體研發中心自由軟體研發中心實驗 3:Layer 2 交換器裝置之安全性設定與操作5DHCP starvation 攻擊簡述pDHCP starvation的目的是發送偽造MAC address的封包將合法的DHCP伺服器所有可用的IP位址佔用,使得合法使用者無法從DHCP伺服器取得可用IP位址。然後攻擊者架設一個DHCP伺服器,偽裝成合法的DHCP伺服器,當使用者發出DHCP request時,當合法的DHCP伺服器收到後因為本身已無可用的IP位置而不做任何的回應,而此時就由攻擊者所偽裝的DHCP伺服器來回應給使用者。而通常DHCP除了分派IP位址之外,同時會指定DNS伺服
7、器與預設的閘道器,而攻擊者就是利用將這些位址指向自已所擁有的主機位址藉此達成man-in-the-middle attack。p我們用下方的圖來簡述DHCP starvation的攻擊流程,如圖1,首先攻擊者發送大量偽造來源MAC address的DHCP request給合法的DHCP伺服器,嘗試找出DHCP伺服器所有可分配的IP位址範圍並佔用所有可用的IP位址。p如圖2,當攻擊者將合法的DHCP伺服器的所有可用IP佔用後,自已設置一個偽裝的DHCP伺服器,當合法使用者發出DHCP request時由攻擊者偽裝的DHCP伺服器回應給使用者。圖1圖2國立雲林科技大學國立雲林科技大學 自由軟體研
8、發中心自由軟體研發中心實驗 3:Layer 2 交換器裝置之安全性設定與操作6STP manipulation 攻擊簡述pSTP manipulation的目的是為了要竊聽網路上流經的封包,做法是攻擊者將自已偽裝成Root Bridge,使得原本不該流經過攻擊者的封包送往攻擊者端。除了竊聽之外,也可做到DoS的效果,利用發送STP configuration/topology change BPDUs,迫使STP 重新計算路徑,在重新計算路徑的這段時間可能會造成網路3045秒的中斷,達到DoS的效果。p我們用左方的圖來簡述STP manipulation的攻擊流程,場景如圖1,一開始交換器A被
9、選為Root Bridge,交換器A、B要傳送訊框時,是直接互傳給對方。p如圖2,之後攻擊者假冒成交換器,廣播STP topology change BPDUs 宣稱他的優先權較高。p接著當其它交換器收到時,認為攻擊者系統的優先權較高,應為Root Bridge,因此重新計算連接到攻擊者的最短路徑。重新計算出來的路徑如圖3,重新計算出的路徑使得所有原本應直接經由交換器A、B轉送的訊框,不是直接傳送給對方,而是要經由攻擊者系統才能到達,因此攻擊者可利用偽裝成Root Bridge竊聽到原本不能收到的訊息。圖1圖3圖2國立雲林科技大學國立雲林科技大學 自由軟體研發中心自由軟體研發中心實驗 3:La
10、yer 2 交換器裝置之安全性設定與操作7Port Security7pPort SecurityPort Security能夠用來指定在交換器上任何一個實體連接埠允許哪些MAC address可以使用以及最大可容納的MAC address數量。利用Port Security可以用來防禦CAM table Overflow attacks、MAC Spoofing attacks。Port Security分為三種方式:1.Static secure MAC address:在交換器的實體連接埠上手動 設 定 只 有 哪 些 M A C address 可以使用。2.Dynamic secur
11、e MAC addresses:在交換器的實體連接埠上指定最大可容納的MAC address數量。3.Sticky secure MAC addresses:Static secure MAC addresses與Dynamic secure MAC addresses的結合,全由手動設定會增加管理者的負擔,因此我們只需要針對某些提供重要服務的設備指定MAC address,其餘的部分就交由Dynamic secuire MAC addresses的方式管理。Fa0/7HubSwitch主機A主機BStatic secure只允許主機A通過Dynamic secureFa0/7HubSwitc
12、h主機A主機B只允許2位同時在線主機C國立雲林科技大學國立雲林科技大學 自由軟體研發中心自由軟體研發中心實驗 3:Layer 2 交換器裝置之安全性設定與操作8Port SecuritypPort Security(Cont.)當交換器連接埠上MAC address數量達到限制的數量時(port security violation),有以下三種處理方式:1.Protect:當交換器連接埠上MAC address數量達到限制的數量時,如果接下來的封包上的來源MAC address不在已學習到的清單內,則將封包丟棄,直到某些MAC address因閒置過久而從清單中被移除或是當最大限制的數量增加
13、時,才可讓新加入的MAC address使用。使用此種方式的話當發生security violation時並不會做任何的通知。2.Restrict:當交換器連接埠上MAC address數量達到限制的數量時,如果接下來的封包上的來源MAC address不在已學習到的清單內,則將封包丟棄,直到某些MAC address因閒置過久而從清單中被移除或是當最大限制的數量增加時,才可讓新加入的MAC address使用。當發生security violoation時會送通知到SNMP伺服器以及產生syslog message。3.Shutdown:當交換器連接埠上MAC address數量達到限制的數
14、量時,該連接埠會被停用,並顯示為err-disabled,同時會發送SNMP trap以及產生syslog message。Fa0/7HubSwitch主機A主機BProtect&Restrict假設主機A目前在線上,主機B需等待主機A從清單中移除後才可使用MAX=1Fa0/7HubSwitch主機A主機BShutdownMAX=1國立雲林科技大學國立雲林科技大學 自由軟體研發中心自由軟體研發中心實驗 3:Layer 2 交換器裝置之安全性設定與操作9Port SecuritypPort Security(Cont.)以下是設定port security的指令:switch(config-if
15、)#switchport mode access|trunk指定交換器連接埠的模式,預設為非secure port。switch(config-if)#switchport port-secuirty在該連接埠下啟動port security。switch(config-if)#switchport port-security maximum value限制Port可容納多少的MAC addresses。switch(config-if)#switchport port-security violation protect|restrict|shutdown當超過可容納的MAC address
16、es數量時採取何種對應方式。CommandDescriptionswitchport mode access|trunk Sets the interface mode as access or trunk.An interface in the default mode of dynamic auto cannot be configured as a secure port.switchport port-security Enables port security on the interface.switchport port-security maximum valuevlan vl
17、an-list|access|voice Sets the maximum number of secure MAC addresses for the interface.The active Switch Database Management(SDM)template determines the maximum number of available addresses.The default is 1.switchport port-security violationprotect|restrict|shutdown Sets the action to be taken when
18、 a security violation is detected.The default mode for security violations is to shut down the interface.switchport port-security mac-address macaddressvlan vlan-id|access|voice Sets a secure MAC address for the interface.This command may be used to enter the maximum number of secure MAC addresses.I
19、f fewer secure MAC addresses are configured than the maximum,the remaining MAC addresses are dynamically learned.switchport port-security mac-address sticky Enables sticky learning on the interface.switchport port-security mac-address stickymac-address|vlan vlan-id|access|voice Sets a sticky secure
展开阅读全文