返回
巩固网络安全加强osi数据链路层防护

巩固网络安全加强osi数据链路层防护

ID:20116336

大小:62.00 KB

页数:6页

时间:2018-10-10

巩固网络安全加强osi数据链路层防护_第1页
巩固网络安全加强osi数据链路层防护_第2页
巩固网络安全加强osi数据链路层防护_第3页
巩固网络安全加强osi数据链路层防护_第4页
巩固网络安全加强osi数据链路层防护_第5页
资源描述:

《巩固网络安全加强osi数据链路层防护》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、巩固网络安全加强OSI数据链路层防护~教育资源库  在网络安全设计中,设计者较多地分析了来自组织外部的安全威胁,而对来自组织内部的安全威胁则分析较少。内部用户由于直接接入二层网络,拥有更多的可控制协议(包括二层网络协议),因而利用这些协议特性所造成的安全威胁也更加多样。在OSI模型的不同层次,标准化组织开发了各种安全协议,其中涉及认证、加密等,但是针对OSI二层数据链路层的安全协议却较少。同时网络二层的安全普遍较少引起规划人员的注意,这就造成了网络二层成为网络安全中的薄弱环节。本文针对网络中存在的二层安全威胁做一些深入讨论,同时提出合理的防范建议。  MAC洪泛  MAC洪

2、泛是针对二层交换机发起的攻击,但主要目的是实现在交换网络环境下的嗅探(Sniffing)。当MAC帧通过交换机时,交换机会检查帧中的源MAC地址,并建立该MAC地址和端口的映射表,这张映射表存储于交换机的CAM(内容可寻址存储器)中。当进行帧转发时,交换机会查看该映射表,把MAC地址已知的帧转发到相应端口,只有MAC地址未知的帧才洪泛到所有端口。通过这样的转发行为,交换机有效地避免了在HUB环境下产生的嗅探攻击。  MAC洪泛中,攻击者发送源地址不断变化的MAC帧(携带虚假MAC地址),导致CAM溢出,这样交换机便不能再学习新的MAC地址。同时攻击者配合使用TBPDU(ST

3、P协议中宣布生成树拓扑变化的BPDU),加速已有真实MAC地址条目的老化,最终使CAM中完全充斥着虚假的MAC地址条目。经过交换机的数据帧因查不到相应的MAC条目,被洪泛到所有的端口。  通过MAC洪泛,攻击者把难以进行嗅探的交换环境演变成为可以进行嗅探的共享环境。在Cisco交换机中启用PortSecurity,限制每个端口可以出现的MAC地址,可以抑制MAC洪泛攻击。  配置命令:CatOS(enable)>set port security 1/1 maximum 2#限制1/1端口最多可能出现的2个MAC地址CatOS(enable)>set port 

4、security 1/1 violation shudoAC地址数后是关闭接口还是丢弃后来的MAC帧  STP安全  STP(SpanningTreeProtocol,生成树协议)是二层网络中普遍运行的协议,主要目的避免网络二层环路的存在。STP以根网桥(RootBridge)为根,通过发送BPDU(BridgeProtocolDataUnit,网桥协议数据单元)来构建一个无环的树形拓扑。由于STP缺乏信息的验证机制,所以虚假的STP信息会造成严重的网络安全问题。  如图1所示,攻击者接入两台交换机,并使用拥有更小BridgeID的TBPDU宣告自己为根网桥。这样生成树拓扑

5、发生变化,以攻击者为根,所有的流量不再经过交换机之间的链路,而是经过攻击者。这样攻击者便可以发动嗅探、会话劫持、中间人(ManInTheMiddle)等诸如此类的攻击。  图1  Cisco交换机中的BPDUGuard特性可以很好地解决针对STP的攻击。当端口上开BPDUGuard以后,交换机不接受从此接口上收到的BPDU。通常可以在PortFast端口上开启BPDUGuard,因为PortFast端口大部分只连接主机终端,不会产生BPDU。当交换机从开启BPDUGuard特性的端口上收到BPDU时,则会关闭该端口。  配置命令:CatOS(enable)>set s

6、pantree porfast bpduguard enable       #在PortFast端口上开启BPDU Guard特性  RootGuard特性使交换机不接受该端口上的根网桥BPDU宣告,防止攻击者宣告自己为根网桥。但是,攻击者通过精心选择BridgeID,还是可以把流量进行通信定向。所以使用BPDUGuard是防止针对STP攻击的根本方法。  配置命令:CatOS(enable)>set spantree guard root 1/4 #1/4端口上不接受根网桥BPDU宣告   CDP安全  攻击者发动攻击之前,往往会通过各种手段搜集攻击目标的相关信息

7、,以便发现安全漏洞。CDP(CiscoDiscoveryProtocol,思科发现协议)是Cisco网络环境下用来在相邻设备下交换设备相关信息的协议。这些信息包括设备的能力、运行IOS版本号等。攻击者可能通过IOS版本号得知该版本安全漏洞,并针对漏洞进行攻击。CDP在了解网络状况,进性故障排除时拥有一定作用,所以建议在连接终端用户的端口上关闭CDP协议(如图2所示)。如果有需要,可以彻底地关闭网络中的CDP协议。   图 2  配置命令:Switch(config-if)#no cdp enable        

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。