dcsimg

配置Catalyst以获得更安全的第2层

思科的Catalyst Intelligent功能可以帮助您减少流氓DHCP服务器,ARP中毒和其他网络危险的热潮。我们一步一步地向您展示。

最新的Cisco Catalyst交换机(包括6500、4500和3750)具有一些出色的新功能,可以使您的网络更加安全。这些多层交换机能够检查ARP和3/4层数据包,从而提供了非常有效的安全功能。

在本文中,我们将描述和解释这些新进展,这些新进展被Cisco称为Catalyst Intelligent功能。使用Smartports,Catalyst交换机可以检查并跟踪DHCP( 定义 )作业。这意味着,如果通过DHCP为客户端分配了IP地址,则交换机可以通过阻止从客户端端口发送的声称来自其他IP地址的任何数据包来强制执行该分配。这是通过启用DHCP侦听和IP源防护来完成的。使用DHCP表,交换机还可以阻止伪造的ARP( 定义 )数据包,称为动态ARP检查的功能。

DHCP监听

使用利用从DHCP侦听中获得的知识的功能,可以将局域网安全提高到一个新的水平。将其与端口级MAC安全性相结合,网络管理员将不再担心在公共区域打开网络连接的想法。
DHCP侦听是一项安全功能,可以过滤不受信任的DHCP消息,并可以保护网络上的客户端不与未经授权的DHCP服务器建立对等关系。启用后,它将构建一个MAC地址,IP地址,租约时间,绑定类型和接口信息(交换机的接口)表。

在谈论DHCP侦听时,受信任的接口和不受信任的接口之间也存在重要区别。连接到最终用户的交换机端口应配置为不可信。受信任的接口是那些连接到DHCP服务器或其他交换机的接口。在整个交换机上启用DHCP侦听功能后,该交换机就像您的VLAN的防火墙( 定义 )。您还需要在VLAN上启用DHCP侦听,以允许交换机充当整个VLAN域的防火墙。

这是完成的过程:

    !Turn on snooping for the entire switch:
    Switch(config)# ip dhcp snooping
    Switch(config)# ip dhcp snooping vlan [number or range]

    !Our DCHP server:
    Switch(config)# interface GigabitEthernet 5/1
    Switch(config-if)# ip dhcp snooping trust

    !An untrusted client (not a required step):
    Switch(config-if)# interface FastEthernet 2/1
    Switch(config-if)# ip dhcp snooping limit rate 10

关于此的一些注意事项:

首先,也是最重要的一点,您必须意识到,这将导致所有DHCP请求都被丢弃,直到将端口配置为受信任为止。因此,应格外小心地打开它。其次,这并不像看起来那样麻烦。您可以使用“接口范围”命令一次指定所有受信任的端口。以下是在所有中继端口和dhcp服务器连接到的端口上启用信任的方法:

    Switch(config)#interface range FastEthernet 2/0/1 - 8 , GigabitEthernet 1/0/1 - 3
    Switch(config-if-range)# ip dhcp snooping trust

接口范围是IOS 12.1中引入的鲜为人知的命令,可节省大量时间。

关于DHCP侦听的最后一个警告是,您必须在中继端口上与下游DHCP侦听器建立信任关系:

    Switch(config-if)# ip dhcp relay information trusted

现在,您可能会想:“ DHCP监听听起来不错,但是当我重新启动交换机并且snooper不再具有租约数据库时会发生什么?难道它不要求客户端重新获得其DHCP租约吗?”

是。思科对此进行了思考,并创建了一种可以保存数据库的机制。可以将数据库配置为驻留在闪存中,但是由于篇幅所限,最好通过以下命令使用tftp服务器:

    Switch(config)# ip dhcp snooping database tftp://10.1.1.1/file

数据库会不断更新,并且应该在快速重新启动后仍然存在。如果在交换机重新启用时某些DHCP租约已到期,则这些条目将无效,并且客户端将无法连接,直到它再次尝试与DHCP对等。

IP源防护和端口安全

仅使用DHCP侦听,就可以阻止不受信任的设备充当DHCP服务器。在人们认为最好引入Linksys接入点以更好地覆盖无线办公室的环境中,这一点很重要。端口安全性还可以帮助阻止在一个端口上看到多个MAC,从而无法连接集线器和其他网络扩展设备。

现在,为了阻止恶意人员使用未分配给他们的IP地址,我们使用IP源防护。更好的是,我们还可以阻止客户端伪造其MAC地址。 MAC地址过滤使交换机无法泛洪。泛洪是一种技术,攻击者通过这种技术从其端口发送大量MAC地址,以致交换机的MAC表溢出。然后,交换机别无选择,只能将所有以太网帧从每个端口中泛洪,因为它不知道在何处连接了什么MAC,从而使攻击者可以查看交换机上的所有流量。某些病毒也可以做到这一点。

    Switch(config-if)# ip verify source vlan dhcp-snooping

但小心点!如果DHCP表没有与此端口的关联,则您刚刚停止了该端口的所有IP流量。建议在启用IP源防护以使其收集信息之前将DHCP侦听功能打开一天。

要应用MAC地址安全性,必须将其打开,然后配置适当的选项:

    !Set explicit access mode (dynamic or trunk ports can't have security)
    Switch(config-if)# switchport mode access

    !Enable port-security
    Switch(config-if)# switchport port-security

    !Specify how many MAC addresses can be used:
    Switch(config-if)# switchport port-security maximum 1

    !Action to take when a violation happens:
    Switch(config-if)# switchport port-security violation {restrict | shutdown}

违反限制不会禁用交换机端口,而是会导致交换机增加安全冲突计数器,并发送SNMP陷阱。这些选项是可配置的,您甚至可以指定发生违规时关闭端口多长时间。另一种不太动态的方法是将MAC地址绑定编程为静态。这将永远阻止其他任何MAC在端口上工作。

动态ARP检查

ARP检查使交换机可以丢弃IP地址与MAC地址绑定无效的ARP数据包,从而有效地阻止了常见的中间人攻击。 ARP中毒是一种策略,攻击者通常通过在攻击者声称是其他人的情况下广播ARP响应,将伪造的ARP数据包注入子网。

为了减少中毒,动态ARP检查(DAI)使用了我们的朋友DHCP侦听表。有很多选项,如果所有网络设备都不支持DAI,则必须小心启用它。最基本的配置是:

    Switch(config)# ip arp inspection vlan 1

中继端口需要被信任:

    Switch(config)# int range f1/1 - 4 , f2/24
    Switch(config-if)# ip arp inspection trust

您可以使用以下方式查看状态:

    Switch# show ip arp inspection ?

当然,不建议在生产环境中测试这些功能:如果配置错误或顺序混乱,它们中的许多功能都会产生严重的副作用。

本文最初于2005年1月21日发布
通过网络更新新闻获取最新消息