思科交换机安全做 802.1X、port-security案例

思科交换机安全做 802.1X 、 port-security 案例

思科交换机安全做 802.1X 、 port-security 案例交换机安全 802.1X 、 port-security 、 DHCP SNOOP 、 DAI 、 V ACL 、 SPAN RSPAN
            
            
            
                                                                                                                         端口 和 MAC 绑定： port-security
                         基于 DHCP 的端口和 IP,MAC 绑定： ip source guard
                         基于 DHCP 的防止 ARP 攻击： DAI
                         防止 DHCP 攻击： DHCP Snooping
                        cisco 所有 局域网 缓解技术都在这里了！
                         常用的方式：
                        1 、 802.1X ，端口认证， dot1x ，也称为 IBNS( 注： IBNS 包括 port-security) ：基于身份的 网络安全 ； 很多名字，有些烦
                         当流量来到某个端口，需要和 ACS 交互，认证之后得到授权，才可以 访问 网络，前提是 CLIENT 必须支持 802.1X 方式，如安装某个 软件
                        Extensible Authentication Protocol Over Lan(EAPOL)    使用这个协议来传递认证授权信息
                         示例配置：
                        Router#configure terminal
                        Router(config)#aaa new-model
                        Router(config)#aaa authentication dot1x default group radius
                        Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey
                        Router(config)#dot1x system-auth-control 起用 DOT1X 功能
                        Router(config)#inte**ce fa0/0
                        Router(config-if)#dot1x port-control auto

以下内容需要回复才能看到

AUTO 是常用的方式，正常的通过认证和授权过程
                         强制授权方式：不通过认证，总是可用 状态
                         强制不授权方式：实质上类似关闭了该 接口 ，总是不可用
                         可选配置：
                        Switch(config)#inte**ce fa0/3
                        Switch(config-if)#dot1x reauthentication
                        Switch(config-if)#dot1x timeout reauth-period 7200
                        2 小时后重新认证
                        Switch#dot1x re-authenticate inte**ce fa0/3
                         现在重新认证，注意：如果会话已经建立，此方式不断开会话
                        Switch#dot1x initialize inte**ce fa0/3
                         初始化认证，此时断开会话
                        Switch(config)#inte**ce fa0/3
                        Switch(config-if)#dot1x timeout quiet-period 45
                        45 秒之后才能发起下一次认证请求
                        Switch(config)#inte**ce fa0/3
                        Switch(config-if)#dot1x timeout tx-period 90 默认是 30S
                        Switch(config-if)#dot1x max-req count 4
                         客户端需要输入认证信息，通过该端口应答 AAA 服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息， 30S 发一次，共 4 次
                        Switch#configure terminal
                        Switch(config)#inte**ce fastethernet0/3
                        Switch(config-if)#dot1x port-control auto
                        Switch(config-if)#dot1x host-mode multi-host
                         默认是一个主机，当使用多个主机模式，必须使用 AUTO 方式授权，当一个主机成功授权，其他主机都可以访问网络；
                         当授权失败，例如重认证失败或 LOG OFF ，所有主机都不可以使用该端口
                        Switch#configure terminal
                        Switch(config)#dot1x guest-vlan supplicant
                        Switch(config)#inte**ce fa0/3
                        Switch(config-if)#dot1x guest-vlan 2
                         未得到授权的进入 VLAN 2 ，提供了灵活性
                         注意： 1 、 VLAN2 必须是在本交换机激活的，计划分配给游客使用； 2 、 VLAN2 信息不会被 VTP 传递出去
                        Switch(config)#inte**ce fa0/3
                        Switch(config-if)#dot1x default
                         回到默认 设置
                        show dot1x [all] | [inte**ce inte**ce-id] | [statistics inte**ce inte**ce-id] [{ | begin | exclude | include} expression]
                        Switch#sho dot1x all
                        Dot1x Info for inte**ce FastEthernet0/3
                        ----------------------------------------------------
                        Supplicant MAC 0040.4513.075b
                        AuthSM State = AUTHENTICATED
                        BendSM State = IDLE
                        PortStatus = AUTHORIZED
                        MaxReq = 2
                        HostMode = Single
                        Port Control = Auto
                        QuietPeriod = 60 Seconds
                        Re-authentication = Enabled
                        ReAuthPeriod = 120 Seconds
                         Server Timeout = 30 Seconds
                        SuppTimeout = 30 Seconds
                        TxPeriod = 30 Seconds
                        Guest-Vlan = 0debug dot1x {errors | events | packet s | registry | state-machine | all}



2 、端口安全， 解决 CAM 表溢出攻击（有种 MACOF 的 工具 ，每分钟可以产生 155000 个 MAC 地址 ，去轰击 CAM 表，从而使合法主机的要求都必须被 FLOOD ）
                         示例配置：
                        Switch#configure terminal
                        Switch(config)#inte**ce fastethernet0/0
                        Switch(config-if)#switchport mode access
                        Switch(config-if)#switchport port-security
                        Switch(config-if)#switchport port-security maximum 20 这里默认是 1
                        Switch(config-if)#switchport port-security mac-address sticky
                         保存学习到的地址到 RUN CONFIG 文件中，避免手动配置的 麻烦 ，并省去动态学习所消耗的资源
                        switchport port-security violation {protect | restrict | shutdown}
                         三个参数解释：
                         保护：当达到某个设定的 MAC 数量，后来的未知 MAC 不再解析，直接丢弃，且不产生通知
                        ** ：当达到某个设定的 MAC 数量，后来的未知 MAC 不再解析，直接丢弃，产生通知，如 SNMP TRAP 、 SYSLOG 信息，并增加违反记数；这里有个问题，恶意攻击会产生大量的类似信息，给网络带来不利。
                         关闭：当达到某个设定的 MAC 数量，后来的未知 MAC 不再解析，直接关闭该端口，除非手动开启，或改变端口安全策略
                         端口安全需要全部手动配置，增加工作量，下面的两种方式
                        DHCP SNOOP
                         如网吧的 管理 员使用 DHCP 分配地址的时候执行 IP 和 MAC 地址的 **
                        Switch#configure terminal
                        Switch(config)#ip dhcp snooping
                        Switch(config)#ip dhcp snooping vlan 34
                        Switch(config)#ip dhcp snooping information option
                        Switch(config)#inte**ce fa0/0 连接 DHCP 服务器的接口
                        Switch(config-if)#ip dhcp snooping limit rate 70
                        Switch(config-if)#ip dhcp snooping trust 指定该接口为信任接口，将获得 DHCP 服务器所分配的地址，
                         其他接口所发生的 DHCP 行为将被否决
                        DAI
                         动态 ARP 审查，调用 ACL 和 DHCP SNOOP 的 IP-TO-MAC 数据 库
                        Switch#configure terminal
                        Switch(config)#ip arp inspection filter 这里调用 ACL 注意，只能调用 ARP ACL ，该 ACL 优先与 IP-TO-MAC 表被审查，
                         也就是说，即使有绑定项存在，如果被 ARP-ACL 拒绝，也不能通过
                        Switch(config)#ip arp inspection vlan 34
                        Switch(config)#inte**ce fa0/0
                        Switch(config-if)#ip arp inspection trust 连接到 DHCP 服务器的接口，调用该接口上的 DHCP SNOOP 的 IP-TO-MAC 表，
                         默认连接到主机的接口都是不信任的接口
                        Switch(config-if)#ip arp inspection limit rate 20 burst interval 2
                         不信任接口 ** 为每秒 14 个 ARP 请求，信任接口默认不受 ** ，这里修改为每秒 20
                        Switch(config-if)#exit
                        Switch(config)#ip arp inspection log-buffer entries 64 记录拒绝信息 64 条
                         注意： DHCP SNOOP 只提供 IP-TO-MAC 绑定表，本身不参与流量策略，只是防止 DHCP 欺骗，而对任何 IP 和 MAC 欺骗
                         是没有能力阻止的，但是它提供这样一张表给 DAI 调用，以防止 MAC 欺骗。
                        ip arp-inspection 仅仅对违规的 ARP 包进行过滤，不对 IP 包和其他包起作用。
                        ip source verify 会对绑定接口的 IP 或者 IP+MAC 进行 **
                        
                        3 、 VACL
                        Configuring VACLs for Catalyst 6500 Traffic Capture
                        Router(Config)# access-list 110 permit tcp any 172.12.31.0.0.0.0.255 eq 80
                        Router(config)# vlan access-map my_map
                        Router(config-access-map)# match ip address 110
                        Router(config-access-map)# action forward capture
                        Router(config)# vlan filter my_map 10-12,15
                        Router(config)# inte**ce fa 5/7
                        Router(config-if) switchport capture allowed vlan 10-12, 15