企業網絡安全涉及領域眾多,根據設備的不同,用途的差異,各種網絡安全技術層出不窮,但是網絡從交換機來說,首選需要保證交換機端口的安全。在不少企業中,員工可以隨意地使用集線器等設備連接辦公交換機,或者使用自己的筆記本電腦連接到企業的網路中,這類的情況會給企業的網絡安全帶來相當大的不利影響。本文針對以上情況,對交換機端口的常見安全威脅進行相關維護,并對相關措施做一總結。
一、常見的安全威脅
在企業中,威脅交換機端口的行為比較多。總結一下有如下情形:
(1)未經授權的用戶主機隨意連接到企業的網絡中。如員工自己筆記本,可以在不經管理員同意的情況下,拔下某臺主機的網線,插在自己帶來的筆記本,然后連入到企業的網絡中,這會帶來很大的安全隱患。
(2)未經采用同意安裝集線器HUB等網絡設備。有些員工為了增加網絡終端的數量,會在未經授權的情況下。將集線器、交換機等設備插入到辦公室的網絡接口上。如此的話,會導致這個網絡接口對應的交換機接口流量增加,從而導致網絡性能的下降。
(3)網絡管理員在日常工作中對于交換機端口的安全性不怎么重視,這是他們網絡安全管理中的一個盲區。
二、主要的應對措施
從以上的分析中可以看出,企業現在交換機端口的安全環境非常的薄弱。在這種情況下,僅僅靠管理上是不夠的,下面我重點介紹下如何利用技術應對以上情況。
(1)應對措施一:MAC地址與端口綁定。
最常用的對端口安全的理解就是可根據MAC地址來做對網絡流量的控制和管理,比如MAC地址與具體的端口綁定,MAC地址與端口綁定,當發現主機的MAC地址與交換機上指定的MAC地址不同時,交換機相應的端口將down掉。當給端口指定MAC地址時,端口模式必須為access或者Trunk狀態。Cisco IOS交換機端口安全功能支持以下幾種安全MAC地址類型:
Switch#config terminal #進入配置模式
Switch(config)# Interface fastethernet 0/1 #進入具體端口配置模式
Switch(config-if)#Switchport port-secruity #配置端口安全模式
以上命令設置交換機上某個端口綁定一個具體的MAC地址,這樣只有這個主機可以使用網絡,如果對該主機的網卡進行了更換或者其他PC機想通過這個端口使用網絡都不可用。
(2)應對措施二:根據MAC地址允許流量的配置
一個安全端口默認有一個安全MAC地址,這個默認值在1~3000之間。當在一個端口上設置最大安全MAC數后,可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址;也可通過port-security mac-address VLAN范圍配置命令在中繼端口上一個范圍VLAN中配置所有安全MAC地址,以允許端口用所連接設備的MAC地址動態配置安全MAC地址。
Switch #conf t
Switch (config)#int f0/1
Switch (config-if)#switchport trunk encapsulation dot1q
Switch (config-if)#switchport mode trunk /配置端口模式為TRUNK。
Switch (config-if)#switchport port-security maximum 50 /允許此端口通過的最大MAC地址數目為50。
Switch (config-if)#switchport port-security violation protect /當主機MAC地址數目超過50時,交換機繼續工作,但來自新的主機的數據幀將丟失。
(3)應對措施三:啟用網絡身份認證功能
Switch#conf t
Switch(config)#aaa new-model /啟用AAA認證。
Switch(config)#aaa authentication dot1x default local /全局啟用802.1X協議認證,并使用本地用戶名與密碼。
Switch(config)#int range f0/1 -24
Switch(config-if-range)#dot1x port-control auto /在所有的接口上啟用802.1X身份驗證。
三、應用后的效果分析
經過上述的一系列的技術配置,通過實地測試,基本解決了私接設備、隨意擴交換機的問題。但是在實際應用中,發現了一些問題,以上策略太過于死板,一點執行shutdown后,員工不能上網,如果企業規模較大,容易導致網絡管理員頻繁去修改交換機的端口狀態,針對這種情況,我們可以采用一下恢復策略,智能的處理違規情況。
(1)關閉(Shutdown):發生安全違例事件時,端口立即呈現錯誤狀態,關閉端口。同時也會發送一個SNMP捕獲消息并記錄系統日志,違例計數器增加1。
(2)禁止VLAN(Shutdown VLAN):適用于VLAN的安全違例模式。在這種模式下,在發生安全違者罰款例事件時,該端口對應的VLAN都將呈錯誤禁止狀態,關閉對應VLAN,而不關閉對應的端口。
(3)保護:當安全MAC地址數超過端口上配置的最大安全MAC地址數時,未知源MAC地址的包將被丟棄,直到MAC地址表中的安全MAC地址數降到所配置的最大安全MAC地址數以內,或者增加最大安全MAC地址數。而且這種行為沒有安全違例行為發生通知。
(4) 限制:在安全MAC地址數達到端口上配置的最大安全MAC地址數時,未知源MAC地址的包將被丟棄,直到MAC地址表中的安全MAC地址數降到所配置的最大安全MAC地址數以內,或者增加最大安全MAC地址數。
四、結論
以上介紹的幾種方法,各有各的特點。在可操作性上與安全性上各有不同。網絡管理員需要根據自己公司網絡的規模、對于安全性的要求等各個方面的因素來選擇采用的方案。總之,在網絡安全逐漸成為管理員心頭大患的今天。交換機的端口安全必須引起大家的關注。
京公網安備 11010502049343號