计算机网络中的端口安全
当攻击者可以进入他们想要攻击的网络时,他们的任务就比较容易了。以太网 LAN 非常容易受到攻击,因为交换机端口默认情况下是开放使用的。可以发生各种攻击,例如第 2 层的 Dos 攻击、地址欺骗。如果管理员可以控制网络,那么显然网络是安全的。要完全控制交换机端口,用户可以使用称为端口安全的功能。如果以某种方式阻止未经授权的用户使用这些端口,那么第 2 层的安全性将大大提高。
用户可以通过两个步骤保护端口:
- 将 MAC 地址的数量限制为单个交换机端口,即如果超过限制,则从单个端口获知 Mac 地址,然后将采取适当的措施。
- 如果观察到未经授权的访问,则应使用任何选项丢弃流量,或者更恰当地说,用户应生成日志消息,以便可以轻松观察到未经授权的访问。
港口安全——
当帧通过交换机端口转发时,交换机会学习 MAC 地址。通过使用端口安全,用户可以限制可以学习到端口的 MAC 地址数量,设置静态 MAC 地址,并在该端口被未经授权的用户使用时设置惩罚。用户可以使用限制、关闭或保护端口安全命令。
让我们讨论一下这些违规模式:
- 保护 -此模式丢弃具有未知源 MAC 地址的数据包,直到您删除足够的安全 MAC 地址以低于最大值。
- 限制 -此模式执行与保护相同的函数,即丢弃数据包,直到删除足够的安全 MAC 地址以降至最大值以下。除此之外,它还会生成一条日志消息,增加计数器值,并且还会发送一个 SNMP 陷阱。
- 关闭 -与其他模式相比,此模式最受青睐,因为如果完成未经授权的访问,它会立即关闭端口。它还将生成日志、增加计数器值并发送 SNMP 陷阱。该端口将保持关闭状态,直到管理员执行“no shutdown”命令。
- Sticky –这不是违规模式。通过使用 sticky 命令,用户无需键入绝对 Mac 地址即可提供静态 Mac 地址安全性。例如,如果用户提供的最大限制为 2,则在该端口上学习的前 2 个 Mac 地址将被放置在运行配置中。在第二个获知的 Mac 地址之后,如果第三个用户想要访问,那么将根据应用的违规模式采取适当的措施。
注意 –端口安全仅对接入端口起作用,即启用端口安全,用户首先必须使其成为接入端口。
配置 -
在交换机的 fa0/1 接口上应用 port-security。首先,将端口转换为接入端口,然后启用 port-security。
S1(config)#int fa0/1
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
使用粘滞命令,以便动态学习 Mac 地址并提供限制和应采取的适当措施。
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security
maximum 2
S1(config-if)#switchport port-security violation shutdown
如果用户想要提供静态条目,则通过启动其 Mac 地址进行配置。
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security violation shutdown
S1(config-if)#switchport port-security mac-address aa.bb.cc.dd.ee.ff