精华推荐
云端运维大师自动化
Golang与微服务框架
管理层必备技能-精
网络规划师必备!千
锐捷交换机 防火墙
轻松实战系统集成项
|
2642| 30
|
[安全Sec] 思科交换机-二层攻击介绍以及防范方法
[复制链接]
|
|
思科交换机-二层攻击介绍以及防范方法
节选:以上所提到的攻击和欺骗行为主要来自网络的第二层。 在网络实际环境中,其来源可概括为两个途径:人为实施,病毒或 蠕虫。 人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获 取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃 取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安 全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻 击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二 层生成树环路、网络瘫痪等现象。 网络第二层的攻击是网络安全攻击者最容易实施,也是最不容 易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密 码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户 都能获取一个以太网端口的访问权限,这些用户都有可能成为黑 客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解 情况下也能进行工作,所以第二层的安全就变得至关重要。如果这 一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间 的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应 用层的信息安全。 所以,仅仅基于认证(如IEEE 802.1x)和访问控制列表(ACL, Access Control Lists)的安全措施是无法防止本文中提到的来自 网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意,并 可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具 已经非常成熟和易用。 这些攻击都来自于网络的第二层,主要包括以下几种: MAC地址泛洪攻击 DHCP服务器欺骗攻击 ARP欺骗 IP/MAC地址欺骗 Cisco Catalyst 智能交换系列的创新特性针对这类攻击提供 了全面的解决方案,将发生在网络第二层的攻击阻止在通往内部网 的第一入口处,主要基于下面的几个关键的技术。 Port Security DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard 下面主要针对目前这些非常典型的二层攻击和欺骗说明如何 在思科交换机上组合运用和部署上述技术,从而防止在交换环境中 的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更 具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户 IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有 地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
购买主题
本主题需向作者支付 1 金币 才能浏览
| |
相关帖子
|
|
发表于 2014-1-19 16:39:09
| ||
发表于 2014-1-19 16:41:33
| ||
| ||
| ||
| ||
| ||
| ||
| ||
| ||
