OSI 第二层网络架构安全要素 ( 上 ) 许多安全管理员多关注网络层和应用层的安全问题, 经常会忽略 Layer 2 网络架构 ( 数据链路层 ), 同时这也是网络安全和可靠性方面最容易被人忽视的一个方面 在本文中, 我会向你展示如何修正交换机配置以及架构方面最常见的错误 虽然我使用 Cisco 来作为我的例子, 但是同样的策略和所讨论的教训一样适用于其他厂商 这些安全手续对任何数据网络来说都是必须的, 特别是在使用 IP 电话的时候 启用 SSh, 禁止 Telnet 对于一台 Cisco 设备来说, 最明显需要设置的就是口令和启用加密了 如果你让它保持空白的话, 你的交换机就等于是在敞开大门, 任何人都可以查看并攻击你的 VLAN 设置 如果你有多台交换机, 以及多位系统管理员时, 最好使用 AAA 认证模式, 并使用一个本地用户数据库, 集中的 TACACS+, 或者 RADIUS 服务器来管理所有的交换机和系统管理员 使用 TACACS+ 可能是更正确的选择, 因为它可以记录下所有的事件, 以便你有一个历史记录, 可以记录下所有做出的修改, 以及是谁在你的交换机和路由器架构中做出了修改 不过要记住, 最重要的事情是, 不惜任何代价禁止 Telnet, 并持续的对所有交换机部署 SSH 即便你的交换机上并没有一个启用加密的软件镜像, 所有的当前镜像也依然可以让你 SSH 进交换机 为每一个系统管理员都建立一个独一无二的用户名以及口令 然后, 你应当启用 SSH, 并干掉 Telnet. 在 Cisco Native IOS 上启用 SSH, 禁止 Telnet username admin1 privilege 15 password 0 Admin-Password 建立一个叫做 admin1 的系统管理员, 每一个管理都必须重复 aaa new-model aaa authentication login default local aaa authorization exec default local 使用一个本地数据库, 设置为 AAA 模式 aaa authorization network default local aaa session-id common ip domain name MyDomain.com crypto key generate rsa line vty 0 4 建立一个用于认证的名字 建立数字证书 使用至少 768 位的 Diffie-Hellman 关键字 进入 vty 配置 Page 1 of 6
transport input ssh 仅仅允许 SSH 登录 在 Cisco Catalyst OS 上启用 SSH, 禁止 Telnet set crypto key rsa 1024 set ip permit 10.0.10.0 255.255.255.0 ssh set ip enable 生成一个 1024 位的 RSA key 明确仅允许指定 IP 范围内的地址 SSH 要注意, 对 Cisco Native IOS 交换机来说,Native IOS 同样可以工作在 Cisco IOS 路由器 上 无法使用 SSH 可能会导致口令被窃, 并让攻击者获得对交换架构完全的控制权 锁闭 VTP 及 SNMP 的安全 这听起来很难令人相信, 但是在我当顾问的日子里, 我看到过大量的网络根本不曾在他们的 Cisco 交换机中配置 VTP 域口令 如果你把它以默认值丢在那里的话, 那么你就相当于拱手交出了国门的钥匙, 并将你的整个交换机架构公布在了网页上, 任何人都可以看到它 在 config t 的全局配置模式中使用下述, 或者在较老的 Cisco 软件镜像中使用 vlan data 的 VLAN 数据库模式, 来锁闭你的 VTP 配置 务必确认使用你自己的字符串以及 IP 地址, 来取代示例中的相关参数 在 Cisco Native IOS 上配置 VTP vtp domain My-VTP-name vtp password My-VTP-password vtp pruning 设置 VTP 名字设置 VTP 口令打开 VTP 修剪 在 Cisco Catalyst OS 上配置 VTP set vtp domain My-VTP-name set vtp passwd My-VTP-password set vtp pruning enable 设置 VTP 名字设置 VTP 口令打开 VTP 修剪 你同样也应当设置你的 SNMP(SNMP 版本 3 更合适 ) 秘密, 这些是有效的口令 检查此文档, 以获取对 Cisco SNMP 管理的完全指南 下面是个示例, 用于演示如何使用正确的口令, 在 config t 的全局配置模式下, 配置一个 SNMP 只读及读写的服务器 Page 2 of 6
为 Cisco Native IOS 配置 SNMP snmp-server MY-Read-Only-string ro 50 snmp-server MY-Read-Write-string rw 51 community community 对来自 ACL 50 的 SNMP 请求设置只读字串 对来自 ACL 51 的 SNMP 请求设置读写字串 access-list 50 permit IP-address-ro 建立只读 SNMP 服务器 ACL 允许多于一个 access-list 51 permit IP-address-rw 建立读写 SNMP 服务器 ACL 允许多于一个 为 Cisco Catalyst OS 配置 SNMP set snmp community read-only read-only-string set snmp community read-write read-write-string set snmp community read-write-all rwo-string 设置只读字串设置读写字串设置全部读写字串 如果你根本不打算使用 SNMP, 你应当在 Native IOS 之中, 在全局配置模式下, 使用 no snmp-server 将其彻底关闭 这样你就可以跳过前述的所有 SNMP, 直接阅读下文 基本端口锁闭 交换机应当像安全领域中的其他事物一样, 使用那种最低权限的理念 设置一个交换机的最好方法就是在部署时先关闭所有的端口, 然后再一一打开自己需要的端口 除此以外, 你应当将每一个端口都放入一个不曾使用的, 无处可去, 没有默认网关的 VLAN 之中 你可以建立一个名为 unused( 不曾使用 ) 的 VLAN, 并使用一个指定的数字, 比如 333, 然后将所有的端口都放入这个 VLAN 之中 在下面的例子里, 我们将使用一台基于传统 CIsco IOS 的 48 口交换机 在 Cisco Native IOS 上的基础端口锁闭 int range FastEthernet0/1-48 进入接口 1-48 switchport access vlan 333 设置端口到 VLAN 333 switchport mode access 关闭自动 VLAN 中继 Page 3 of 6
shut 关闭端口 在 Cisco Catalyst OS 上的基础端口锁闭 set vlan 333 1/1-2 设置 sup 卡端口到 VLAN 333 set vlan 333 3/1-48 设置所有 blade 3 端口到 VLAN 333 set trunk 1/1-2 off set trunk 3/1-48 off set port disable 1/1-2 set port disable 3/1-48 禁止所有 SUP 卡端口的中继禁止在所有 blade 3 端口上的中继关闭所有 Blade 1 上的全部端口关闭所有 Blade 3 上的全部端口 对所有交换机上的 blade 以及端口都需要重复 "set vlan/trunk/port" 你将需要为所有的交换机进行上述工作, 具体则要根据机器的型号和操作系统类型来定 如果你是在使用某种堆叠, 你将不得不为每个堆叠都坐上一次 然后, 当你插入服务器时, 你 不关上 该端口, 并将其设置到正确的 VLAN 上, 或者甚至将其转化成一个中继端口 ( 如果的确需要的话 ) 当你将 VLAN 设置到服务器和工作站上是, 永远也不要使用 VLAN1, 这是默认的交换机上的自然 VLAN, 也不要使用你人工指派的 VLAN 数字 不在服务器, 工作站, 或者其他设备上使用 native VLAN 将可以有效阻挡频繁的 VLAN 攻击 如果你不进行这个基础锁闭进程的话, 那么在 VLAN1 上, 所有的交换机端口默认都是打开的 而这正是许多人当前使用交换机的方式, 多么恐怖的一个错误! 当你检查每一个端口, 并连上新设备时, 你应当在 Cisco IOS 中使用 description My-Port-Name, 来对每一个端口正确标示 Cisco Catalyst OS 使用 set port name 3/43 My-Port-Name 来标示端口 这一点在 SNMP 向类似 Solarwinds 或者 HP OpenView 这样的服务器报告时特别有用, 因为在报告中将直接给出端口 这是最好的文档形式, 因为它们的确有用 那些不曾使用这个基本端口锁闭进程的人们, 则相当于允许任何人闯入他们的交换机网络, 并连上任何一个他们喜欢的 VLAN VLAN 中继锁闭 无论何时, 当在任意端口上使用 VLAN 中继时, 该中继端口应当最小化 VLAN 数目, 仅保留那些需要穿越交换机的 VLAN 在下述例子中, 我们将配置一个中继端口, 仅允许 VLAN 12-14 以及 20-22 Cisco Native IOS 上的 VLAN 中继锁闭 Page 4 of 6
interface GigabitEthernet1/0/2 在 Cisco 3750 上进入第二个 gigabit 端口 switchport mode trunk 打开中继模式 Switchport trunk encapsulation dot1q 设置中继类型为 IEEE 802.1q switchport trunk allow 12-14, 20-22 仅允许 Vlan 12-14 以及 20-22 Cisco Catalyst OS 上的 VLAN 中继锁闭 Clear trunk 1/1-2 1-1005 设置 sup 卡端口到 VLAN 333 Clear trunk 3/1-48 1-1005 在所有 SUP 卡端口上禁止中继 为每一个 blade 以及每一个端口重复 "clear trunk" Set trunk 1/2 12-14 设置端口 1/2 允许 vlan 12-14 Set trunk 1/2 20-22 设置端口 1/2 允许 vlan 20-22 要注意, 在一个 Catalyst os 上, 清除默认允许的 VLAN 中继将意味着非常大量的工作, 因为默认状态下, 所有的 VLAN 都是打开的 在这种情况下, 事实上我们在 Catalyst os 上所定义的 VLAN 12-14 以及 20-22 将没有任何意义, 因为它只不过是更大的 1-1005 中的一部分, 而后者默认全部是打开的 而在 Cisco Native IOS 上, 每一个 VLAN 默认都是被阻挡的, 除非特别定义其打开 如果在锁闭一个中继上允许的 VLAN 方面失败的话, 将意味着所连接的设备可能会连上 的 VLAN 数目, 将会远远超过你的期望 STP BPDU 以及 Root 防护 通过发送 BPDU 通讯, 黑客们可以玩出所有的下流把戏, 而 BPDU 可以迫使 VLAN STP ( 展开树协议 ) 重新计算, 至少花费 30 秒才可以清除 这样他们就可以不定期的发动 DoS 攻击 ( 拒绝服务 ) 他们也可以装作是 STP root 而染指相关通讯 BPDU 防护以及 root 防护可以阻止这种类型的攻击 Cisco Native IOS 上的 STP BPDU 以及 Root 防护 Page 5 of 6
spanning-tree portfast bpduguard 在交换机上打开 BPDU 防护 spanning-tree guard root 在交换机上开启 Root guard spanning-tree rootguard 某些 IOS 版本上使用的另一个 root guard Cisco Catalyst OS 上的 STP BPDU 以及 Root 防护 set spantree portfast bpdu-guard enable set spantree guard root 1/1-2 set spantree guard root 3/1-48 在交换机上开启 BPDU 防护在 blade 1 开启 root guard 在 blade 3 开启 root guard 为每一台 blade 以及每一个端口重复 "set spantree guard root" 注意, 你必须禁止所有连接其他交换机的端口上的 root 防护以及 BPDU 防护 如果这个安全功能部署失败的话, 将允许黑客们针对整个交换结构发动 BPDU 拒绝服务攻击, 并可能截取交换机通讯 原文地址 :http://articles.techrepublic.com.com/5100-1009_11-6154589.html?tag=sc Page 6 of 6