ToB企服应用市场:ToB评测及商务社交产业平台

标题: 5.2 SSH和交换机端口安全概述 [打印本页]
作者: 东湖之滨    时间: 2024-7-21 16:40
标题: 5.2 SSH和交换机端口安全概述
        交换机的安全是一个很重要的题目,因为它可能会遭受到一些恶意的攻击,例如MAC泛洪攻击、DHCP诱骗和耗竭攻击、中心人攻击、CDP 攻击和Telnet DoS 攻击等,为了防止交换机被攻击者探测或者控制,必须采取相应的步伐来确保交换机的安全性,常见的安全步伐包罗:配置访问密码、配置标语消息、远程管理利用SSHv2替代Telnet、禁用不必要的服务和应用、禁用未利用的端口、关闭SNMP或者利用SNMPv3、启用体系日记和实时安装最新的IOS软件等。部门安全步伐如配置访问密码和配置标语消息等在第3章已经讨论过
5.2.1 SSH简介

       接纳Telnet远程管理设备时对登录身份验证和通信设备之间传输的数据都接纳不安全的明文传输,不能有用防止远程管理过程中的信息走漏题目。SSH是Secure Shell(安全外壳)的简称,当用户通过一个不能保证安全的网络情况远程登录到设备时,SSH可以利用加密和验证功能提供安全保障,保护设备不受诸如IP地点欺诈、明文密码截取等攻击。SSH工作端口为TCP22端口。SSH目前包罗SSH1和SSH2两个版本,而且两个版本不兼容,通信两边通过协商确定利用的版本。为实现SSH的安全毗连,在整个通信过程中服务器端与客户端要经历版本号、密钥和算法、验证阶段协商以及会话请求和会话交互5个阶段,由于SSH版本2在数据加密和完整性验证方面更加强大,发起利用。
5.2.2 交换机端口安全简介

交换机依赖CAM表转发数据帧,当数据帧到达交换机端口时,交换机可以获得其源MAC地点并将其记载在CAM表中。如果CAM表中存在目的MAC地点条目,交换机将把帧转发到CAM表中指定的MAC地点所对应的端口。如果MAC地点在CAM表中不存在,则交换机将帧转发到除收到该帧端口外的每一个端口(即未知单播帧泛洪)。然而CAM表的巨细是有限的,MAC泛洪攻击正是利用这一限定,利用攻击工具以大量无效的源MAC地点发送给交换机,直到交换机CAM表被填满,这种使得交换机CAM表溢出的攻击称为MAC泛洪攻击。当CAM表被填满时,交换机将吸取到的流量泛洪到所有端口,因为它在自己的CAM表中找不到对应目的MAC地点的端标语,交换机实际上是起到雷同于集线器的作用
配置交换机端口安全特性可以防止MAC泛洪攻击。端口安全限定交换机端口上所允许的有用MAC地点的数量或者特定的MAC地点。端口安全工作方式重要有如下3种
  无论接纳以上哪种方式配置端口安全,当实验访问该端口的终端设备违规时,都可以通过如下三种模式之一进行惩罚。
                                               3种交换机接口安全惩罚模式比较
惩罚模式转发违规设备流量发出警告增长违规计数关闭端口
Protect
Restrict
Shutdown

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4