网络交换机配置常见命令
网络交换机配置常见命令--多年从事网络安全个人经验分享
中国馆交换机安全审计规范1
1交换机配置的安全2
1.1口令的安全性2
1.2口令加密服务2
1.3权限分级策略3
1.4VTY的访问控制3
1.5配置端口的超时4
1.6VTP协议加密5
1.7路由协议加密5
1.8限制路由协议泛洪6
2交换机网络服务安全配置7
2.1CDP协议7
2.2HTTP服务7
2.3BOOTP服务8
2.4SNMP配置安全9
2.5Figner服务10
2.6IP源路由10
3日志及信息管理11
3.1启用日志服务器11
3.2Banner信息12
4交换机接口安全12
4.1ProxyARP12
4.2IPRedirects13
4.3关闭IPUnreachableMessages14
4.4配置Portfast和BPDUGuard14
4.5配置端口安全15
4.6配置DHCP监听16
4.7配置ARP防护17
4.8配置IPSourceGuard19
4.9关闭未使用接口20
5控制层面安全管理20
5.1COPP(ControlPlaneProtection)20
1交换机配置的安全
1.1口令的安全性
Ø风险级别
高
Ø风险描述
攻击者可能利用暴力猜解口令登录交换机。
Ø检查方法
询问交换机管理人员口令长度与复杂度。
Ø推荐值
口令长度应大于8位,且应由数字、字母、符号,三者相混合。
Ø加固方法
在特权模式下使用enablesecret命令更改口令。
Ø注意事项
无
1.2口令加密服务
Ø风险级别
高
Ø风险描述
未使用口令加密服务会对所有具有查看配置的用户暴露除secret口令以外的任何口令。
Ø检查方法
使用showrun命令查看配置文件,是否存在servicepassword-encryption字段。
Ø推荐值
使用口令加密服务。
Ø加固方法
在特权模式下,使用servicepassword-encryption命令开启口令加密服务。
Ø注意事项
无。
1.3权限分级策略
Ø风险级别
底
Ø风险描述
单用户的登陆配置方式可能会对口令和用户的管理带来不便。
Ø检查方法
使用showrun命令,查看是否建立了不同权限的配置用户。
Ø推荐值
对不同角色,如:日志审计员、网络管理员等,建立不同权限的用户。
Ø加固方法
在ACS上,建立不同权限的用户。
Ø注意事项
需要网络管理员根据实际情况进行添加。
1.4VTY的访问控制
Ø风险级别
中
Ø风险描述
非授权的配置地址来源会访问到交换机,为恶意的攻击者提供了暴力猜解口令机会。
Ø检查方法
使用showrun命令,查看是否建立了相应的ACL列表如:access-list101permitip172.16.8.00.0.0.255192.168.2.2540.0.0.0log,以及是否在VTY端口上应用,如:access-class101in。
Ø推荐值
设定特定的IP地址访问交换机。
Ø加固方法
在特权模式下使用access-list101permitip172.16.8.00.0.0.255192.168.2.2540.0.0.0log命令设定授权IP地址的访问控制策略,进入VTY接口,使用access-class101in命令应用该策略。
Ø注意事项
需要网络管理员确定授权的IP地址,且该IP地址可以访问交换机。
1.5配置端口的超时
Ø风险级别
高
Ø风险描述
管理员的疏忽可能会造成非授权者查看或修改交换机配置。
Ø检查方法
使用showrun命令,查看con、vty、AUX端口是否配置了超时,如:exec-timeout50。
Ø推荐值
设置超时不大于5分钟。
Ø加固方法
分别进入con端口、VTY端口、AUX端口,使用exec-timeout50命令配置端口超时。
Ø注意事项
无
1.6VTP协议加密
Ø风险级别
高
Ø风险描述
可以让攻击者通过VTP协议学习到网络VLAN,从而进行二层网络攻击。
Ø检查方法
使用showvtppassword检查密码是否配置。
Ø推荐值
口令长度应大于8位,且应由数字、字母、符号,三者相混合。
Ø加固方法
全局模式下
vtppasswordxxxxxxx。
Ø注意事项
无
1.7路由协议加密
Ø风险级别
高
Ø风险描述
攻击者可以利用OSPF路由协议自动协商邻居的特性学习到整网拓扑。
Ø检查方法
使用showrun检查OSPF相关配置。
Ø推荐值
口令长度应大于8位,且应由数字、字母、符号,三者相混合。
Ø加固方法
全局模式下
routerospf100
area0authenticationmessage-digest
接口模式下
ipospfmessage-digest-key1md5xxxxxxxx
Ø注意事项
无
1.8限制路由协议泛洪
Ø风险级别
高
Ø风险描述
攻击者可以利用OSPF路由协议自动协商邻居的特性学习到整网拓扑。
Ø检查方法
使用showruninterfacevlanxxx检查。
Ø推荐值
关闭网关接口泛洪LSA的特性。
Ø加固方法
接口模式下
ipospfdatabase-filterallout
Ø注意事项
仅在网关接口配置。
2交换机网络服务安全配置
2.1CDP协议
Ø风险级别
底
Ø风险描述
蓄意攻击者可能通过截取CDP包分析交换机的相关信息。
Ø检查方法
使用showcdprun命令查看CDP协议的开启情况。
Ø推荐值
不使用CDP协议,如无法避免则应指定端口发布CDP包。
Ø加固方法
在接口模式下
nocdpenable
Ø注意事项
仅在接入层交换机access接口下配置。
2.2HTTP服务
Ø风险级别
高
Ø风险描述
恶意攻击者可以利用交换机开启的HTTP服务发起攻击从而影响交换机性能。
Ø检查方法
使用showrun命令,查看配置中相应的httpserver字段。
Ø推荐值
关闭http服务。
Ø加固方法
在特权模式下
noiphttpserver
Ø注意事项
无
2.3BOOTP服务
Ø风险级别
中
Ø风险描述
恶意攻击者可以利用该服务发起DDOS攻击。
Ø检查方法
使用showrun命令,查看配置中相应的BOOTP字段。
Ø推荐值
关闭BOOTP服务。
Ø加固方法
在特权模式下
noipbootpserver
Ø注意事项
无
2.4SNMP配置安全
Ø风险级别
高
Ø风险描述
恶意攻击者可以利用默认的SNMP通信字截获交换机管理信息,甚至可以通过SNMP管理破坏交换机配置。
Ø检查方法
使用showrun命令,查看配置中相应的snmp字段。
Ø推荐值
修改默认的public、private通信字。
Ø加固方法
在特权模式下使用命令snmp-servercommunityXXXro命令设定只读通信字,使用snmp-servercommunityXXXrw命令设定读写通信字。
Ø注意事项
相关使用SNMP的网管软件或安全监控平台通信字需一并进行修改。
2.5Figner服务
Ø风险级别
中
Ø风险描述
UNIX用户查找服务,允许远程列出系统用户的信息,有助于帮助攻击者收集用户信息,建议关闭。
Ø检查方法
使用showrun命令,查看配置中相应的Figner字段。
Ø推荐值
关闭Figner服务。
Ø加固方法
在特权模式下
noipfinger
noservicefinger
Ø注意事项
无
2.6IP源路由
Ø风险级别
中
Ø风险描述
IPsourcerouting功能的开启允许数据包本身指定传输路径,对攻击者来说好的特性,攻击者可以通过该功能跳跃NAT设备,进入内网。
Ø检查方法
使用showrun命令,查看配置中相应的字段。
Ø推荐值
关闭IP源路由。
Ø加固方法
在特权模式下
noipsource-route
Ø注意事项
仅三层设备上配置
3日志及信息管理
3.1启用日志服务器
Ø风险级别
低
Ø风险描述
没有审计日志可能会对网络的监控,突发事件的处理带来不便。
Ø检查方法
使用showrun命令查看配置文件中的logging字段。
Ø推荐值
开启交换机日志审计,并且设定日志服务器。
Ø加固方法
在特权模式下使用loggingon、loggfacilitylocal6命令开启审计日志功能,使用loggX.X.X.X命令指定日志服务器和CiscoWorks。
Ø注意事项
首先需要在系统内建立日志服务器和CiscoWorks。
3.2Banner信息
Ø风险级别
低
Ø风险描述
带有敏感信息的banner可能会给蓄意攻击者提供交换机信息。
Ø检查方法
使用showrun命令查看banner信息。
Ø推荐值
不显示交换机的信息,如:交换机型号、软件、所有者等。
Ø加固方法
在特权模式下使用banner命令设定信息。
Ø注意事项
无。
4交换机接口安全
4.1ProxyARP
Ø风险级别
中
Ø风险描述
三层网关作为第二层地址解析的代理,代理ARP功能如果使用不当会对网络造成影响。
Ø检查方法
使用showruninterfacevlanXXX命令查看。
Ø推荐值
关闭ProxyARP
Ø加固方法
在接口模式下
noipproxy-arp
Ø注意事项
配置在各汇聚层交换机上,仅在用户网关上关闭ProxyARP服务。
4.2IPRedirects
Ø风险级别
中
Ø风险描述
三层设备会对特定的包发送ICMPREDIRECTMESSAGE,对攻击者来说,有助于了解网络拓扑,对非可信的网络关闭。
Ø检查方法
使用showruninterfacevlanxxx命令查看。
Ø推荐值
关闭ipredirects。
Ø加固方法
在接口模式下
noipredirects
Ø注意事项
配置在各汇聚层交换机上,仅在用户网关上关闭ipredirects服务。
4.3关闭IPUnreachableMessages
Ø风险级别
中
Ø风险描述
如果发送者的目标地址不可达,三层设备会通告原因给发送方,对于攻击者来说,可以了解网络信息,并且利用该特性发出的大量的错误目地包,将会导致交换机CPU利用率升高,对交换机进行DOS攻击。
Ø检查方法
使用showruninterfacevlanXXX命令查看。
Ø推荐值
关闭ipunreachables
Ø加固方法
在接口模式下
noipunreachables
Ø注意事项
配置在各汇聚层交换机上,仅在用户网关上关闭ipunreachables服务。
4.4配置Portfast和BPDUGuard
Ø风险级别
高
Ø功能描述
在交换机的配置中,对连接主机的端口应该启用spanning-tressportfast和portfastbpduguard功能。启用portfast功能后,端口的状态会从blocking直接进入到forwarding,能够大大缩短一个端口从连接到转发的时间周期。启用portfastbpduguard功能,当portfast端口上受到BPDU时,会自动关闭端口,可以避免网络边缘“非法”交换机的连接和HUB的串联。
Ø检查方法
使用showruninterfacefx/x/x命令查看。
Ø推荐值
开启portfast和bpduguard
Ø加固方法
在接口模式下使用
spanning-treeportfast
spanning-treebpduguardenable
Ø注意事项
仅在接入层交换机access接口下配置
4.5配置端口安全
Ø风险级别
高
Ø功能描述
建议在所有access端口上使用端口安全特性,防止MAC地址泛洪,MAC地址欺骗等常见二层攻击,该特性可实现如下功能。
l包括限制端口上最大可以通过的MAC地址数量
l端口上学习或通过特定MAC地址
l对于超过规定数量的MAC处理进行违背处理
Ø检查方法
使用showruninterfacefx/x/x,showport-security命令查看。
Ø推荐值
开启端口安全
Ø加固方法
在接口模式下使用
switchportport-security//开启端口安全功能//
switchportport-securityviolationrestrict//将来自未受权主机的帧丢弃//
switchportport-securityagingstatic//设置MAC永不超时//
switchportport-securitymac-address0010.c6ce.0e86//静态绑定MAC//
Ø注意事项
仅在接入层交换机access接口下配置
4.6配置DHCP监听
Ø风险级别
高
Ø功能描述
采用DHCP可以自动为用户设置网络IP地址,掩码,网关,DNS,WINS等网络参数,简化了用户网络中设置,提高了管理效率。由于DHCP的重要性,正对DHCP的攻击会对网络造成严重影响。DHCP的攻击主要包括两种:
lDHCP服务器的冒充:(假冒DHCP服务器加入网络)
l针对DHCP服务器的DOS攻击:(攻击者发出洪水般的DHCP请求知道DHCP服务器资源耗竭)
DHCPSnooping描述
针对这两种攻击,Cisco交换机支持DHCPsnooping功能对DHCP的保护
DHCPSnooping技术是DHCP安全特性,通过建立和维护DHCPSnooping绑定表过滤不可以信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址,IP地址,租用期,VLANID等接口信息,DHCPSnooping并且能提供DHCP必要的保护。
Ø检查方法
使用showipdhcpsnooping,showrun命令查看配置中相应的字段。
Ø推荐值
开启DHCPSnooping
Ø加固方法
全局命令
ipdhcpsnooping//全局启动dhcpsnooping//
ipdhcpsnoopingvlan301-331,535-549//定义对哪些VLAN进行DHCP监听//
在接口模式下
ipdhcpsnoopingtrust//一般连接DHCP服务器和交换机上连端口//
noipdhcpsnoopingtrust//接口默认为非信任接口,无法接受DHCPrespone信息,这样可以杜绝非法DHCPServer接入内网//
ipdhcpsnoopinglimitrate30//定义dhcp包的转发速率(每秒数据包数PPS),超过就接口就shutdown,默认不限制//
Ø注意事项
仅在接入层就交换机上配置,交换机上连端口以及连接DHCP服务器的端口需配置成Trust接口
4.7配置ARP防护
Ø风险级别
高
Ø功能描述
ARP协议是在TCP/IP协议栈中最常用的协议,但由于ARP协议自身设计的缺陷,基于ARP的攻击成为攻击者最为常用的一种攻击手段,简单而有效。常见的ARP攻击有ARP欺骗和ARP泛洪两种。
DAI描述
思科DynamicARPInspection(DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI以DHCPSnooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARPaccess-list实现。DAI配置正对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。
配置DAI后:
在配置DAI技术的接口上,用户端采用静态指定地址的方式接入网络
由于DAI检查DHCPSnooping绑定表中的IP和MAC对应关系,ARP欺骗攻击。
DAI默认对ARP请求报文做了速度限制,客户端无法进行人为或者病毒进行的IP扫描,探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。
配置了DAI后用户获取IP地址后,用户不能修改IP或MAC,因为dhcp绑定表中有了合法的IP和MAC以及端口的对应关系,如果你用静态的话修改之后发ARP请求时因为启用了DAI,所以会检测ARP请求包中的IP和MAC对应关系,当发现对应表中不一致的IPMAC对应时,将发不出ARP请求。
注意:DAI只检查ARP包。
Ø检查方法
使用showiparpinspection,showrun命令查看配置中相应的字段。
Ø推荐值
开启ARPinspection
Ø加固方法
全局命令
iparpinspectionvlan301-331,545-549//定义对哪些VLAN进行ARP检测//
iparpinspectionvalidatesrc-macip//检查ARP包中的源MAC和IP//
在接口模式下
iparpinspectiontrust//一般连接交换机上连端口//
noiparpinspectiontrust//接口默认为非信任接口,检查所有ARP数据包//
iparpinspectionlimitrate30//定义接口每秒ARP报文数量,超过的话接口就errordisable//
Ø注意事项
仅在接入层交换机山配置,交换机上连端口需配置成Trust接口。
4.8配置IPSourceGuard
Ø风险级别
高
Ø功能描述
IPSourceGuard技术配置在交换机上仅支持2层端口上的配置,通过下面的机制可以防范IP/MAC欺骗:
lIPSourceGuard使用DHCPSnooping绑定表信息。
l配置在交换机端口上,并对该端口生效。
lIPSouceGuard运作机制类似DAI,但是IPSourceGuard不仅仅检查ARP报文,(DAI只检查ARP报文)所有经过定义IPSourceGuard检查的端口的报文都要检测。
lIPSourceGuard检查接口所通过的流量的IP地址和MAC地址是否在DHCPSnooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option82,同时使用网络设备需支持Option82信息。
Ø检查方法
使用showruninertfaceX/X/X命令查看配置中相应的字段。
Ø推荐值
开启IPSourceGuard
Ø加固方法
在接口模式下
ipverifysourceport-security//在端口启用ipsourceguard//
Ø注意事项
仅接用户端口配置,连接服务器或打印机端口不配
4.9关闭未使用接口
Ø风险级别
高
Ø功能描述
防止非法人员接入网络
Ø检查方法
使用showipintbrief命令查看。
Ø推荐值
配置成Acess接口
Ø加固方法
在接口模式下
shutdown
Ø注意事项
仅在接入层交换机未使用接口上配置。
5控制层面安全管理
5.1COPP(ControlPlaneProtection)
Ø风险级别
中
Ø风险描述
交换机控制引擎是整个设备的大脑,负责处理所有控制层面的信息。而网络黑客有可能伪装成特定类型的需要控制层面处理的数据包直接对路由设备进行攻击,因为路由设备的控制引擎处理能力是有限,即使是最强大硬件架构也难以处理大量的恶意DDoS攻击流量,所以需要部署适当的反制措施,对设备控制引擎提供保护。
检查方法
使用showrun命令查看配置文件中的logging字段。
Ø推荐值
开启COPP
Ø加固方法
ipaccess-listcopp-system-acl-telnet
10permittcpanyanyeqtelnet
20permittcpanyeqtelnetany
ipaccess-listcopp-system-acl-ssh
10permittcpanyanyeq22
20permittcpanyeq22any
ipaccess-listcopp-system-acl-snmp
10permitudpanyanyeqsnmp
20permitudpanyanyeqsnmptrap
ipaccess-listcopp-system-acl-ospf
10permitospfanyany
ipaccess-listcopp-system-acl-tacacs
10permittcpanyanyeqtacacs
20permittcpanyeqtacacsany
ipaccess-listcopp-system-acl-radius
10permitudpanyanyeq1812
20permitudpanyanyeq1813
30permitudpanyanyeq1645
40permitudpanyanyeq1646
50permitudpanyeq1812any
60permitudpanyeq1813any
70permitudpanyeq1645any
80permitudpanyeq1646any
ipaccess-listcopp-system-acl-ntp
10permitudpanyanyeqntp
20permitudpanyeqntpany
ipaccess-listcopp-system-acl-icmp
10permiticmpanyanyecho
20permiticmpanyanyecho-reply
ipaccess-listcopp-system-acl-traceroute
10permiticmpanyanyttl-exceeded
20permiticmpanyanyport-unreachable
class-maptypecontrol-planematch-anycopp-system-class-critical
matchaccess-groupnamecopp-system-acl-ospf
class-maptypecontrol-planematch-anycopp-system-class-exception
matchexceptionipoption
matchexceptionipicmpunreachable
class-maptypecontrol-planematch-anycopp-system-class-management
matchaccess-groupnamecopp-system-acl-ntp
matchaccess-groupnamecopp-system-acl-radius
matchaccess-groupnamecopp-system-acl-ssh
matchaccess-groupnamecopp-system-acl-tacacs
matchaccess-groupnamecopp-system-acl-telnet
class-maptypecontrol-planematch-anycopp-system-class-monitoring
matchaccess-groupnamecopp-system-acl-icmp
matchaccess-groupnamecopp-system-acl-traceroute
class-maptypecontrol-planematch-anycopp-system-class-normal
matchprotocolarp
class-maptypecontrol-planematch-anycopp-system-class-redirect
matchredirectdhcp-snoop
matchredirectarp-inspect
policy-maptypecontrol-planecopp-system-policy
classcopp-system-class-critical
policecir39600kbpsbc250msconformtransmitviolatedrop
classcopp-system-class-management
policecir10000kbpsbc250msconformtransmitviolatedrop
classcopp-system-class-exception
policecir360kbpsbc250msconformtransmitviolatedrop
classcopp-system-class-normal
policecir680kbpsbc250msconformtransmitviolatedrop
classcopp-system-class-redirect
policecir280kbpsbc250msconformtransmitviolatedrop
classcopp-system-class-monitoring
policecir130kbpsbc1000msconformtransmitviolatedrop
classclass-default
policecir100kbpsbc250msconformtransmitviolatedrop
control-plane
service-policyinputcopp-system-policy
注意事项
仅在6509和3845上配置