《网络设备安全》课件第4章 交换机安全配置交换机安全配置.ppt
《《网络设备安全》课件第4章 交换机安全配置交换机安全配置.ppt》由会员分享,可在线阅读,更多相关《《网络设备安全》课件第4章 交换机安全配置交换机安全配置.ppt(34页珍藏版)》请在文库网上搜索。
1、培养目标通过本章的学习,希望您能够:掌握思科IOS的口令验证方式及配置方法掌握交换机端口安全原理及配置方法管理配置管理配置Cisco IOS设备设备限制设备访问 配置口令使用机柜和上锁的机架限制人员实际接触网络设备是不错的做法必须从本地为每台设备配置口令以限制访问。在此介绍的口令有:-控制台口令 用于限制人员通过控制台连接访问设备-使能口令 用于限制人员访问特权执行模式-使能加密口令 经加密,用于限制人员访问特权执行模式-VTY 口令 用于限制人员通过 Telnet 访问设备限制设备访问 配置口令Switch(config)#line console 0Switch(config-line)#
2、password passwordSwitch(config-line)#login限制设备访问 配置口令请尽可能使用 enable secret 命令,而不要 使用较老版本的 enable password 命令。enable secret 命令可提供更强的安全性,因为使用此命令设置的口令会被加密。enable password 命令仅在尚未使用 enable secret 命令设置口令时才能使用。Router(config)#enable password passwordRouter(config)#enable secret password Router(config)#line v
3、ty 0 4Router(config-line)#password passwordRouter(config-line)#login限制设备访问 配置口令和使用标语限制设备访问 配置口令加密显示口令它可在用户配置口令后使口令加密显示。service password-encryption 命令对所有未加密的口令进行弱加密。当通过介质发送口令时,此加密手段不适用,它仅适用于配置文件中的口令。此命令的用途在于防止未经授权的人员查看配置文件中的口令。Router(config)#service password-encryption 4.1.6 配置特权等级配置特权等级 通过设置口令保护和划分特
4、权级别来实现网络管理的灵活性和安全性,是控制网络上的终端访问和管理交换机的最简单办法。用户级别范围是015级,级别0是最低的级别。交换机设备系统只有两个受口令保护的授权级别:普通用户级别(0级)和特权用户级别(15级)。用户模式只有Show的权限和其他一些基本命令;特权模式拥有所有的权限,包括修改、删除配置。在实际情况下,如果给一个管理人员分配用户模式权限,可能不能满足实际操作需求,但是分配给特权模式则权限太大,容易发生误操作或密码泄漏。使用特权等级,可以定制多个等级特权模式,每一个模式拥有的命令可以按需定制。Switch(config)#username username privilege
5、 level password password设置管理人员的登录用户名、密码和相应的特权等级Switch(config)#privilege mode level level command设置命令的级别划分。mode代表命令的模式,有:configure表示全局配置模式、exec表示特权命令模式、interface表示接口配置模式等等。level代表授权级别,范围从0到15。level 1是普通用户级别,level 15是特权用户级别,在各用户级别间切换可以使用enable命令。command代表要授权的命令。注意:一旦一条命令被赋予一个特权等级,比该特权等级低的其他特权等级均不能使用该命
6、令。4.2 4.2 交换机端口安全交换机端口安全交换机端口安全交换机端口安全控制控制控制控制准备知识(二)常见针对交换机的安全攻击MAC地址泛洪-主机 A 向主机 B 发送流量。交换机收到帧,并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC,则交换机将复制帧并将其从每一个交换机端口广播出去。MAC地址泛洪-主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2,并将该信息写入 MAC 地址表。-主机 C 也收到从主机 A 发到主机 B 的帧,但是因为该帧的目的 MAC 地址为主机 B,因此主机 C 丢弃该帧
7、。MAC地址泛洪-由主机 A(或任何其它主机)发送给主机 B 的任何帧都转发到交换机的端口 2,而不是从每一个端口广播出去。MAC地址泛洪-攻击者使用交换机的正常操作特性来阻止交换机正常工作。MAC地址泛洪-只要网络攻击工具一直运行,交换机的 MAC 地址表就会始终保持充满。当发生这种情况时,交换机开始将所有收到的帧从每一个端口广播出去,这样一来,从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。欺骗攻击-攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应欺骗攻击-要防止 DHCP 攻击,请使用 Cisco Catalyst 交换机上的 DHCP侦听和端口安全性功
8、能。CDP 攻击-默认情况下,大多数 Cisco 路由器和交换机都启用了CDP。建议如果设备不需要使用 CDP,则在设备上禁用 CDP。telnet攻击的类型:-暴力密码攻击-Dos攻击抵御暴力密码攻击:-经常更改密码-使用强密码-限制可通过vty线路进行通信的人员抵御暴力密码攻击:-更新为最新版本的Cisco IOS软件4.2.1 风暴控制风暴控制 在以太网网络中,广播数据是必然存在的,是一种正常的数据。但是,有时候因为网络蠕虫病毒、攻击者或者网络错误的配置等发送大量的广播,导致网络拥塞和报文传输超时,影响网络的正常通信,因此需要通过交换机来发现和限定这种异常流量(风暴流量)的发生,交换机将
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
15 文币 0人已下载
下载 | 加入VIP,免费下载 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络设备安全 网络设备安全课件第4章 交换机安全配置交换机安全配置 网络设备 安全 课件 交换机 配置