网络交换机配置常见命令
操作方法
- 01
网络交换机配置常见命令--多年从事网络安全个人经验分享 中国馆交换机安全审计规范1 1交换机配置的安全2 1.1口令的安全性2 1.2口令加密服务2 1.3权限分级策略3 1.4VTY的访问控制3 1.5配置端口的超时4 1.6VTP协议加密5 1.7路由协议加密5 1.8限制路由协议泛洪6 2交换机网络服务安全配置7 2.1CDP协议7 2.2HTTP服务7 2.3BOOTP服务8 2.4SNMP配置安全9 2.5Figner服务10 2.6IP源路由10 3日志及信息管理11 3.1启用日志服务器11 3.2Banner信息12 4交换机接口安全12 4.1Proxy ARP12 4.2IP Redirects13 4.3关闭IP Unreachable Messages14 4.4配置Portfast和BPDU Guard14 4.5配置端口安全15 4.6配置DHCP监听16 4.7配置ARP防护17 4.8配置IP Source Guard19 4.9关闭未使用接口20 5控制层面安全管理20 5.1COPP(Control Plane Protection)20 1 交换机配置的安全 1.1 口令的安全性 Ø 风险级别 高 Ø 风险描述 攻击者可能利用暴力猜解口令登录交换机。 Ø 检查方法 询问交换机管理人员口令长度与复杂度。 Ø 推荐值 口令长度应大于8位,且应由数字、字母、符号,三者相混合。 Ø 加固方法 在特权模式下使用enable secret命令更改口令。 Ø 注意事项 无 1.2 口令加密服务 Ø 风险级别 高 Ø 风险描述 未使用口令加密服务会对所有具有查看配置的用户暴露除secret口令以外的任何口令。 Ø 检查方法 使用show run命令查看配置文件,是否存在service password-encryption字段。 Ø 推荐值 使用口令加密服务。 Ø 加固方法 在特权模式下,使用service password-encryption命令开启口令加密服务。 Ø 注意事项 无。 1.3 权限分级策略 Ø 风险级别 底 Ø 风险描述 单用户的登陆配置方式可能会对口令和用户的管理带来不便。 Ø 检查方法 使用show run命令,查看是否建立了不同权限的配置用户。 Ø 推荐值 对不同角色,如:日志审计员、网络管理员等,建立不同权限的用户。 Ø 加固方法 在ACS上,建立不同权限的用户。 Ø 注意事项 需要网络管理员根据实际情况进行添加。 1.4 VTY的访问控制 Ø 风险级别 中 Ø 风险描述 非授权的配置地址来源会访问到交换机,为恶意的攻击者提供了暴力猜解口令机会。 Ø 检查方法 使用show run命令,查看是否建立了相应的ACL列表如:access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log,以及是否在VTY端口上应用,如:access-class 101 in。 Ø 推荐值 设定特定的IP地址访问交换机。 Ø 加固方法 在特权模式下使用access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log命令设定授权IP地址的访问控制策略,进入VTY接口,使用access-class 101 in命令应用该策略。 Ø 注意事项 需要网络管理员确定授权的IP地址,且该IP地址可以访问交换机。 1.5 配置端口的超时 Ø 风险级别 高 Ø 风险描述 管理员的疏忽可能会造成非授权者查看或修改交换机配置。 Ø 检查方法 使用show run命令,查看con、vty、AUX端口是否配置了超时,如:exec-timeout 5 0。 Ø 推荐值 设置超时不大于5分钟。 Ø 加固方法 分别进入con端口、VTY端口、AUX端口,使用exec-timeout 5 0命令配置端口超时。 Ø 注意事项 无 1.6 VTP协议加密 Ø 风险级别 高 Ø 风险描述 可以让攻击者通过VTP协议学习到网络VLAN,从而进行二层网络攻击。 Ø 检查方法 使用show vtp password检查密码是否配置。 Ø 推荐值 口令长度应大于8位,且应由数字、字母、符号,三者相混合。 Ø 加固方法 全局模式下 vtp password xxxxxxx。 Ø 注意事项 无 1.7 路由协议加密 Ø 风险级别 高 Ø 风险描述 攻击者可以利用OSPF路由协议自动协商邻居的特性学习到整网拓扑。 Ø 检查方法 使用show run检查OSPF相关配置。 Ø 推荐值 口令长度应大于8位,且应由数字、字母、符号,三者相混合。 Ø 加固方法 全局模式下 router ospf 100 area 0 authentication message-digest 接口模式下 ip ospf message-digest-key 1 md5 xxxxxxxx Ø 注意事项 无 1.8 限制路由协议泛洪 Ø 风险级别 高 Ø 风险描述 攻击者可以利用OSPF路由协议自动协商邻居的特性学习到整网拓扑。 Ø 检查方法 使用show run interface vlan xxx检查。 Ø 推荐值 关闭网关接口泛洪LSA的特性。 Ø 加固方法 接口模式下 ip ospf database-filter all out Ø 注意事项 仅在网关接口配置。 2 交换机网络服务安全配置 2.1 CDP协议 Ø 风险级别 底 Ø 风险描述 蓄意攻击者可能通过截取CDP包分析交换机的相关信息。 Ø 检查方法 使用show cdp run 命令查看CDP协议的开启情况。 Ø 推荐值 不使用CDP协议,如无法避免则应指定端口发布CDP包。 Ø 加固方法 在接口模式下 no cdp enable Ø 注意事项 仅在接入层交换机access接口下配置。 2.2 HTTP服务 Ø 风险级别 高 Ø 风险描述 恶意攻击者可以利用交换机开启的HTTP服务发起攻击从而影响交换机性能。 Ø 检查方法 使用show run命令,查看配置中相应的http server字段。 Ø 推荐值 关闭http服务。 Ø 加固方法 在特权模式下 no ip http server Ø 注意事项 无 2.3 BOOTP服务 Ø 风险级别 中 Ø 风险描述 恶意攻击者可以利用该服务发起DDOS攻击。 Ø 检查方法 使用show run命令,查看配置中相应的BOOTP字段。 Ø 推荐值 关闭BOOTP服务。 Ø 加固方法 在特权模式下 no ip bootp server Ø 注意事项 无 2.4 SNMP配置安全 Ø 风险级别 高 Ø 风险描述 恶意攻击者可以利用默认的SNMP通信字截获交换机管理信息,甚至可以通过SNMP管理破坏交换机配置。 Ø 检查方法 使用show run命令,查看配置中相应的snmp字段。 Ø 推荐值 修改默认的public、private通信字。 Ø 加固方法 在特权模式下使用命令snmp-server community XXX ro命令设定只读通信字,使用snmp-server community XXX rw命令设定读写通信字。 Ø 注意事项 相关使用SNMP的网管软件或安全监控平台通信字需一并进行修改。 2.5 Figner服务 Ø 风险级别 中 Ø 风险描述 UNIX用户查找服务,允许远程列出系统用户的信息,有助于帮助攻击者收集用户信息,建议关闭。 Ø 检查方法 使用show run命令,查看配置中相应的Figner字段。 Ø 推荐值 关闭Figner服务。 Ø 加固方法 在特权模式下 no ip finger no service finger Ø 注意事项 无 2.6 IP源路由 Ø 风险级别 中 Ø 风险描述 IP source routing功能的开启允许数据包本身指定传输路径,对攻击者来说好的特性,攻击者可以通过该功能跳跃NAT设备,进入内网。 Ø 检查方法 使用show run命令,查看配置中相应的字段。 Ø 推荐值 关闭IP源路由。 Ø 加固方法 在特权模式下 no ip source-route Ø 注意事项 仅三层设备上配置 3 日志及信息管理 3.1 启用日志服务器 Ø 风险级别 低 Ø 风险描述 没有审计日志可能会对网络的监控,突发事件的处理带来不便。 Ø 检查方法 使用show run命令查看配置文件中的logging字段。 Ø 推荐值 开启交换机日志审计,并且设定日志服务器。 Ø 加固方法 在特权模式下使用logging on、logg facility local6命令开启审计日志功能,使用logg X.X.X.X命令指定日志服务器和CiscoWorks。 Ø 注意事项 首先需要在系统内建立日志服务器和CiscoWorks。 3.2 Banner信息 Ø 风险级别 低 Ø 风险描述 带有敏感信息的banner可能会给蓄意攻击者提供交换机信息。 Ø 检查方法 使用show run命令查看banner信息。 Ø 推荐值 不显示交换机的信息,如:交换机型号、软件、所有者等。 Ø 加固方法 在特权模式下使用banner命令设定信息。 Ø 注意事项 无。 4 交换机接口安全 4.1 Proxy ARP Ø 风险级别 中 Ø 风险描述 三层网关作为第二层地址解析的代理,代理ARP功能如果使用不当会对网络造成影响。 Ø 检查方法 使用show run interface vlan XXX命令查看。 Ø 推荐值 关闭Proxy ARP Ø 加固方法 在接口模式下 no ip proxy-arp Ø 注意事项 配置在各汇聚层交换机上,仅在用户网关上关闭Proxy ARP服务。 4.2 IP Redirects Ø 风险级别 中 Ø 风险描述 三层设备会对特定的包发送ICMP REDIRECT MESSAGE,对攻击者来说,有助于了解网络拓扑,对非可信的网络关闭。 Ø 检查方法 使用show run interface vlan xxx命令查看。 Ø 推荐值 关闭ip redirects。 Ø 加固方法 在接口模式下 no ip redirects Ø 注意事项 配置在各汇聚层交换机上,仅在用户网关上关闭ip redirects服务。 4.3 关闭IP Unreachable Messages Ø 风险级别 中 Ø 风险描述 如果发送者的目标地址不可达,三层设备会通告原因给发送方,对于攻击者来说,可以了解网络信息,并且利用该特性发出的大量的错误目地包,将会导致交换机CPU利用率升高,对交换机进行DOS攻击。 Ø 检查方法 使用show run interface vlan XXX命令查看。 Ø 推荐值 关闭ip unreachables Ø 加固方法 在接口模式下 no ip unreachables Ø 注意事项 配置在各汇聚层交换机上,仅在用户网关上关闭ip unreachables服务。 4.4 配置Portfast和BPDU Guard Ø 风险级别 高 Ø 功能描述 在交换机的配置中,对连接主机的端口应该启用spanning-tress portfast和portfast bpduguard功能。启用portfast功能后,端口的状态会从blocking直接进入到forwarding,能够大大缩短一个端口从连接到转发的时间周期。启用portfast bpduguard功能,当portfast端口上受到BPDU时,会自动关闭端口,可以避免网络边缘“非法”交换机的连接和HUB的串联。 Ø 检查方法 使用show run interface fx/x/x命令查看。 Ø 推荐值 开启portfast和bpduguard Ø 加固方法 在接口模式下使用 spanning-tree portfast spanning-tree bpduguard enable Ø 注意事项 仅在接入层交换机access接口下配置 4.5 配置端口安全 Ø 风险级别 高 Ø 功能描述 建议在所有access端口上使用端口安全特性,防止MAC地址泛洪,MAC地址欺骗等常见二层攻击,该特性可实现如下功能。 l 包括限制端口上最大可以通过的MAC地址数量 l 端口上学习或通过特定MAC地址 l 对于超过规定数量的MAC处理进行违背处理 Ø 检查方法 使用show run interface fx/x/x,show port-security命令查看。 Ø 推荐值 开启端口安全 Ø 加固方法 在接口模式下使用 switchport port-security //开启端口安全功能// switchport port-security violation restrict //将来自未受权主机的帧丢弃// switchport port-security aging static //设置MAC永不超时// switchport port-security mac-address 0010.c6ce.0e86 //静态绑定MAC// Ø 注意事项 仅在接入层交换机access接口下配置 4.6 配置DHCP监听 Ø 风险级别 高 Ø 功能描述 采用DHCP可以自动为用户设置网络IP地址,掩码,网关,DNS,WINS等网络参数,简化了用户网络中设置,提高了管理效率。由于DHCP的重要性,正对DHCP的攻击会对网络造成严重影响。DHCP的攻击主要包括两种: l DHCP服务器的冒充:(假冒DHCP服务器加入网络) l 针对DHCP服务器的DOS攻击:(攻击者发出洪水般的DHCP请求知道DHCP服务器资源耗竭) DHCP Snooping描述 针对这两种攻击,Cisco交换机支持DHCP snooping功能对DHCP的保护 DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可以信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址,IP地址,租用期,VLAN ID等接口信息,DHCP Snooping并且能提供DHCP必要的保护。 Ø 检查方法 使用show ip dhcp snooping,show run命令查看配置中相应的字段。 Ø 推荐值 开启DHCP Snooping Ø 加固方法 全局命令 ip dhcp snooping//全局启动dhcp snooping// ip dhcp snooping vlan 301-331,535-549 //定义对哪些VLAN进行DHCP监听// 在接口模式下 ip dhcp snooping trust//一般连接DHCP服务器和交换机上连端口// no ip dhcp snooping trust //接口默认为非信任接口,无法接受DHCP respone信息,这样可以杜绝非法DHCP Server接入内网// ip dhcp snooping limit rate 30 //定义dhcp包的转发速率(每秒数据包数PPS),超过就接口就shutdown,默认不限制// Ø 注意事项 仅在接入层就交换机上配置,交换机上连端口以及连接DHCP服务器的端口需配置成Trust接口 4.7 配置ARP防护 Ø 风险级别 高 Ø 功能描述 ARP协议是在TCP/IP协议栈中最常用的协议,但由于ARP协议自身设计的缺陷,基于ARP的攻击成为攻击者最为常用的一种攻击手段,简单而有效。常见的ARP攻击有ARP欺骗和ARP泛洪两种。 DAI描述 思科Dynamic ARP Inspection(DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置正对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。 配置DAI后: 在配置DAI技术的接口上,用户端采用静态指定地址的方式接入网络 由于DAI检查DHCP Snooping绑定表中的IP和MAC对应关系,ARP欺骗攻击。 DAI默认对ARP请求报文做了速度限制,客户端无法进行人为或者病毒进行的IP扫描,探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。 配置了DAI后用户获取IP地址后,用户不能修改IP或MAC,因为dhcp绑定表中有了合法的IP和MAC以及端口的对应关系,如果你用静态的话修改之后发ARP请求时因为启用了DAI,所以会检测ARP请求包中的IP和MAC对应关系,当发现对应表中不一致的IP MAC对应时,将发不出ARP请求。 注意:DAI只检查ARP包。 Ø 检查方法 使用show ip arp inspection,show run命令查看配置中相应的字段。 Ø 推荐值 开启ARP inspection Ø 加固方法 全局命令 ip arp inspection vlan 301-331,545-549 //定义对哪些VLAN进行ARP检测// ip arp inspection validate src-mac ip //检查ARP包中的源MAC和IP// 在接口模式下 ip arp inspection trust//一般连接交换机上连端口// no ip arp inspection trust //接口默认为非信任接口,检查所有ARP数据包// ip arp inspection limit rate 30 //定义接口每秒 ARP 报文数量,超过的话接口就errordisable // Ø 注意事项 仅在接入层交换机山配置,交换机上连端口需配置成Trust接口。 4.8 配置IP Source Guard Ø 风险级别 高 Ø 功能描述 IP Source Guard技术配置在交换机上仅支持2层端口上的配置,通过下面的机制可以防范IP/MAC欺骗: l IP Source Guard使用DHCP Snooping绑定表信息。 l 配置在交换机端口上,并对该端口生效。 l IP Souce Guard运作机制类似DAI,但是IP Source Guard不仅仅检查ARP报文,(DAI只检查ARP报文)所有经过定义IP Source Guard检查的端口的报文都要检测。 l IP Source Guard检查接口所通过的流量的IP地址和MAC地址是否在DHCP Snooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82,同时使用网络设备需支持Option 82信息。 Ø 检查方法 使用show run inertface X/X/X命令查看配置中相应的字段。 Ø 推荐值 开启IP Source Guard Ø 加固方法 在接口模式下 ip verify source port-security //在端口启用ip source guard // Ø 注意事项 仅接用户端口配置,连接服务器或打印机端口不配 4.9 关闭未使用接口 Ø 风险级别 高 Ø 功能描述 防止非法人员接入网络 Ø 检查方法 使用show ip int brief命令查看。 Ø 推荐值 配置成Acess接口 Ø 加固方法 在接口模式下 shut down Ø 注意事项 仅在接入层交换机未使用接口上配置。 5 控制层面安全管理 5.1 COPP(Control Plane Protection) Ø 风险级别 中 Ø 风险描述 交换机控制引擎是整个设备的大脑,负责处理所有控制层面的信息。而网络黑客有可能伪装成特定类型的需要控制层面处理的数据包直接对路由设备进行攻击,因为路由设备的控制引擎处理能力是有限,即使是最强大硬件架构也难以处理大量的恶意DDoS攻击流量,所以需要部署适当的反制措施,对设备控制引擎提供保护。 检查方法 使用show run命令查看配置文件中的logging字段。 Ø 推荐值 开启COPP Ø 加固方法 ip access-list copp-system-acl-telnet 10 permit tcp any any eq telnet 20 permit tcp any eq telnet any ip access-list copp-system-acl-ssh 10 permit tcp any any eq 22 20 permit tcp any eq 22 any ip access-list copp-system-acl-snmp 10 permit udp any any eq snmp 20 permit udp any any eq snmptrap ip access-list copp-system-acl-ospf 10 permit ospf any any ip access-list copp-system-acl-tacacs 10 permit tcp any any eq tacacs 20 permit tcp any eq tacacs any ip access-list copp-system-acl-radius 10 permit udp any any eq 1812 20 permit udp any any eq 1813 30 permit udp any any eq 1645 40 permit udp any any eq 1646 50 permit udp any eq 1812 any 60 permit udp any eq 1813 any 70 permit udp any eq 1645 any 80 permit udp any eq 1646 any ip access-list copp-system-acl-ntp 10 permit udp any any eq ntp 20 permit udp any eq ntp any ip access-list copp-system-acl-icmp 10 permit icmp any any echo 20 permit icmp any any echo-reply ip access-list copp-system-acl-traceroute 10 permit icmp any any ttl-exceeded 20 permit icmp any any port-unreachable class-map type control-plane match-any copp-system-class-critical match access-group name copp-system-acl-ospf class-map type control-plane match-any copp-system-class-exception match exception ip option match exception ip icmp unreachable class-map type control-plane match-any copp-system-class-management match access-group name copp-system-acl-ntp match access-group name copp-system-acl-radius match access-group name copp-system-acl-ssh match access-group name copp-system-acl-tacacs match access-group name copp-system-acl-telnet class-map type control-plane match-any copp-system-class-monitoring match access-group name copp-system-acl-icmp match access-group name copp-system-acl-traceroute class-map type control-plane match-any copp-system-class-normal match protocol arp class-map type control-plane match-any copp-system-class-redirect match redirect dhcp-snoop match redirect arp-inspect policy-map type control-plane copp-system-policy class copp-system-class-critical police cir 39600 kbps bc 250 ms conform transmit violate drop class copp-system-class-management police cir 10000 kbps bc 250 ms conform transmit violate drop class copp-system-class-exception police cir 360 kbps bc 250 ms conform transmit violate drop class copp-system-class-normal police cir 680 kbps bc 250 ms conform transmit violate drop class copp-system-class-redirect police cir 280 kbps bc 250 ms conform transmit violate drop class copp-system-class-monitoring police cir 130 kbps bc 1000 ms conform transmit violate drop class class-default police cir 100 kbps bc 250 ms conform transmit violate drop control-plane service-policy input copp-system-policy 注意事项 仅在6509和3845上配置