基于企业交换机的网络端口安全技术
2013-06-25鲁宏武高海燕王健
鲁宏武 高海燕 王健
【摘 要】企业网络安全涉及领域众多,根据设备的不同,用途的差异,各种网络安全技术层出不穷,但是网络从交换机来说,首选需要保证交换机端口的安全。本文针对在企业环境中的网络端口安全问题做相关测试,经过大量实验,得出如何正确利用思科交换机自身命令的相互配合,加强企业网络的端口安全。
【关键词】网络端口,网络安全,思科
【中图分类号】TP393.01 【文献标识码】A 【文章编号】1672-5158(2013)03-0127-01
前言
企业网络安全涉及领域众多,根据设备的不同,用途的差异,各种网络安全技术层出不穷,但是网络从交换机来说,首选需要保证交换机端口的安全。在不少企业中,员工可以随意地使用集线器等设备连接办公交换机,或者使用自己的笔记本电脑连接到企业的网路中,这类的情况会给企业的网络安全带来相当大的不利影响。本文针对以上情况,对交换机端口的常见安全威胁进行相关维护,并对相关措施做一总结。
一、常见的安全威胁
在企业中,威胁交换机端口的行为比较多。总结一下有如下情形:
一:未经授权的用户主机随意连接到企业的网络中。如员工自己笔记本,可以在不经管理员同意的情况下,拔下某台主机的网线,插在自己带来的笔记本,然后连入到企业的网络中,这会带来很大的安全隐患。
二:未经采用同意安装集线器HUB等网络设备。有些员工为了增加网络终端的数量,会在未经授权的情况下。将集线器、交换机等设备插入到办公室的网络接口上。如此的话,会导致这个网络接口对应的交换机接口流量增加,从而导致网络性能的下降。
三:网络管理员在日常工作中对于交换机端口的安全性不怎么重视,这是他们网络安全管理中的一个盲区。
二、主要的应对措施
从以上的分析中可以看出,企业现在交换机端口的安全环境非常的薄弱。在这种情况下,仅仅靠管理上是不够的,下面我重点介绍下如何利用技术应对以上情况。
(1)应对措施一:MAC地址与端口绑定。
最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。Cisco IOS交换机端口安全功能支持以下几种安全MAC地址类型:
Switch#config terminal #进入配置模式
Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式
Switch(config-if)#Switchport port-secruity #配置端口安全模式
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用。
(2)应对措施二:根据MAC地址允许流量的配置
一个安全端口默认有一个安全MAC地址,这个默认值在1~3000之间。当在一个端口上设置最大安全MAC数后,可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址;也可通过port-security mac-address VLAN范围配置命令在中继端口上一个范围VLAN中配置所有安全MAC地址,以允许端口用所连接设备的MAC地址动态配置安全MAC地址。
Switch #conf t
Switch (config)#int f0/1
Switch (config-if)#switchport trunk encapsulation dot1q
Switch (config-if)#switchport mode trunk /配置端口模式为TRUNK。
Switch (config-if)#switchport port-security maximum 50 /允许此端口通过的最大MAC地址数目为50。
Switch (config-if)#switchport port-security violation protect /当主机MAC地址数目超过50时,交换机继续工作,但来自新的主机的数据帧将丢失。
(3)应对措施三:启用网络身份认证功能
Switch#conf t
Switch(config)#aaa new-model /启用AAA认证。
Switch(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。
Switch(config)#int range f0/1 -24
Switch(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。
三、应用后的效果分析
经过上述的一系列的技术配置,通过实地测试,基本解决了私接设备、随意扩交换机的问题。但是在实际应用中,发现了一些问题,以上策略太过于死板,一点执行shutdown后,员工不能上网,如果企业规模较大,容易导致网络管理员频繁去修改交换机的端口状态,针对这种情况,我们可以采用一下恢复策略,智能的处理违规情况。
(1)关闭(Shutdown):发生安全违例事件时,端口立即呈现错误状态,关闭端口。同时也会发送一个SNMP捕获消息并记录系统日志,违例计数器增加1。
(2)禁止VLAN(Shutdown VLAN):适用于VLAN的安全违例模式。在这种模式下,在发生安全违者罚款例事件时,该端口对应的VLAN都将呈错误禁止状态,关闭对应VLAN,而不关闭对应的端口。
(3)保护:当安全MAC地址数超过端口上配置的最大安全MAC地址数时,未知源MAC地址的包将被丢弃,直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内,或者增加最大安全MAC地址数。而且这种行为没有安全违例行为发生通知。
(4) 限制:在安全MAC地址数达到端口上配置的最大安全MAC地址数时,未知源MAC地址的包将被丢弃,直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内,或者增加最大安全MAC地址数。
四、结论
以上介绍的几种方法,各有各的特点。在可操作性上与安全性上各有不同。网络管理员需要根据自己公司网络的规模、对于安全性的要求等各个方面的因素来选择采用的方案。总之,在网络安全逐渐成为管理员心头大患的今天。交换机的端口安全必须引起大家的关注。
参考文献
【1】焦昀,巫茜,刘晓辉,中小企业网络管理员实战指南(第2版) 科学出版社 2011
【2】崔北亮,非常网管:网络管理从入门到精通(修订版)人民邮电出版社 2010
【3】海吉(美),网络安全技术与解决方案(修订版) 人民邮电出版社 2010
【4】王云,网络工程设计与系统集成(第2版)人民邮电出版社 2010