蓝盟IT小贴士,来喽!
纵轴:网络设备(防火墙、路由器、交换机)
横轴:网络模型(边界和DMZ、核心和分散层、接入层)
此图显示了防火墙、路径搜索器和交换机分别位于边界或DMZ、核心和分布层以及接入层
在这些设备中,为什么交换机最缺乏安全性?
首先,防火墙和路由器通常安装在核心房间中,最大限度地保护了核心房间的物理安全(只有管理员才能进出核心房间)。
其次,访问交换机是分散的,为最终用户提供访问(非管理员可以相对容易地访问接入层交换机)。
伪造错误的BPDU消息会影响生成树拓扑

应对措施:
(1)在连接主机或路由器的接口上配置bpdu向导,该接口不应接收bpdu,如果接收到,则接口处于错误禁用状态。
界面下的生成树型bpdu指南启用
(2)或者,将Root Guard配置到上述接口内,这种接口可以接收BPDU、但如果是更好的BPDU,则将接口设置成error disable状态以避免更改根桥。
界面下的生成树指南根目录
盗用他人的MAC地址伪造攻击,非法访问网络盗取信息
应对措施:
端口安全性、物理端口可接受的有效MAC地址设置、从未授权的MAC地址到发送的通信量丢弃、接口err-disable
静态添加CAM表条目(MAC和端口、VLAN绑定关系)
通过伪造MAC地址并发送消息,交换机CAM表在短时间内充满垃圾MAC地址,从而导出实际的MAC,已知的单播变为未知的单播,并且不得不进行漫游,而且在数据侦听中。
应对措施:
端口是安全的,限制端口可以学习的最大MAC地址数
文/上海蓝盟 IT外包专家