IT外包网管服务,连交换机的攻击防御都不懂,作为网络工程师在做什么呢

发布者:上海IT外包来源:http://www.lanmon.net点击数:1188

蓝盟IT小贴士,来喽!
纵轴:网络设备(防火墙、路由器、交换机)
横轴:网络模型(边界和DMZ、核心和分散层、接入层)
此图显示了防火墙、路径搜索器和交换机分别位于边界或DMZ、核心和分布层以及接入层
在这些设备中,为什么交换机最缺乏安全性?
首先,防火墙和路由器通常安装在核心房间中,最大限度地保护了核心房间的物理安全(只有管理员才能进出核心房间)。
其次,访问交换机是分散的,为最终用户提供访问(非管理员可以相对容易地访问接入层交换机)。

伪造错误的BPDU消息会影响生成树拓扑


应对措施:
(1)在连接主机或路由器的接口上配置bpdu向导,该接口不应接收bpdu,如果接收到,则接口处于错误禁用状态。
界面下的生成树型bpdu指南启用
(2)或者,将Root  Guard配置到上述接口内,这种接口可以接收BPDU、但如果是更好的BPDU,则将接口设置成error  disable状态以避免更改根桥。
界面下的生成树指南根目录
盗用他人的MAC地址伪造攻击,非法访问网络盗取信息
应对措施:
端口安全性、物理端口可接受的有效MAC地址设置、从未授权的MAC地址到发送的通信量丢弃、接口err-disable
静态添加CAM表条目(MAC和端口、VLAN绑定关系)
通过伪造MAC地址并发送消息,交换机CAM表在短时间内充满垃圾MAC地址,从而导出实际的MAC,已知的单播变为未知的单播,并且不得不进行漫游,而且在数据侦听中。
应对措施:

端口是安全的,限制端口可以学习的最大MAC地址数

文/上海蓝盟  IT外包专家

IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部