设备安全_安全保护设备
设备安全由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“安全保护设备”。
AAA 1.定义
AAA认证授权审计
认证(Authentication)、授权(Authorization)、审计(Accounting)2.二层攻击分类
1)mac层攻击:mac地址泛洪
2)vlan攻击:vlan跳转、公共vlan设备之间的攻击
3)欺骗攻击:DHCP耗尽和DHCP欺骗,生成树欺骗,mac欺骗,ARP欺骗 4)交换机设备攻击:CDP修改,SSH和telnet攻击 3.端口安全
粘性学习(sticky learning):接口会把自动学习到的地址转换为粘性安全(sticky secure)地址,然后这个配置就会添加到交换机的运行配置(Running configuration)中,就像管理员使用接口switchport port-security mac-addre静态配置了地址一样。
安全 1.vacl 使用命令route-map来配置vacl设备会按映射集的顺序进行检查当数量与放行acl相匹配,交换机就会采取相应行为。当流量与拒绝ace相匹配交换机就会按顺序检查一个acl或者检查下一个映像级。
① Permit允许捕获②redirect重定向③deny拒绝记录日志 2.DHCP欺骗攻击 攻击实施顺序
1)攻击者把未授权的DHCP服务器连接到交换机端口 2)客户端发送广播来请求DHCP配置信息
3)未授权DHCP服务器在何方DHCP服务器之前进行应答。为客户端分配攻击者所定义的IP配置信息
4)主机把攻击者提供的不正确的DHCP地址当作默认网关从而把数据包发送给攻击者的地址。
DHCP侦听(DHCP snooping)是cisco特性。他决定了那个交换机端口可以应答DHCP服务器请求。或者是连接DHCP服务器的上行链路 3.ARP欺骗攻击
主机会通过发送广播来查询特定IP地址的MAC地址。使用这个IP地址的设备以自己的MAC地址作为应答。发出查询的主机缓存ARP应答。并在发往这个IP地址的数据包的二层头部中,使用缓存的MAC 地址作为目的地址攻击者可以对合法地址设备发出的无故ARP进行ARP欺骗应答。使发送方设备认为攻击设备就是目的地主机。攻击者发出的ARP应答会使发送方设备把所有去往那些IP地址的数据包,都转发给攻击系统 4.IP防欺骗和IP源防护
IP源防护可以预防恶意主机占用其邻居的IP地址发起网络攻击IP源防护其于端口,以线速按照指定的源IP地址提供IP流量过滤。IP源防护特性通常应部署在接入层交换机的不可信端口上。IP源防护可以与DHCP侦听特性密切配合 5.AAA 1.定义
认证(Authentication)、授权(Authorization)、审计(Accounting)
2.认证(认证可以为处理下列事件提供方法)
①用户身份认证②登录和密码对话框③符复核和应答④消息⑤加密
除了本地认证、线路密码和enable认证以外,其他所有认证方法都需要使用AAA。3.授权
授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权,或者基于每个用户帐户列表或用户组为每个服务器进行授权。所有的授权方式都需要使用AAA。与认证一样,AAA授权也是基于每个接口进行应用的。4.审计
审计为收集和发送安全服务器信息提供了方法。这些信息可以用于计费(biling),查账(auditing)和报告(reporting)。这类信息包括用户身份,网络访问开始和结束的时间。执行过的命令,数据包的数量和字节的数量。
这些信息是交换机和路由器能够检测登录的用户,从而对于查账和增强安全性有很大的帮助。
5.配置AAA认证
开启AAA:
sw(config)#aaa new-model 配置认证:
sw(config)#aaa authentication login 1112 group radius local 指向radius服务器:sw(config)#radius-server host ip-addre 密钥验证:sw(config)#radius-server key h3c 6.配置AAA授权
交换机和路由器可以使用AAA授权来限制特定用户所能访问的服务AAA授权配置包括下列选项。
① Auth-proxy(授权代理):基于每个用户来 应用安全策略
用户需要使用web浏览器或交换机发送额外的ACL条目和配置文件信息来允许用户访问网络。
② Commands(命令):根据所有exec命令进行授权。其中包括某个指定特权级别所关联的配置命令。
③ Exec:根据用户exec终端会话所关联的属性进行授权 ④ Network(网络):根据网络连接类型进行授权,通常用语控制台服务器接入其他线路的情况
服务器接入其他线路的情况下
① Tacacs+:这是一个服务器/客户端方法,通过在每个用户上关联,来为用户储存具体权限,已确认不同选项的授权信息。这是TCP协议
② RADIUS:也是服务器/客户端方法同上,这是UDP协议
③ IF-authenticated:只要AAA进程已经成为该用户授权。该用户就可以访问所请求的任意功能。
④ None:为相应接口禁用授权功能
⑤ Local:使用相应交换机或路由器中配置的用户名和密码数据库 7.配置AAA审计
①网络审计:提供所有PPP、slip或者ARAP会话的信息,包括数据包数和字节数。② 接审计:提供所有网络出向连接的信息
③ exec审计:提供网络访问服务器上的用户exec终端会话信息 ④ 系统审计:提供所有系统事件的信息
⑤ 命令审计:提供网络访问服务器上所定义的某个特权级别相关的命令信息 ⑥ 资源审计:为传输 用户认呼叫提供开始和停止记录功能。
8.IEEE802.1x基于端口的认证
802.1x标准定义了基于端口的访问控制和认证协议,他能够禁止未授权的主机通过公共访问交换机端口连接局域中。认证服务器会对每个连接到交换机端口的主机进行认证。认证通过之前,802.1x访问控制功能只允许eapol(局域网扩展认证协议)。流量通过工作所连接的端口认证成功后,普通流量才能穿越该端口。
① 客户端:请求访问局域网和交换机服务的设备,之后他会响应交换机的请求
② 认证服务器:为客户端执行真实的认证。认证服务器会验证客户端身份的有效性并告诉交换机该客户端是否有权访问局域网或交换机服务。③ 交换机(也称为认证者):根据客户端的认证状态来控制网络的物理访问交换机端口状态决定了客户端是否获得了网络访问权限。相应认证默认
① Force-authorized:禁用802.1x基于端口的认证无需交换任何认证信息,端口就会转换为已授权状态。
② Force-unauthorized:这会导致端口忽略所有客户端认证请求,保持在未授权状态,交换机不能通过接口为用户提供认证
③ Auto:启用802.1x基于端口认证。端口一开始会处于未授权状态,只允许通过端口发送和接收eapol数据帧。当端口从DOWN换为up(认证启动)或者端口接收到eapol-srart数据帧(申请启动)。开始认证,当认证成功后,端口状态就会转换为已授权,所有数据帧都可以通过该端口。当客户登出时会发送eapol-logout消息,使交换机端口转换为未授权状态。9配置802.1x 1)启用AAA
sw(config)#aaa new-model 2)创建802.1x列表
sw(config)#aaa authentication dot1x 3)启用802.1x
sw(config)#dot1x system-auth-control 4)启用802.1x基于端口认证
sw(config-if)#dot1x port-control auto
从事设备管理多年,设备安全依然是个严峻而又必须直接面对的问题,我们有必要冷静思考,准确预防。我现在极不主张罚款,预防这种安全事故的发生唯一的办法就是强调、强调、再强调,从......
设备安全制度:(1)对设备进行经常性维护,定期检查,保证设备正常运行.(2)检查设备配置有自动控制安全保护装置。(3)维修车间设备应该布局有序,不得有互相干涉现象。(4)对危及安全......
设备安全操作规程文件编号:HS-SB-2012 版本:A/O受控状态:受控发放序号:编制:林占辉日期:2013.1.21审批:林壮石笼网机械操作规程一、操作方法、步骤1、将整理好的整径机轴放置在织网......
设备安全协议书现如今,男女老少都可能需要用到协议,签订协议是解决纠纷的保障。那么你真正懂得怎么写好协议吗?下面是小编为大家收集的设备安全协议书,仅供参考,大家一起来看看吧......
设备安全管理制度在当今社会生活中,制度起到的作用越来越大,制度是指在特定社会范围内统一的、调节人与人之间社会关系的一系列习惯、道德、法律(包括宪法和各种具体法规)、戒......
