【正文】 this is called a gratuitous ARP。 taking a Gb backbone to halfduplex 10 Mb was verified ?Requires attacker is dual homed to two different switches (with a hub, it can be done with just one interface on the attacking host) Access Switches Root Root Root X Blocked STP攻擊對(duì)策 ? Try to design loopfree topologies where ever possible, so you do not need STP； ? Don‘t disable STP, introducing a loop would bee another attack； ? BPDU Guard ? Should be run on all user facing ports and infrastructure facing ports ? Disables ports using portfast upon detection of a BPDU message on the port ? Globally enabled on all ports running portfast ? Root Guard ? Disables ports who would bee the root bridge due to their BPDU advertisement ? Configured on a per port basis； 數(shù)據(jù)鏈路層安全 ? VLAN Hopping攻擊； ? MAC/IP欺騙攻擊； ? DHCP服務(wù)器攻擊； ? CAM表溢出攻擊； ? Spanning Tree攻擊； ? ARP攻擊； ARP功能回顧 ? Before a station can talk to another station it must do an ARP request to map the IP address to the MAC address； ? This ARP request is broadcast using protocol 0806； ? All puters on the sub will receive and process the ARP request。 basic messages include: configuration, topology change notification/acknowledgment (TCN/TCA)。 Authentication ? IEEE標(biāo)準(zhǔn)，定義在共享介質(zhì)中（如 Ether， WLAN）提供二層認(rèn)證服務(wù)； ? 類似于 PPP 中提供認(rèn)證服務(wù)的 LCP； ? 在客戶端和認(rèn)證代理（如以太網(wǎng)交換機(jī)、無(wú)線 AP）之間進(jìn)行 EAP認(rèn)證信息的封裝； ? RADIUS在認(rèn)證代理和認(rèn)證服務(wù)器之間進(jìn)行 EAP信息的封裝； ? Authentication 在客戶端和認(rèn)證服務(wù)器之間進(jìn)行 (EAP)； ? Authorization and accounting 在認(rèn)證代理和認(rèn)證服務(wù)器之間進(jìn)行 (RADIUS)； 端口訪問(wèn)控制模型 Request for Service (Connectivity) Backend Authentication Support Identity Store Integration Supplicant ? Desktop/laptop ? IP phone ? WLAN AP ? Switch Authenticator ? Switch ? Router ? WLAN AP Authentication Server ? IAS ? ACS ? Any IETF RADIUS server Identity Store/Management ? MS AD ? LDAP ? NDS ? ODBC Kerberos ? 認(rèn)證協(xié)議 : ? 口令從不在網(wǎng)絡(luò)中傳輸； ? SSO （ Single signon）； ? 三個(gè)實(shí)體 : ? 訪問(wèn)應(yīng)用服務(wù)器上運(yùn)行服務(wù)的客戶端； ? 認(rèn)證服務(wù)器 ，即 KDC (Key Distribution Center ?認(rèn)證服務(wù)； ?ticketgranting服務(wù)； ? 應(yīng)用服務(wù)器； ? 使用 DES對(duì)所有消息（除初始化請(qǐng)求）進(jìn)行加密； ? 根據(jù) TGT（ Ticketgranting ticket ）向用戶提供服務(wù) Service Ticket； Kerberos – 初始化認(rèn)證 Kerberos – 獲取 Service Ticket Kerberos – 服務(wù)驗(yàn)證 認(rèn)證代理協(xié)議 ? RADIUS ? TACACS+ RADIUS ? Remote authentication dialin user service； ? 主要用于撥號(hào)網(wǎng)絡(luò)； ? IETF標(biāo)準(zhǔn)； ? 使用 UDP端口 1812，1813； ? 不足： ? 口令傳輸一般為明文；可使用 MD5進(jìn)行加密； ? 授權(quán)作為認(rèn)證的一部分； ? 屬性值空間有限； ? 最多支持 255個(gè)并發(fā)請(qǐng)求； ? 最多支持 255個(gè)廠商定義屬性值； ? 單向 RADIUS Server PSTN/ISDN Corporate Network DIAMETER ? 新的 IETF標(biāo)準(zhǔn)提案，提供向后的兼容性； ? 解決 RADIUS的不足； ? 雙向 ? 最多可支持 232個(gè) vendorspecific attributes屬性； ? 基本上無(wú)限個(gè)并發(fā)請(qǐng)求； ? 通過(guò) Acknowledgement和 Keepalive機(jī)制提高彈性； ? 提供加密保證消息的機(jī)密性和完整性； TACACS+ ? Terminal Access Controller Access Control System (enhanced)； ? Cisco開發(fā)； ? 基于 TCP端口 49； ? 提供比 RADIUS更多的授權(quán)選項(xiàng)； ? 支持 Automand； ? 支持多種協(xié)議； ? 支持?jǐn)?shù)據(jù)報(bào)文加密； ? 不足： ? 有限的廠商支持； ? 有限的服務(wù)器選項(xiàng)； TACACS+ Server TACACS+ Client Alice PSTN/ISDN Corporate Network RADIUS vs. TACACS+ vs. Kerberos RADIUS TACACS+ KERBEROS Uses UDP X Uses TCP X X Encryption Password Only All But Header All But Header Multiprotocol Support X Router Mgt Acct Control X X Router Mgt Auth Control X X LEAP Support X XAUTH Support X X X 四 . 主要網(wǎng)絡(luò)安全協(xié)議和機(jī)制 網(wǎng)絡(luò)安全 ? ―Security is only as strong as the weakest link!‖ Physical Links MAC Addresses IP Addresses Protocols/Ports Application Stream Application Presentation Session Transport Network Data Link Physical Application Presentation Session Transport Network Data Link Physical Compromised Initial Compromise POP3, IMAP, IM, SSL, SSH 數(shù)據(jù)鏈路層安全 ? VLAN Hopping攻擊； ? MAC/IP欺騙攻擊； ? DHCP服務(wù)器攻擊； ? CAM表溢出攻擊； ? Spanning Tree攻擊； ? ARP攻擊； Trunk 端口定義 ? 缺省可以對(duì)所有 VLAN進(jìn)行訪問(wèn)； ? 用于在同一個(gè)物理鏈路上對(duì)多個(gè) VLAN的流量進(jìn)行傳輸 (一般在交換機(jī)之間）； ? 封裝方式可以為 or ISL； Trunk Port Dynamic Trunk Protocol (DTP) ? 何謂 DTP? ? 自動(dòng)進(jìn)行 的配置； ? 在交換機(jī)之間生效； ? DTP在鏈路兩個(gè)端點(diǎn)之間協(xié)商，并同步狀態(tài)； ? DTP狀態(tài)可以是 ―Auto‖, ―On‖, ―Off‖, ―Desirable‖, 或 “ NonNegotiate‖ Dynamic Trunk Protocol 基本 VLAN Hopping 攻擊 Trunk Port Trunk Port 雙重 VLAN Hopping攻擊 ? Send double encapsulated frames ? Switch performs only one level of decapsulation ? Unidirectional traffic only ? Works even if trunk ports are set to off Strip Off First, and Send Back Out Frame Note: Only Works if Trunk Has the Same VLAN as the Attacker VLAN和 Trunk的最佳安全實(shí)踐 ? 為所有的 trunk端口定義一個(gè)專用的 VLAN ID； ? 將不用的端口置于 Disable狀態(tài)，并把它們分配到未使用的 VLAN中； ? 不要使用 VLAN1！ ? 對(duì)于連接客戶端的端口，將其 DTP自動(dòng)協(xié)商 trunk狀態(tài)置為 off； ? Explicitly configure trunking on infrastructure ports ? Use all tagged mode for the Native VLAN on trunks 數(shù)據(jù)鏈路層安全 ? VLAN Hopping攻擊； ? MAC/IP欺騙攻擊； ? DHCP服務(wù)器攻擊； ? CAM表溢出攻擊； ? Spanning Tree攻擊； ? ARP攻擊； 欺騙 Attacks ? MAC spoofing ? IP spoofing ? Ping of death ? ICMP unreachable storm ? SYN flood ? Trusted IP addresses can be spoofed 欺騙 MAC地址攻擊 ? Attacker sends packets with the incorrect source MAC address ? If work control is by MAC address, the attacker now looks like MAC A MAC B MAC C Received Traffic Source Address Mac B Traffic Sent with MAC B Source 欺騙 IP地址攻擊 ? Attacker sends packets with the incorrect source IP Address ? Whatever device the packet is sent to will never reply to the attacker MAC A MAC B MAC C Received Traffic Source IP Mac C Traffic Sent with IP Source 欺騙 IP/MAC攻擊 ? Attacker sends packets with the incorrect source IP and MAC address ? Now looks like a device that is already on the work MAC A MAC B MAC C Received Traffic