最近要准备信息安全管理大赛,本文梳理下交换机加固和无线配置的知识,比赛是基于神州数码(DCN)的设备,命令行是思科类型

交换机安全加固

身份验证

用户创建

1
2
3
username test privilege 15 password 0 test #用户名、管理级别(15权限最大)密码
authentication line vty login local #设置vty用户登陆本地验证
enable password test #进入配置模式设置密码

SSH

1
2
3
4
ssh-server enable #开启ssh服务
ssh-server timeout 300 #ssh登录超时,单位秒
ssh-server max-connection 5 #ssh登陆最大数量
ssh-server host-key create rsa #ssh秘钥,基于RSA算法

web管理

1
2
3
4
5
6
ip http server #开启http服务,关闭前面加no
authentication line web login local #设置web用户登陆本地验证
#https
ip http secure-ciphersuite des-cbc-sha #设置加密方式
ip http secure-port 1025 #设置访问端口,1025-65535
ip http secure-server #开启https,必须在最后

802.1x认证

1
2
3
4
5
6
7
8
9
10
11
12
radius-server authentication host 10.103.117.7 #配置认证服务器
radius-server accounting host 10.103.117.7  #配置计费服务器
radius-server key 123   #配置认证服务器的密钥
aaa enable   #开启AAA认证
aaa-accounting enable  #开启AAA计费功能
dot1x enable  #开启802.1x认证
dot1x user free-resource 10.103.117.0 255.255.255.0 #设置认证前可访问资源

interface Ethernet 0/0/1   #进入端口
dot1x enable   #开启端口的1X认证
dot1x port-method userbased advanced #设置认证方式为userbased
dot1x port-control auto  #设置授权状态为auto

日志记录

网络日志审计

1
2
3
4
#将指定接口的流量镜像到流量审计服务器
monitor session 1 source inter ethernet 1/0/x both #防火墙的接口
monitor session 1 destination interface ethernet  1/0/x  #日志的接口
show monitor

交换机常规日志

1
2
info-center enable #开启日志记录
info-center loghost 192.168.1.1 facility local7 channel 9 #将log发送给日志服务器

二层防护

端口安全

1
2
3
4
5
6
7
8
9
mac-address-learning cpu-control #必须先全局开启mac地址学习
interface ethernet 1/0/2 #进入接口接口
switchport port-security #开启本接口的端口安全
switchport port-security maximum 5 #mac地址最大学习数量5
switchport port-security mac-address sticky #mac地址自动学习
switchport port-security violation restrict recovery 300 #当有违反规则的mac地址数据包通过限制接口,并在300秒后恢复,
#除此之外还有,shutdown、protect、recovery
switchport port-security aging time 1 #端口老化时间,用于忘记已经动态记住的mac地址
switchport port-security mac-address 2F-FF-FF-FF-FF-2F #手动绑定mac地址

私有vlan特性

详见ppt最后:https://wenku.baidu.com/view/b180f202bed5b9f3f90f1c99.html

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
#在DCRS交换机上配置私有VLAN特性阻止PC-3发起ARP DOS/DDOS渗透测试,并将DCRS交换机该配置信息截图。
#DCRS交换机该配置信息:
#Flag:
vlan 20 #PC-1连入的VLAN
private-vlan isolated
vlan 30 #PC-3连入的VLAN
private-vlan isolated
vlan 10 #DCST服务器场景连入的VLAN
private-vlan primary
private-vlan association 20;30

#私有vlan注意事项
#私有vlan配置的注意点
  #只有不包含任何以太网端口的vlan才能被设置Private VLAN
  #只有设置了关联关系的private vlan才能将Access类型的以太网端口设置为客户端
  #普通VLAN若被设置成Private VLAN后,会自动将所属以太网端口清空
#配置关联的注意点
  #只有Primary类型的VLAN才能设置Private VLAN关联关系

网关保护:ARP Guard

1
2
Interface Ethernet1/0/10 #特定接口,不支持vlan接口
arp-guard ip 192.168.10.1 #开启网关保护

MAC地址访问控制列表,类似于ip access-list

1
2
3
4
5
6
mac-access-list extended name #创建mac地址访问控制列表,表名为“name”
deny host-source-mac 00-ff-51-be-ad-32 host-destination-mac 00-ff-51-be-ad-32 #拒绝源mac地址为”00-ff-51-be-ad-32的主机访问目的地址为“00-ff-51-be-ad-32”的主机
permit any-source-mac any-destination-mac #允许所有源主机访问目的主机
#在接口上启用
Interface Ethernet1/0/10
mac access-group name in

防ARP扫描

1
2
3
4
5
6
7
8
9
10
anti-arpscan enable #启动防ARP扫描功能
anti-arpscan recovery enable #开启自定恢复
anti-arpscan recovery time 3600 #配置自动恢复时间
anti-arpscan trust ip 192.168.10.1 255.255.255.0  #配置信任IP,非必要

Interface Ethernet1/0/2 #与主机相连的接口
anti-arpscan trust port #配置信任接口

interface ethernet 1/0/3 #与交换机相连的接口
anti-arpscan trust supertrust-port #超级信任端口,对端交换机也许开启功能并配置接口

Arp local proxy

1
2
3
4
#功能:某种实际的应用环境中,为了防止 ARP 的欺骗,要求汇聚层的交换机实现local arp proxy功能,
#限制 ARP 报文在同一 vlan 内的转发,从而引导数据流量通过交换机进行 L3转发。
interface vlan 10
ip local proxy-arp

ARP动态监测

1
2
3
4
5
6
7
#需要和dhcp结合使用
ip arp inspection vlan 1 #开启arp检测的vlan号
interface e1/0/18
ip arp inspection trust #配置信任接口

interface vlan 30
ip arp dynamic maximum 50 #VLAN接口的ARP阀值为50

环路检测

1
2
3
4
5
6
7
8
9
10
11
12
#配置端口环路检测
loopback-detection interval-time 35 15

int ethernet 1/0/1
loopback-detection special-vlan 1-3
loopback-detection control [shutdown,block]

#如果使用 block 控制,必须全局启动 mstp,并且配置生成树实例与 vlan 的对应关系
spanning-tree
spanning-tree mst configuration
instance 1 vlan 1
instance 2 vlan 2

广播风暴抑制

1
2
3
4
interface ethernet 1/0/10 #vlan对应接口
storm-control broadcast 400 #速率400
storm-control unicast 400
storm-control multicast 400

DCHP防护

DHCP snooping

1
2
3
4
5
6
7
8
9
10
ip dhcp snooping enable #开启dhcp侦听
ip dhcp snooping binding enable #开启dhcp侦听绑定功能
ip dhcp snooping binding arp #绑定arp
ip dhcp snooping binding dot1x #绑定dot1x
ip dhcp snooping limit-rate <pps> #配置 DHCP snooping 报文转发速率

interface ethernet 1/0/11 #进入接口
ip dhcp snooping trust #配置接口为信任项
interface ethernet 1/0/1-10 #多个接口配置
ip dhcp snooping action shutdown #配置接口为非信任项

抗Ddos攻击

1
2
3
4
5
6
7
8
dosattack-check srcip-equal-dstip enable #防IP Spoofing攻击
dosattack-check ipv4-first-fragment enable #启用对第一片段IPv4包的检查
dosattack-check tcp-flags enable #防TCP非法标志攻击
dosattack-check srcport-equal-dstport enable #启用TCP/UDP L4端口的检查,防止端口欺骗
dosattack-check tcp-fragment enable #防TCP碎片攻击
dosattack-check icmp-attacking enable #防icmp碎片攻击
dosattack-check icmpV4-size 64 #icmp包大小限制64
dosattack-check tcp-segment 20 #TCP段大小限制


AC+AP部分

部分拓扑说明


基于dhcp option 43发现AP,所以需要先配置dhcp服务,

1
2
3
4
5
6
7
8
service dhcp #开启服务
ip dhcp excluded-address 192.168.2.1 192.168.2.2 #排除地址
ip dhcp pool vlan2
network-address 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 114.114.114.114

#与AP相连的接口必须划分到对应vlan,这里是vlan 2

发现AP并注册

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
#IP十进制转16进制
192.168.2.2
1100 0000.1010 1000.0000 0010.0000 0010
C0A80202

#开启option43服务
ip dhcp pool ap
option 43 hex 0104C0A80202 #0104固定值,后面是16进制IP
option 60 ascii udhcp 1.18.2 #固定值,1.18.2是AP版本,详见配置手册

#配置无线部分
wireless
no auto-ip-assign #关闭IP自动查找
enable #开启
no discovery vlan-list 1 #不查找vlan1,默认配置查找vlan1
discovery vlan-list 2 #查找vlan2
static-ip  192.168.2.2 #静态AC管理IP
show wireless

DCWS(config)#show wireless ap failure status

    MAC Address
 (*) Peer Managed   IP Address                              Last Failure Type           Age
------------------ --------------------------------------- ------------------------ ----------------
 00-03-0f-78-e2-40 192.168.2.3                             No Database Entry        0d:00:00:15

#将AP注册到数据库
wireless
DCWS(config-wireless)#ap database 00-03-0f-78-e2-40
DCWS(config-ap)#exit
DCWS(config-wireless)#ap authentication none
DCWS(config-wireless)#show wireless ap status

    MAC Address                                                            Configuration
 (*) Peer Managed  IP Address                              Profile Status     Status           Age
------------------ --------------------------------------- ------- ------- ------------- --------------
 00-03-0f-78-e2-40 192.168.2.3                                     Failed  Not Config    0d:00:00:58

Total Access Points............................ 1
DCWS(config-wireless)#

无线网络配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
#network配置
DCWS(config-wireless)#network 2
DCWS(config-network)#security mode wpa-personal //认证模式wpa
DCWS(config-network)#ssid DCN
DCWS(config-network)#vlan 2
DCWS(config-network)#wpa key chinaskill //认证密码
DCWS(config-wireless)#network 3
DCWS(config-network)#security mode none //不认证
DCWS(config-network)#ssid guest
DCWS(config-network)#vlan 2

#配置AP的配置文件
DCWS(config-wireless)#ap profile 2 //配置AP 1配置
DCWS(config-ap-profile)#radio 2 //选择工作频率,1位2.4,位5
DCWS(config-ap-profile-radio)#enable //打开
DCWS(config-ap-profile-radio)#vap 1 //一个vap对应一个network
DCWS(config-ap-profile-vap)#enable
DCWS(config-ap-profile-vap)#network 2
DCWS(config-ap-profile-radio)#vap 2
DCWS(config-ap-profile-vap)#enable
DCWS(config-ap-profile-vap)#network 3

#下发配置
DCWS#wireless ap profile apply 1
All configurations will be send to the aps associated to this profile and associated clients on these aps will be disconnected.
Are you sure you want to apply the profile configuration? [Y/N] y
AP Profile apply is in progress.
DCWS#

#注意:network1、profile1、vap0都有默认配置,尽量从第二个开始