SSH和交换机端口安全概述

这篇具有很好参考价值的文章主要介绍了SSH和交换机端口安全概述。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

        交换机的安全是一个很重要的问题,因为它可能会遭受到一些恶意的攻击,例如MAC泛洪攻击、DHCP欺骗和耗竭攻击、中间人攻击、CDP 攻击和Telnet DoS 攻击等,为了防止交换机被攻击者探测或者控制,必须采取相应的措施来确保交换机的安全性,常见的安全措施包括:配置访问密码、配置标语消息、远程管理使用SSHv2替代Telnet、禁用不需要的服务和应用、禁用未使用的端口、关闭SNMP或者使用SNMPv3、启用系统日志和及时安装最新的IOS软件等。部分安全措施如配置访问密码和配置标语消息等在第3章已经讨论过。

SSH简介

       采用Telnet远程管理设备时对登录身份验证和通信设备之间传输的数据都采用不安全的明文传输,不能有效防止远程管理过程中的信息泄露问题。SSH是Secure Shell(安全外壳)的简称,当用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和验证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。SSH工作端口为TCP22端口。SSH目前包括SSH1和SSH2两个版本,而且两个版本不兼容,通信双方通过协商确定使用的版本。为实现SSH的安全连接,在整个通信过程中服务器端与客户端要经历版本号、密钥和算法、验证阶段协商以及会话请求和会话交互5个阶段,由于SSH版本2在数据加密和完整性验证方面更加强大,建议使用。

交换机端口安全简介

        交换机依赖CAM表转发数据帧,当数据帧到达交换机端口时,交换机可以获得其源MAC地址并将其记录在CAM表中。如果CAM表中存在目的MAC地址条目,交换机将把帧转发到CAM表中指定的MAC地址所对应的端口。如果MAC地址在CAM表中不存在,则交换机将帧转发到除收到该帧端口外的每一个端口(即未知单播帧泛洪)。然而CAM表的大小是有限的,MAC泛洪攻击正是利用这一限制,使用攻击工具以大量无效的源MAC地址发送给交换机,直到交换机CAM表被填满,这种使得交换机CAM表溢出的攻击称为MAC泛洪攻击。当CAM表被填满时,交换机将接收到的流量泛洪到所有端口,因为它在自己的CAM表中找不到对应目的MAC地址的端口号,交换机实际上是起到类似于集线器的作用。

       配置交换机端口安全特性可以防止MAC泛洪攻击。端口安全限制交换机端口上所允许的有效MAC地址的数量或者特定的MAC地址。端口安全工作方式主要有如下3种。

  1. 静态:只允许具有特定MAC地址的终端设备从该端口接入交换机。如果配置静态端口安全,那么当数据包的源MAC地址不是静态指定的MAC地址时,交换机将按照惩罚模式进行惩罚,并且端口不会转发这些数据包。
  2. 动态:通过限制交换机端口接入MAC地址的数量来实现端口安全。默认情况下,交换机每个端口只允许一个 MAC地址接入该端口。
  3. 粘滞:这是一种将动态和静态端口安全结合在一起的方式。交换机端口通过动态学习获得终端设备的MAC地址,然后将信息保存到运行配置文件中,结果就像静态方式,只不过MAC地址不是管理员静态配置的,而是交换机自动学习的。当学到的MAC地址的数量达到端口限制的数量时,交换机就不会自动学习了。

 无论采用以上哪种方式配置端口安全,当尝试访问该端口的终端设备违规时,都可以通过如下三种模式之一进行惩罚。

  1. 保护(Protect):当新的终端设备接入交换机时,如果该端口的 MAC 地址条目超过最大数目或者与静态配置的 MAC地址不同,则这个新的终端设备将无法接入,而原有的设备不受影响,交换机不发送警告信息。
  2. 限制(Restrict):当新的终端设备接入交换机时,如果该端口的 MAC 地址条目超过最大数目或者与静态配置的MAC地址不同,则这个新的终端设备将无法接入,而原有的设备不受影响,交换机会发送警告信息,同时会增加违规计数器的计数。
  3. 关闭(Shutdown):当新的终端设备接入交换机时,如果该端口的MAC地址条目超过最大数目或者与静态配置的MAC地址不同,交换机该端口将会被关闭,并立即变为错误禁用(error-disabled)状态,这个端口下的所有设备都无法接入交换机,交换机会发送警告信息,同时会增加违规计数器的计数。当交换机端口处于error-disabled状态时,在端口先输入shutdown命令,然后再输入 no shutdown命令可重新开启端口,如果仍有违规终端设备接入,则继续进入error-disabled 状态。这种惩罚模式是交换机端口安全的默认惩罚模式。3种交换机端口安全交换机端口安全惩罚模式比较如下表所示。

3种交换机接口安全惩罚模式比较文章来源地址https://www.toymoban.com/news/detail-846991.html

惩罚模式 转发违规设备流量 发出警告 增加违规计数 关闭端口
Protect
Restrict
Shutdown

到了这里,关于SSH和交换机端口安全概述的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 5.3.1配置交换机 SSH 管理和端口安全

    1、实验目的 通过本实验可以掌握: 交换机基本安全配置。 SSH 的工作原理和 SSH服务端和客户端的配置。 2、实验​​​​​​拓扑 交换机基本安全和 SSH管理实验拓扑如图所示。 ​                         交换机基本安全和 SSH管理实验拓扑 3、实验步骤 1)配置

    2024年04月12日
    浏览(38)
  • 华为交换机设置指定IP访问ssh端口

    1、华为交换机设置用户能够通过ssh访问已经完成 华为交换机SSH 创建管理账号密码 2、为了安全,需要指定特定IP才能访问ssh端口 Huawei_x.x.x.x system-view   Enter system view, return user view with Ctrl+Z. [Huawei_x.x.x.x] acl number 2100 [Huawei_x.x.x.x-acl-basic-2100] rule 9 permit source 192.168.x.x1 0 [Huawei_x

    2024年02月09日
    浏览(45)
  • 高级网络安全管理员 - 网络设备和安全配置:交换机端口安全配置

    Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况

    2024年02月03日
    浏览(58)
  • 华三交换机配置ssh

    文章目录 概要 整体架构流程 技术名词解释 技术细节 小结    如新设备需要配置ssh或telnet远程连接,配置如下 技术细节 1.开启设备ssh服务或者telnet服务,如下 system-view [D05-S5048-02]ssh server enable  [D05-S5048-02]telnet server enable                 //如果不需要这不需要开启 2.配置

    2024年02月13日
    浏览(43)
  • 华为交换机配置SSH远程登陆

    拓扑图  1、配置IP 2、开启stelnet权限,这里就是指ssh 3、创建ssh用户名为admin 4、进入aaa模式下配置用户 5、配置vty界面支持的登录协议 6、Xshell 验证登陆  

    2024年02月11日
    浏览(41)
  • H3C 交换机配置SSH

    一.设备作为 SSH 服务器端设置 # 生成 RSA 密钥对。 H3Csystem-view // 进入系统视图 System View: return to User View with Ctrl+Z. [H3C]public-key local create rsa // 生成 RSA 密钥对 The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to abort. Input the

    2024年02月06日
    浏览(45)
  • 交换机配置管理IP并且开启SSH远程连接

    机房新上架的华三交换机,没有配置管理地址,不能远程,管理不方便。那么在交换机没有开启SSH远程连接的情况下,如何给交换机配置管理地址并且配置SSH远程连接呢? 在没有配置SSH远程连接的时候,我们可以使用console线去连接交换机。这里我使用的是USB转RJ-45调试线。线

    2024年02月16日
    浏览(47)
  • 华为路由器/交换机配置telnet,ssh远程登录

    常见的远程登录方式有telnet、ssh和密钥3种方式,在实际生产环境中,为了确保数据的传输安全,不推荐使用telnet。下面对3种方式分别进行测试。 AAA:3A认证,即:认证(Authentication);授权(Authorization);计帐(Accounting)。 cipher参数将密码在配置中加密显示。 privilege权限范围0-15,

    2024年02月11日
    浏览(46)
  • 华三交换机配置SSH远程登录和http、https登录

    1、配置管理IP地址 2、开启ssh服务并创建密钥 3、配置VTY(Virtual Teletype Terminal)虚拟接口的认证方式

    2024年02月17日
    浏览(123)
  • 锐捷交换机——配置设备登录管理方式:Telnet、SSH、CONSOLE

    目录 Ⅰ  创建管理IP Ⅱ  配置默认网关 Ⅲ  Telnet 方式登录 Ⅳ  SSH 方式登录 Ⅴ  CONSOLE 方式登录   二层交换机由于不支持路由口,只能使用SVI进行管理,三层交换机的设备管理地址可以采用SVI或路由口进行管理。 二层交换机: 二层交换机配置IP地址是用于管理设备使用,比

    2024年02月05日
    浏览(209)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包