新的思科催化剂开关和ISL干线?
较新的催化剂不再提供ISL主干模式。现在,当使用VLAN进行广域网隔离时,我担心VLAN跳变/封装攻击。
- 我能做些什么来防止这种攻击呢?
- 我能混合ISL和802.1Q中继连接吗?
- 我还有什么要考虑的吗?
谢谢
编辑:
如果所有主机都连接到“静态访问”-configured交换机,而802.1Q中继仅在思科交换机之间,那么VLAN跳变是可能的吗?
回答 3
Server Fault用户
发布于 2011-03-04 11:56:29
经过相当多的研究,我找到了答案:
http://www.sans.org/security-resources/idfaq/vlan.php
在默认配置中,可以将802.1q帧注入交换机上的非中继端口,并将这些帧传递到目的地。如果将802.1q帧注入属于主干端口的本地VLAN的交换机端口,则可以使802.1q帧从一个VLAN跳到另一个VLAN。..。
因此,我必须确保访问模式VLAN不使用在主干上配置的本机VLAN:
...通过改变主干端口的本地VLAN,可以消除VLAN跳变。这是经过测试和发现是正确的。
Server Fault用户
发布于 2011-03-04 11:36:07
通过在面向主机的接口上使用以下配置,您应该相对安全:
switchport mode access
switchport access vlan <vlan>这将禁用端口上的DTP (动态集群协议),并帮助防止VLAN跳转攻击。
此外,使用以下配置枚举主干接口上允许的VLAN也是一个很好的做法:
switchport trunk allowed vlan <vlan list>在这里可以找到第二层安全最佳实践的良好参考:
安全层2深度安全。版本2 (PDF)
Server Fault用户
发布于 2011-03-04 11:42:10
如果一个交换机端口被迫访问模式(switchport nonegotiate,switchport mode access)并分配给特定的VLAN (switchport access vlan X),这是一个完全安全的设置;如果连接的主机(S)发送任何标记的帧,它将被丢弃,因为在该端口上不可能进行集群。
如果集群只在交换机之间使用,并且您有良好的物理安全性,那么除了自己的VLAN之外,任何计算机都无法访问任何VLAN。
https://serverfault.com/questions/243118
复制相似问题
腾讯云开发者
