Security
新的 Cisco Catalyst 交換機和 ISL 中繼?
較新的 Catalyst 不再提供 ISL 中繼模式。現在,當使用 VLAN 進行 WAN 隔離時,我擔心 VLAN 跳躍/封裝攻擊。
- 我能做些什麼來防止此類攻擊?
- 我可以混合使用 ISL 和 802.1Q 中繼連接嗎?
- 還有什麼我需要考慮的嗎?
謝謝
編輯:
如果所有主機都連接到“靜態訪問”配置的交換機埠並且 802.1Q 中繼僅在 Cisco 交換機之間,是否可以進行 VLAN 跳躍?
通過在面向主機的介面上使用以下配置,您應該相對安全:
switchport mode access switchport access vlan <vlan>
這將禁用埠上的 DTP(動態中繼協議)並有助於防止 VLAN 跳躍攻擊。
此外,最好使用以下配置列舉中繼介面上允許的 VLAN:
switchport trunk allowed vlan <vlan list>
可以在此處找到第 2 層安全最佳實踐的良好參考:
安全第 2 層安全深度 — 第 2 版(PDF)
如果交換機埠被強制進入訪問模式(
switchport nonegotiate
,switchport mode access
)並分配給特定的 VLAN(switchport access vlan X
),這是一個完全安全的設置;如果連接的主機發送任何標記幀,它將被丟棄,因為在該埠上不可能進行中繼。如果中繼只在交換機之間使用,並且您具有良好的物理安全性,那麼任何電腦都無法訪問除自己的 VLAN 之外的任何 VLAN。