*限制对交换机本身的访问
当一个交换机在网络上工作后,需要确保对交换机进行安全访问并限制任何对交换机本身的非常访问。
*限制Telnet
Telnet是最常见的访问网络设备并进行配置的方式,但是使用Telnet存在较大的风险,因为Telnet的过程是明文传输的,如果需要关闭Telnet,那么需要执行下列命令:
disable telnet
*使用SSH进行访问
SSH2是一个更为安全的telnet替代手段,密码不是明文传送,因此更安全。配置SSH2的第一步需要先生成SSH密码。密码可以从extreme网站下载,也可以从交换机上生成。(此项功能需要支持SSH的软件,因为美国有对于加密的出口限制,获得此类image需与当地Extreme的TAC联系)
config ssh2 key
WARNING: Generating new server host key
This will take approximately 10 minutes and cannot be canceled. Continue? (y/n)
以上命令将生成一个密码串,然后客户端就可以用SSH2登录交换机,公匙将在SSH2客户端连上时自动生成。通常我们建议使用SecureCRT(
http://www.vandyke.com/)。
*利用Acess-profile 限制对交换机的访问
在一个网络中,交换机提供很多管理途径,例如Telnet,SSH2,SNMP,Http等,但是仅有某些管理员才能登录以进行管理,这样需要使用access-profile来限制访问交换机的源。其结果可以尽量避免对交换机的Dos,DDos攻击和非法访问。
create access-profile "adminmanage" type ipaddress
configure access-profile "adminmanage" add 100 permit ipaddress 192.168.0.100/24
configure access-profile " adminmanage " add 1000 deny ipaddress 0.0.0.0/0
在这个access-profile中,我们只允许192.168.0.100这个IP所在的用户可以访问,再将acess-profile应用到具体的服务上。
应用到telnet上 enable telnet access-profile adminmanage
应用到SSH2上 enable ssh2 access-profile adminmanage
应用到snmp上 config snmp access-profile readonly adminmanage
config snmp access-profile readwrite adminmanage
应用到http上 enable web access-profile adminmanage
???????????????????????????????????????
*禁止某些具有安全隐患的设置
IP Option字段
通常情况下,IP option 字段并不使用,但很多攻击使用IP option,因为三层交换机通常使用CPU去处理Option 字段。当一个ISP如果没有需要使用象源路由等需要使用option字段的的服务时,那么可以配置下列的命令:
disable ip-option loose-source-route
disable ip-option strict-source-route
disable ip-option record-route
disable ip-option record-timestamp
避免使用IP广播转发。
IP 广播转发在默认情况下是关闭的(在较新版本软件中均是如此,但在较老版本软件中,有些却是打开的!例如4.0版本软件的Summit24中),但是我们应该显式地关闭这个功能。由于众所周知的原因,IP广播转发会带来很多的不安全因素,并会降低总体效率。
disable ipforwarding broadcast
udp-echo-sever通常情况下用于测试,在默认配置下应该是被禁止的。但是显式地禁止它是一个更好的主意。
disable udp-echo-server
这个命令禁止生成和处理BOOTP分组。这个命令在默认情况是打开的,在一个ISP的网络中是应该禁止的。
disable bootp vlan all
bootp relay /dhcp relay 用于主机获取它的IP地址,但是在一个高度需要安全的网络中需要以更安全的方法配置它,比如通过udp-forwarding的方法来配置dhcp relay。
disable bootprelay
以下是一个用udp-forwarding 代替enable bootrelay 的配置例子。
create udp-profile backbonedhcp
config backbonedhcp add 67 ipaddress 218.27.1.1
config user_vlan1 udp-profile backbonedhcp
Proxy ARP.
Proxy ARP是路由器用于帮助没有路由能力的主机去决定其它网段或子网上的MAC地址,路由器需要保留大量的MAC地址,这一个配置及设计正确的网络上应该不需要Proxy ARP,因此我们应该尽量避免使用该功能。
IRDP
IRDP 指的是ICMP Router Discovery Protocol (IRDP, RFC 1256),路由器能够通过IRDP向客户机宣告网关信息,当有多个网关存在时,如果客户端的默认网关失效,客户端能通过IRDP找到其它的网关。但是现在的网络有多种其它的方法可以其它类似的功能,而IRDP由于协议本身的原因有多个安全漏洞。因此我们应该将IRDP关闭。
disable irdp vlan <vlan name>
在网络设计上,避免使用如Multinet,ICMP redirect 等设计网络。
除非有特殊的理由,否则应应量避免使用Multinet功能。使用Multinet通常是由于历史的原因,但是现在的一些低端交换机大都能支持标准的802.1Q,因此应可能使用在一个端口上创建多个VLAN,不同的VLAN指派不同地址的方式来使代替使用Multinet。也应尽可能避免使用ICMP重定向的网络规划。
disable icmp redirect
*打开CPU DOS PROTECT
Extreme 交换机有强大的DOS攻击的自动保护能力。打开CPU DOS保护能够防范绝大部份的DOS攻击。在大多数的情况下,默认的CPU DOS PROTECT参数可以工作的很好。当打开CPU DOS 保护功能时,CPU能够自动检测大多数的DOS攻击,并自动生成ACL隔离攻击流量,保证网络的安全。CPU DOS PROTECT能够抵御大多数的DdoS 攻击如"Jolt", "opentear", "raped", "octopus", "boink", "winfreeze"等等。
enable cpu-dos-protect
注意:
这个命令本质不是用来防syn的,只是用来保护CPU的,即当到达CPU的相同报文达到一定个数后,交换机自己产生ACL来挡那个报文,具有局限性。所以即使配置了,当SYN FLOODING源大量制造假的IP PACKET的时候,三层交换机的CPU就会很high。
*有选择性的打开Enhanced CPU DOS Protect
在7.0版本以后的软件中,Extreme加入了增强的Dos Protect功能。
