08 2022 档案
摘要:
所谓MAC地址漂移是指在交换机上的一个端口学习到的MAC在同VLAN下的其他端口也学习到了相同的MAC地址;即该MAC地址在同一交换机下的相同VLAN的多个端口之间来回漂浮,一会在这口,一会在那口;我们把这种现象叫做MAC地址漂移现象;发生MAC地址漂移现象的原因只有两种,一种是网络中存在环路;一种就是网络中存在恶意用户伪造MAC地址来欺骗交换机;
阅读全文
所谓MAC地址漂移是指在交换机上的一个端口学习到的MAC在同VLAN下的其他端口也学习到了相同的MAC地址;即该MAC地址在同一交换机下的相同VLAN的多个端口之间来回漂浮,一会在这口,一会在那口;我们把这种现象叫做MAC地址漂移现象;发生MAC地址漂移现象的原因只有两种,一种是网络中存在环路;一种就是网络中存在恶意用户伪造MAC地址来欺骗交换机;
阅读全文
摘要:
什么是端口安全呢?端口安全是对端口的一种保护机制;我们知道MAC安全特性中,默认情况没有配置任何配置的端口,它能够学习很多动态MAC,并且老化时间为5分钟;即我们没有限制端口学习MAC的数量;没有限制数量这意味着只要有一个MAC帧,对应端口都会学习源MAC,即不管是伪造的mac还是真正设备的MAC,该端口都会进行学习MAC和转发数据;端口安全主要是从MAC的学习数量和MAC的内容进行限制,从而实现该端口只能学习和转发合法的MAC地址及数据;即端口安全提供了限制该端口学习MAC的数量以及限制MAC的内容这两种机制;开启了端口安全功能以后,交换机学习到的动态mac地址会转换为安全MAC地址(安全MAC地址包括,动态安全MAC、安全静态MAC和sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性;
阅读全文
什么是端口安全呢?端口安全是对端口的一种保护机制;我们知道MAC安全特性中,默认情况没有配置任何配置的端口,它能够学习很多动态MAC,并且老化时间为5分钟;即我们没有限制端口学习MAC的数量;没有限制数量这意味着只要有一个MAC帧,对应端口都会学习源MAC,即不管是伪造的mac还是真正设备的MAC,该端口都会进行学习MAC和转发数据;端口安全主要是从MAC的学习数量和MAC的内容进行限制,从而实现该端口只能学习和转发合法的MAC地址及数据;即端口安全提供了限制该端口学习MAC的数量以及限制MAC的内容这两种机制;开启了端口安全功能以后,交换机学习到的动态mac地址会转换为安全MAC地址(安全MAC地址包括,动态安全MAC、安全静态MAC和sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性;
阅读全文
摘要:
基于mac的攻击,通常手段有两种,一种是泛洪,一种是欺骗;所谓泛洪就是指攻击者在短时间内伪造很多mac地址帧,直接把交换机的mac地址表给写满;这样做最直接的后果就是,正常的数据包,交换机里没有对应mac,它不知道怎么转发,这个时候它就会泛洪,一泛洪,对应攻击者就能抓到数据包,从而获取数据;所谓欺骗是指攻击者恶意发送arp广播,告诉交换机,网关是我(通常就是欺骗网关,当然中间人攻击,也是类似的过程,两边欺骗);交换机收到攻击者的arp广播,它肯定会记录对应mac地址和接口,同时因为是arp广播,交换机上的其他pc收到对应的包,就会在本地记录对应mac和ip地址;从而在pc和网关通信时,会封装对应的mac地址,将数据发送给攻击者;这样一来攻击者就能够通过抓包等手段获取用户的数据;总之不管是mac泛洪攻击还是欺骗攻击,都是利用交换机的工作原理,通过mac地址表项来转发数据的特性来实行的攻击;
阅读全文
基于mac的攻击,通常手段有两种,一种是泛洪,一种是欺骗;所谓泛洪就是指攻击者在短时间内伪造很多mac地址帧,直接把交换机的mac地址表给写满;这样做最直接的后果就是,正常的数据包,交换机里没有对应mac,它不知道怎么转发,这个时候它就会泛洪,一泛洪,对应攻击者就能抓到数据包,从而获取数据;所谓欺骗是指攻击者恶意发送arp广播,告诉交换机,网关是我(通常就是欺骗网关,当然中间人攻击,也是类似的过程,两边欺骗);交换机收到攻击者的arp广播,它肯定会记录对应mac地址和接口,同时因为是arp广播,交换机上的其他pc收到对应的包,就会在本地记录对应mac和ip地址;从而在pc和网关通信时,会封装对应的mac地址,将数据发送给攻击者;这样一来攻击者就能够通过抓包等手段获取用户的数据;总之不管是mac泛洪攻击还是欺骗攻击,都是利用交换机的工作原理,通过mac地址表项来转发数据的特性来实行的攻击;
阅读全文
摘要:
我们知道GRE隧道技术是主要用来打通原本不能直接通信的两个设备,该技术的优点就是支持组播,支持组播就意味着我们可以在互联网上借助GRE隧道来跑路由协议;但是GRE有一个最大的缺点就是它不加密;IPSec VPN它的优点就是支持加密,缺点就是不支持组播;为了能够实现能够在互联网上跑私网路由协议,我们可以把这两个技术结合使用;即使用GRE隧道来跑路由协议,用ipsec VPN隧道来加密GRE隧道数据;
阅读全文
我们知道GRE隧道技术是主要用来打通原本不能直接通信的两个设备,该技术的优点就是支持组播,支持组播就意味着我们可以在互联网上借助GRE隧道来跑路由协议;但是GRE有一个最大的缺点就是它不加密;IPSec VPN它的优点就是支持加密,缺点就是不支持组播;为了能够实现能够在互联网上跑私网路由协议,我们可以把这两个技术结合使用;即使用GRE隧道来跑路由协议,用ipsec VPN隧道来加密GRE隧道数据;
阅读全文
摘要:
首先我们需要保证网络的可达性,然后在用ACL去识别IPSec VPN感兴趣的流量,即描述那些流量走IPSec VPN;后面的三个步骤就是创建IPSec 安全提议,即描述用什么加密算法、认证算法、报文使用什么安全协议封装等等;创建安全策略就是把前边的ACL和后面的安全提议做捆绑,当然以上都做好以后,我们还需要在某个接口来应用对应的安全策略,对应策略就生效了;
阅读全文
首先我们需要保证网络的可达性,然后在用ACL去识别IPSec VPN感兴趣的流量,即描述那些流量走IPSec VPN;后面的三个步骤就是创建IPSec 安全提议,即描述用什么加密算法、认证算法、报文使用什么安全协议封装等等;创建安全策略就是把前边的ACL和后面的安全提议做捆绑,当然以上都做好以后,我们还需要在某个接口来应用对应的安全策略,对应策略就生效了;
阅读全文
摘要:
安全联盟建立的方式有两种,分别是手动和IKE自动协商方式;两者的主要区别为密钥生成方式的不同和生存周期的不同;手动方式下,建立SA所需要用户手工配置,也只能手动刷新,在中大型网络中,这种方式有一个缺点,就是密钥是固定的,不安全,需要人工手动更改密钥,这样一来密钥管理成本就很高;而对于IKE自动协商,建立SA需要加密、验证密钥是通过DH算法生成的,可以动态刷新,因此相对于手工方式,IKE自动协商的方式,管理密钥成本较低,并且安全性较高;生命周期的不同主要体现在,手动建立的SA是永久的,而IKE建立的SA,其生命周期由双方配置的生存周期参数控制;因此,手动方式适合对等体设备数量较少时,或小型网络环境中;对于中大规模网络环境,推荐使用IKE自动协商方式建立SA;
阅读全文
安全联盟建立的方式有两种,分别是手动和IKE自动协商方式;两者的主要区别为密钥生成方式的不同和生存周期的不同;手动方式下,建立SA所需要用户手工配置,也只能手动刷新,在中大型网络中,这种方式有一个缺点,就是密钥是固定的,不安全,需要人工手动更改密钥,这样一来密钥管理成本就很高;而对于IKE自动协商,建立SA需要加密、验证密钥是通过DH算法生成的,可以动态刷新,因此相对于手工方式,IKE自动协商的方式,管理密钥成本较低,并且安全性较高;生命周期的不同主要体现在,手动建立的SA是永久的,而IKE建立的SA,其生命周期由双方配置的生存周期参数控制;因此,手动方式适合对等体设备数量较少时,或小型网络环境中;对于中大规模网络环境,推荐使用IKE自动协商方式建立SA;
阅读全文
摘要:
我们知道传统的TCP/IP协议是缺乏有效的安全认证和保密机制;IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证ip数据报文在网络上传输的机密性、完整性和防重放性;它源于IPV6,是IETF定制的一套安全保密性能框架;它建立在网络层的安全保障机制,引入了多种加密算法、验证算法和密钥管理机制,同时也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点;IPSec VPN是利用IPSec隧道建立的VPN技术;
阅读全文
我们知道传统的TCP/IP协议是缺乏有效的安全认证和保密机制;IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证ip数据报文在网络上传输的机密性、完整性和防重放性;它源于IPV6,是IETF定制的一套安全保密性能框架;它建立在网络层的安全保障机制,引入了多种加密算法、验证算法和密钥管理机制,同时也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点;IPSec VPN是利用IPSec隧道建立的VPN技术;
阅读全文
摘要:
什么是PKI?PKI是Pubilc key infrastructure的缩写,公钥基础架构;通过公钥技术与数字证书保证信息安全的体系;该体系主要由公钥加密技术、数字证书、CA、RA等共同组成;该体系能够实现信息的机密性、完整性和身份验证,不可否认性;
阅读全文
什么是PKI?PKI是Pubilc key infrastructure的缩写,公钥基础架构;通过公钥技术与数字证书保证信息安全的体系;该体系主要由公钥加密技术、数字证书、CA、RA等共同组成;该体系能够实现信息的机密性、完整性和身份验证,不可否认性;
阅读全文
摘要:
GRE是Generic Routing Encapsulation的缩写,翻译成中文就是通用路由封装协议;该协议提供了将一种协议的报文封装在另一种协议报文中的机制,是隧道封装技术;GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全;该协议是一种三层VPN封装技术,在任意一种网络协议上传送任意一种其他网络协议的方法,解决了跨越异种网络的报文传输问题,异种报文传输的通道成为Tunnel(隧道);
阅读全文
GRE是Generic Routing Encapsulation的缩写,翻译成中文就是通用路由封装协议;该协议提供了将一种协议的报文封装在另一种协议报文中的机制,是隧道封装技术;GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全;该协议是一种三层VPN封装技术,在任意一种网络协议上传送任意一种其他网络协议的方法,解决了跨越异种网络的报文传输问题,异种报文传输的通道成为Tunnel(隧道);
阅读全文