`

SECURITY

 
阅读更多

edge&DMZ core&distribution access
firewall     routers       switch

1. mac flooding attacks
cam arp mac flooding
基于mac也许流量
port-security (先shutdown port 然后做完安全no shutdown)
conf ter
interface fastethernet 0/0
switchport port-security
switchport port-security {max-value | mac-address}
switchport port-security violation {shutdown | restrict | protect} (shutdown——>err-disable)
switchport port-security mac-address sticky
switchport port-security aging static
spanning-tree portfast
conf ter
errdisable recovery cause psecure-violation
#errdisable recovery interval 30
show errdisable recovery
show port-security
show port-security interface fastethernet 0/0
show port-security address

基于mac限制流量
mac-address-table static 0010.7b80.7b9b vlan 1 drop

阻止未知的unicast & multicast blocked
switchport block {unicast | multicast}

2. vlan attacks
vlan hopping
vlan hopping with double tagging
conf ter
switchport mode access

vacl
ip/mac——>FWD/DROP
conf ter
vlan access-map map_name [seq#]
match {ip address {1-199 | 1300-2699 | acl_name} | ipx address (800-999 | acl_name) | mac address acl_name }
action {drop [log]} | {foreward [capture]} | {redirect {type slot/port} | {port-channel channel_id}}
vlan filter map_name vlan_list list

private vlan (2个sub domain :primary vlan,secondary vlan(隔离vlan isolated 团体vlan community))
promiscuous:communicate with all other port
isolated:communicate with only promiscuous ports
community:communicate with other members of community and all promiscuous port
vtp模式transparent
pri、sec vlan
port——>vlan

交换机高版本
config
vtp mode transparent
vlan 20
private-vlan private
exit
vlan 501
private-vlan community
exit
vlan 502
private-vlan isolated
exit
vlan 20
private-vlan association 501,502
exit

conf ter
interface f 0/1
switchport mode private-vlan promiscuous
switchport private-vlan mapping 20 501,502
spanning-tree portfast
no shutdown

conf ter
interface range f 0/2 f 0/3
switchport mode private-vlan host
switchport private-vlan host-association 20 501
spanning-tree portfast
no shutdown

conf ter
interface range f 0/4 f 0/5
switchport mode private-vlan host
switchport private-vlan host-association 20  502
spanning-tree portfast
no shutdown

网管交换机
conf ter
interface vlan 20
ip add 1.1.1.100 255.255.255.0
private-vlan mapping 501,502
no shutdown
exit
ip routing


低版本交换机
interface f0/0
switchport protected
interface f0/1
switchport protected

3. spoofing attacks
dhcp spoof attacks
R1是不合法的dhcp服务器
R2是合法的dhcp服务器
R3是dhcp客户端
配置
端口在同一个vlan
都为access端口
都启用spanning-tree portfast
R1分发1.1.1.0/24 不合法
ip dhcp pool DAVY
network 1.1.1.0 /24

R2分发2.2.2.0/24 合法
ip dhcp pool DAVY
network 2.2.2.0 /24

交换机上
ip dhcp snooping
ip dhcp snooping vlan 1 (基于vlan 交换机上端口全为untrust)
interface fastethernet 0/2
ip dhcp snooping trust

R2上还要做
ip dhcp relay information trust-all

R1限制discovery包的发生频率
ip dhcp snooping limit rate 1

交换机上对client端 (防止dos攻击 ip source guard)
interface fastethernet 0/3
ip verify source (vlan dhcp-snooping) port-security

arp spoofing  (DAI&dhcp snooping)
临时解决方法:静态arp绑定
正常网关路由器和pc之间做
arp 10.1.1.2 aaaa.bbbb.cccc arpa
show arp
arp -s 10.1.1.2 aaaa.bbbb.cccc arpa


dynamic arp inspection

client
interface fastethernet 0/1 (sw的0/1 untrust)
ip address dhcp
假使中毒虚拟个mac
interface fastethernet 0/1
mac-address aaaa.bbbb.cccc (被deny了)


dhcp server
ip arp inspection vlan 1
interface f 0/2 (合法)
ip arp inspection trust

int f 0/1
ip arp inspection limit rate 10

show ip arp

 

4. attacks on switch device
show cdp neighbors
show cdp neighbors detail
no cdp run
interface e 0/0
no cdp enable
实验
在R1上
conf ter
int e 0/0
ip address 192.168.1.100 255.255.255.0
no shutdown
exit

username DAVY password amanda
line vty 0 4
login local
exit


SSH(secure shell protocol)
show version (iso有k指安全版本)
conf ter
ip domain name davy.com
crypto key generate rsa usage-keysgeneral-keys)modulus 512

username DAVY password amanda
line vty 0 4
login local
transport input ssh
exit

客户端(win使用ssh软件 路由器可直接使用)
ssh -l DAVY 192.168.1.100

 

 

 

 

 

 

 

 

 

 

 

分享到:
评论

相关推荐

    Security+培训全套PPT汇总.zip

    Security+培训全套PPT和知识点分享,供大家学习参考。 1、Security+培训-课程大纲(1) 2、Security+培训-安全基本概念(1.1) 3、Security+培训-网络安全(1.1) 4、Security+培训-合规与运维安全(1.1) 5、Security+培训...

    SpringSecurity笔记,编程不良人笔记

    SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...

    spring_security_3.1

    Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它在Spring生态系统中扮演着核心安全组件的角色,使得开发者能够轻松地实现安全性需求,包括用户认证、授权、会话管理...

    springboot security 静态资源

    在Spring Boot应用中,Spring Security是一个强大的安全框架,用于处理应用程序的安全需求,包括认证、授权等。当涉及到静态资源时,Spring Security默认会保护所有的URL,包括那些通常应该公开访问的静态内容,如...

    security开发所需全部jar

    "security开发所需全部jar"这个主题聚焦于Java Security框架,它为开发者提供了管理应用安全性的一系列工具和API。在构建一个支持权限控制的系统时,正确配置和使用相关的JAR文件至关重要。 在Java Security框架中...

    SpringSecurity.pdf

    Spring Security是一个功能强大、高度定制的安全框架,它专门用于为基于Spring的应用程序提供安全性解决方案。Spring Security架构的设计初衷是为了解决认证和授权的需求,确保应用程序的安全性。它提供了全面的安全...

    spring-security 官方文档 中文版

    ### Spring Security 官方文档中文版重要知识点解析 #### 一、Spring Security 概述 **1.1 Spring Security 是什么?** Spring Security 是一款基于 Spring 框架的安全插件,提供了完整的安全性解决方案,包括...

    Spring Security 资料合集

    Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Web应用和企业级应用提供了全面的安全服务。这个框架能够处理认证、授权以及各种安全相关的功能,帮助开发者构建安全、可扩展的应用。以下...

    springboot - 2.7.3版本 - (九)整合security

    在Spring Boot的世界里,Spring Security是一个强大的且高度可配置的安全框架,用于处理应用程序的认证与授权。本教程将聚焦于Spring Boot 2.7.3版本中的Spring Security整合,帮助你理解如何设置和使用它来保护你的...

    spring security 完整项目实例

    Spring Security 是一个强大的安全框架,用于为Java应用提供身份验证和授权服务。在这个完整的项目实例中,我们将深入探讨Spring Security的核心概念以及如何将其应用于实际的Web应用程序开发。 首先,我们从用户、...

    spring security 官方文档

    Spring Security 是一个强大的安全框架,用于为Java应用提供全面的安全管理解决方案。它是Spring生态系统的组成部分,专注于身份验证、授权和访问控制。Spring Security的核心特性包括: 1. **身份验证...

    spring-security-crypto-5.5.2-API文档-中文版.zip

    赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...

    SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)

    SpringBoot+SpringSecurity处理Ajax登录请求问题 SpringBoot+SpringSecurity处理Ajax登录请求问题是SpringBoot开发中的一個常见问题,本文将详细介绍如何使用SpringBoot+SpringSecurity处理Ajax登录请求问题。 ...

    Upstream Security Global Automotive Cybersecurity Report 2022

    Upstream Security Global Automotive Cybersecurity Report 2022 该报告提供了汽车行业的网络安全全景图,涵盖了当前汽车网络安全的威胁景观、攻击趋势、攻击媒介、影响行业的安全挑战和解决方案等方面的知识点。 ...

    Spring Security in Action

    Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...

    springsecurity学习笔记

    Spring Security 是一个强大的Java安全框架,用于保护基于Spring的应用程序。它提供了全面的安全服务,包括认证、授权、CSRF防护、会话管理等。在深入理解Spring Security之前,我们需要了解几个核心概念: 1. **...

    spring-security Jar包

    Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这个框架被广泛应用于Web应用程序,提供了一套全面的安全解决方案,包括用户认证、授权、会话管理以及防止常见...

    一个比较好的spring security实例

    Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理。它提供了认证、授权和访问控制等功能,使得开发者可以轻松地在应用程序中实现复杂的安全需求。在这个名为 "mysecurity" 的压缩包中,很可能是...

    spring security 4.0.0所需jar包

    Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛用于Java应用程序的安全性管理。这个压缩包包含了Spring Security 4.0.0版本所需的jar包,这是一组核心组件,为构建安全的Web应用提供了...

    spring-security-core-5.5.2-API文档-中文版.zip

    赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送源代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-...

Global site tag (gtag.js) - Google Analytics