企业网络安全涉及方方面面。对于交换机来说,首要的是保证交换机端口的安全。在许多企业中,员工可以使用集线器和其他工具将一个互联网端口随意增加到多个端口,或者使用自己的笔记本电脑连接到企业网络。
类似的情况会给企业的网络安全带来不利影响。在本文中,作者将与您讨论交换机端口的常见安全威胁及其对策。
一.共同的安全威胁
在企业中,有许多威胁交换机端口的行为。总结一下,有以下几种情况。
首先,未经授权的用户主机随意连接到企业网络。如果员工从自己家里带电脑,可以拔掉一台主机的网线,插在自己带的电脑上,不需要管理员同意。然后连接到企业网络。这样会带来很大的安全隐患。
比如员工带的电脑,本身就可能有病毒。这样病毒就可以通过企业内部网络传播。或者非法复制企业内部信息等等。
二是擅自使用集线器等设备。有些员工为了增加网络终端数量,会擅自将集线器、交换机等设备插入办公室的网络接口。这种情况下,该网络接口对应的交换机接口的流量会增加。
导致网络性能下降。在企业网络的日常管理中,这也是经常遇到的危险行为。
在日常工作中,笔者发现很多网络管理员对交换机端口的安全性并不太重视。这是他们网络安全管理的一个盲点。他们对此有错误的理解。我以为开关锁在机房,不会有大问题。换句话说,
只把网络安全的重点放在防火墙等软件上,而忽略了交换机端口等硬件的安全。这是非常致命的。
二、主要对策
从上面的分析可以看出,企业中交换机端口的安全环境非常薄弱。在这种情况下,
如何加强港口的安全?如何防止未授权用户的主机连接到交换机的端口?如何防止未经授权的用户将集线器、交换机和其他设备插入办公室的网络接口?笔者有以下建议。
第一,要从意识上重视。笔者认为,首先,网络管理员要有意识地重视这一点。尤其需要消除硬件轻软件重的误区。在实际工作中,要建立一套合理的安全规划。例如对于交换机的端口,
需要制定一套合理的安全策略,包括是否限制MAC地址和访问交换机端口的主机数量等等。安全策略制定后,会进行严格的配置。在这种情况下,交换机端口安全的第一步已经完成。根据开关的工作原理,
系统中会有一个转发过滤数据库,里面会存储MAC地址等相关信息。通过交换机的端口安全策略,可以确保只有经过授权的用户才能访问交换机的特定端口。所以,只要网络管理员有这份心,
其实完全有能力保证交换机的端口安全。
二是从技术角度提高端口的安全性。例如,常见的方法是特定的交换机端口只能连接到特定的主机。例如,现在用户从家里带了一台笔记本电脑。将您原来公司的网线连接到这台笔记本电脑上,
你会发现你连不上企业网。这是由于两台电脑的MAC地址不同造成的。因为交换机的这个端口有限制。只有特定的IP地址可以通过此端口连接到网络。如果宿主改变了,
如果您需要允许它连接到此端口,您需要重新调整交换机的MAC地址设置。这种方法的优点是可以控制,只有授权的主机才能连接到交换机的特定端口。未经授权的用户无法连接。
缺点是配置的工作量会比较大。在周期开始时,需要配置每台交换机的端口。如果后续主机调整或者网卡更换(比如最近很多网卡被雷电损坏),就需要重新配置。这将导致后续工作量的增加。
如果需要这种MAC地址限制,可以使用命令switch portsecurity MAC-address进行配置。使用此命令,可以为交换机的每个端口分配一个MAC地址。
如上所述,实施这一限制需要做大量的工作。
三是对可以介接入的设备进行限制。出于客户端性能的考虑,我们往往需要限制某个交换机端口可以连接的最多的主机数量。如我们可以将这个参数设置为1,那么就只允许一台主机连接到交换机的端口中。如此的话,
就可以避免用户私自使用集线器或者交换机等设备拉增加端口的数量。不过这种策略跟上面的MAC地址策略还是有一定的区别。MAC地址安全策略的话,也只有一台主机可以连接到端口上。
不过还必须是MAC地址匹配的主机才能够进行连接。而现在这个数量的限制策略,没有MAC地址匹配的要求。也就是说,更换一台主机后,仍然可以正常连接到交换机的端口上。
这个限制措施显然比上面这个措施要宽松不少。不过工作量上也会减少不少。要实现这个策略的话,可以通过命令swichport-security maximun来实现。如故将这个参数设置为1,
那么就只允许一台主机连接到交换机的端口之上。这就可以变相的限制介入交换机或者集线器等设备。不过这里需要注意的是,如果用户违反了这种情况,那么交换机的端口就会被关闭掉。也就是说,
一台主机都连接不到这个端口上。在实际工作中,这可能会殃及无辜。所以需要特别的注意。
四是使用sticky参数来简化管理。在实际工作中,sticky参数是一个很好用的参数。可以大大的简化MAC地址的配置。如企业现在网络部署完毕后,
运行以下switch-port port-security mac-addres sticky命令。那么交换机各个端口就会自动记住当前所连接的主机的MAC地址。如此的话,在后续工作中,
如果更换了主机的话,只要其MAC地址与原有主机不匹配的话,交换机就会拒绝这台主机的连接请求。这个参数主要提供静态MAC地址的安全。管理员不需要再网络中输入每个端口的MAC地址。
从而可以简化端口配置的工作。不过如果后续主机有调整,或者新增主机的话,仍然需要进行手工的配置。不过此时的配置往往是小范围的,工作量还可以接受。
最后需要注意的是,如果在交换机的端口中同时连接PC主机与电话机的时候,需要将Maximun参数设置为2。因为对于交换机端口来说,电话机与PC机一样,都是属于同类型的设备。如果将参数设置为1,
那么就会出现问题。在电话机等设备集成的方案中设置端口安全策略时,需要特别注意这一点。很多网络管理员在实际工作中,会在这个地方载跟斗。
可见,要实现交换机的端口安全难度也不是很大,主要是网络管理员需要有这方面的观念。然后使用交换机的端口安全特性,就可以保障交换机的端口安全。以上介绍的几种方法,各有各的特点。
在可操作性上与安全性上各有不同。网络管理员需要根据自己公司网络的规模、对于安全性的要求等各个方面的因素来选择采用的方案。总之,在网络安全逐渐成为管理员心头大患的今天,
交换机的端口安全必须引起大家的关注。
