企业网络安全涉及方方面面。从交换机的角度来说,首先选择的是保证交换机端口的安全性。在许多企业中,员工可以使用集线器和其他工具来增加互联网端口的数量,或者使用他们的笔记本电脑连接到企业网络。类似的情况会给企业的网络安全带来不利影响。在本文中,作者将与您讨论交换机端口的常见安全威胁及其对策。
一.共同的安全威胁
在企业中,有许多威胁交换机端口的行为。总结一下,有以下几种情况。
首先,未经授权的用户主机被随意连接到企业网络。如果员工从自己家里带电脑,可以不经管理员同意,拔掉一台主机的网线,插到自己的电脑上。然后连接到企业网络。这样会带来很大的安全隐患。比如员工带的电脑,本身就可能有病毒。这样病毒就可以通过企业内部网络传播。或者非法复制企业内部资料等。
二是擅自使用集线器等设备。有些员工为了增加网络终端数量,会擅自将集线器、交换机等设备插到办公室的网络接口上。这种情况下,该网络接口对应的交换机接口流量会增加,导致网络性能下降。在企业网络的日常管理中,这也是经常遇到的危险行为。
在日常工作中,我发现很多网络管理员并不太重视交换机端口的安全性。这是他们网络安全管理的一个盲点。他们对此有错误的理解。我以为开关是锁在机房里的,不会有什么大问题。换句话说,网络安全的重点只放在防火墙等软件上,而忽略了交换机端口等硬件的安全。这是非常致命的。
二、主要对策
从上面的分析可以看出,企业中交换机端口的安全环境是非常薄弱的。在这种情况下,如何加强港口的安全?我们如何防止未授权用户的主机连接到交换机的端口?如何防止未经授权的用户将集线器、交换机等设备插入办公室的网络接口?笔者有以下建议。
第一,要有意识的去关注。笔者认为,首先,网络管理员要注意这一点。特别是要消除轻硬件、重软件的错误。在实际工作中,要建立一套合理的安全规划。比如对于交换机的端口,要制定一套合理的安全策略,包括是否限制mac地址和访问交换机端口的主机数量等。安全策略制定后,会进行严格的配置。这样,交换机端口安全的第一步就完成了。根据交换机的工作原理,系统中会有一个转发过滤数据库,其中会保存MAC地址等相关信息。交换机的端口安全策略可以确保只有授权用户才能访问交换机的特定端口。正因如此,网络管理员只要有这份心,完全有能力维护交换机的端口安全。
二是从技术角度提高端口的安全性。例如,常见的方法是特定的交换机端口只能连接到特定的主机。例如,现在用户从家里带了一台笔记本电脑。如果你把你原来公司的网线连到这台笔记本电脑上,你会发现你连不上企业网。此时,两台计算机的MAC地址是不同的。因为交换机的这个端口有限制。只有特定的IP地址可以通过其端口连接到网络。如果主机发生变化,需要允许它连接到此端口,则需要重新调整交换机的MAC地址设置。这种方法的优点是可以控制,只有授权的主机才能连接到交换机的特定端口。未经授权的用户无法连接。缺点是配置的工作量会比较大。在周期开始时,需要配置每台交换机的端口。如果后续主机调整或者更换网卡(比如最近被迅雷损坏的网卡特别大),那么就需要重新配置。这将导致后续工作量的增加。如果需要这种MAC地址限制,可以使用命令switch portsecurity MAC-address进行配置。使用此命令后,您可以为交换机的每个端口分配一个MAC地址。如上所述,实施这一限制需要做大量的工作。
第三是限制可以通过接口访问的设备。出于客户端性能的考虑,我们通常需要限制可以连接到交换机端口的主机的最大数量。如果我们可以将此参数设置为1,那么只允许一台主机连接到交换机的端口。这样,可以防止用户使用集线器或交换机来增加端口的数量。但是,这种策略不同于上面的MAC地址策略。MAC地址安全策略,只有一台主机可以连接到该端口。但是,您必须是具有匹配MAC地址的主机才能连接。但这种数量限制策略中并没有对MAC地址匹配的要求。也就是换了一个主机之后,仍然可以正常连接到交换机的端口。这个限制显然比上面的宽松很多。但是工作量也会减少很多。要实现这一策略,您可以使用命令swich port-security maximum。因此,如果此参数设置为1,则只允许一台主机连接到交换机的端口。这样可以变相限制交换机或者集线器的介入。但是这里需要注意的是,如果用户违反了这种情况,交换机的端口会被关闭。换句话说,没有任何主机可以连接到此端口。实际上,这可能会伤害无辜的人。所以需要特别注意。
四是使用粘性参数简化管理。在实际工作中,粘性参数是一个非常有用的参数。可以大大简化MAC地址的配置。企业网络部署完成后,运行以下switch-port-security MAC-addresses sticky命令。那么交换机的每个端口都会自动记住当前连接的主机的MAC地址。这样在后续的工作中,如果更换了主机,只要这个主机的MAC地址与原主机不匹配,交换机就会拒绝这个主机的连接请求。此参数主要为静态MAC地址提供安全性。管理员不需要输入网络中每个端口的MAC地址。从而简化了端口配置的工作。但是,如果调整后续主机或添加新主机,仍需要手动配置。但此时的配置往往较小,工作量尚可。
最后,需要注意的是,如果PC主机和电话同时连接到交换机的端口,最大参数需要设置为2。对于交换机端口,电话是与PC相同类型的设备。如果参数设置为1,那么就会有问题。在电话等设备的集成方案中设置端口安全策略时,应特别注意这一点。很多网络管理员在实际工作中都会在这个地方翻跟头。
可以看出,实现交换机的端口安全并不是很难,主要是需要网络管理员有这个想法。然后,通过使用交换机的端口安全特性,可以保证交换机的端口安全。以上方法各有特点。在可操作性和安全性上有区别。网络管理员需要根据自己公司的网络规模、安全要求等因素来选择方案。总之,在网络安全逐渐成为管理员的一大烦恼的今天,交换机的端口安全必须引起大家的重视。
