防范交換機(jī)惡意攻擊的幾種應(yīng)對方案，在使用交換機(jī)的時(shí)侯，經(jīng)常會(huì)遇到防范交換機(jī)惡意攻擊的問題，這里將介紹配置加密密碼，禁用不必要或不安全的服務(wù)，控制臺(tái)和虛擬終端的安全部署，用SSH代替Telnet等防范交換機(jī)惡意攻擊的方法。

與路由器不同，交換機(jī)的安全威脅主要來自局域網(wǎng)內(nèi)部。出于無知、好奇，甚至是惡意，某些局域網(wǎng)用戶會(huì)對交換機(jī)進(jìn)行攻擊。不管他們的動(dòng)機(jī)是什么，這都是管理員們不愿看到的。為此，除了在規(guī)定、制度上進(jìn)行規(guī)范外，管理員們要從技術(shù)上做好部署，讓攻擊者無功而返。本文以Cisco交換機(jī)的安全部署為例，和大家分享自己的經(jīng)驗(yàn)。

防范交換機(jī)惡意攻擊：配置加密密碼

盡可能使用Enable Secret特權(quán)加密密碼，而不使用Enable Password創(chuàng)建的密碼。

防范交換機(jī)惡意攻擊：禁用不必要或不安全的服務(wù)

在交換機(jī)上尤其是三層交換機(jī)上，不同的廠商默認(rèn)開啟了不同的服務(wù)、特性以及協(xié)議。為提高安全，應(yīng)只開啟必須的部分，多余的任何東西都可能成為安全漏洞。可結(jié)合實(shí)際需求，打開某些必要的服務(wù)或是關(guān)閉一些不必要的服務(wù)。下面這些服務(wù)通常我們可以直接將其禁用。
禁用Http Server
no ip http server
禁用IP源路由，防止路由欺騙
no ip source route
禁用Finger服務(wù)
no service finger
禁用Config服務(wù)
no service config
禁用Hootp服務(wù)
no iP hootp server
禁用小的UDP服務(wù)
no service udp-small-s
禁用小的TCP服務(wù)
no service tcp-small-s

防范交換機(jī)惡意攻擊：控制臺(tái)和虛擬終端的安全部署

在控制臺(tái)上使用與虛擬終端(Vty)線路上配置認(rèn)證，另外，還需要對Vty線路使用簡單的訪問控制列表。
Switch(config)#access-list 1 permit 192.168.1.1
Switch(config)#line vty 0 4
Switch(config-line)#access-class 1 in

防范交換機(jī)惡意攻擊：用SSH代替Telnet

Telnet是管理員們連接至交換機(jī)的主要通道，但是在Telnet會(huì)話中輸入的每個(gè)字節(jié)都將會(huì)被明文發(fā)送，這可以被類似Sniffer這樣的軟件嗅探獲取用戶名、密碼等敏感信息。因此，使用安全性能更高的SSH強(qiáng)加密無疑比使用Telnet更加安全。
Switch(config)#hostname test-ssh
test-ssh(config)#ip domain-name net.ctocio.com
test-ssh(config)#username test password 0 test
test-ssh(config)#line vty 0 4
test-ssh(config-line)#login local
test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com
test-ssh(config)#ip ssh time-out 180
test-ssh(config)#ip ssh authentication-retries 5

簡單說明，通過上述配置將交換機(jī)命名為test-ssh，域名為net.ctocio.com，創(chuàng)建了一個(gè)命名test密碼為test的用戶，設(shè)置ssh的關(guān)鍵字名為test-ssh.net.ctocio.com，ssh超時(shí)為180秒，最大連接次數(shù)為5次。

防范交換機(jī)惡意攻擊：禁用所有未用的端口

關(guān)于防范交換機(jī)惡意攻擊這一點(diǎn)，筆者見過一個(gè)案例：某單位有某員工“不小心” 將交換機(jī)兩個(gè)端口用網(wǎng)線直接連接，(典型的用戶無知行為)，于是整個(gè)交換機(jī)的配置數(shù)據(jù)被清除了。在此，筆者強(qiáng)烈建議廣大同仁一定要將未使用的端口ShutDown掉。并且，此方法也能在一定程度上防范惡意用戶連接此端口并協(xié)商中繼模式。

防范交換機(jī)惡意攻擊：確保STP的安全

保護(hù)生成樹協(xié)議，主要是防范其他分公司在新加入一臺(tái)交換機(jī)時(shí)，因各單位網(wǎng)絡(luò)管理員不一定清楚完整的網(wǎng)絡(luò)拓?fù)?，配置錯(cuò)誤使得新交換機(jī)成為根網(wǎng)橋，帶來意外的BPDU。因此，需要核心管理員啟用根防護(hù)與BPDU防護(hù)。
默認(rèn)情況下交換機(jī)端口禁用根防護(hù)，要啟用它需要使用以下命令：
Switch(config)#spanning-tree guard root
默認(rèn)情況下，交換機(jī)端口也禁用BPDU防護(hù)。啟用它需使用下列命令：
Switch(config)#Spanning-tree Portfast bpduguard default
如果要在所有端口上啟用BPDU防護(hù)，可使用下面的命令：
Switch(config)#Spanning-tree Portfast bpduguard enable