局域网交换机安全 PDF格式高清电子书免费下载

局域网交换机安全

作者 【美】Eric Vyncke Christopher Paggen
译者 孙余强 孙剑
出版社 人民邮电出版社
出版日期 2010-07-01
页数 307
格式 Paper book / ebook (PDF)
ISBN 9787115229908
价格 55
  • 内容简介
  • 图书目录
  • 免费下载

出版信息

ISBN:9787115229908
语言:简体中文
包装/印刷类型:1
开本:16开
出版时间:2010-07-01
页数:307

内容简介

本书是加固2层网络设备,抵御网络攻击的实践指南。本书详细解释了与以太网交换机相关的网络设施的安全漏洞,并在此基础上给出了交换机的配置方案,以缓解或阻止网络可能遇到的各种攻击。

  本书是迄今为止国内引进的第 一本专门介绍第 二层交换环境安全技术的图书。作者在书中通过一个个鲜活的第 二层攻击场景,以及针对这些攻击的化解之策,来强调第 二层安全的重要性。这些针对第 二层协议的攻击场景,囊括了读者所知的任何一种第 二层协议(STP、VRRP/HSRP、LACP/PagP、ARP等)。书中给出了针对上述攻击的各种反制措施。

  除了攻击与对抗攻击之外,作者还高屋建瓴般地展望了未来以及正在流行的第 二层安全体系结构及技术,这包括线速的ACL、IEEE 802.1AE、Cisco INBS以及结合IPSec与L2TPv3的安全伪线。读完本书之后,读者将会加深对网络整体安全性的理解:网络安全并不能只靠防火墙、入侵检测系统甚到是内容过滤设备。如果没有上述这些设备,在网络的第 二层利用交换机同样可以实施网络安全。

  本书适合从事计算机网络设计、管理和运维工作的工程技术人员阅读,可以帮助网络(安全)工程师、网络管理员快速、高效地掌握各种第 二层网络安全技术。本书同样可以作为高校计算机和通信专业本科生或研究生学习网络安全的参考资料。

图书目录

目 录

第 1部分 安全隐患和缓解技术

第 1章 安全导论 3

1.1 安全三要素(Security Triad) 3

1.1.1 保密性(Confidentiality) 4

1.1.2 完整性(Integrity) 5

1.1.3 可用性(Availability) 5

1.1.4 逆向安全三要素(Reverse Security Triad) 5

1.2 风险管理(Risk Management) 6

1.2.1 风险分析 6

1.2.2 风险控制 7

1.3 访问控制和身份管理 7

1.4 密码学(Cryptography) 9

1.4.1 对称加密系统 10

1.4.2 非对称加密系统 12

1.4.3 针对加密系统的攻击 15

1.5 总结 16

1.6 参考资料 17

第 2章 挫败学习型网桥的转发进程 19

2.1 基础回顾:以太网交换101 19

2.1.1 以太网帧格式 19

2.1.2 学习型网桥 21

2.1.3 过量泛洪(Excessive Flooding)的后果 22

2.2 利用桥接表的MAC地址泛洪攻击 23

2.2.1 强制产生一个过量泛洪的条件 23

2.2.2 macof工具简介 26

2.3 MAC欺骗(MAC Spoofing)攻击:MAC泛洪的变异 30

2.4 预防MAC地址泛洪及欺骗攻击 32

2.4.1 探测MAC Activity 32

2.4.2 port security(端口安全) 32

2.4.3 未知单播泛洪的保护 35

2.5 总结 36

2.6 参考资料 37

第3章 攻击生成树协议 39

3.1 生成树协议入门 39

3.1.1 STP的类型 41

3.1.2 STP操作的更多细节 42

3.2 开始攻击游戏 48

3.2.1 攻击1:接管根网桥 50

3.2.2 攻击2:利用配置BPDU泛洪的DoS 55

3.2.3 攻击3:利用配置BPDU泛洪的DoS 58

3.2.4 攻击4:模拟一台双宿主(Dual-Homed)交换机 58

3.3 总结 59

3.4 参考资料 59

第4章 VLAN安全吗 61

4.1 IEEE 802.1Q概览 61

4.1.1 帧的归类(Classification) 62

4.1.2 “入乡随俗”(go native) 63

4.1.3 802.1Q标记栈(802.1Q Tag Stack)攻击 65

4.2 理解Cisco动态Trunk协议(Dynamic Trunking Protocol) 69

4.2.1 手动发起一个DTP攻击 70

4.2.2 DTP攻击的反制措施 73

4.3 理解Cisco VTP 74

4.4 总结 75

4.5 参考资料 75

第5章 利用DHCP缺陷的攻击 77

5.1 DHCP概览 77

5.2 攻击DHCP 80

5.2.1 耗尽DHCP的范围:针对DHCP的DoS攻击 81

5.2.2 利用DHCP无赖服务器劫持流量 83

5.3 DHCP(范围)耗尽攻击的对策 84

5.3.1 Port Security(端口安全) 85

5.3.2 介绍DHCP snooping 87

5.4 针对IP/MAC欺骗攻击的DHCP snooping 91

5.5 总结 94

5.6 参考资料 95

第6章 利用IPv4 ARP的攻击 97

6.1 ARP基础回顾 97

6.1.1 正常的ARP行为 97

6.1.2 免费ARP 99

6.2 ARP的风险分析 100

6.3 ARP欺骗(ARP spoofing)攻击 100

6.3.1 ARP欺骗攻击诸要素 100

6.3.2 发起一次ARP欺骗攻击 102

6.4 缓解ARP欺骗攻击 103

6.4.1 动态ARP检测 104

6.4.2 保护主机 107

6.4.3 入侵检测 107

6.5 缓解其他的ARP缺陷(vulnerability) 108

6.6 总结 109

6.7 参考资料 109

第7章 利用IPv6邻居发现和路由器通告协议的攻击 111

7.1 IPv6简介 111

7.1.1 IPv6的动机 111

7.1.2 IPv6改变了什么 112

7.1.3 邻居发现 116

7.1.4 路由器通告的无状态配置 117

7.2 ND和无状态配置的风险分析 119

7.3 缓解ND和RA攻击 120

7.3.1 针对主机 120

7.3.2 针对交换机 120

7.4 安全的ND 120

7.5 总结 122

7.6 参考资料 123

第8章 以太网上的供电呢 125

8.1 PoE简介 125

8.1.1 PoE的工作原理 126

8.1.2 检测机制 126

8.1.3 供电机制 128

8.2 PoE的风险分析 129

8.3 缓解攻击 130

8.3.1 防御偷电行为 130

8.3.2 防御改变功率攻击 131

8.3.3 防御关闭攻击 131

8.3.4 防御烧毁攻击 131

8.4 总结 132

8.5 参考资料 132

第9章 HSRP适应力强吗 135

9.1 HSRP的工作原理 135

9.2 攻击HSRP 138

9.2.1 DoS攻击 139

9.2.2 中间人攻击 140

9.2.3 信息泄露 140

9.3 缓解HSRP攻击 140

9.3.1 使用强认证 141

9.3.2 依靠网络基础设施 143

9.4 总结 144

9.5 参考资料 144

第 10章 能打败VRRP吗 147

10.1 探索VRRP 147

10.2 VRRP的风险分析 150

10.3 缓解VRRP攻击 151

10.3.1 使用强认证 151

10.3.2 依靠网络基础设施 152

10.4 总结 152

10.5 参考资料 152

第 11章 Cisco辅助协议与信息泄露 155

11.1 Cisco发现协议 155

11.1.1 深入研究CDP 155

11.1.2 CDP的风险分析 157

11.1.3 缓解CDP的风险 159

11.2 IEEE链路层发现协议 159

11.3 VLAN Trunking协议 160

11.3.1 VTP风险分析 161

11.3.2 VTP风险分析 162

11.4 链路聚合协议 163

11.4.1 风险分析 165

11.4.2 风险缓解 166

11.5 总结 166

11.6 参考资料 167

第 2部分 交换机如何抵抗拒绝服务攻击

第 12章 拒绝服务攻击简介 171

12.1 DoS攻击和DDoS攻击的区别 171

12.2 发起DDoS攻击 172

12.2.1 僵尸行动(Zombie) 172

12.2.2 Botnet(僵尸群) 173

12.3 DoS和DDoS攻击 174

12.3.1 攻击基础设施 174

12.3.2 遏制针对服务的攻击 175

12.4 利用DoS和DDoS攻击LAN交换机 175

12.4.1 交换机的内部结构 175

12.4.2 三种平面 176

12.4.3 攻击交换机 177

12.5 总结 180

12.6 参考资料 181

第 13章 控制平面的监管 183

13.1 哪些服务驻留于控制平面 184

13.2 保护交换机的控制平面 185

13.3 实施基于硬件的CoPP 186

13.3.1 在Catalyst 6500上配置基于硬件的CoPP 187

13.3.2 在Cisco ME3400上配置控制平面的安全 189

13.4 实施基于软件的CoPP 192

13.5 使用CoPP遏制攻击 196

13.5.1 在Catalyst 6500交换机上遏制攻击 196

13.5.2 在Cisco ME3400交换机上遏制攻击 203

13.6 总结 206

13.7 参考资料 207

第 14章 屏蔽控制平面协议 209

14.1 配置交换机屏蔽控制平面协议 209

14.1.1 安全地屏蔽控制平面的行为 211

14.1.2 屏蔽其他控制平面的行为 216

14.1.3 不能被屏蔽的控制平面行为 219

14.1.4 控制平面的**佳做法 219

14.2 总结 220

第 15章 利用交换机发现数据平面拒绝服务攻击(DoS) 223

15.1 使用NetFlow检测DoS 223

15.1.1 在Catalyst 6500上启用NetFlow 227

15.1.2 利用NetFlow作为安全工具 229

15.1.3 利用NetFlow应用程序增强安全性 230

15.2 利用RMON保护网络 232

15.3 检测活跃蠕虫的其他技术 235

15.4 总结 237

15.5 参考资料 237

第3部分 用交换机来增强网络安全

第 16章 线速访问控制列表 243

16.1 ACL还是防火墙? 244

16.2 状态还是无状态? 245

16.3 利用ACL保护基础设施 245

16.4 RACL、VACL和PACL: 多种类型的ACL 247

16.4.1 使用RACL 247

16.4.2 使用VACL 248

16.4.3 使用PACL 250

16.5 快速ACL查找(Lookup)的技术原理 250

16.6 总结 253

第 17章 基于身份的网络服务与802.1X 255

17.1 基础 256

17.2 身份(identify)的基本概念 256

17.2.1 身份标识 256

17.2.2 认证 257

17.2.3 授权 257

17.3 探索扩展认证协议 257

17.4 探究IEEE 802.1X 258

17.5 802.1X安全 260

17.5.1 集成增值(Value-Add)的802.1X 262

17.5.2 保持内部诚信 265

17.6 使用多台设备 268

17.6.1 single-auth模式 268

17.6.2 Multihost(多主机)模式 269

17.7 使用无802.1X能力的设备 270

17.7.1 802.1X Guest-VLAN 270

17.7.2 802.1X Guest-VLAN计时 271

17.7.3 MAC地址认证入门 273

17.7.4 MAB的操作 273

17.8 策略执行 278

17.9 总结 279

17.10 参考资料 280

第4部分 网络安全的下一步

第 18章 IEEE 802.1AE 285

18.1 企业网的发展趋势与挑战 285

18.2 信任危机 286

18.2.1 数据平面的流量 286

18.2.2 控制平面的流量 287

18.2.3 管理流量 287

18.3 加密之路:WAN和WLAN简史 287

18.4 第 二层,为什么不 288

18.5 链路层安全:IEEE 802.1AE/af 289

18.5.1 现状:使用802.1X进行认证 289

18.5.2 LinkSec:对802.1X进行扩展 291

18.5.3 认证和密钥分发 292

18.5.4 数据的机密性与完整性 293

18.5.5 帧格式 293

18.5.6 加密模式 295

18.6 安全性的前景:LinkSec与其他安全技术的共存 295

18.7 性能和可扩展性 296

18.8 基于LAN的加密保护:端到端VS.逐跳 297

18.9 总结 298

18.10 参考资料 299

附录 结合IPSec与L2TPv3 实现安全伪线 301

A.1 体系结构 301

A.2 配置 303

A.2.1 伪线 303

A.2.2 xconnect 304

A.2.3 IPsec Crypto Map(加密映射) 304

A.2.4 IKE认证 304

A.2.5 调试信息 305

点击展开

点击收起

局域网交换机安全 PDF格式高清电子书免费下载

抱歉,暂无数据!催一下?我有资源 ?

看了 局域网交换机安全 的用户也看了: