虚拟LAN安全最佳实践经验.docVIP

虚拟LAN安全的最佳实践经验 虚拟LAN安全的最佳实践经验 ng=0 width=100% border=0 独立的安全调研公司 @stake [9] 最近对 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4500 和 Catalyst 6500 系列交换机上采用的虚拟 LAN （ VLAN ）技术进行了一次安全检查 [1] 。虽然此次检查没有暴露出严重的安全漏洞，但必须指出的是，如果交换机的配置不正确或不适当，则很有可能引发意外行为或发生安全问题。 去年，思科系统公司一直致力于在若干文档中制定安全网络配置的最佳实践准则，例如《 SAFE 蓝图》 [2] 或《 Catalyst 4500 、 5000 和 6500 系列交换机最佳实践经验》 [3] 。但是，迄今为止，思科还没有提供一本全面介绍与 VLAN 相关的所有最佳实践经验、可方便客户和现场工程师参考的文档。 本文的目的是全面介绍思科工程师多年积累的丰富经验和建议，帮助客户和现场工程师正确地在思科交换机上配置 VLAN 。除此以外，本文还将通过要点说明解释 @stake 测试的主要结果，阐述解决安全问题的方法。 基本安全准则 要想创建安全的交换网，必须先熟悉基本安全准则。需要特别注意的是， SAFE 最佳实践 [2] 中强调的基本准则是设计任何安全交换网的基石。 如果用户不希望任何设备受损，则必须严格控制对该设备的访问。不仅如此，所有网络管理员都应该使用思科平台上提供的所有实用安全工具，包括系统密码的基本配置、 IP 准入过滤器和登陆检查，以及 RADIUS 、 TACACS+ 、 Kerberos 、 SSH 、 SNMPv3 、 IDS 等更先进的工具（详情参见 [3] ）。 必须使所有基本安全准则得到满足之后，再关注更先进的安全细节。在下面的章节中，我们将说明与 VLAN 相关的问题。 虚拟 LAN 第二层（ L2 ）交换机指能够将若干端口组成虚拟广播域，且各虚拟广播域之间相互隔离的设备。这些域一般称为虚拟 LAN （ VLAN ）。 VLAN 的概念与网络领域中的其它概念相似，流量由标记或标签标识。标识对第二层设备非常重要，只有标识正确，才能隔离端口并正确转发接收到的流量。正如后面章节中将要介绍的那样，缺乏标识有时是引发安全问题的原因，因而需要避免。 如果设备中的所有分组与相应 VLAN 标记紧密结合，则能够可靠区分不同域的流量。这就是 VLAN 交换体系结构的基本前提。 值得注意的是，在物理链路（有时称为干线）上，思科设备使用的是 ISL 或 802.1Q 等常用的 VLAN 标记技术。与此同时，思科设备使用先进标记技术在内部保留 VLAN 信息，并用于流量转发。 此时，我们可以得出这样的结论：如果从源节点发送出去之后，分组的 VLAN 标识不能被修改，即保持端到端不变，则 VLAN 的可靠性应等价于物理安全性。 关于这个问题，我们还将在下面详细讨论。 控制面板 恶意用户特别希望能够访问网络设备的管理控制台，因为一旦成功，就能够容易地根据他们的需要修改网络配置。 在基于 VLAN 的交换机中，除与带外端口直接连接外，管理 CPU 还可以使用一个或多个 VLAN 执行带内管理。另外，它还可以使用一个或多个 VLAN 与其它网络设备交换协议流量。 基本物理安全准则要求网络设备位于可控（锁定）空间，主要 VLAN 安全准则则要求将带内管理和协议流量限制在可控环境中。这个要求可以通过以下工具和最佳实践经验实现： ?? 流量和协议 ACL 或过滤器 ?? QoS 标记和优先级划分（控制协议由相应的服务等级或 DSCP 值区分） ?? 有选择地关闭不可信端口上的第二层协议（例如关闭接入端口上的 DTP ） ?? 只在专用 VLAN 上配置带内管理端口 ?? 避免使用 VLAN 1 传输任何数据流量 命令示例： Catalyst 操作系统（ CatOS ）软件 Cisco IOS ò 软件 使用 VLAN 1 需注意的事项 VLAN 1 成为特殊 VLAN 的原因是，需要第二层设备才能由默认 VLAN 分配其端口，包括其管理端口。另外， CDP 、 PAgP 和 VTP 等许多第二层协议都需要发送到干线链路上的特定 VLAN 。基于这三个原因，最后选中了 VLAN 1 。 因此，如果裁剪不当， VLAN 1 有时会不明智地包含整个网络。当其直径达到一定程度时，不稳定性风险将迅速升高。不仅如此，如果使用几乎覆盖全网的 VLAN 执行管理任务，则将提高可信设备的风险，使其容易受到因误配置或意外接入而进入 VLAN 1 ，或者特意利用这种意外安全漏洞接入 VLAN 1 的不可