浅谈网络交换机安全防护技术.docVIP

浅谈网络交换机安全防护技术 【摘 要】目前，交换机在企业网络中越来越广泛的应用，交换机是网络管理人员最常打交道的设备，然而，网络管理人员却很少对交换机进行安全防护。本文详细分析了交换机的几种常见攻击方式，并提出了相应的安全防护措施。 【关键词】交换机安全；MAC地址泛洪；vlan跨越；ARP欺骗；DHCP欺骗 提到网络安全防护，大多数企业都是将防火墙、UTM、路由器等设备一层接一层的部署在企业网络的各个区域，而对于众多的交换机则很少考虑到它们的安全性。随着企业网络越来越复杂，交换机在网络中扮演着众多的角色：终端网络的接入点、路由器的连接点、甚至是核心网络的连接途径。因此，详细研究交换机的攻击方式和安全防护措施具有重要的意义。 1 MAC地址泛洪攻击的安全防护 交换机是基于MAC地址去转发数据帧的，转发过程中依靠对CAM表的查询来确定正确的转发接口，一旦在查询过程中无法找到相关目的MAC对应的条目，此数据帧将作为广播帧来处理，而CAM表的容量有限，只能储存不多的条目，当CAM表记录的MAC地址达到上限后，新的条目将不会添加到CAM表中。于是攻击者在很短的时间内不断的变换出大量的MAC地址发向交换机，引起MAC地址泛洪，而当有新的设备要发送数据时，就将泛洪整个广播域，攻击者即收到了设备的泛洪信息。 防护措施：对交换机端口接入的源MAC地址或源MAC地址接入的数量进行限制。 2 VLAN跨越攻击的安全防护 VLAN跨越攻击是指数据包被传送到不正确的端口上，数据包能够不通过三层设备跨VLAN传输。基本上VLAN跨越攻击有如下两个类型。 交换机欺骗：攻击者试图通过配置802.1Q或者ISL把自己伪装成一个交换机，通过DTP（动态中继协议）信号可以帮助攻击者完成欺骗。 双标签：是包括2个802.1Q头的传输帧标签，一个头用于（受害者）用户的交换机，另一个用于攻击者的交换机。如图1：攻击者pc1的包即写了vlan2，也写了vlan3的标签，在通过switch1时，剥离了第一层标签dot1q2，由于switch1的native vlan是2，于是数据包不打标传输到switch2，switch2收到不带标的数据包后，自动加上switch2的native vlan 3，于是攻击者pc1就能和不同vlan的pc2进行通信。 防护措施： 1）交换机未使用的端口关闭； 2）所有未用的端口都配为access，防止自动协商为trunk； 3）native vlan不能和pc使用的vlan相同； 4）所有未用得端口配为pc未用的另一个vlan； 5）在所有来历不明的端口上禁止DTP协议； 6）trunk的允许vlan不要加入native vlan。 3 DHCP欺骗攻击的安全防护 DHCP欺骗攻击是指攻击者首先将正常的DHCP服务器所能分配的IP地址耗尽，然后冒充合法的 DHCP服务器，从而获取所有PC的数据信息。 防护措施：开启DHCP Snooping，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息。 4 ARP欺骗攻击的安全防护 交换机维护着一个ARP映射表，这个表中记录了交换机每个端口所连接的设备的IP地址和MAC地址的映射关系。假如攻击者想要获取网络中某合法PC的信息访问权，它只要能接入该PC所连的交换机，然后向此PC发送一个伪造请求，把自己的IP地址伪造成网关地址，此PC收到该请求后会把该攻击者的IP地址当作网关地址，然后把所有要发送给网关的请求都发送到攻击者的机器上，攻击者再监测这些数据包，并把它们继续转发给真正的网关。由于攻击者最终还是将数据包转发给真正的网关了，合法PC无法意识到自己的数据包被截取了，因此只要攻击者继续保持攻击，该PC就会一直向攻击者转发流量，最终被攻击者获取合法信息访问权。 防护措施：1）未使用的交换机端口要关闭；2）在交换机上手动配置IP地址和MAC地址的映射关系；3）假如是DHCP动态分配IP地址，再开启了ip dhcp snooping后，开启ARP欺骗防护。 5 交换机的其他安全防护 5.1 CDP协议的安全防 CDP是思科私有协议，它工作在数据链路层上的协议，主要用来发现和查看相邻设备的简单配置信息：如网络地址、发送消息的端口或者接口信息、硬件平台、发送设备的功能、软件版本等等。通常情况下这部分信息都是明文保存的。攻击者通过一些工具就可以轻松的获得这些机密信息。因此，建议关闭CDP协议。防护配置如下：SW（config）#no cdp run 5.2 远程管理的安全防护 常见交换机的远程管理协议是telnet、http，但这两个协议传输的都是明文信息，因此，很容易被攻击者截获取得想要的信息。因此，1）建议使用ssh、https等加密管理协议；2）建立对可远程管理交换机的IP地址进行控制，