常見VLAN攻擊手段及如何避免
配置三個(gè)或更多的交換機(jī)支持一個(gè)虛擬局域網(wǎng)和一個(gè)網(wǎng)絡(luò)的分區(qū)是非常簡(jiǎn)單的和直截了當(dāng)?shù)倪^(guò)程。然而,確保一個(gè)虛擬專用網(wǎng)經(jīng)得起攻擊則完全是另外一回事!為了保證一個(gè)虛擬局域網(wǎng)的安全,你需要了解要保護(hù)它避免受到什么的攻擊。下面是幾種常見的攻擊虛擬局域網(wǎng)的手段、你同這些攻擊手段作斗爭(zhēng)的方法以及在某種情況減小攻擊損失的方法。
虛擬局域網(wǎng)跳躍攻擊
虛擬局域網(wǎng)跳躍攻擊(hopping attack)的基本方式是以動(dòng)態(tài)中繼協(xié)議為基礎(chǔ)的,在某種情況下還以中繼封裝協(xié)議(trunking encapsulation protocol或802.1q)為基礎(chǔ)。動(dòng)態(tài)中繼協(xié)議用于協(xié)商兩臺(tái)交換機(jī)或者設(shè)備之間的鏈路上的中繼以及需要使用的中繼封裝的類型。
中繼協(xié)商功能可以在交換機(jī)接口打開,可在接口級(jí)上輸入如下指令:Switch(config-if)#switchport mode dynamic。
雖然這個(gè)設(shè)置能夠讓配置交換機(jī)的過(guò)程更方便,但是,它在你的虛擬局域網(wǎng)中隱藏了一個(gè)嚴(yán)重的隱患。一個(gè)站點(diǎn)能夠很容易證明它自己在使用802.1q封裝的交換機(jī),從而創(chuàng)建了一個(gè)中繼鏈接,并成為所有虛擬局域網(wǎng)中的一個(gè)成員。
幸虧思科最新的IOS操作系統(tǒng)修復(fù)了這個(gè)安全漏洞。要避免可能出現(xiàn)的虛擬局域網(wǎng)跳躍攻擊,請(qǐng)不要在接口級(jí)使用“動(dòng)態(tài)”模式,并且把網(wǎng)絡(luò)配置為“中繼”或者“接入”類型。
地址解析協(xié)議攻擊
地址解析協(xié)議攻擊在黑客領(lǐng)域是很常見的。現(xiàn)有的工具可以繞過(guò)交換機(jī)的安全功能。交換機(jī)能夠在兩個(gè)節(jié)點(diǎn)之間創(chuàng)建一個(gè)虛擬通信頻道,并且禁止其他人“偷聽”他們的談話。
在地址解析攻擊中,入侵者獲得了IP地址以及有關(guān)他想攻擊的網(wǎng)絡(luò)的其它統(tǒng)計(jì)數(shù)據(jù),然后利用這些信息實(shí)施攻擊。入侵者向這個(gè)網(wǎng)絡(luò)交換機(jī)發(fā)送大量的地址解析廣播,告訴這個(gè)交換機(jī)所有的IP地址或者一部分IP地址是屬于這個(gè)交換機(jī)的,從而在入侵者對(duì)數(shù)據(jù)進(jìn)行偵察時(shí),迫使交換機(jī)把所有的數(shù)據(jù)包和談話數(shù)據(jù)都發(fā)送給他。
你可以在高端Catalyst交換機(jī)上使用“端口安全”指令避開這個(gè)問(wèn)題,這些交換機(jī)的型號(hào)包括4000、4500、5000和6500系列交換機(jī)。
一旦在端口打開了“端口安全”功能,你就可以指定MAC地址的數(shù)量,或者指定允許的MAC地址通過(guò)這個(gè)端口進(jìn)行連接。
打開這個(gè)安全功能的指令是:Switch(config)#set port security port enable
對(duì)重要的路由器和服務(wù)器等主機(jī)應(yīng)該使用靜態(tài)地址解析協(xié)議。
最后,入侵檢測(cè)系統(tǒng)能夠跟蹤和報(bào)告導(dǎo)致這種攻擊的地址解析協(xié)議廣播。
虛擬局域網(wǎng)中繼協(xié)議攻擊
虛擬局域網(wǎng)中繼協(xié)議(VTP)是思科專有的協(xié)議,旨在通過(guò)自動(dòng)向整個(gè)網(wǎng)絡(luò)的交換機(jī)傳播虛擬局域網(wǎng)信息使生活更加方便。
虛擬局域網(wǎng)中繼協(xié)議的設(shè)置包括負(fù)責(zé)傳播所有的虛擬局域網(wǎng)信息的一臺(tái)VTP服務(wù)器和一臺(tái)交換機(jī)。除了這個(gè)VTP服務(wù)器交換機(jī)之外,所有的交換機(jī)都要設(shè)置為客戶端交換機(jī),負(fù)責(zé)收聽VTP服務(wù)器發(fā)出的有關(guān)虛擬局域網(wǎng)變化的任何聲明。
VTP攻擊包括一個(gè)站點(diǎn)向網(wǎng)絡(luò)發(fā)送VTP信息,廣播在網(wǎng)絡(luò)上沒有虛擬局域網(wǎng)。因此,所有的客戶端VTP交換機(jī)都刪除了他們合法的虛擬局域網(wǎng)的信息庫(kù)。
如果一臺(tái)交換機(jī)接入一個(gè)網(wǎng)絡(luò),這個(gè)網(wǎng)絡(luò)配置為VTP服務(wù)器而且包含的VTP配置版本高于現(xiàn)有的VTP服務(wù)器,就可能發(fā)生這種攻擊。在這種情況下,所有的交換機(jī)都會(huì)用“新的”VTP服務(wù)器獲得的信息覆蓋他們合法的信息。
幸運(yùn)的是有很多方法可以保護(hù)虛擬局域網(wǎng)避免出現(xiàn)這種情況。你可以關(guān)閉VTP(五臺(tái)以上交換機(jī)的大型網(wǎng)絡(luò)不建議使用),或者對(duì)所有的VTP信息使用MD5驗(yàn)證,保證客戶端交換機(jī)不處理VTP信息,如果信息中包含的口令不正確的話。
為你的VTP域名設(shè)置VTP口令的指令是:
Switch#vlan database Switch(vlan)# vtp domain Switch(vlan)#apply Switch(vlan)#exit |
【編輯推薦】
