确保园区网设备的安全性,与设计一个具有高可用性的网络同样重要。如果安全性出现漏洞,就会严重威胁至公司业务的正常动作。
大多数行业或企业对于安全性所关注的都是来自企业外部的攻击,以及针对OSI模型上层展开的攻击。网络安全性通常专注在边缘路由设备上,并且基于第三、四层头部、端口、状态化数据包检测等方式实施数据包过滤。常常会忽略园区网接入层设备和二层通信安全。
据数据统计显示,80%的安全攻击源自于内部攻击,因此,园区网接入设备的安全不得不认真考虑。
常见的二层安全攻击为为MAC层攻击、VLAN攻击、欺骗攻击和交换机设备攻击四类,详细攻击分类和攻击方法如下表如示。
攻击分类 | 攻击方法 | 攻击描述 | 抵御措施 |
MAC层攻击 | MAC地址泛洪 | 具有唯一且无效源MAC地址的数据帧向交换机泛洪,消耗完交换机的CAM表空间,从而阻止合法主机的MAC地址生成新条目,去往无效主机的流量会向所有端口泛洪 | 端口安全 MAC地址VLAN访问控制列表 |
VLAN攻击 | VLAN跳转 | 通过改变Trunk链路中封装的数据包的VLAN ID,攻击设备可以发送或接收不同VLAN中的数据包,而绕过三层安全机制 | 加强Trunk的配置和未使用端口的协商状态。 把未使用的端口放入公共VLAN |
公共VLAN设备 之间的攻击 | 即使是公共VLAN中的设备,也需要逐一进行保护,尤其是在为多个客户提供设备的服务提供商网段中 | 实施私有VLAN(PVLAN) | |
欺骗攻击 | DHCP耗竭和 DHCP欺骗 | 攻击设备可以在一段时间内,消耗完DHCP服务器上的可用地址空间,或者在中间人攻击中,把自己伪装成DHCP服务器 | DHCP侦听 |
生成树欺骗 | 攻击设备伪装成STP拓扑中的根网桥。若成功了,攻击者就可以看到各种数据帧 | 主动配置主用和备用根设备 启用根防护 | |
MAC欺骗 | 攻击设备伪装成当前CAM表中合法设备的MAC地址,这样交换机就会把去往合法设备的数据帧发到攻击设备上。 | DHCP侦听 端口安全 | |
ARP欺骗 | 攻击设备故意为合法主机伪造ARP应答。攻击设备的MAC地址就会成为该合法网络设备所发出的数据帧的二层目的地址。 | 动态ARP检测 DHCP侦听 端口安全 | |
交换机设备安全 | CDP修改 | 通过CDP发送的信息是明文形式且未加密,若攻击者截获CDP消息,就可以获得整个网络拓扑信息 | 在所有无意使用的端口上禁用CDP |
SSH和 Telnet攻击 | Telnet数据包可以以明文形式查看 SSH可以对数据包进行保护,但版本1中仍存在安全问题 | 使用SSH版本2 使用Telnet结合VTY ACL |
安全防范措施一般应用于园区网络的分布层和接入层,核心层负责交换数据包,交换速度越快越好,如提供安全性功能将会降低数据包的交换速度,建议不要在网络核心层运用安全措施。
本文出自 “海纳百川” 博客,请务必保留此出处http://hichuann.blog.51cto.com/1024435/1579624
原文地址:http://hichuann.blog.51cto.com/1024435/1579624
