|
针对网络第二层的攻击是最容易实施、也是最不容易被发现的安全威胁,它可以使网络瘫痪或者通过非法获取密码等敏感信息的方式来危及网络用户的安全。由于任何一个合法用户都能获取一个以太网端口的访问权限,而这些用户都有可能成为黑客;同时,由于设计OSI模型的时候,允许不同通信层处于相对独立的工作模式,因此承载所有客户关键应用的网络第二层的安全就变得至关重要。
根据安全威胁的特征分析,来自于网络第二层的攻击主要包括:MAC地址泛滥攻击、DHCP服务器欺骗攻击、ARP欺骗、IP/MAC地址欺骗。
Cisco Catalyst 智能交换系列的创新安全特性针对这类攻击提供了全面的解决方案,将发生在网络第二层的攻击阻止在通往企业内部网络的入口处。其实现主要基于四个关键的技术:Port Security、DHCP Snooping 、Dynamic ARP Inspection (DAI)、IP Source Guard。
MAC地址泛滥攻击的防范
MAC泛滥攻击的原理和危害
交换机会主动学习客户端的MAC地址,建立、维护端口和MAC地址的对应表,以此建立交换路径,这个表就是通常我们所说的CAM表。MAC/CAM攻击是指黑客利用攻击工具发送大量带有虚假源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时发往新目的MAC地址的数据包就会被广播到交换机的所有端口,交换机就会像HUB一样工作,黑客则可以利用sniffer工具监听所有端口的数据流量。此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。
防范方法
限制单个端口所连接的MAC地址数目,可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击。Cisco Catalyst交换机的端口安全(Port Security)和动态端口安全功能可被用来阻止MAC泛滥攻击。
通过端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。
通过配置Port Security可以控制:端口上最大可以通过的MAC地址数量,端口上学习或通过哪些MAC地址,对于超过规定数量的接入设备进行相应的处理。
端口上允许哪些MAC地址接入,可以通过静态手工定义,也可以让交换机自动学习。交换机动态学习新接入设备的MAC,直到达到指定的MAC地址数量,超过数量的接入MAC将被拒绝,交换机重启后会重新学习。
对于超过规定数量的MAC一般有三种处理方式:Shutdown(端口关闭);Protect(丢弃非法流量,不报警);Restrict(丢弃非法流量,报警)。
DHCP欺骗攻击的防范
采用DHCP管理的常见问题
采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS等网络参数,简化了用户网络设置。但在DHCP管理使用上也存在着一些问题,常见的有:DHCP server 的冒充,DHCP server的DOS攻击,由于不小心配置了DHCP服务器引起的网络混乱也很常见。
黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用。此类攻击既可以造成DOS的破坏,也可和DHCP服务器欺诈结合,将流量重指到意图进行流量截取的恶意节点。
DHCP Snooping技术概述
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。 通过获取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任小型安全防火墙这样的角色。“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表,并将该表存贮在交换机里。在没有DHCP的环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型。如下表所示:
这张表不仅解决了DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还供给动态ARP检测(DAI)和IP Source Guard使用。
防范方法
实践证明,Catalyst DHCP侦听(DHCP Snooping)功能可以有效阻止此类攻击。当打开此功能,所有用户端口除非特别设置,被认为不可信任端口,不应该作出任何DHCP响应,因此欺诈DHCP响应包被交换机阻断,合法的DHCP服务器端口或上连端口应被设置为信任端口。
首先,定义交换机上的信任端口和不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,丢掉来自这些端口的非正常DHCP响应报文。
对于类似Gobbler的DHCP 服务的DOS攻击可以利用前面的Port Security限制源MAC地址数目加以阻止;对于有些用户随便指定地址,造成网络地址冲突也可以利用DAI和IP Source Guard技术。
有些复杂的DHCP攻击工具可以产生单一源MAC地址、变化DHCP Payload信息的DHCP请求,当打开DHCP侦听功能,交换机对非信任端口的DHCP请求进行源MAC地址和DHCP Payload信息的比较,如不匹配就阻断此请求。
ARP欺骗攻击原理和防范
ARP欺骗攻击原理
ARP用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。
由于ARP无任何身份真实校验机制,黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机,变成某个局域网段IP会话的中间人,达到窃取甚至篡改正常传输的功效。
防范方法
这些攻击都可以通过动态ARP检查(DAI,Dynamic ARP Inspection)来防止,它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。
DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测可以用来检查所有非信任端口的ARP请求和应答,确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。
IP/MAC欺骗的防范
常见欺骗攻击的种类和目的
除了ARP欺骗外,黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。此方法也被广泛用作DOS攻击,目前较多的攻击是:Ping Of Death、Syn flood、ICMP Unreacheable Storm。
IP/MAC欺骗的防范
Catalyst IP源地址保护(IP Source Guard)功能打开后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了。这个功能将只允许对拥有合法源地址的数据包进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCP Snooping绑定表。
IP Source Guard不但可以配置成对IP地址的过滤,也可以配置成对MAC地址的过滤。这样,就只有IP地址和MAC地址都与DHCP Snooping绑定表匹配的通信包才能够被允许传输。
与DAI不同的是,DAI仅仅检查ARP报文, IP Source Guard对所有经过定义IP Source Guard检查的端口的报文都要检测源地址。
通过在交换机上配置IP Source Guard,可以过滤掉非法的IP/MAC地址,包含用户故意修改的和病毒、攻击等造成的;同时解决了IP地址冲突问题。
|
