为什么要用VLAN呢?VLAN的实施是从逻辑上对用户进行了划分,使不同VLAN之中的用户无法直接通信。这种技术方便实施,节约资金。然而随着VLAN的应用范围越来越广,而同VLAN相关的安全管理问题也越来越严重。
VLAN技术的应用为网络的安全防范提供了一种基于管理方式上的策略方法,我们可以根据企业网络管理的特点有针对性地选择不同的VLAN划分手段。虽然网络安全在某种程度上得到了一定的保障,但安全往往与危险并存,面对这些花样翻新的攻击手段,如何采取有效的防范措施?在本文中,将针对应用VLAN技术管理的网络,介绍黑客的攻击手段和我们可以采取的防御手段。
常见的VLAN攻击
目前常见的VLAN的攻击有以下几种:
1.802.1Q 和 ISL 标记攻击
标记攻击属于恶意攻击,利用它,一个 VLAN 上的用户可以非法访问另一个 VLAN 。例如,如果将交换机端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ,用于接收伪造 DTP(DYNAMIC TRUNK PROTCOL) 分组,那么,它将成为干道端口,并有可能接收通往任何 VLAN 的流量。由此,恶意用户可以通过受控制的端口与其它 VLAN 通信。 有时即便只是接收普通分组,交换机端口也可能违背自己的初衷,像全能干道端口那样操作(例如,从本地以外的其它 VLAN 接收分组),这种现象通常称为“VLAN 渗漏”。
对于这种攻击,只需将所有不可信端口(不符合信任条件)上的 DTP(DYNAMIC TRUNK PROTCOL) 设置为“关”,即可预防这种攻击的侵袭。 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交换机上运行的软件和硬件还能够在所有端口上实施适当的流量分类和隔离。
2.双封装 802.1Q/ 嵌套式 VLAN 攻击
在交换机内部, VLAN 数字和标识用特殊扩展格式表示,目的是让转发路径保持端到端 VLAN 独立,而且不会损失任何信息。在交换机外部,标记规则由 ISL 或 802.1Q 等标准规定。
ISL 属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式,每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。
另一方面,制订了 802.1Q 的 IEEE 委员会决定,为实现向下兼容性,最好支持本征 VLAN ,即支持与 802.1Q 链路上任何标记显式不相关的 VLAN 。这种 VLAN 以隐含方式被用于接收802.1Q端口上的所有无标记流量。
这种功能是用户所希望的,因为利用这个功能,802.1Q端口可以通过收发无标记流量直接与老 802.3 端口对话。但是,在所有其他情况下,这种功能可能会非常有害,因为通过 802.1Q 链路传输时,与本地 VLAN 相关的分组将丢失其标记,例如丢失其服务等级( 802.1p 位)。
但是基于这些原因——丢失识别途径和丢失分类信息,就应避免使用本征 VLAN ,更不要说还有其它原因。
先剥离,再送回攻击者 802.1q 帧 ,VLAN A、 VLAN B 数据包含本征VLAN A 的干道 VLAN B 数据
注意: 只有干道所处的本征 VLAN 与攻击者相同,才会发生作用。
当双封装 802.1Q 分组恰巧从 VLAN与干道的本征 VLAN 相同的设备进入网络时,这些分组的 VLAN 标识将无法端到端保留,因为 802.1Q 干道总会对分组进行修改,即剥离掉其外部标记。删除外部标记之后,内部标记将成为分组的惟一 VLAN 标识符。因此,如果用两个不同的标记对分组进行双封装,流量就可以在不同 VLAN 之间跳转。
这种情况将被视为误配置,因为 802.1Q 标准并不逼迫用户在这些情况下使用本征 VLAN 。事实上,应一贯使用的适当配置是从所有 802.1Q 干道清除本地 VLAN (将其设置为 802.1q-all-tagged 模式能够达到完全相同的效果)。在无法清除本地 VLAN 时, 应选择未使用的 VLAN 作为所有干道的本地 VLAN ,而且不能将该 VLAN 用于任何其它目的 。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等协议应为本地 VLAN 的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。
责任编辑:小草
您现在的位置: 