企业信息化安全管理人员在设计企业的安全架构的时候,大部分只管住企业终端主机的安全,如服务器、用户终端电脑的安全,但是,对于不怎么起眼的交换机就没有给与足够多的重视。
其实,根据笔者的经验,交换机在企业网络安全中也是一颗定时炸弹,一不小心,企业网络安全就可能被其破坏掉。或许有人不信,下面笔者就介绍几种常见的利用交换机来进行攻击的事件。或许,从这以后大家会转变自己的观念。
常见交换机攻击之一生成树攻击。
假设我们所住的城市只有一家超市,但是,到这家超市去可能就不止一条路。现在的问题就是,每条道路的话,距离这个超市有近有远,我们当然希望选择一条最近的道路,除非,这条道路堵车了,我们才会不得已选择其他的道路。有多条路的时候,就可能产生一个回路。也就是说,最后绕了一个圈子,我们仍然可能回到起点。
在企业交换网络中,也会遇到这种回路的情况。在企业网络中要是有回路,那么企业网络就会变得拥塞不堪,从而可能会引起网络风暴,也可能进一步恶化,最终使得网络崩溃。生成树协议可以防止冗余的交换环境出现回路。
如企业现在某个用户,到企业文件服务器,出于冗余的考虑,可能有两条道路。一条是直接通过交换机连接到文件服务器上;另外一条在文件服务器与用户之间可能需要经过两个交换机。当用户发出的信息,最后没有到达文件服务器,而是在网络中转了一圈,又回到用户的主机上。这就使一个回路,这是我们在设计网络过程中需要尽量避免的。
生成树协议可以防止冗余的交换环境出现回路。使用生成树协议的交换机都通过一种叫做网桥的协议数据单元来共享信息。网桥数据协议每两秒就会发送一个次。交换机可以发送或者接收这些网桥协议数据单元,从而来确定通过哪个交换机传递数据,路径最近。每个交换机都会利用生成树协议确定并返回到达相关目的地的最佳路线。当某个交换机出现故障或者某条线路比较拥挤的时候,则生成树协议会自动把这条线路标记为“拥塞”,则相关数据就会走另外一条后备道路,而不会在那边等待。
而常见的拒绝服务攻击就可以利用这个漏洞,进行生成树攻击。如黑客可以把一台计算机连接到不止一个交换机上,然后发送网桥ID很低的网桥数据协议单元,就可以欺骗交换剂,使交换机认为这是最近的捷径。这就导致了生成树协议重新收敛,从而引起回路,就可能导致网络崩溃。
在一些安全性要求比较要的企业中,设置必要的冗余线路是必要的。若网络并不复杂的话,则笔者建议采用手工转换的方法,而禁止使用生成树协议。若一定要使用生成树协议的,则就需要经产对网络进行稽核,看看是否存在回路。
责任编辑:小草
您现在的位置: 