配置三个或更多的交换机支持一个虚拟局域网和一个网络的分区是非常简单的和直截了当的过程。然而,确保一个虚拟专用网经得起攻击则完全是另外一回事!为了保证一个虚拟局域网的安全,你需要了解要保护它避免受到什么的攻击。下面是几种常见的攻击虚拟局域网的手段、你同这些攻击手段作斗争的方法以及在某种情况减小攻击损失的方法。
虚拟局域网跳跃攻击
虚拟局域网跳跃攻击(hopping attack)的基本方式是以动态中继协议为基础的,在某种情况下还以中继封装协议(trunking encapsulation protocol或802.1q)为基础。动态中继协议用于协商两台交换机或者设备之间的链路上的中继以及需要使用的中继封装的类型。
中继协商功能可以在交换机接口打开,可在接口级上输入如下指令:Switch(config-if)#switchport mode dynamic。
虽然这个设置能够让配置交换机的过程更方便,但是,它在你的虚拟局域网中隐藏了一个严重的隐患。一个站点能够很容易证明它自己在使用802.1q封装的交换机,从而创建了一个中继链接,并成为所有虚拟局域网中的一个成员。
幸亏思科最新的IOS操作系统修复了这个安全漏洞。要避免可能出现的虚拟局域网跳跃攻击,请不要在接口级使用“动态”模式,并且把网络配置为“中继”或者“接入”类型。
地址解析协议攻击
地址解析协议攻击在黑客领域是很常见的。现有的工具可以绕过交换机的安全功能。交换机能够在两个节点之间创建一个虚拟通信频道,并且禁止其他人“偷听”他们的谈话。
在地址解析攻击中,入侵者获得了IP地址以及有关他想攻击的网络的其它统计数据,然后利用这些信息实施攻击。入侵者向这个网络交换机发送大量的地址解析广播,告诉这个交换机所有的IP地址或者一部分IP地址是属于这个交换机的,从而在入侵者对数据进行侦察时,迫使交换机把所有的数据包和谈话数据都发送给他。
你可以在高端Catalyst交换机上使用“端口安全”指令避开这个问题,这些交换机的型号包括4000、4500、5000和6500系列交换机。
一旦在端口打开了“端口安全”功能,你就可以指定MAC地址的数量,或者指定允许的MAC地址通过这个端口进行连接。
打开这个安全功能的指令是:Switch(config)#set port security port enable
对重要的路由器和服务器等主机应该使用静态地址解析协议。
最后,入侵检测系统能够跟踪和报告导致这种攻击的地址解析协议广播。
虚拟局域网中继协议攻击
虚拟局域网中继协议(VTP)是思科专有的协议,旨在通过自动向整个网络的交换机传播虚拟局域网信息使生活更加方便。
虚拟局域网中继协议的设置包括负责传播所有的虚拟局域网信息的一台VTP服务器和一台交换机。除了这个VTP服务器交换机之外,所有的交换机都要设置为客户端交换机,负责收听VTP服务器发出的有关虚拟局域网变化的任何声明。
VTP攻击包括一个站点向网络发送VTP信息,广播在网络上没有虚拟局域网。因此,所有的客户端VTP交换机都删除了他们合法的虚拟局域网的信息库。
如果一台交换机接入一个网络,这个网络配置为VTP服务器而且包含的VTP配置版本高于现有的VTP服务器,就可能发生这种攻击。在这种情况下,所有的交换机都会用“新的”VTP服务器获得的信息覆盖他们合法的信息。
幸运的是有很多方法可以保护虚拟局域网避免出现这种情况。你可以关闭VTP(五台以上交换机的大型网络不建议使用),或者对所有的VTP信息使用MD5验证,保证客户端交换机不处理VTP信息,如果信息中包含的口令不正确的话。
为你的VTP域名设置VTP口令的指令是:
……