加强对OSI数据链路层的保护并巩固网络安全性

在网络安全设计中，设计人员可以分析来自组织外部的更多安全威胁，而较少分析来自内部安全威胁. 由于内部用户直接访问第2层网络，因此它们具有更多可控制的协议（包括第2层网络协议），因此使用这些协议功能所带来的安全威胁也更加多样化. 在OSI模型的不同级别上，标准化组织开发了各种安全协议，包括身份验证，加密等，但是OSI第2层（数据链路层）的安全协议较少. 同时，计划人员通常不太注意网络第二层的安全性，这导致网络第二层成为网络安全性中的薄弱环节. 本文对网络中的第二层安全威胁进行了深入的讨论，并提出了合理的预防建议.

MAC泛洪

MAC泛洪是针对第2层交换机发起的攻击，但主要目的是在交换网络环境中实现嗅探. 当MAC帧通过交换机时，交换机将检查帧中的源MAC地址，并创建MAC地址和端口的映射表. 该映射表存储在交换机的CAM（内容可寻址存储器）中. 进行帧转发时，交换机将查看映射表，并将具有已知MAC地址的帧转发到相应的端口. 只有具有未知MAC地址的帧才会泛洪到所有端口. 通过这种转发行为，交换机可以有效避免HUB环境中产生的嗅探攻击.

在MAC泛洪中，攻击者发送的MAC帧的源地址不断变化（带有错误的MAC地址），从而导致CAM溢出，从而使交换机不再能够学习新的MAC地址. 同时，攻击者与TCN BPDU（宣布STP协议中的生成树拓扑更改的BPDU）配合使用，以加速现有真实MAC地址条目的老化，并最终使CAM完全填充伪造的MAC地址. 条目. 通过交换机的数据帧会泛洪到所有端口，因为它们找不到对应的MAC条目.

通过MAC泛洪，攻击者已经将难以嗅探的交换环境转变为可以执行嗅探的共享环境. 在Cisco交换机中启用“端口安全性”，以限制每个端口上可能出现的MAC地址并抑制MAC泛洪攻击.

配置命令:

CatOS(enable)>set port security 1/1 maximum 2
#限制1/1端口最多可能出现的2个MAC地址
CatOS(enable)>set port security 1/1 violation shudown|restriction
#当超过MAC地址数后是关闭接口还是丢弃后来的MAC帧

CatOS（启用）>设置端口安全性（最大1/1）2

#限制端口1/1上最多可以显示2个MAC地址

CatOS（启用）>设置端口安全性1/1违规关机|限制

#超过MAC地址数量时，接口是否关闭或后续的MAC帧被丢弃

STP安全性

STP（生成树协议，生成树协议）是第2层网络中常用的协议. 主要目的是避免网络中存在第2层环路. STP以根网桥（Root Bridge）为根，并发送BPDU（网桥协议数据单元，网桥协议数据单元）以构建无环树拓扑. 由于STP缺乏信息验证机制，因此错误的STP信息可能会导致严重的网络安全问题.

如图1所示，攻击者访问两个交换机，并使用具有较小网桥ID的TCN BPDU声明自己为根网桥. 这样您当前的网络存在链路层劫持，以攻击者为根的生成树拓扑将发生变化，所有流量不再通过交换机之间的链接，而是通过攻击者. 这样，攻击者可以发起嗅探，会话劫持，中间人攻击和其他攻击.

图1

Cisco交换机中的BPDU Guard功能可以很好地解决STP攻击. 在端口上启用BPDU Guard时，交换机将不接受从该接口收到的BPDU. 通常，您可以在PortFast端口上启用BPDU Guard，因为大多数PortFast端口仅连接到主机终端，并且不会生成BPDU. 当交换机从启用了BPDU Guard的端口接收到BPDU时，它将关闭该端口.

配置命令:

CatOS(enable)>set spantree porfast bpduguard enable       #在PortFast端口上开启BPDU Guard特性

Root Guard功能可防止交换机在该端口上接受根网桥BPDU的声明，从而防止攻击者将自己声明为根网桥. 但是，通过仔细选择网桥ID，攻击者仍可以将流量定向到该流量. 因此，使用BPDU Guard是防止针对STP攻击的基本方法.

配置命令:

CatOS(enable)>set spantree guard root 1/4 #1/4端口上不接受根网桥BPDU宣告

CDP安全性

在攻击者发起攻击之前，他经常通过各种方式收集有关攻击目标的相关信息，以发现安全漏洞. CDP（思科发现协议）是用于在思科网络环境中的相邻设备之间交换设备相关信息的协议. 该信息包括设备功能，正在运行的IOS版本号等. 攻击者可能会通过IOS版本号知道此版本的安全漏洞，然后攻击该漏洞. CDP在了解网络状况和故障排除方有一定作用，因此建议在连接到最终用户的端口上关闭CDP协议（如图2所示）. 如有必要，您可以完全关闭网络中的CDP协议.

图2

配置命令:

Switch(config-if)#no cdp enable                       #在接口上停止运行CDP
Switch(config)#no cdp running                         #在设备上关闭CDP协议

VTP安全性

VTP（VLAN中继协议）以VTP服务器模式通过交换机发送VTP信息，以达到在交换机之间共享VLAN的目的，从而减少了VLAN配置的工作量. 如果攻击者伪造VTP信息并删除VTP域中的所有VLAN，则先前分配给该VLAN的接口将关闭，从而导致DoS攻击. 通过在VTP域中设置密码，可以有效防止VTP信息的伪造. 密码可以将MD5身份验证信息添加到VTP信息中，从而很难伪造VTP信息.

配置命令:

CatOS(enable)>set vtp domain vtpdomain mode server passwd XXX     #设置VTP域的认证Password

VLAN安全性

VLAN将网络划分为多个广播域，使VLAN之间的访问通过第3层设备（路由器，第3层交换机），并且可以通过在第3层设备上放置ACL来实现良好的访问安全性. 但是通过使用特殊的方法仍然可以实现VLAN的跳转，这对VLAN的安全性构成了很大的威胁.

VLAN跳转利用了交换机的默认不安全配置. 在交换机上，端口使用DTP（动态中继协议）协议，并在端口上进行端口类型协商以确定端口是处于Access状态还是Trunk状态. 如果主机扮演交换机的角色，并且将交换机的端口协商为中继，则主机将能够访问所有VLAN. 基本VLAN跳转的解决方案是关闭DTP协商或将访问端口设置为访问状态.

配置命令:

CatOS(enable)>set trunk 1/1 off                         #关闭DTP协议
Switch(config-if)#switchport mode access                #把端口置于Access状态

ARP安全

ARP（地址解析协议）是一种将IP地址映射到MAC地址的协议. 由于ARP没有IP所有权的概念，即MAC地址和IP地址是分开的，这意味着MAC地址可以播放任何MAC地址. 通过ARP欺骗，可以发起多种攻击.

图3

如图3所示，主机192.168.1.25发送伪造的ARP信息，并向路由器通告192.168.1.34的MAC地址为11-22-33-44-55-66. .1.34消息被发送到不存在的MAC地址.

ARP重定向比ARP欺骗更近了一步，这不仅阻止了受攻击的主机访问网络，而且还导致主机信息被嗅探到. 如图4所示，192.168.1.25向路由器通告192.168.1.34的MAC地址是00-0f-3d-82-bc-7e（192.168.1.25的MAC），这导致路由器发送的消息192.168.1.34定向到00-0f-3d-82-bc-7e（192.168.1.25），在其中嗅探或修改信息.

图4

无论是ARP欺骗还是ARP重定向，它都基于伪造ARP响应. 绑定IP-MAC可以有效避免ARP欺骗. Catalyst交换机具有ARP检查功能（ARP ACL）来过滤不符合IP-MAC绑定规则的ARP答复. ARP ACL与ACL相似，它还明确允许隐式拒绝. 当网络上有很多主机时，配置ARP ACL的工作量很大.

配置命令:

CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.25 00-0f-3d-82-bc-7e
#绑定IP－MAC
CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.34 00-0f-3d-82-bc-7f

要保持ARP欺骗的有效性，有必要连续发送伪造的ARP答复. 通过限制接口上ARP答复的数量，丢弃ARP答复或在达到特定阈值时关闭接口，可以抑制ARP欺骗.

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20
#10个ARP应答时丢弃ARP，20个ARP应答时关闭接口

DHCP安全性

DHCP（动态主机配置协议）通过DHCP服务器分配客户端IP地址，网关和其他配置信息. 通过在网络上引入未经授权的DHCP服务器，可能会为客户端分配错误的IP地址，从而导致客户端无法访问网络. 如果将未经授权的DHCP服务器分配给了恶意DNS，则客户端可能会访问伪造的服务器. 如果它是恶意网关，则可能会嗅探或修改用户信息.

在交换机上配置DHCP侦听，以允许连接到受信任端口的主机发送DHCP答复，而不受信任的端口则不允许DHCP答复.

配置命令:

Switch(config)#ip dhcp snooping    #开启DHCP窥探
Switch(config)#ip dhcp
snooping vlan 2         #在vlan2中开启DHCP窥探
Switch(config-if)#ip dhcp snooping trust   #定义DHCP信任端口

在上面，我们介绍了网络第二层可能出现的安全问题和预防方法. 接下来，我们将讨论两种增强网络第二层安全性的措施，即PVLAN（专用VLAN）.

PVLAN

PVLAN通过将VLAN中的端口划分为具有相同子网地址的隔离端口来增强网络的安全性. 使用PVLAN隔离端口不需要划分IP网段，大大节省了IP地址. 由于这些特性，PVLAN被广泛用于住宅宽带访问和DMZ区域服务器访问.

PVLAN端口分为三种类型: 隔离端口（Isolated Port），混杂端口（Promiscuous Port）和社区端口（Community Port）. 独立端口只能与混杂端口通信，并连接到不与子网中的主机通信的主机. 混杂端口可以与任何端口通信，通常连接到上层设备的端口；社区端口可以相互通信，也可以与混杂端口通信. 众多子网主机进行通信.

配置命令:

CatOS(enable)>setvlan 10 pvlanprimary   #设置vlan10为主vlan
CatOS(enable)>set vlan 100
pvlan isolated            #设置vlan100为孤立vlan
CatOS(enable)>set vlan 101 
pvlan community         #设置vlan101为团体vlan
CatOS(enable)>set vlan 10 100 3/13 
#捆绑从vlan100到主vlan10，并分配端口
CatOS(enable)>set vlan 10 101 3/2-12 
#绑定vlan101到主vlan10，并分配端口
CatOS(enable)>set vlan 10 100 mapping 3/1    #设定3/1为vlan100的混杂端口
CatOS(enable)>ste vlan 10 101 mapping 3/1   #设定3/1为vlan101混杂端口

发生在网络第二层的安全威胁要求攻击者直接访问网络，因此您当前的网络存在链路层劫持，为确保网络安全，除了使用各种措施之外，用户安全教育和监督也至关重要.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-174547-1.html