在網(wǎng)絡(luò)安全設(shè)計(jì)中，設(shè)計(jì)者較多地分析了來自組織外部的安全威脅，而對來自組織內(nèi)部的安全威脅則分析較少。內(nèi)部用戶由于直接接入二層網(wǎng)絡(luò)，擁有更多的可控制協(xié)議(包括二層網(wǎng)絡(luò)協(xié)議)，因而利用這些協(xié)議特性所造成的安全威脅也更加多樣。在OSI模型的不同層次，標(biāo)準(zhǔn)化組織開發(fā)了各種安全協(xié)議，其中涉及認(rèn)證、加密等，但是針對OSI二層—數(shù)據(jù)鏈路層的安全協(xié)議卻較少。同時(shí)網(wǎng)絡(luò)二層的安全普遍較少引起規(guī)劃人員的注意，這就造成了網(wǎng)絡(luò)二層成為網(wǎng)絡(luò)安全中的薄弱環(huán)節(jié)。本文針對網(wǎng)絡(luò)中存在的二層安全威脅做一些深入討論，同時(shí)提出合理的防范建議。

MAC洪泛

MAC洪泛是針對二層交換機(jī)發(fā)起的攻擊，但主要目的是實(shí)現(xiàn)在交換網(wǎng)絡(luò)環(huán)境下的嗅探（Sniffing）。當(dāng)MAC幀通過交換機(jī)時(shí)，交換機(jī)會檢查幀中的源MAC地址，并建立該MAC地址和端口的映射表，這張映射表存儲于交換機(jī)的CAM（內(nèi)容可尋址存儲器）中。當(dāng)進(jìn)行幀轉(zhuǎn)發(fā)時(shí)，交換機(jī)會查看該映射表，把MAC地址已知的幀轉(zhuǎn)發(fā)到相應(yīng)端口，只有MAC地址未知的幀才洪泛到所有端口。通過這樣的轉(zhuǎn)發(fā)行為，交換機(jī)有效地避免了在HUB環(huán)境下產(chǎn)生的嗅探攻擊。

MAC洪泛中，攻擊者發(fā)送源地址不斷變化的MAC幀（攜帶虛假M(fèi)AC地址），導(dǎo)致CAM溢出，這樣交換機(jī)便不能再學(xué)習(xí)新的MAC地址。同時(shí)攻擊者配合使用TCN BPDU（STP協(xié)議中宣布生成樹拓?fù)渥兓腂PDU），加速已有真實(shí)MAC地址條目的老化，最終使CAM中完全充斥著虛假的MAC地址條目。經(jīng)過交換機(jī)的數(shù)據(jù)幀因查不到相應(yīng)的MAC條目，被洪泛到所有的端口。

通過MAC洪泛，攻擊者把難以進(jìn)行嗅探的交換環(huán)境演變成為可以進(jìn)行嗅探的共享環(huán)境。在Cisco交換機(jī)中啟用Port Security，限制每個端口可以出現(xiàn)的MAC地址，可以抑制MAC洪泛攻擊。

配置命令：

CatOS(enable)>set port security 1/1 maximum 2

#限制1/1端口最多可能出現(xiàn)的2個MAC地址

CatOS(enable)>set port security 1/1 violation shudown|restriction

#當(dāng)超過MAC地址數(shù)后是關(guān)閉接口還是丟棄后來的MAC幀

STP安全

STP（Spanning Tree Protocol，生成樹協(xié)議）是二層網(wǎng)絡(luò)中普遍運(yùn)行的協(xié)議，主要目的避免網(wǎng)絡(luò)二層環(huán)路的存在。STP以根網(wǎng)橋（Root Bridge）為根，通過發(fā)送BPDU（Bridge Protocol Data Unit，網(wǎng)橋協(xié)議數(shù)據(jù)單元）來構(gòu)建一個無環(huán)的樹形拓?fù)洹Ｓ捎赟TP缺乏信息的驗(yàn)證機(jī)制，所以虛假的STP信息會造成嚴(yán)重的網(wǎng)絡(luò)安全問題。

如圖1所示，攻擊者接入兩臺交換機(jī)，并使用擁有更小Bridge ID的TCN BPDU宣告自己為根網(wǎng)橋。這樣生成樹拓?fù)浒l(fā)生變化，以攻擊者為根，所有的流量不再經(jīng)過交換機(jī)之間的鏈路，而是經(jīng)過攻擊者。這樣攻擊者便可以發(fā)動嗅探、會話劫持、中間人（Man In The Middle）等諸如此類的攻擊。

圖1#p#

Cisco交換機(jī)中的BPDU Guard特性可以很好地解決針對STP的攻擊。當(dāng)端口上開BPDU Guard以后，交換機(jī)不接受從此接口上收到的BPDU。通常可以在PortFast端口上開啟BPDU Guard，因?yàn)镻ortFast端口大部分只連接主機(jī)終端，不會產(chǎn)生BPDU。當(dāng)交換機(jī)從開啟BPDU Guard特性的端口上收到BPDU時(shí)，則會關(guān)閉該端口。

配置命令：

CatOS(enable)>set spantree porfast bpduguard enable       

#在PortFast端口上開啟BPDU Guard特性

Root Guard特性使交換機(jī)不接受該端口上的根網(wǎng)橋BPDU宣告，防止攻擊者宣告自己為根網(wǎng)橋。但是，攻擊者通過精心選擇Bridge ID，還是可以把流量進(jìn)行通信定向。所以使用BPDU Guard是防止針對STP攻擊的根本方法。

配置命令：

CatOS(enable)>set spantree guard root 1/4 #1/4端口上不接受根網(wǎng)橋BPDU宣告 

CDP安全

攻擊者發(fā)動攻擊之前，往往會通過各種手段搜集攻擊目標(biāo)的相關(guān)信息，以便發(fā)現(xiàn)安全漏洞。CDP（Cisco Discovery Protocol，思科發(fā)現(xiàn)協(xié)議）是Cisco網(wǎng)絡(luò)環(huán)境下用來在相鄰設(shè)備下交換設(shè)備相關(guān)信息的協(xié)議。這些信息包括設(shè)備的能力、運(yùn)行IOS版本號等。攻擊者可能通過IOS版本號得知該版本安全漏洞，并針對漏洞進(jìn)行攻擊。CDP在了解網(wǎng)絡(luò)狀況，進(jìn)性故障排除時(shí)擁有一定作用，所以建議在連接終端用戶的端口上關(guān)閉CDP協(xié)議（如圖2所示）。如果有需要，可以徹底地關(guān)閉網(wǎng)絡(luò)中的CDP協(xié)議。

圖　2

配置命令：

Switch(config-if)#no cdp enable                       

#在接口上停止運(yùn)行CDP

Switch(config)#no cdp running                         

#在設(shè)備上關(guān)閉CDP協(xié)議 

#p#

VTP安全

VTP（VLAN Trunk Protocol,VLAN中繼協(xié)議）通過處于VTP Server模式的交換機(jī)發(fā)送VTP信息，達(dá)到在交換機(jī)之間共享VLAN數(shù)據(jù)庫的目的，從而減少VLAN配置工作量。如果攻擊者偽造VTP信息，刪除VTP域中的所有VLAN，則導(dǎo)致以前劃入VLAN的接口關(guān)閉，產(chǎn)生DoS攻擊。通過在VTP域中設(shè)置Password則可以有效防止VTP信息的偽造。Password可以在VTP信息加入MD5認(rèn)證信息，使VTP信息偽造變得困難。

配置命令：

CatOS(enable)>set vtp domain vtpdomain mode server passwd XXX     

#設(shè)置VTP域的認(rèn)證Password 

VLAN安全

VLAN把網(wǎng)絡(luò)分割成為多個廣播域，使VLAN間的訪問要經(jīng)過三層設(shè)備（路由器、三層交換機(jī)），通過在三層設(shè)備上放置ACL就能達(dá)到很好的訪問安全性。但是通過使用特殊的方法仍然能夠達(dá)到VLAN跳轉(zhuǎn)，對VLAN安全產(chǎn)生極大的威脅。

VLAN跳轉(zhuǎn)利用了交換機(jī)默認(rèn)不安全的配置。在交換機(jī)上，端口使用DTP（Dynamic Trunk Protocol）協(xié)議和對端口進(jìn)行端口類型協(xié)商，決定端口處于Access還是Trunk狀態(tài)。如果一臺主機(jī)扮演交換機(jī)角色和交換機(jī)的端口協(xié)商成為Trunk，那么該主機(jī)將能夠訪問到所有的VLAN。解決基本VLAN跳轉(zhuǎn)方法是關(guān)閉DTP協(xié)商，或者把接入端口置為Access狀態(tài)。

配置命令：

CatOS(enable)>set trunk 1/1 off                         

#關(guān)閉DTP協(xié)議

Switch(config-if)#switchport mode access                

#把端口置于Access狀態(tài)

ARP安全

ARP（Address Resolution Protocol）是把IP地址映射為MAC地址的協(xié)議。因?yàn)锳RP沒有IP所有權(quán)的概念，即MAC地址和IP地址是分離的，意味著一個MAC地址都可能扮演任意一個MAC地址。通過ARP欺騙，可以發(fā)動多種攻擊。

圖　3

如圖3所示，主機(jī)192.168.1.25發(fā)送偽造ARP信息，向路由器宣告192.168.1.34的MAC地址為11-22-33-44-55-66，造成路由器ARP表錯誤，這樣路由器到192.168.1.34的信息被發(fā)往不存在的MAC地址。

ARP重定向比ARP欺騙更近一步，不僅造成被攻擊主機(jī)不能訪問網(wǎng)絡(luò)，還可以造成主機(jī)信息被嗅探。如圖4所示，192.168.1.25向路由器宣告192.168.1.34的MAC地址為00-0f-3d-82-bc-7e（192.168.1.25的MAC），這造成路由器發(fā)往192.168.1.34的信息被定向到00-0f-3d-82-bc-7e（192.168.1.25），在這里信息遭到嗅探或者修改。

圖　4

不管是ARP欺騙還是ARP重定向，都是以偽造ARP應(yīng)答為基礎(chǔ)的。通過綁定IP－MAC可以有效地避免ARP欺騙。Catalyst交換機(jī)擁有ARP檢查特性(ARP ACL)，過濾不符合IP－MAC綁定規(guī)則的ARP應(yīng)答。ARP ACL與ACL相似，同樣為顯式允許隱式拒絕。網(wǎng)絡(luò)中主機(jī)較多時(shí)，配置ARP ACL的工作量較大。

配置命令：

CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.25 00-0f-3d-82-bc-7e

#綁定IP－MAC

CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.34 00-0f-3d-82-bc-7f

要保持ARP欺騙的有效性，需要持續(xù)不斷地發(fā)送偽造ARP應(yīng)答。通過限制接口上的ARP應(yīng)答數(shù)量，達(dá)到一定閾值時(shí)丟棄ARP應(yīng)答或者關(guān)閉接口，可以抑制ARP欺騙。

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20

#10個ARP應(yīng)答時(shí)丟棄ARP，20個ARP應(yīng)答時(shí)關(guān)閉接口 

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20

#10個ARP應(yīng)答時(shí)丟棄ARP，20個ARP應(yīng)答時(shí)關(guān)閉接口

DHCP安全

DHCP（Dynamic Host Configuration Protocol）通過DHCP服務(wù)器分配給客戶機(jī)IP地址、網(wǎng)關(guān)等配置信息。通過在網(wǎng)絡(luò)上引入一臺未經(jīng)授權(quán)的DHCP服務(wù)器，可能為客戶機(jī)分配錯誤的IP地址，導(dǎo)致客戶機(jī)不能訪問網(wǎng)絡(luò)。如果未授權(quán)DHCP服務(wù)器分給惡意DNS，造成客戶訪問到虛假的服務(wù)器；如果是惡意的網(wǎng)關(guān)，則導(dǎo)致用戶信息有可能被嗅探或者修改。

在交換機(jī)上配置DHCP窺探（DHCP Snooping），允許信任端口連接的主機(jī)發(fā)送DHCP應(yīng)答，非信任端口則不允許DHCP應(yīng)答。

配置命令：

Switch(config)#ip dhcp snooping    #開啟DHCP窺探

Switch(config)#ip dhcp

snooping vlan 2         #在vlan2中開啟DHCP窺探

Switch(config-if)#ip dhcp snooping trust   #定義DHCP信任端口

以上我們介紹了網(wǎng)絡(luò)二層可能出現(xiàn)的安全問題及其防范方法。下面我們將來探討兩種加強(qiáng)網(wǎng)絡(luò)二層安全的措施PVLAN（Private VLAN）。

PVLAN

PVLAN通過把處于VLAN中端口分割成為具有相同子網(wǎng)地址的隔離端口來增強(qiáng)網(wǎng)絡(luò)的安全性。使用PVLAN隔離端口不必劃分IP網(wǎng)段，大大節(jié)省了IP地址。由于這些特點(diǎn)，PVLAN廣泛應(yīng)用于小區(qū)寬帶接入和DMZ區(qū)服務(wù)器接入。

PVLAN的端口分為三種：孤立端口（Isolated Port）、混雜端口（Promiscuous Port）和團(tuán)體端口（Community Port）。獨(dú)立端口只能和混雜端口通信，連接不和子網(wǎng)內(nèi)主機(jī)通信的主機(jī)；混雜端口能和任何端口通信，通常連接上層設(shè)備的端口；團(tuán)體端口之間可以通信，也可以和混雜端口通信，連接和一部分子網(wǎng)主機(jī)通信的主機(jī)。

配置命令：

CatOS(enable)>setvlan 10 pvlanprimary   

#設(shè)置vlan10為主vlan

CatOS(enable)>set vlan 100

pvlan isolated            

#設(shè)置vlan100為孤立vlan

CatOS(enable)>set vlan 101 

pvlan community         

#設(shè)置vlan101為團(tuán)體vlan

CatOS(enable)>set vlan 10 100 3/13 

#捆綁從vlan100到主vlan10，并分配端口

CatOS(enable)>set vlan 10 101 3/2-12 

#綁定vlan101到主vlan10，并分配端口

CatOS(enable)>set vlan 10 100 mapping 3/1    

#設(shè)定3/1為vlan100的混雜端口

CatOS(enable)>ste vlan 10 101 mapping 3/1   

#設(shè)定3/1為vlan101混雜端口

發(fā)生在網(wǎng)絡(luò)二層的安全威脅都需要攻擊者直接接入網(wǎng)絡(luò)，所以要保證網(wǎng)絡(luò)安全，除了使用各種措施以外，對用戶的安全教育和監(jiān)管也必不可少。 

【編輯推薦】

1. 從OSI模型看三種解決網(wǎng)絡(luò)故障常用思路
2. 理解OSI網(wǎng)絡(luò)分層