- 相關(guān)推薦
如何避免VLAN的弱點(diǎn)
VLAN(Virtual Local Area Network)的中文名為"虛擬局域網(wǎng)"。下面小編為大家整理了關(guān)于如何避免VLAN弱點(diǎn)的文章,一起來看看吧:
怎樣才能最大限度地避免VLAN的弱點(diǎn)
交換機(jī)不是被設(shè)計(jì)用來作安全設(shè)備的,其功能仍是以提高網(wǎng)絡(luò)性能為主。如果要將交換機(jī)納入安全機(jī)制的一部分,前提是首先要對交換機(jī)進(jìn)行正確的配置,其次交換機(jī)的制造商要對交換機(jī)軟件的基礎(chǔ)標(biāo)準(zhǔn)有著全面理解并徹底實(shí)現(xiàn)了這些標(biāo)準(zhǔn)。
如果對網(wǎng)絡(luò)安全有著嚴(yán)格的要求,還是不要使用共享的交換機(jī),應(yīng)該使用專門的交換機(jī)來保證網(wǎng)絡(luò)安全。如果一定要在不可信的網(wǎng)絡(luò)和可信的用戶之間共享一個(gè)交換機(jī),那么帶來的只能是安全上的災(zāi)難。
VLAN的確使得將網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行隔離成為可能,這些業(yè)務(wù)共享同一交換機(jī)甚至共享一組交換機(jī)。但是交換機(jī)的設(shè)計(jì)者們在把這種隔離功能加入到產(chǎn)品之中時(shí),優(yōu)先考慮的并不是安全問題。VLAN的工作原理是限制和過濾廣播業(yè)務(wù)流量,不幸的是,VLAN是依靠軟件和配置機(jī)制而不是通過硬件來完成這一任務(wù)的。
最近幾年,一些防火墻已經(jīng)成為VLAN設(shè)備,這意味著可以制定基于包標(biāo)簽的規(guī)則來使一個(gè)數(shù)據(jù)包轉(zhuǎn)到特定的VLAN.然而,作為VLAN設(shè)備的防火墻也為網(wǎng)頁寄存站點(diǎn)增加了很多靈活的規(guī)則,這樣防火墻所依賴的這些標(biāo)簽在設(shè)計(jì)時(shí)就不是以安全為準(zhǔn)則了。交換機(jī)之外的設(shè)備也可以生成標(biāo)簽,這些標(biāo)簽可以被輕易地附加在數(shù)據(jù)包上用來欺騙防火墻。
VLAN的工作原理究竟是怎樣的?VLAN又有著什么樣的安全性上的優(yōu)點(diǎn)呢?如果決定使用VLAN作為安全體系的一部分,怎樣才能最大限度地避免VLAN的弱點(diǎn)呢?
分區(qū)功能
“交換機(jī)”一詞最早被用來描述這樣一種設(shè)備,這種設(shè)備將網(wǎng)絡(luò)業(yè)務(wù)在被稱之為“端口”的網(wǎng)絡(luò)接口間進(jìn)行交換。就在不久以前,局域網(wǎng)的交換機(jī)被稱作“橋接器”,F(xiàn)在,即使是與交換機(jī)相關(guān)的IEEE標(biāo)準(zhǔn)中也不可避免地用到“橋接器”這一術(shù)語。
橋接器用來連接同一局域網(wǎng)上不同的段,這里的局域網(wǎng)指的是不需要路由的本地網(wǎng)絡(luò)。橋接器軟件通過檢測收到數(shù)據(jù)包中所含的MAC地址來獲悉哪個(gè)端口聯(lián)接到哪個(gè)網(wǎng)絡(luò)設(shè)備。最初,橋接器將所有收到的數(shù)據(jù)包發(fā)送到每個(gè)端口,經(jīng)過一段時(shí)間以后,橋接器通過建立生成樹和表的方法獲悉如何將數(shù)據(jù)包發(fā)送到正確的網(wǎng)絡(luò)接口。這些生成樹和表將MAC地址映射到端口的工作,是通過一些選擇正確網(wǎng)絡(luò)接口和避免回路的算法來完成的。通過將數(shù)據(jù)包發(fā)送到正確的網(wǎng)絡(luò)接口,橋接器減少了網(wǎng)絡(luò)業(yè)務(wù)流量?梢詫蚪悠骺醋魇沁B接兩條不同道路的高速公路,在高速公路上只通過兩條道路間必要的交通流量。
盡管橋接器從整體上減少了網(wǎng)絡(luò)業(yè)務(wù)流量,使得網(wǎng)絡(luò)可以更加高效地運(yùn)行。橋接器仍然需要對所有端口進(jìn)行廣播數(shù)據(jù)包的發(fā)送。在任何局域網(wǎng)中,廣播的含義是:一個(gè)消息廣播發(fā)送給局域網(wǎng)內(nèi)所有系統(tǒng)。ARP(地址解析協(xié)議)包就是廣播信息的一個(gè)例子。
隨著端口數(shù)目和附加管理軟件數(shù)目的增多,橋接器設(shè)備的功能變得越來越強(qiáng)。一種新的功能出現(xiàn)了:橋接器具有了分區(qū)功能,可被分成多個(gè)虛擬橋。當(dāng)通過這種方式進(jìn)行分區(qū)時(shí),廣播信息將被限制在與虛擬橋和對應(yīng)的VLAN的那些端口上,而不是被發(fā)送到所有的端口。
將廣播限制在一個(gè)VLAN中并不能夠阻止一個(gè)VLAN中的系統(tǒng)訪問與之連接在同一橋接器而屬于不同VLAN的系統(tǒng)。但要記住,ARP廣播被用來獲得與特定IP對應(yīng)的MAC地址,而沒有MAC地址,即使在同一網(wǎng)絡(luò)中的機(jī)器也不能相互通信。
Cisco網(wǎng)站上描述了在兩種情況下,數(shù)據(jù)包可以在連接于同一交換機(jī)的VLAN中傳送。在第一種情況下,系統(tǒng)在同一VLAN中建立了TCP/IP連接,然后交換機(jī)被重新設(shè)置,使得一個(gè)交換機(jī)的端口屬于另一個(gè)VLAN.通信仍將繼續(xù),因?yàn)橥ㄐ烹p方在自己的ARP緩沖區(qū)中都有對方的MAC地址,這樣橋接器知道目的MAC地址指向哪個(gè)端口。在第二種情況下,某人希望手動(dòng)配制VLAN,為要訪問的系統(tǒng)建立靜態(tài)ARP項(xiàng)。這要求他知道目標(biāo)系統(tǒng)的MAC地址,也許需要在物理上直接訪問目標(biāo)系統(tǒng)。
這兩種情況中所描述的問題能夠通過使用交換機(jī)軟件來得到改善,這些軟件的功能是消除數(shù)據(jù)包在傳送時(shí)所需要的信息。在Cisco的高端交換機(jī)中,將每個(gè)VLAN所存在的生成樹進(jìn)行分離。其他的交換機(jī)要么具有類似的特點(diǎn),要么能被設(shè)置成可以對各個(gè)VLAN里的成員的橋接信息進(jìn)行過濾。
鏈路聚合
多個(gè)交換機(jī)可以通過配制機(jī)制和在交換機(jī)間交換數(shù)據(jù)包的標(biāo)簽來共享同一VLAN.你可以設(shè)置一個(gè)交換機(jī),使得其中一個(gè)端口成為鏈路,在鏈路上可以為任何VLAN傳送數(shù)據(jù)包。當(dāng)數(shù)據(jù)包在交換機(jī)之間傳遞時(shí),每個(gè)數(shù)據(jù)包被加上基于802.1Q協(xié)議的標(biāo)簽,802.1Q協(xié)議是為在橋接器間傳送數(shù)據(jù)包而設(shè)立的IEEE標(biāo)準(zhǔn)。接收交換機(jī)消除數(shù)據(jù)包的標(biāo)簽,并將數(shù)據(jù)包發(fā)送到正確的端口,或在數(shù)據(jù)包是廣播包的情況下發(fā)送到正確的VLAN.
這些四字節(jié)長的802.1Q被附加在以太網(wǎng)數(shù)據(jù)包頭中,緊跟在源地址后。前兩個(gè)字節(jié)包含81 00,是802.1Q標(biāo)簽協(xié)議類型。后兩個(gè)字節(jié)包含一個(gè)可能的優(yōu)先級,一個(gè)標(biāo)志和12比特的VID(VLAN Identifier)。VID的取值在0到4095之間,而0和4095都作為保留值。VID的默認(rèn)值為1,這個(gè)值同時(shí)也是為VLAN配置的交換機(jī)的未指定端口的默認(rèn)值。
根據(jù)Cisco交換機(jī)的默認(rèn)配置,鏈路聚合是推薦的配置。如果一個(gè)端口發(fā)現(xiàn)另一個(gè)交換機(jī)也連在這個(gè)端口上,此端口可以對鏈路聚合進(jìn)行協(xié)商。默認(rèn)的鏈路端口屬于VLAN1,這個(gè)VLAN被稱作該端口的本地VLAN.管理員能夠?qū)㈡溌范丝谥付ńo任何VLAN.
可以通過設(shè)置鏈路端口來防止這種VLAN間數(shù)據(jù)包的傳送,將鏈路端口的本地VLAN設(shè)置成不同于其他任何VLAN的VID.記住鏈路端口的默認(rèn)本地VLAN是VID 1.可以選擇將鏈路端口的本地VLAN設(shè)置為1001,或者任何交換機(jī)允許的且不被其他任何VLAN所使用的值。
防火墻和VLAN
知道了交換機(jī)如何共享VLAN信息之后,就可以更準(zhǔn)確地評價(jià)支持VLAN的防火墻。支持VLAN的防火墻從支持VLAN的交換機(jī)那里獲得頭部帶有802.1Q標(biāo)簽的數(shù)據(jù)包,這些標(biāo)簽將被防火墻展開,然后用來進(jìn)行安全規(guī)則的檢測。盡管到目前為止,我們只討論了以太網(wǎng)的情況,802.1Q標(biāo)簽同樣適用于其他類型的網(wǎng)絡(luò),比如ATM 和FDDI.
802.1Q標(biāo)簽并不能提供身份驗(yàn)證,它們只不過是交換機(jī)用來標(biāo)志從特定VLAN來的特定數(shù)據(jù)包的一種方式。如同許多年來人們偽造IP源地址一樣,VLAN標(biāo)簽同樣可以被偽造。最新的Linux操作系統(tǒng)帶有對工作于VLAN交換機(jī)模式的支持,可以生成本地系統(tǒng)管理員可以選擇的任意VLAN標(biāo)簽。
安全使用802.1Q標(biāo)簽的關(guān)鍵在于設(shè)計(jì)這樣一種網(wǎng)絡(luò):交換機(jī)鏈路連接到防火墻接口,而基于VLAN標(biāo)簽的安全檢測將在防火墻接口進(jìn)行。如果有其他的線路能夠到達(dá)防火墻的接口,偽造VLAN標(biāo)簽的可能性就會(huì)增大。交換機(jī)本身必須被正確配置,進(jìn)行鏈路聚合的鏈路端口要進(jìn)行特殊配置,然后加入到非默認(rèn)VID中。
在任何關(guān)于交換機(jī)的討論中,保護(hù)對交換機(jī)設(shè)備的管理權(quán)限這一結(jié)論是永遠(yuǎn)不變的。交換機(jī)和其他網(wǎng)絡(luò)設(shè)備一樣可以從三種途徑進(jìn)行管理:Telnet、HTTP和SNMP.關(guān)掉不使用的管理途徑,在所使用的管理途徑上也要加上訪問控制。因?yàn)楫?dāng)攻擊者來自網(wǎng)絡(luò)外部時(shí),防火墻可以控制他對交換機(jī)的訪問;當(dāng)攻擊者來自網(wǎng)絡(luò)內(nèi)部或者攻擊者獲得了訪問內(nèi)部系統(tǒng)的權(quán)限而發(fā)起攻擊時(shí),防火墻對此將無能為力。
【如何避免VLAN的弱點(diǎn)】相關(guān)文章:
CISCO交換機(jī)如何刪除Vlan11-02
如何避免蜘蛛陷阱06-14
如何避免瑜伽傷害10-21
如何避免酒后駕車-避免酒后駕車的方法08-22
如何避免商品漏發(fā)08-09
如何打高球避免高爾夫10-26
如何避免汽車后視鏡盲區(qū)07-13
如何避免孩子的起床氣?07-05
淘寶開店如何避免扣分09-26
托福詞匯如何避免用錯(cuò)10-19