思科交换产品

Catalyst 4500的Catalyst集成式安全特性

我为什么应该关注第二层安全?

由于任何用户都可以访问任何以太网端口,而且可能成为潜在的黑客,因此,开放园区网不能保证网络安全性。因为OSI模型允许不同通信层次在相互不了解的情况下配合工作,所以第二层安全性至关重要。即使某个层次遭到攻击,网络安全特性遭到袭击,其它层次也可以不受影响。通信可以照常进行,任何用户都意识不到其应用层信息曾遭到过袭击。

2004年FBI/CSI 执行的一项风险评估显示:

  • 99% 的企业网端口是开放的
  • 通常情况下,任何笔记本都可以插入并接入网络
  • 接受调查的公司的总损失超过1.41亿美元
  • 59%的被访者都认为,员工发动的内部袭击不容忽视

此项调查还表明,由于害怕公司形象受到影响,许多公司都未公布网络遭受内外袭击的情况。

第二层交换环境一般部署在企业客户的配线间中,很容易成为安全袭击目标。第二层最常见的安全威胁之一,也是最难检测到的威胁之一,是旨在使网络瘫痪,或者盗取密码等网络用户的敏感信息的网络袭击。这些袭击将非法利用正常协议处理,例如,交换机通过地址解析协议(ARP-RFC 826)或动态主机控制协议(DHCP)服务器IP地址分配来学习MAC地址,执行终端工作站MAC地址解析等。

常见的第二层安全威胁

遗憾的是,随着互联网上基于菜单的黑客工具的流行,发动安全袭击需要的技能越来越少。最常见、破坏力最大的袭击包括:

  • MAC 地址泛洪
  • DHCP 服务器欺骗
  • 利用ARP发动的“中间人” 袭击
  • IP 主机欺骗

值得重视的是,虽然使用IEEE 802.1x和访问控制列表等验证和安全特性是企业威胁防御策略的重要组成部分,但不能预防上述第二层安全袭击,因为通过验证的用户仍有可能具有恶意袭击倾向,从而容易地发动上述袭击。

Catalyst 4500的Catalyst集成式安全特性

利用Catalyst 4500的Catalyst集成式安全特性,可以轻松地预防这些常见的第二层安全威胁。各种威胁和防止网络遭受袭击的安全特性如下。

MAC 地址泛洪

MAC地址指主机设备的物理地址。交换机的正常行为是在地址表中填写每个到达包的源地址和端口。去往未知目标MAC地址的帧由VLAN上的每个端口发出。这就是交换机或桥接器在第二层执行转发、过滤和学习机制的方法。交换机具有固定的内存空间存储MAC地址。试图造成该表泛洪或溢出的袭击将利用交换机内的在MAC地址学习功能和转发行为。

这种袭击将利用这种自然硬件限制,向交换机发送海量未知MAC地址,让交换机学习。但是,一旦达到了第二层转发表的极限,包就会泛洪到VLAN的所有端口,使黑客能够通过交换网络盗取网络连接,进而破坏网络性能。

预防

端口安全特性是一种动态特性,可用于限制和识别允许访问同一物理端口的站点的MAC地址。当某端口分配了安全MAC地址,或者动态学习完成之后,端口将禁止转发该源地址范围之外的包。通过端口安全特性限制交换机端口上允许的MAC地址的数量,有助于防止网络遭受MAC地址泛洪袭击。

DHCP 服务器欺骗和中间人袭击

网络袭击者通常使用恶意DHCP服务器发出IP主机地址,并将其作为默认网关,在两个端点之间重新转发正常流量,从而窃取这两个端点之间的所有流量。因此,这种袭击也称为中间人袭击。

预防: DHCP 监听

所有第二层端口都可以支持思科已获专利的DHCP监听特性。该特性能够为合法DHCP服务器规定可信端口,使之接发这些服务器的DHCP请求和信息。

截获VLAN中的所有DHCP消息后,交换机可以作为用户与合法DHCP服务器之间的小型安全防火墙。

基于地址解析协议(ARP)的中间人攻击

地址解析协议(ARP)的最基本的功能是允许两个站点在LAN网段上通信。

攻击者可能会发送带假冒源地址的ARP包,希望默认网关或其它主机能够承认该地址,并将其保存在ARP表中。ARP协议不执行任何验证或过滤就会在目标主机中为这些恶意主机生成记录项,从而提高了网络易损性。目前,恶意主机可以在端点毫不知情的情况下窃取两个端点之间的谈话内容。攻击者不但可以窃取密码和数据,还可以偷听IP电话内容。

预防: 动态ARP检测

这种攻击可以通过已获专利的思科安全特性 -- 动态ARP检测(DAI)有效预防,这种方法能够保证接入交换机只传输“合法”的ARP请求和答复。DAI能够截获交换机上的每个ARP包,检查ARP信息,然后再更新交换机ARP高速缓存,或者将其转发至相应的目的地。

IP主机欺骗

IP地址欺骗攻击者可以模仿合法地址,方法是人工修改某个地址,或者通过程序执行地址欺骗。互联网蠕虫可以使用欺骗技术隐藏攻击原发地。

预防: IP源防护

利用IP源防护特性,攻击者将无法冒用合法用户的IP地址发动攻击。该特性只允许转发有合法源地址的包。

总结

Catalyst 4500 模块化交换机具有足够的专用硬件资源,不但能实施这些第二层安全特性,还能实施本文未加介绍的许多其它安全特性。这些安全特性如下图所示。

Catalyst 4500的Catalyst集成式安全特性

联系我们