《區域網路交換機安全》一導讀

區域網路交換機安全

人們常認為區域網路和以太網交換機與管道系統很相似，易于安裝、配置。但恰恰是看似簡單的東西，往往容易忽略對其安全性的關注。

以太網交換機存在着多個安全隐患1。利用這些隐患的攻擊工具幾年前就已經問世（例如著名的dsniff軟體包）。運用這些工具，黑客可以打破交換機的所謂安全神話：“不可能用嗅探和包截取技術來攻擊交換機”。的确，使用dsniff、cain或者其他windows、linux系統下界面友好的工具，黑客可以輕而易舉地将任何流量轉向他的個人計算機，進而破壞了這些流量的保密性和完整性。

對于第二層協定，從生成樹協定到ipv6鄰居發現，這些隐患中的絕大部分都是與生俱來的。一旦第二層被攻陷，再使用諸如“中間人”（mitm）攻擊之類的技術在更高層協定上建構攻擊手段是輕而易舉的事。由于能夠截取任意流量，黑客可以在明文通信（例如http和telnet）和加密通道（例如ssl或ssh）裡做手腳。

要利用網絡第二層的隐患，攻擊者常常必須與攻擊目标在第二層相鄰。盡管聽起來有些不可思議，但實際上外部黑客是可以連接配接到一個公司的區域網路的。他可以運用社交工程出入公司場所，或是假扮成一名電話約來的工程師，來現場解決“機械故障”。

另外，很多攻擊來自于公司内部員工，比如由一個在現場工作的雇員發起攻擊。傳統上，企業一直存在着不成文的和在某些場合是書面的規則，即認定雇員是受信任的個體。然而，過去數10年中無數的案件和統計資料證明，這一假設是錯誤的。2006年csi/fbi計算機犯罪與安全調查報告顯示，受調查公司68％的損失都部分地或完全歸結于内部員工的行為不端。

一旦進入大多數組織的場所内部，取得未經授權的網絡連接配接相對來說就容易多了：找到一個牆上閑置的以太網插口，或者一部可以斷開的網絡裝置（例如，一台網絡列印機）。考慮到dhcp的廣泛部署，基于區域網路的端口中僅有很低比例需要認證（例如ieee 802.1x），使用者的計算機可以獲得一個ip位址，且在絕大多數情況下，擁有了和其他合法授權使用者同樣的網絡通路級别。擷取網絡中的一個ip位址後，惡意使用者就可以嘗試各種攻擊手段。

有了針對網絡使用者的信任假定，在這一新觀點的審視之下，敏感和秘密資訊在網絡上的流轉成為不容忽視的事實。如非全部，絕大多數組織都會在其應用系統和衆多文檔容器中設計通路安全機制。然而，這并非萬無一失。它們僅僅有助于確定适當授權的使用者通路應用系統或文檔容器中的資訊。這些通路控制技術并不能阻止惡意使用者在資訊的運轉過程中用線上窺探來獲得資訊通路權。目前，大部分在網絡上流轉的資訊都沒有經過加密。聰明而常常是好奇的網絡使用者，借助于簡單的腳本工具就可以輕松地線上探測到任何明文資訊。這些可能是無關痛癢的會議通知，或是敏感資訊：諸如使用者名和密碼、人力資源密或健康記錄、保密客戶資訊、信用卡資訊、合同、知識産權，甚至機密的政府資訊。不言而喻，一個公司資訊資産有多麼重要，有時甚至是公司的中樞所在。資訊的曝光、洩露對公司都是極其不利的，有時會造成嚴重的經濟後果。公司可能在一夜間名譽掃地，随之失去忠實的客戶基礎。

随着設計用來暴露或者利用網絡協定弱點的工具的大量湧現（諸如yersinia和cain），線上窺探所需的知識在過去10年來發生了巨大的變化。在很多情況下，這些工具對内容敏感并提供了幫助菜單，這使得針對線上流轉資訊的竊聽、篡改和回放行為更加普遍。同樣，一旦擷取了使用者通路權限，黑客們可以利用作業系統和應用程式存在的隐患來擷取或篡改資訊，引發“拒絕服務”。

反言之，以太網交換機及其相關協定、特性通過采用使用者識别、強制實施線速安全政策（wire speed security policy）、第二層加密等措施可以改善區域網路環境的安全狀态。

<a href="https://yq.aliyun.com/articles/105943">第1章 安全導論</a>

<a href="https://yq.aliyun.com/articles/105946">1.1　安全三要素（security triad）</a>

<a href="https://yq.aliyun.com/articles/105948">1.2　風險管理（risk management）</a>

<a href="https://yq.aliyun.com/articles/105953">1.3　通路控制和身份管理</a>

<a href="https://yq.aliyun.com/articles/105961">1.4　密碼學（cryptography）</a>

<a href="https://yq.aliyun.com/articles/105964">1.5　總結</a>

<a href="https://yq.aliyun.com/articles/105967">1.6　參考資料</a>

第2章　挫敗學習型網橋的轉發程序

第3章　攻擊生成樹協定

第4章　vlan安全嗎

第5章　利用dhcp缺陷的攻擊

第6章　利用ipv4 arp的攻擊

第7章　利用ipv6鄰居發現和路由器通告協定的攻擊

第8章　以太網上的供電呢

第9章　hsrp适應力強嗎

第10章　能打敗vrrp嗎

第11章　cisco輔助協定與資訊洩露

第12章　拒絕服務攻擊簡介

第13章　控制平面的監管

第14章　屏蔽控制平面協定

第15章　利用交換機發現資料平面拒絕服務攻擊（dos）

第16章　線速通路控制清單

第17章　基于身份的網絡服務與802.1x

第18章　ieee 802.1ae

附錄　結合ipsec與l2tpv3實作安全僞線