本文引用:
[url]/news//0213/article_2190.html[/url]
有一篇写得比我更好的文章:
[url]/CMS/Pub/network/network_security/_06_21_89388.htm[/url]
文章内提到了五种cisco交换型网络中比较常见的网络攻击模型。实际上,这五种攻击模型的产生及流传,很大程度上归咎于cisco设备以尽可能便捷地为客户部署纯以太网式交换局域网为目标。一般情况下,接入局域网的人员及设备都是经过严格审核的,并且在管理性文档中也会提及到不允许任何对网络形成威胁的行为等等。但由于这都是从管理角度上考虑的问题,属于高层次保护。没有底层技术的保障,安全威胁仍然存在,而且“堡垒最容易从内部攻破”的道理人人皆知。因此我们网管人员需要运用我们技术的力量维护基层网络的正常运行。注:下文所属基本上基于cisco较为低端的交换设备,并非通用技术,而且只是个人经验,只能作参考。
1、VLAN跳跃攻击
简单说来,就是因为DTP(cisco专用)机制中并没有认证的引入,因此任何设备在DTP协商中均可被交换机认为是中继端口,从而获得其他vlan的数据,突破vlan的限制。
解决方法:取消DTP,可以在部署前首先把所有端口设置默认为access,并分配到一个低访问权限的非native vlan中(例如不配置vlan三层接口,这样就不会被路由到其它vlan)。然后再根据需要部署trunk端口。
个人点评:攻击模型条件比较特殊,需要cisco交换机并且存在没有手工配置的端口,威胁可能性评价3;由于局域网底层隔离的手段除了物理就是vlan了,数据被窃的后果可被无限放大,因此威胁结果评价为5。
2、生成树攻击
首先简单说一下STP。为使交换型网络消除环路,STP把网络当作一棵生成树。
1、刚开始,所有交换机所有非关闭端口为阻塞(blocking),并洪泛(flooding)自己的bpdu,侦听(listen)、学习(learning)其他交换机的bpdu;
2、根据bpdu的bridge ID,选举一台作为根(root);
3、根所有端口设为指定端口(designated port),状态改为转发;
4、其他交换机根据bpdu的cost值判断哪个端口到根距离最短,作为根端口(root port),该端口状态改为转发(forwarding);
5、对于指定端口的判断个人觉得有点含糊,上课时老师说是每根级联线中选取一个作为指定端口,这样理解的话,若级联中有根端口,则另一边为指定端口;若都不是根端口,则根据bpdu的端口cost、优先级、端口ID决定哪方是指定端口,另一端为非指定端口;
6、非指定端口继续阻塞,其他max_age里没有收到bpdu的端口转发;
7、(关键)任何阻塞状态的端口收到比根更优的bpdu(bridgeID更小)时,洪泛该bpdu,并重新计算其端口状态。该bpdu一直洪泛到全局域网。其结果是,所有交换机重新计算STP。
废话一大堆,主要是想分析STP攻击可能出现的原因。选举过程没有问题,但由于stp的bpdu机制没有认证功能,并且没有“域”的限制(这里的‘域’要和VTP的‘域’分开,STP是没有‘域’概念的,除非引入路由)。因此随便一台可以发送BPDU的设备,都可以导致全网重新计算STP(1-6)。
解决方法:既然整个选举过程都没有问题,而bpdu的问题只有ieee能够解决,因此我们只能够在stp选举后尽量确保其稳定性。具体方法是使得非级联端口不允许发送bpdu包。使用portfast bpduguard default特性,不但可以加快工作站与交换设备间的连接,还可以阻隔定义为工作站端口的设备发送任何bpdu包。当然也可以改用RSTP加快收敛速度,只是RSTP对于端口快速翻转(port flipping)的容忍度比较差,不适合某些工作环境。
个人点评:无论STP或者RSTP,即便是设置为访问端口(access port)都没有防止STP攻击的能力,因此攻击可能性为4;由于随后的攻击有可能是单纯的DoS,更有可能冒充root接管流量,因此攻击威胁为5。对于STP攻击都必须在收敛后进行。在定义了access和portfast(edge port)后加上bpduguard是绝对必要的。
3、MAC表溢出攻击
说明:这是最不需要技术含量的攻击了。根据交换机学习端口Mac的原理,只需要不断改变工作站的源Mac,即可导致交换机CAM表满,随后只能洪泛所有的帧。
解决方法:限制access端口的源mac数量。最方便的方法是port-security了。所有access端口配置port-security,违反的直接shutdown最好(当然,老板的端口随便protect就可以了
读《全面了解交换机漏洞保护网络核心部分》有感_交换)。
个人点评:相对来讲,没有开启port-security的设备还是广泛存在的,因此攻击可能性为4;另外由于site-to-site Vlan,广播会在trunk上传播,导致中继链路的堵塞,攻击的结果为二层DoS。因此攻击威胁为3。
4、ARP攻击
说明:都已经是臭名远昭的攻击了。利用ARP协议随时接收并且没有认证机制的缺陷(注意了,这是ARP机制,工作在数据链路层的标准协议之一),任意更新所有同一广播域中所有设备的ARP表,导致工作站无法互联、无法连接到网关、或者链接到错误的网关等。
解决方法:由于arp应答同样使用了数据帧的mac源地址,因此可以使用port-security进行防御。并且建议在网关处建立几个关键点的arp静态绑定(例如服务器、log等。当然,若底层交换机是35以上系列的,并且全网使用DHCP时,强烈建议dhcp snooping+DAI,但可能性不大)。当然使用vlan acl、mac acl限制端口或vlan的源mac,或者在客户端安装arp防欺骗软件也可以,只不过没有上述部署方便。有精力的朋友可以试试。
个人点评:无处不在的arp欺骗,神憎鬼厌的arp广播。利用mac、arp、ip间的简单信任,即可达到中间人攻击,根本无法通过数据包本身进行过滤。更有一些软件专门通过arp达到控制网络的目的。攻击可能性5,攻击威胁5。
5、VTP攻击
VTP攻击主要用于删除Domain中的vlan数据。在同一个vtp domain内,交换机比较接收到本域中的vtp包修订号(revision number),较大的修订号的vlan信息覆盖本机的vlan信息。攻击者需先把到交换机的连接改为trunk,然后发送伪造的vtp信息,使用高修订号,导致同一vtp域的其他设备修改vlan信息。
原文说删除vlan后所有端口属于同一个(默认)vlan,个人觉得实际情况应该是这些端口都无法与其它端口通信(因为交换机不知道有这个vlan,因此无法进行广播)。因此对于VTP可以造成数据窃听持怀疑态度。
解决方法:vtp攻击并非很容易实现,毕竟需要在trunk链路上进行,这样子在端口配置时不使用dtp就可以了。另外vtp除了域还有密码的限制,也就是弱口令认证,因此只需要在配置vtp时加上password就可以了。关键是,有了认证功能,管理员没有任何理由不使用。
个人点评:几乎只是在原理上可能实现的攻击,攻击可能性为1。删除vlan信息导致非默认vlan的端口无法连通,攻击威胁为3。
还有一种以前了解过的攻击:
6、native vlan攻击
这种攻击要求攻击发起者端口处于native vlan时有效。攻击者首先把目标vlan以tag的方式加到数据帧中,然后发送到交换机。其他交换机通过trunk接收该帧时,检查到tag的目标是另一vlan的,因此转发到另一vlan。从而实现跨vlan攻击。
解决方法:不使用native vlan。该设计本来是用于兼容不支持trunk设备的。这种设备现在估计比钻石还难找。只要是在非native vlan的数据穿过trunk前都会打上正确的tag,对端设备解读的也是该tag,从而消除了潜在的威胁。
个人点评:同样是很理论的攻击手段。主要是可以发送数据到被攻击端,回程数据是无法到达的。而且很多文档都建议避免使用native vlan。只是因为native vlan在cisco定为vlan 1。因此攻击可能性为2,攻击威胁为1。
个人点评纯粹为主观意识,不代表该中攻击可能造成的实际威胁。因此不一定符合每一种网络,最理想的情况,还是封杀所有可能造成的威胁。
