我们已经看到互联网的快速增长引发了对网络安全的重大关注.已经开发了几种方法来为网络的应用程序,传输或网络层提供安全性.
许多组织在更高的OSI层上采用安全措施,从应用程序层一直到IP层.但是,通常无人看管的一个区域是数据链路层的强化.这可以使网络受到各种攻击和妥协.
在本章中,我们将讨论数据链路层的安全问题以及解决这些问题的方法.我们的讨论将集中在以太网网络上.
数据链路以太网中的层很容易受到多次攻击.最常见的攻击是 :
地址解析协议(ARP)是用于将IP地址映射到物理机器的协议可在本地以太网中识别的地址.当主机需要为IP地址查找物理媒体访问控制(MAC)地址时,它会广播ARP请求.拥有IP地址的另一台主机发送带有物理地址的ARP回复消息.
网络上的每台主机都维护一个名为"ARP缓存"的表.该表保存了网络上其他主机的IP地址和关联的MAC地址.
由于ARP是无状态协议,因此每次主机从其他主机获得ARP回复时,即使它没有发送ARP请求,它接受ARP条目并更新其ARP缓存.使用称为ARP中毒或ARP欺骗的伪造条目修改目标主机的ARP缓存的过程.
ARP欺骗可能允许攻击者伪装成合法主机,然后拦截数据帧网络,修改或停止它们.攻击通常用于发动其他攻击,例如中间人,会话劫持或拒绝服务.
以太网中的每个交换机都有一个内容可寻址内存(CAM)表,用于存储MAC地址,切换端口号和其他信息.桌子有固定的尺寸.在MAC泛洪攻击中,攻击者使用伪造的ARP数据包向MAC地址泛洪交换机,直到CAM表已满.
一旦CAM被泛洪,交换机就会进入类似集线器的模式,开始广播没有CAM条目的流量.位于同一网络上的攻击者现在接收所有仅发往特定主机的帧.
以太网交换机具有学习MAC地址并将其绑定到端口的能力.当交换机从具有MAC源地址的端口接收流量时,它会绑定端口号和该MAC地址.
端口窃取攻击利用了交换机的这种能力.攻击者使用伪造的ARP帧以目标主机的MAC地址作为源地址来泛洪交换机.交换机被欺骗,认为目标主机在端口上,实际上是攻击者连接的.
现在用于目标主机的所有数据帧都被发送到攻击者的交换机端口而不是到目标主机.因此,攻击者现在接收实际仅发往目标主机的所有帧.
动态主机配置协议(DHCP)不是数据链路协议,但DHCP攻击的解决方案对于阻止第2层攻击也很有用.
DHCP用于在特定时间段内为计算机动态分配IP地址.可以通过在网络中导致拒绝服务或模拟DHCP服务器来攻击DHCP服务器.在DHCP饥饿攻击中,攻击者请求所有可用的DHCP地址.这导致拒绝向网络上的合法主机提供服务.
在DHCP欺骗攻击中,攻击者可以部署恶意DHCP服务器为客户端提供地址.在这里,攻击者可以为主机提供带有DHCP响应的路由默认网关.来自主机的数据帧现在被引导到rouge网关,攻击者可以拦截所有包并回复实际网关或丢弃它们.
除了上述流行的攻击之外,还有其他攻击,如基于第2层的广播,拒绝服务(DoS),MAC克隆.
在广播攻击中,攻击者发送欺骗ARP回复网络上的主机.这些ARP回复将默认网关的MAC地址设置为广播地址.这会导致所有出站流量进行广播,从而允许坐在同一个以太网上的攻击者进行嗅探.此类攻击也会影响网络容量.
在基于二层的DoS攻击中,攻击者使用不存在的MAC地址更新网络中主机的ARP缓存.网络中每个网络接口卡的MAC地址应该是全局唯一的.但是,通过启用MAC克隆可以轻松更改它.攻击者通过DoS攻击禁用目标主机,然后使用目标主机的IP和MAC地址.
攻击者执行攻击以启动更高级别的攻击以危及安全性在网络上传播的信息.他可以截取所有帧,并能够读取帧数据.攻击者可以充当中间人并修改数据或简单地丢弃导致DoS的帧.他可以劫持目标主机和其他机器之间正在进行的会话,并完全传达错误信息.
我们讨论了一些众所周知的上一节中的数据链路层攻击.已经开发了几种方法来减轻这些类型的攻击.一些重要的方法是 :
这是智能以太网交换机上可用的第2层安全功能.它涉及将交换机的物理端口绑定到特定的MAC地址/es.任何人都可以通过简单地将主机连接到其中一个可用的交换机端口来访问不安全的网络.但是,端口安全可以保护第2层访问.
默认情况下,端口安全性将入口MAC地址计数限制为1.但是,可以允许多个授权主机通过配置从该端口进行连接.每个接口允许的MAC地址可以静态配置.一个方便的替代方案是启用"粘性"MAC地址学习,其中MAC地址将由交换机端口动态学习,直到达到端口的最大限制.
为了确保安全性,对可以通过多种不同方式控制端口上指定MAC地址/es的更改或端口上的多余地址.端口可以配置为关闭或阻止超过指定限制的MAC地址.建议的最佳做法是关闭端口.端口安全可防止MAC泛洪和克隆攻击.
我们已经看到DHCP欺骗是一种攻击,攻击者从中侦听DHCP请求在授权的DHCP响应到达主机之前,在网络上托管并使用虚假的DHCP响应进行回复.
DHCP侦听可以防止此类攻击. DHCP Snooping是一种交换功能.可以配置交换机以确定哪些交换机端口可以响应DHCP请求.交换机端口被标识为受信任或不受信任的端口.
只有连接到授权DHCP服务器的端口才配置为"受信任",并允许发送所有类型的DHCP消息.交换机上的所有其他端口都是不可信的,只能发送DHCP请求.如果在不受信任的端口上看到DHCP响应,则端口将关闭.
端口安全性方法可以阻止MAC洪水和克隆攻击.但是,它不会阻止ARP欺骗.端口安全性验证帧头中的MAC源地址,但ARP帧在数据有效负载中包含额外的MAC源字段,主机使用此字段填充其ARP缓存.防止ARP欺骗的一些方法如下:
静态ARP : 建议的操作之一是在主机ARP表中使用静态ARP条目.静态ARP条目是ARP缓存中的永久条目.但是,这种方法是不切实际的.此外,它不允许使用某些动态主机配置协议(DHCP),因为静态IP需要用于第2层网络中的所有主机.
入侵检测系统 : 防御方法是利用入侵检测系统(IDS)配置为检测大量ARP流量.但是,IDS很容易报告误报.
动态ARP检查 : 这种防止ARP欺骗的方法与DHCP Snooping类似.它使用受信任和不受信任的端口.仅在受信任端口上允许ARP回复进入交换机接口.如果ARP回复到达不可信端口上的交换机,则ARP回复数据包的内容将与DHCP绑定表进行比较,以验证其准确性.如果ARP回复无效,则ARP回复被删除,端口被禁用.
生成树协议(STP)是第2层链路管理协议. STP的主要目的是确保在网络具有冗余路径时没有数据流循环.通常,构建冗余路径以为网络提供可靠性.但它们可能形成致命的循环,可能导致网络中的DoS攻击.
为了提供所需的路径冗余,为了避免循环条件,STP定义了一个跨越网络中所有交换机的树. STP强制某些冗余数据链路进入阻塞状态,并使其他链路保持转发状态.
如果处于转发状态的链路出现故障,STP将重新配置网络并通过激活重新定义数据路径适当的备用路径. STP在网络中部署的网桥和交换机上运行.所有交换机交换根交换机选择和后续网络配置的信息.网桥协议数据单元(BPDU)携带此信息.通过交换BPDU,网络中的所有交换机都选择一个根网桥/交换机,成为网络中的焦点并控制被阻塞和转发的链路.
接管根网桥.它是第2层中最具破坏性的攻击类型之一.默认情况下,LAN交换机以相应的值从邻近交换机发送任何BPDU.顺便提一下,STP是可靠的,无状态的,并且不提供任何声音认证机制.
一旦处于根攻击模式,攻击交换机每2秒发送一次BPDU具有与当前根网桥相同的优先级,但MAC地址略低于数字,这确保了它在根网桥选举过程中的胜利.攻击者交换机可以通过不正确地确认导致BPDU泛滥的其他交换机或者通过声称一次是root并且快速连续收回来使交换机过度处理BPDUS来发起DoS攻击.
使用Flood配置BPDU的DoS.攻击交换机不会尝试以root用户身份接管.相反,它每秒生成大量BPDU,导致交换机的CPU利用率非常高.
幸运的是,根接管攻击的对策简单明了.两个功能有助于击败根接管攻击.
Root Guard : 根保护限制了可以协商根网桥的交换机端口.如果"root-guard-enabled"端口接收的BPDU优于当前根网桥发送的BPDU,则该端口将移至根不一致状态,并且不会跨该端口转发任何数据流量.根保护最好部署到连接到交换机的端口,这些交换机不会被接管为根网桥.
BPDU-Guard : BPDU防护用于保护网络免受接入端口上接收BPDU可能导致的问题.这些是不应该接收它们的端口. BPDU防护最好部署到面向用户的端口,以防止攻击者插入恶意交换机.
在本地网络中,虚拟局域网(VLAN)有时被配置为安全措施,以限制易受第2层攻击影响的主机数量. VLAN创建网络边界,广播(ARP,DHCP)流量无法跨越.
采用交换机/es支持的网络VLAN功能可以配置为在单个物理LAN基础架构上定义多个VLAN.
VLAN的常见形式是基于端口的VLAN.在此VLAN结构中,交换机端口使用交换机管理软件分组到VLAN中.因此,单个物理交换机可以充当多个虚拟交换机.
使用VLAN可以提供流量隔离.它将大型广播第2层网络划分为较小的逻辑第2层网络,从而减少了诸如ARP/DHCP欺骗之类的攻击范围.一个VLAN的数据帧可以从/到属于同一VLAN的端口内移动.两个VLAN之间转发的帧是通过路由完成的.
VLAN通常跨越多个交换机,如上图所示. Trunk端口之间的链路承载通过多个物理交换机定义的所有VLAN的帧.因此,在交换机之间转发的VLAN帧不能是简单的IEEE 802.1以太网格式帧.由于这些帧在同一物理链路上移动,因此它们现在需要携带VLAN ID信息. IEEE 802.1Q协议向中继端口之间转发的普通以太网帧添加/删除其他报头字段.
当两个IP地址字段之后的字段是0x8100(> 1500)时,该帧被标识为802.1Q帧. 2字节标记协议标识符(TPI)的值为81-00. TCI字段由3位优先级信息,1位丢弃符合条件指示符(DEI)和12位VLAN ID组成.此3位优先级字段和DEI字段与VLAN无关.优先级位用于提供服务质量.
当帧不属于任何VLAN时,存在默认VLAN ID,该帧被认为与该帧相关联.
在VLAN跳跃攻击中,一个VLAN上的攻击者可以访问通常无法访问的其他VLAN上的流量.当从一个VLAN到另一个VLAN进行通信时,它会绕过第3层设备(路由器),从而无法创建VLAN.
可以通过两种方法执行VLAN跳转;切换欺骗和双重标记.
当攻击者所连接的交换机端口处于"中继"时,可能会发生这种情况'模式或'自动协商'模式.攻击者充当交换机,并为目标远程VLAN添加带有VLAN标记的802.1Q封装头到其外出帧.接收交换机将这些帧解释为来自另一个802.1Q交换机,并将帧转发到目标VLAN.
针对交换机欺骗攻击的两种预防措施是将边缘端口设置为静态访问模式并禁用所有端口上的自动协商.
在此攻击中,连接到交换机本地VLAN端口的攻击者预先设置了两个帧头中的VLAN标记.第一个标签是本地VLAN,第二个标签是目标VLAN.当第一台交换机收到攻击者的帧时,它会删除第一个标签,因为本地VLAN的帧在中继端口上没有标签的情况下被转发.
由于第一个交换机从未删除第二个标记,因此接收交换机将剩余标记识别为VLAN目标,并将帧转发到该VLAN中的目标主机.双标记攻击利用了本地VLAN的概念.由于VLAN 1是访问端口的默认VLAN和中继上的默认本地VLAN,因此它是一个简单的目标.
第一个预防措施是删除所有访问来自默认VLAN 1的端口,因为攻击者的端口必须与交换机的本地VLAN的端口匹配.第二个预防措施是将所有交换机中继上的本地VLAN分配给某个未使用的VLAN,例如VLAN id 999.最后,所有交换机都配置为在中继端口上对本地VLAN帧进行显式标记.
无线局域网是有限地理区域内的无线节点网络,例如办公楼或学校校园.节点能够进行无线电通信.
无线局域网通常作为现有有线局域网的扩展实现,以提供具有设备移动性的网络接入.最广泛实施的无线局域网技术基于IEEE 802.11标准及其修订.
无线局域网中的两个主要组成部分是 :
接入点(AP) : 这些是无线网络的基站.它们发送和接收无线电频率以与无线客户端进行通信.
无线客户端 : 这些是配备有无线网络接口卡(WNIC)的计算设备.笔记本电脑,IP电话,PDA是无线客户端的典型示例.
许多组织已实施无线局域网.这些网络正在蓬勃发展.因此,了解无线局域网中的威胁并了解确保网络安全的常见预防措施至关重要.
典型在无线局域网上进行的攻击是 :
窃听 : 攻击者被动地监视无线网络中的数据,包括身份验证凭据.
伪装 : 攻击者冒充授权用户并获得无线网络的访问权限.
流量分析 : 攻击者通过无线网络监控传输,以识别通信模式和参与者.
拒绝服务 : 攻击者阻止或限制无线LAN或网络设备的正常使用或管理.
消息修改/重播 : 攻击者通过删除,添加,更改或重新排序来更改或回复通过无线网络发送的合法邮件.
安全措施提供了抵御攻击和管理网络风险的方法.这些是网络管理,操作和技术措施.我们在下面描述了为确保通过无线局域网传输的数据的机密性,可用性和完整性而采用的技术措施.
在无线局域网中,所有AP都应配置为通过加密和客户端身份验证提供安全性.无线局域网中用于提供安全性的方案类型如下:
这是一种内置的加密算法进入802.11标准以保护无线网络. WEP加密使用具有40位/104位密钥和24位初始化向量的RC4(Rivest Cipher 4)流密码.它还可以提供端点身份验证.
然而,这是最弱的加密安全机制,因为在WEP加密中发现了许多漏洞. WEP也没有身份验证协议.因此,强烈建议不要使用WEP.
在此协议中,可以使用多种更强大的加密形式.它已被开发用于取代弱WEP方案.它提供密钥分发机制.它支持每个站一个密钥,并且不使用相同的密钥.它使用与接入点分开的认证服务器.
IEEE802.11i要求使用名为Counter模式的协议和CBC-MAC协议(CCMP). CCMP提供传输数据的机密性和完整性以及发件人的真实性.它基于高级加密标准(AES)分组密码.
IEEE802.11i协议有四个操作阶段.
STA和AP沟通并发现相互安全功能,例如支持的算法.
STA和AS相互验证并一起生成主密钥(MK). AP充当"通过".
STA派生成对主密钥(PMK). AS派生相同的PMK并发送给AP.
STA,AP使用PMK导出用于消息加密和数据完整性的临时密钥(TK)./p>
Wi-Fi保护访问(WPA) : 该协议实现了大部分IEEE 802.11i标准.它存在于IEEE 802.11i之前,并使用RC4算法进行加密.它有两种操作模式.在"企业"模式下,WPA使用身份验证协议802.1x与身份验证服务器进行通信,因此预主密钥(PMK)特定于客户端工作站.在"个人"模式下,它不使用802.1x,PMK被预共享密钥替换,用于小型办公室家庭办公室(SOHO)无线局域网环境.
WPA也包括声音消息完整性检查,取代WEP标准使用的循环冗余校验(CRC).
WPA2 : WPA2取代了WPA. WPA2实现了IEEE 802.11i方案的所有必需元素.特别是,它包括对CCMP的强制支持,CCMP是一种具有强大安全性的基于AES的加密模式.因此,就攻击而言,WPA2/IEEE802.11i提供了足够的解决方案来抵御WEP弱点,中间人攻击,伪造数据包伪造和重放攻击.但是,DoS攻击没有得到正确解决,并且没有可靠的协议来阻止此类攻击,主要是因为此类攻击针对的是物理层,如干扰频段.
在本章中,我们考虑了假设交换式以太网运行IP的攻击和缓解技术.如果您的网络不使用以太网作为第2层协议,则其中一些攻击可能不适用,但这种网络很可能容易受到不同类型的攻击.
安全性也很强作为最薄弱的环节.在网络方面,第2层可能是一个非常薄弱的环节.本章中提到的第2层安全措施大大有助于保护网络免受多种攻击.
