二层安全威胁攻击防范

1. 端口安全控制合理MAC地址Port Security

　　MAC泛滥攻击的原理和危害

　　交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包，这些新MAC地址被交换机CAM学习，很快塞满MAC地址表，这时新目的MAC地址的数据包就会广播到交换机所有端口，交换机就像共享HUB一样工作，黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能。

　　防范方法

　　限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击，macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包，可以在不到10秒的时间内填满交换机的CAM表。Cisco Catalyst交换机的端口安全(Port Security)和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口，可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3:IP电话、工作站和IP电话内的交换机。

　　通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法MAC地址，实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目，并以一定时间内所学习到的地址作为合法MAC地址。

　　通过配置Port Security可以控制:

　　· 端口上最大可以通过的MAC地址数量

　　· 端口上学习或通过哪些MAC地址

　　· 对于超过规定数量的MAC处理进行违背处理

　　端口上学习或通过哪些MAC地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC，直到指定的MAC地址数量，交换机关机后重新学习。目前较新的技术是Sticky Port Security，交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在。

　　对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):

　　· Shutdown:端口关闭。

　　· Protect:丢弃非法流量，不报警。

　　· Restrict:丢弃非法流量，报警。

　　2. DHCP窥探保护DHCP服务正常工作DHCP Snooping

　　采用DHCP管理的常见问题

　　采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题，常见的有:

　　· DHCP server 的冒充。

　　· DHCP server的DOS攻击。

　　· 有些用户随便指定地址，造成网络地址冲突。

　　· 由于DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。

　　· 由于不小心配置了DHCP服务器引起的网络混乱也非常常见。

　　黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求，直到DHCP服务器对应网段的所有地址被占用，此类攻击既可以造成DOS的破坏，也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。

　　DHCP服务器欺诈可能是故意的，也可能是无意启动DHCP服务器功能，恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息，以此来实现流量的截取。

　　DHCP Snooping技术

　　DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息，交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色，“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表，并将该表存贮在交换机里。在没有DHCP的环境中，如数据中心，绑定条目可能被静态定义，每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。如下表所示:

　　

　　这张表不仅解决了DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测(DAI)和IP Source Guard使用。

　　防范方法

　　为了防止这种类型的攻击，Catalyst DHCP侦听(DHCP Snooping)功能可有效阻止此类攻击，当打开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应该作出任何DHCP响应，因此欺诈DHCP响应包被交换机阻断，合法的DHCP服务器端口或上连端口应被设置为信任端口。

　　首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，DROP掉来自这些端口的非正常DHCP响应应报文，如下图所示:

　　

　　3. 动态ARP检查确保“合法”ARP信息传递 DAI

　　ARP欺骗攻击原理

　　ARP是用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能，局域网段上的所有工作站收到主动ARP广播，会将发送者的MAC地址和其宣布的IP地址保存，覆盖以前cache的同一IP地址和对应的MAC地址，主动式ARP合法的用途是用来以备份的工作站替换失败的工作站。由于ARP无任何身份真实校验机制，黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机，变成某个局域网段IP会话的中间人，达到窃取甚至篡改正常传输的功效。黑客程序发送的主动式ARP采用发送方私有MAC地址而非广播地址，通讯接收方根本不会知道自己的IP地址被取代。为了保持ARP欺骗的持续有效，黑客程序每隔30秒重发此私有主动式ARP。

　　防范方法

　　这些攻击都可以通过动态ARP检查(DAI，Dynamic ARP Inspection)来防止，它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联，动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP)，确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者，不合法的ARP包将被删除。

　　DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭，如果ARP包从一个可信任的接口接受到，就不需要做任何检查，如果ARP包在一个不可信任的接口上接受到，该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样，DHCP Snooping对于DAI来说也成为必不可少的，DAI是动态使用的，相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARP access-list实现。

　　另外，通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率的频率超过预先设定的阈值，立即关闭该端口。该功能可以阻止网络扫描工具的使用，同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。

　　4. IP源地址保护阻止DoS、蠕虫和木马攻击IP Source Guard

　　常见的欺骗攻击的种类和目的

　　除了ARP欺骗外，黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者获取针对IP/MAC的特权。此方法也被广泛用作DOS攻击，目前较多的攻击是:Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址对B地址发出大量的ping包，所有ping应答都会返回到B地址，通过这种方式来实施拒绝服务(DoS)攻击，这样可以掩盖攻击系统的真实身份。富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。

　　另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。

　　防范方法

　　Catalyst IP源地址保护(IP Source Guard)功能打开后，可以根据DHCP侦听记录的IP绑定表动态产生PVACL，强制来自此端口流量的源地址符合DHCP绑定表的记录，这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据保进行转发，合法源地址是与IP地址绑定表保持一致的，它也是来源于DHCP Snooping绑定表。因此，DHCP Snooping功能对于这个功能的动态实现也是必不可少的，对于那些没有用到DHCP的网络环境来说，该绑定表也可以静态配置。

　　IP Source Guard不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤，这样，就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时，必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用，并且需要DHCP服务器支持Option 82时，才可以抵御IP地址+MAC地址的欺骗。

　　5. 阻挡不明交换设备的接入BPDU/Root Guard

　　在实际网络环境中，经常有些用户有意或无意将未经允许的交换设备串接至用户端口，新增交换机的BPDU信息可能会导致整个网络第二层网络逻辑拓朴结构变化，引起网络架构震荡;更为严重的是，黑客可能假冒第二层SPT信息包冲击甚至改变整个网络二层结构，夺取网络SPT中Root的位置，使得网络无法正常工作。因此对于SPT BPDU信息和SPT Root的保护，是避免不明交换设备任意接入的根本保障。

　　思科交换机的BPDU Guard功能在端口上启用后，一旦受到其它交换机的BPDU信息，此端口立刻Shutdown(防止接口连入交换机)，必须有网络管理员手工恢复。

　　而思科交换机的ROOT Guard，则是在在DP端口上实现，该端口就不会改变，只会是DP了，这样可以防止新加入的交换机成为root，该端口就变成了永久的DP了，若新加入的交换机想成为root，则它的端口将不能工作，直到这个新交换机委曲求全做RP为止。

　　这两个简单的二层SPT保护功能，完全防范了不明交换设备的“非法”接入，保证了整个网络交换架构的稳定可靠，是网络自身安全的重要保护手段。

　　6. 专用VLAN“深度”隔离交换端口Private VLANs

　　专用VLAN能够限制VLAN中的哪些端口可以与处于同一VLAN中的其它端口通信。一般情况下，部署专用VLAN的目的是使某个网段上的主机只能与其默认网关通信，而不能与网络上的其它主机通信。例如，如果Web服务器遭到了Code-Red红色代码的破坏，即使其它Web服务器也在这个网段中，也不会被感染。这种访问控制的实施方式是将主机分配给隔离端口或小组端口，有效地减小受感染主机可能造成的危害。隔离端口只能与异类端口(一般为路由器)通信。小组端口既可以与异类端口通信，也可以与同组中的其它端口通信。

　　7. 丰富的访问控制Access Control Lists

　　访问控制列表(ACL)是思科IOS操作系统中提供的访问控制技术，对于所有思科系列的各种交换设备，ACL都能够提供全面和高效的支持。

　　ACL采用的是包过滤技术，能够在交换设备上读取第二/三/四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

　　网络中的节点类型主要分为资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

　　思科全系列交换设备具有丰富的ACL访问控制能力，诸如Router ACL，VLAN ACL，Time-based ACL，Port-based ACL等等，其中有很多是针对园区交换网络专门设计应用的，同时很多ACL都是通过硬件机制(如专用芯片)实现处理转发的，进一步确保的在高速交换网络中的传输性能，真正做到了安全、高效、可靠。

　　当然，由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第二/三/四层包头中的部分信息，因此具有一些必然的局限性，特别是无法识别应用层内部信息等。而在后面章节中介绍的NBAR等功能，则完全可以配合ACL实现对于应用流量访问控制。

　　8. 针对不同级别用户的服务质量User-Based QoS ACL

　　对于园区网众多接入的用户，速率限制是实现多种服务级别灵活部署业务应用的必要手段，也是保障网络资源安全得以安全稳定访问的重要工具，而基于用户(组)的QoS ACL则通过结合QoS和ACL的优势控制输入和输出流量的速率，以确保每每个用户(组)或者应用不会超过所分配的最大传输速率，或者独占网络带宽。这种控制非常适用于园区以太网络，特别是目前千兆到桌面的日益普及，针对用户提供不同级别的服务质量，也是网络自身安全中网络级别保护的重要方式。

　　9. 网络准入控制NAC

　　思科网络准入控制(Cisco® Network Admission Control -- NAC)方案可利用网络基础设施来防止病毒和蠕虫危害网络。

　　使用Cisco NAC，各公司可完全依据已出台的安全策略来控制PC、PDA及服务器等端点设备对网络的访问。 Cisco NAC拒绝不符合要求的设备访问网络，将其放置在隔离区或限制其对计算资源的访问。

　　Cisco NAC是多阶段的思科®自防御网络计划 (Cisco Self-Defending Network – 简称Cisco SDN) 的第二步，该计划旨在识别、防止并适应安全威胁。

　　病毒和蠕虫继续大行其道，导致系统中断、工作效率降低、以及不断的修复工作。新型攻击的自传播本质使其威胁范围和破坏程度空前严重。现有的防病毒解决方案只依赖于识别攻击签名，已经无法检测和牵制“初始”病毒及其发动的拒绝服务攻击(DoS)。

　　不符合企业安全策略要求的服务器和台式机比比皆是，且难以检测、牵制和清除。查找并隔离这些系统是费时费力的工作，情况往往是今天从企业网络中拆除，明天又被安装上去。而当前网络化环境的复杂性又加剧了解决问题的难度，包括:

　　· 网络最终用户类型繁多—员工、供应商及承包商等

　　· 网络端点系统种类繁多—公司桌面系统、家用设备和服务器等

　　· 网络访问种类繁多—有线、无线、虚拟专网(VPN)和拨号等

　　Cisco NAC可防止新病毒入侵网络，解决环境的复杂性问题，同时提供超越“点安全技术”(point security)的优势。“点安全技术”只关注主机，而不是考虑网络的全局可用性和企业的整体弹性，即系统的持续可用性。

　　从病毒和蠕虫造成的损害中可以看出，现有的安全解决方案不足以应对病毒和蠕虫的威胁。Cisco NAC是最新的全面解决方案，允许各机构实施主机补丁策略，将不符合安全策略要求及可疑的系统放置到隔离环境中，限制或禁止其访问网络。通过将端点安全状态信息与网络准入控制的执行标准结合在一起，Cisco NAC使各机构能够大幅度提高其计算基础设施的安全性。

　　Cisco NAC允许符合安全要求的可信端点设备(trusted endpoint devices)访问网络(如PC、服务器及PDA等)，同时限制不符合安全策略要求的设备访问网络。访问决策可根据端点的防病毒状态及操作系统的补丁级别做出。

　　

　　Cisco NAC 的作用

　　Cisco NAC是普遍存在的灵活的解决方案，可为所有连接的计算系统提供保护。Cisco NAC支持主机使用的所有联网方法，包括园区交换、有线和无线、路由器的广域网(WAN)和局域网(LAN)链路、IP安全(IPSec)连接、远程访问及拨号连接等。

　　Cisco NAC部署实例包括:

　　· 确保分支办公室遵守安全访问要求—Cisco NAC可确保位于远端或家庭办公室中、试图访问企业集中资源的主机遵守安全访问要求，无论是通过专用WAN访问还是通过互联网上的安全通道访问。这项工作包括在思科分支和总部办公室路由器中检查策略的遵守情况。

　　· 远程访问安全性—Cisco NAC可确保远程和移动工作人员的桌面系统通过拨号、IPSec及其他VPN连接方式访问公司资源之前，安装最新的防病毒和操作系统补丁。

　　· 无线园区保护—Cisco NAC可检查联网主机(通过无线方式)，以确保主机已安装了适当的补丁程序。802.1x协议与设备和用户验证一起使用，以进行此类验证。

　　· 园区访问和数据中心保护—Cisco NAC可监视办公室中的桌面系统和服务器，确保这些设备符合企业防病毒和操作系统补丁策略要求，之后才允许它们访问LAN。这种做法通过将准入控制扩展到第2层交换机而降低了病毒及蠕虫在企业扩散的风险。

　　· 外联网策略遵守情况检查—Cisco NAC可用来检查所有试图访问网络的系统对策略的遵守情况，而不只局限于IT管理的系统。它将对受管理和不受管理的主机(包括承包商和合作伙伴的系统 )进行检查，确定它们是否符合防病毒和操作系统策略的要求。如果被检查的主机未安装思科可信代理(CTA)，则执行缺省的访问策略。