VLAN(Virtual Local Area Network)的中文名為"虛擬區域網"。下面小編為大家整理了關於如何避免VLAN弱點的文章,一起來看看吧:
怎樣才能最大限度地避免VLAN的弱點
交換機不是被設計用來作安全裝置的,其功能仍是以提高網路效能為主。如果要將交換機納入安全機制的一部分,前提是首先要對交換機進行正確的配置,其次交換機的製造商要對交換機軟體的基礎標準有著全面理解並徹底實現了這些標準。
如果對網路安全有著嚴格的要求,還是不要使用共享的交換機,應該使用專門的交換機來保證網路安全。如果一定要在不可信的網路和可信的使用者之間共享一個交換機,那麼帶來的只能是安全上的災難。
VLAN的確使得將網路業務進行隔離成為可能,這些業務共享同一交換機甚至共享一組交換機。但是交換機的設計者們在把這種隔離功能加入到產品之中時,優先考慮的並不是安全問題。VLAN的工作原理是限制和過濾廣播業務流量,不幸的是,VLAN是依靠軟體和配置機制而不是通過硬體來完成這一任務的。
最近幾年,一些防火牆已經成為VLAN裝置,這意味著可以制定基於包標籤的規則來使一個數據包轉到特定的VLAN.然而,作為VLAN裝置的防火牆也為網頁寄存站點增加了很多靈活的規則,這樣防火牆所依賴的這些標籤在設計時就不是以安全為準則了。交換機之外的裝置也可以生成標籤,這些標籤可以被輕易地附加在資料包上用來欺騙防火牆。
VLAN的工作原理究竟是怎樣的?VLAN又有著什麼樣的安全性上的優點呢?如果決定使用VLAN作為安全體系的一部分,怎樣才能最大限度地避免VLAN的弱點呢?
分割槽功能
“交換機”一詞最早被用來描述這樣一種裝置,這種裝置將網路業務在被稱之為“埠”的網路介面間進行交換。就在不久以前,區域網的交換機被稱作“橋接器”。現在,即使是與交換機相關的IEEE標準中也不可避免地用到“橋接器”這一術語。
橋接器用來連線同一區域網上不同的段,這裡的區域網指的是不需要路由的本地網路。橋接器軟體通過檢測收到資料包中所含的MAC地址來獲悉哪個埠聯接到哪個網路裝置。最初,橋接器將所有收到的資料包傳送到每個埠,經過一段時間以後,橋接器通過建立生成樹和表的方法獲悉如何將資料包傳送到正確的網路介面。這些生成樹和表將MAC地址對映到埠的工作,是通過一些選擇正確網路介面和避免迴路的演算法來完成的。通過將資料包傳送到正確的`網路介面,橋接器減少了網路業務流量。可以將橋接器看作是連線兩條不同道路的高速公路,在高速公路上只通過兩條道路間必要的交通流量。
儘管橋接器從整體上減少了網路業務流量,使得網路可以更加高效地執行。橋接器仍然需要對所有埠進行廣播資料包的傳送。在任何區域網中,廣播的含義是:一個訊息廣播發送給區域網內所有系統。ARP(地址解析協議)包就是廣播資訊的一個例子。
隨著埠數目和附加管理軟體數目的增多,橋接器裝置的功能變得越來越強。一種新的功能出現了:橋接器具有了分割槽功能,可被分成多個虛擬橋。當通過這種方式進行分割槽時,廣播資訊將被限制在與虛擬橋和對應的VLAN的那些埠上,而不是被髮送到所有的埠。
將廣播限制在一個VLAN中並不能夠阻止一個VLAN中的系統訪問與之連線在同一橋接器而屬於不同VLAN的系統。但要記住,ARP廣播被用來獲得與特定IP對應的MAC地址,而沒有MAC地址,即使在同一網路中的機器也不能相互通訊。
Cisco網站上描述了在兩種情況下,資料包可以在連線於同一交換機的VLAN中傳送。在第一種情況下,系統在同一VLAN中建立了TCP/IP連線,然後交換機被重新設定,使得一個交換機的埠屬於另一個VLAN.通訊仍將繼續,因為通訊雙方在自己的ARP緩衝區中都有對方的MAC地址,這樣橋接器知道目的MAC地址指向哪個埠。在第二種情況下,某人希望手動配製VLAN,為要訪問的系統建立靜態ARP項。這要求他知道目標系統的MAC地址,也許需要在物理上直接訪問目標系統。
這兩種情況中所描述的問題能夠通過使用交換機軟體來得到改善,這些軟體的功能是消除資料包在傳送時所需要的資訊。在Cisco的高階交換機中,將每個VLAN所存在的生成樹進行分離。其他的交換機要麼具有類似的特點,要麼能被設定成可以對各個VLAN裡的成員的橋接資訊進行過濾。
鏈路聚合
多個交換機可以通過配製機制和在交換機間交換資料包的標籤來共享同一VLAN.你可以設定一個交換機,使得其中一個埠成為鏈路,在鏈路上可以為任何VLAN傳送資料包。當資料包在交換機之間傳遞時,每個資料包被加上基於802.1Q協議的標籤,802.1Q協議是為在橋接器間傳送資料包而設立的IEEE標準。接收交換機消除資料包的標籤,並將資料包傳送到正確的埠,或在資料包是廣播包的情況下發送到正確的VLAN.
這些四位元組長的802.1Q被附加在乙太網資料包頭中,緊跟在源地址後。前兩個位元組包含81 00,是802.1Q標籤協議型別。後兩個位元組包含一個可能的優先順序,一個標誌和12位元的VID(VLAN Identifier)。VID的取值在0到4095之間,而0和4095都作為保留值。VID的預設值為1,這個值同時也是為VLAN配置的交換機的未指定埠的預設值。
根據Cisco交換機的預設配置,鏈路聚合是推薦的配置。如果一個埠發現另一個交換機也連在這個埠上,此埠可以對鏈路聚合進行協商。預設的鏈路埠屬於VLAN1,這個VLAN被稱作該埠的本地VLAN.管理員能夠將鏈路埠指定給任何VLAN.
可以通過設定鏈路埠來防止這種VLAN間資料包的傳送,將鏈路埠的本地VLAN設定成不同於其他任何VLAN的VID.記住鏈路埠的預設本地VLAN是VID 1.可以選擇將鏈路埠的本地VLAN設定為1001,或者任何交換機允許的且不被其他任何VLAN所使用的值。
防火牆和VLAN
知道了交換機如何共享VLAN資訊之後,就可以更準確地評價支援VLAN的防火牆。支援VLAN的防火牆從支援VLAN的交換機那裡獲得頭部帶有802.1Q標籤的資料包,這些標籤將被防火牆展開,然後用來進行安全規則的檢測。儘管到目前為止,我們只討論了乙太網的情況,802.1Q標籤同樣適用於其他型別的網路,比如ATM 和FDDI.
802.1Q標籤並不能提供身份驗證,它們只不過是交換機用來標誌從特定VLAN來的特定資料包的一種方式。如同許多年來人們偽造IP源地址一樣,VLAN標籤同樣可以被偽造。最新的Linux作業系統帶有對工作於VLAN交換機模式的支援,可以生成本地系統管理員可以選擇的任意VLAN標籤。
安全使用802.1Q標籤的關鍵在於設計這樣一種網路:交換機鏈路連線到防火牆介面,而基於VLAN標籤的安全檢測將在防火牆介面進行。如果有其他的線路能夠到達防火牆的介面,偽造VLAN標籤的可能性就會增大。交換機本身必須被正確配置,進行鏈路聚合的鏈路埠要進行特殊配置,然後加入到非預設VID中。
在任何關於交換機的討論中,保護對交換機裝置的管理許可權這一結論是永遠不變的。交換機和其他網路裝置一樣可以從三種途徑進行管理:Telnet、HTTP和SNMP.關掉不使用的管理途徑,在所使用的管理途徑上也要加上訪問控制。因為當攻擊者來自網路外部時,防火牆可以控制他對交換機的訪問;當攻擊者來自網路內部或者攻擊者獲得了訪問內部系統的許可權而發起攻擊時,防火牆對此將無能為力。