局域網(wǎng)接入層安全解決方案

夏衛(wèi)虎，李元旦

浙江省煙草公司臺州市公司，浙江臺州 318000

隨著時代的發(fā)展，網(wǎng)絡上信息傳遞的信息量和重要程度都在急劇增加，本文總結了網(wǎng)絡中幾種嚴重的攻擊方式，根據(jù)大部分網(wǎng)絡攻擊特點，將攻擊終結在接入層，大大減少了上層核心網(wǎng)絡被攻擊的風險和業(yè)務處理負擔。

1 攻擊方式概述

1.1 MAC地址泛洪

二層交換機是基于MAC地址去轉發(fā)數(shù)據(jù)幀的，轉發(fā)過程中依靠對CAM表的查詢來確定正確的轉發(fā)接口，一旦在查詢過程中無法找到相關目的MAC對應的條目，此數(shù)據(jù)幀將作為廣播幀從交換機的所有端口發(fā)送出去。MAC/CAM泛洪攻擊就是利用了交換機的這個特點，短時間內產生大量去往未知目的地的數(shù)據(jù)幀，這些欺騙MAC地址將迅速填滿交換機的CAM表。CAM表被填滿后，流量在所有端口廣播，這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡信息。同時流量以方波方式發(fā)送到鄰接交換機，造成交換機負載過大，網(wǎng)絡緩慢和丟包甚至癱瘓。

1.2 ARP欺騙攻擊

在以太網(wǎng)等局域網(wǎng)上，使用ARP協(xié)議來實現(xiàn)lP地址到MAC地址的動態(tài)轉換。在每臺安裝有TCP／IP協(xié)議的電腦里都有一個ARP緩存表，表里的lP地址與MAC地址是一一對應的。ARP欺騙攻擊就是利用ARP協(xié)議漏洞，通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙的攻擊技術，并能夠在網(wǎng)絡中產生大量的ARP通信量使網(wǎng)絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP 響應包就能更改目標主機ARP緩存中的IP—MAC條目，造成網(wǎng)絡中斷或中間人攻擊。

從影響網(wǎng)絡連接通暢的方式來看，ARP欺騙分為二種，一種是對交換機ARP表的欺騙：另一種是對內網(wǎng)PC的網(wǎng)關欺騙。第一種ARP欺騙的原理是向交換機不斷發(fā)送錯誤的MAC地址以填滿交換機ARP表，而真實內網(wǎng)終端地址信息無法通過更新保存在ARP表中，結果交換機的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關：攻擊者首先會偽造網(wǎng)關地址，使得局域網(wǎng)計算機中所有的計算機發(fā)給網(wǎng)關的數(shù)據(jù)全部發(fā)給攻擊者，在收到這些數(shù)據(jù)之后，攻擊者會將這些數(shù)據(jù)發(fā)往網(wǎng)關，通過網(wǎng)關發(fā)送到外部網(wǎng)絡，外部網(wǎng)絡會返回數(shù)據(jù)給攻擊者，攻擊者再將這些返回的數(shù)據(jù)發(fā)送給內網(wǎng)計算機。攻擊者就這樣成為了計算機與外部網(wǎng)絡數(shù)據(jù)傳輸?shù)闹修D站，從而竊取到計算機與外部網(wǎng)絡交互的所有信息，而計算機卻全不知情。

2 接入層解決方案

接入層交換機處在網(wǎng)絡的邊緣，是整個網(wǎng)絡的大門，也是抵御惡意攻擊的第一道防線。以下以思科接入層交換機為例，提出針對以上攻擊的解決方案。

2.1 基于802.1X

802.1 X是IEEE制定的關于用戶接入網(wǎng)絡的認證標準，它的全稱是“基于端口的網(wǎng)絡接人控制”802.1X協(xié)議是基于C/S的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權的用戶或設備通過接入端口訪問網(wǎng)絡系統(tǒng)。當流量到達啟用了802.1X的端口后，需要和驗證服務器交互，認證通過后得到授權，才可以訪問網(wǎng)絡。以下為配置實例：

switch(config)#aaa new-model //啟用交換機aaa認證功能

switch(config)#aaa authentication dot1x default group radius

//指定802.1X認證的方式為radius

switch(config)#radius-server host 【ip address】 key 【password】

//配置驗證服務器和密鑰

switch(config)#dot1x system-auth-control 全局啟用802.1x認證

switch(config)#interface F0/0

switch (config-if)#dot1x port-control auto 將F0/0端口開啟802.1x認證

2.2 基于端口安全（Port-Secirity）

在企業(yè)，連接到接入層交換機端口的工作站的MAC地址基本保持不變。可以根據(jù)MAC地址控制對端口的訪問，首先使用接口配置命令啟用，接下來指定一組允許的MAC地址并設置最大MAC地址數(shù)目，最后，指定使用端口安全的接口在遇到MAC地址違規(guī)時的處理方式。通過這樣設置任何來自非指定的MAC地址的數(shù)據(jù)包都將被丟棄而無法訪問內網(wǎng)。 以下為配置實例：

switch (config)#interface F0/2

switch(config-if)#switchport mode access//配置端口模式為接入

switch(config-if)#switchport port-security//接口下開啟portsecurity

switch(config-if)# switchport port-security maximum 1

//配置接口允許MAC地址的最大數(shù)量

switch(config-if)#switchport port-security mac-address 5337. E6B5.B5CA

//定義允許向此接口發(fā)送數(shù)據(jù)幀的MAC地址

switch(config-if)# switchport port-security violation shutdown

//定義當有非法MAC地址接入后所采取的動作，以上配置為沖突后關閉端口

端口接收到非指定的MAC地址后，將Shutdown，并進入err-disable狀態(tài)，所有連接在交換機這個端口的終端都將斷開。此外，還能設置交換機丟棄來自該MAC地址的數(shù)據(jù)包，端口狀態(tài)不受影響。

2.3 動態(tài)ARP檢查（DAI）

DAI的工作原理是將交換機端口劃分為可信和不可信的，交換機攔截并檢查所有經(jīng)不可信端口到達的ARP分組，但在可信端口上不執(zhí)行這樣的檢查。在不可信端口上收到ARP應答后，交換機根據(jù)已知的可信值對其中的MAC和IP地址進行檢查。交換機通過靜態(tài)配置的條目或者DHCP探測數(shù)據(jù)庫中的動態(tài)條目來收集可信的ARP信息。如果ARP應答中包含與可信數(shù)據(jù)庫中的條目沖突的非法信息或值，交換機就將丟棄ARP應答，并生成一條日志信息。這種措施可防止非法（偽造）的ARP條目被傳輸給其他機器并加入到其ARP緩存中。以下為配置實例：

switch(config)#ip arp inspection vlan 104// 在vlan104上啟用DAI

switch(config)#arp access-list staticarp//配置一個ARP訪問列表

switch(config-acl)#permit ip host 192.168.1.10 mac host 0003.4b55.a184

//指定允許的MAC-IP地址綁定switch(config-acl)#exit

switch(config)ip arp inspect //將ARP訪問列表應用于DAI

3 結論

本文詳細分析了幾種攻擊手段的原理和危害，給出基于接入層的解決方案，實現(xiàn)對用戶終端接入的有效控制，從而保證企業(yè)內網(wǎng)信息的安全訪問。

[1]David Hucaby.CCNP SWITCH（642-813）認證考試指南[M].人民郵電出版社，2010.

[2]吳世忠，江常青，彭勇.信息安全保障基礎[M].航空工業(yè)出版社，2009.

[3]徐勝利，孫開云，聶金.加強接入層交換機安全[J].網(wǎng)管員世界，2011(11).