局域網接入層安全解決方案

夏衛虎，李元旦

浙江省煙草公司臺州市公司，浙江臺州 318000

隨著時代的發展，網絡上信息傳遞的信息量和重要程度都在急劇增加，本文總結了網絡中幾種嚴重的攻擊方式，根據大部分網絡攻擊特點，將攻擊終結在接入層，大大減少了上層核心網絡被攻擊的風險和業務處理負擔。

1 攻擊方式概述

1.1 MAC地址泛洪

二層交換機是基于MAC地址去轉發數據幀的，轉發過程中依靠對CAM表的查詢來確定正確的轉發接口，一旦在查詢過程中無法找到相關目的MAC對應的條目，此數據幀將作為廣播幀從交換機的所有端口發送出去。MAC/CAM泛洪攻擊就是利用了交換機的這個特點，短時間內產生大量去往未知目的地的數據幀，這些欺騙MAC地址將迅速填滿交換機的CAM表。CAM表被填滿后，流量在所有端口廣播，這時攻擊者可以利用各種嗅探攻擊獲取網絡信息。同時流量以方波方式發送到鄰接交換機，造成交換機負載過大，網絡緩慢和丟包甚至癱瘓。

1.2 ARP欺騙攻擊

在以太網等局域網上，使用ARP協議來實現lP地址到MAC地址的動態轉換。在每臺安裝有TCP／IP協議的電腦里都有一個ARP緩存表，表里的lP地址與MAC地址是一一對應的。ARP欺騙攻擊就是利用ARP協議漏洞，通過偽造IP地址和MAC地址實現ARP欺騙的攻擊技術，并能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP 響應包就能更改目標主機ARP緩存中的IP—MAC條目，造成網絡中斷或中間人攻擊。

從影響網絡連接通暢的方式來看，ARP欺騙分為二種，一種是對交換機ARP表的欺騙：另一種是對內網PC的網關欺騙。第一種ARP欺騙的原理是向交換機不斷發送錯誤的MAC地址以填滿交換機ARP表，而真實內網終端地址信息無法通過更新保存在ARP表中，結果交換機的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網關：攻擊者首先會偽造網關地址，使得局域網計算機中所有的計算機發給網關的數據全部發給攻擊者，在收到這些數據之后，攻擊者會將這些數據發往網關，通過網關發送到外部網絡，外部網絡會返回數據給攻擊者，攻擊者再將這些返回的數據發送給內網計算機。攻擊者就這樣成為了計算機與外部網絡數據傳輸的中轉站，從而竊取到計算機與外部網絡交互的所有信息，而計算機卻全不知情。

2 接入層解決方案

接入層交換機處在網絡的邊緣，是整個網絡的大門，也是抵御惡意攻擊的第一道防線。以下以思科接入層交換機為例，提出針對以上攻擊的解決方案。

2.1 基于802.1X

802.1 X是IEEE制定的關于用戶接入網絡的認證標準，它的全稱是“基于端口的網絡接人控制”802.1X協議是基于C/S的訪問控制和認證協議。它可以限制未經授權的用戶或設備通過接入端口訪問網絡系統。當流量到達啟用了802.1X的端口后，需要和驗證服務器交互，認證通過后得到授權，才可以訪問網絡。以下為配置實例：

switch(config)#aaa new-model //啟用交換機aaa認證功能

switch(config)#aaa authentication dot1x default group radius

//指定802.1X認證的方式為radius

switch(config)#radius-server host 【ip address】 key 【password】

//配置驗證服務器和密鑰

switch(config)#dot1x system-auth-control 全局啟用802.1x認證

switch(config)#interface F0/0

switch (config-if)#dot1x port-control auto 將F0/0端口開啟802.1x認證

2.2 基于端口安全（Port-Secirity）

在企業，連接到接入層交換機端口的工作站的MAC地址基本保持不變。可以根據MAC地址控制對端口的訪問，首先使用接口配置命令啟用，接下來指定一組允許的MAC地址并設置最大MAC地址數目，最后，指定使用端口安全的接口在遇到MAC地址違規時的處理方式。通過這樣設置任何來自非指定的MAC地址的數據包都將被丟棄而無法訪問內網。 以下為配置實例：

switch (config)#interface F0/2

switch(config-if)#switchport mode access//配置端口模式為接入

switch(config-if)#switchport port-security//接口下開啟portsecurity

switch(config-if)# switchport port-security maximum 1

//配置接口允許MAC地址的最大數量

switch(config-if)#switchport port-security mac-address 5337. E6B5.B5CA

//定義允許向此接口發送數據幀的MAC地址

switch(config-if)# switchport port-security violation shutdown

//定義當有非法MAC地址接入后所采取的動作，以上配置為沖突后關閉端口

端口接收到非指定的MAC地址后，將Shutdown，并進入err-disable狀態，所有連接在交換機這個端口的終端都將斷開。此外，還能設置交換機丟棄來自該MAC地址的數據包，端口狀態不受影響。

2.3 動態ARP檢查（DAI）

DAI的工作原理是將交換機端口劃分為可信和不可信的，交換機攔截并檢查所有經不可信端口到達的ARP分組，但在可信端口上不執行這樣的檢查。在不可信端口上收到ARP應答后，交換機根據已知的可信值對其中的MAC和IP地址進行檢查。交換機通過靜態配置的條目或者DHCP探測數據庫中的動態條目來收集可信的ARP信息。如果ARP應答中包含與可信數據庫中的條目沖突的非法信息或值，交換機就將丟棄ARP應答，并生成一條日志信息。這種措施可防止非法（偽造）的ARP條目被傳輸給其他機器并加入到其ARP緩存中。以下為配置實例：

switch(config)#ip arp inspection vlan 104// 在vlan104上啟用DAI

switch(config)#arp access-list staticarp//配置一個ARP訪問列表

switch(config-acl)#permit ip host 192.168.1.10 mac host 0003.4b55.a184

//指定允許的MAC-IP地址綁定switch(config-acl)#exit

switch(config)ip arp inspect //將ARP訪問列表應用于DAI

3 結論

本文詳細分析了幾種攻擊手段的原理和危害，給出基于接入層的解決方案，實現對用戶終端接入的有效控制，從而保證企業內網信息的安全訪問。

[1]David Hucaby.CCNP SWITCH（642-813）認證考試指南[M].人民郵電出版社，2010.

[2]吳世忠，江常青，彭勇.信息安全保障基礎[M].航空工業出版社，2009.

[3]徐勝利，孫開云，聶金.加強接入層交換機安全[J].網管員世界，2011(11).