|
局域网数据链路层网络安全通信的每一层中都有自己独特的安全问题。数据链路层(第二协议层)的通信连接就安全而言,是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。在本篇文章中,我们将集中讨论与有线局域网相关的安全问题。 内容寻址存储器(CAM)表格淹没:交换机中的 CAM 表格包含了诸如在指定交换机的物理端口所提供的 MAC 地址和相关的 VLAN 参数之类的信息。一个典型的网络侵入者会向该交换机提供大量的无效 MAC 源地址,直到 CAM 表格被添满。当这种情况发生的时候,交换机会将传输进来的信息向所有的端口发送,因为这时交换机不能够从 CAM 表格中查找出特定的 MAC 地址的端口号。CAM 表格淹没只会导致交换机在本地 VLAN 范围内到处发送信息,所以侵入者只能够看到自己所连接到的本地 VLAN 中的信息。 在交换机上配置端口安全选项可以防止 CAM 表淹没攻击。该选择项要么可以提供特定交换机端口的 MAC 地址说明,要么可以提供一个交换机端口可以习得的 MAC 地址的数目方面的说明。当无效的 MAC 地址在该端口被检测出来之后,该交换机要么可以阻止所提供的 MAC 地址,要么可以关闭该端口。 对 VLAN 的设置稍作几处改动就可以防止 VLAN 中继攻击。这其中最大的要点在于所有中继端口上都要使用专门的 VLAN ID。同时也要禁用所有使用不到的交换机端口并将它们安排在使用不到的 VLAN 中。通过明确的办法,关闭掉所有用户端口上的 DTP,这样就可以将所有端口设置成非中继模式。 要防止操纵生成树协议的攻击,需要使用根目录保护和 BPDU 保护加强命令来保持网络中主网桥的位置不发生改变,同时也可以强化生成树协议的域边界。根目录保护功能可提供保持主网桥位置不变的方法。生成树协议 BPDU 保护使得网络设计者能够保持有源网络拓朴结构的可预测性。尽管 BPDU 保护也许看起来是没有必要的,因为管理员可以将网络优先权调至0,但仍然不能保证它将被选做主网桥,因为可能存在一个优先权为0但ID却更低的网桥。使用在面向用户的端口中,BPDU 保护能够发挥出最佳的用途,能够防止攻击者利用伪造交换机进行网络扩展。 使用端口安全命令可以防止 MAC 欺骗攻击。端口安全命令能够提供指定系统 MAC 地址连接到特定端口的功能。该命令在端口的安全遭到破坏时,还能够提供指定需要采取何种措施的能力。然而,如同防止 CAM 表淹没攻击一样,在每一个端口上都要指定一个 MAC 地址是一种难办的解决方案。在界面设置菜单中选择计时的功能,并设定一个条目在 ARP 缓存中可以持续的时长,能够达到防止 ARP 欺骗的目的。 对路由器端口访问控制列表(ACL)进行设置可以防止专用 VLAN 攻击。虚拟的 ACL 还可以用于消除专用 VLAN 攻击的影响。 通过限制交换机端口的 MAC 地址的数目,防止 CAM 表淹没的技术也可以防止 DHCP 耗竭。随着 RFC 3118,DHCP 消息验证的执行,DHCP 耗竭攻击将会变得越来越困难。 另外,IEEE802.1X 还能够在数据链路层对基本的网络访问进行监测,它本身是一种在有线网络和无线网络中传送可扩展验证协议(EAP)架构的标准。在未完成验证的情况下 801.1X 就拒绝对网络的访问,进而可以防止对网络基础设备实施的,并依赖基本 IP 连接的多种攻击。802.1X 的初始编写目标是用于拔号连接和远程访问网络中的点对点协议(PPP),它现在支持在局域网的环境中使用 EAP,包括无线局域网。 责编: 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|