1. <tt id="5hhch"><source id="5hhch"></source></tt>
    1. <xmp id="5hhch"></xmp>

  2. <xmp id="5hhch"><rt id="5hhch"></rt></xmp>

    <rp id="5hhch"></rp>
        <dfn id="5hhch"></dfn>

      1. 如何避免VLAN的弱點

        時間:2020-10-07 09:16:23 思科認(rèn)證 我要投稿

        如何避免VLAN的弱點

          VLAN(Virtual Local Area Network)的中文名為"虛擬局域網(wǎng)"。下面小編為大家整理了關(guān)于如何避免VLAN弱點的文章,一起來看看吧:

          怎樣才能最大限度地避免VLAN的弱點

          交換機(jī)不是被設(shè)計用來作安全設(shè)備的,其功能仍是以提高網(wǎng)絡(luò)性能為主。如果要將交換機(jī)納入安全機(jī)制的一部分,前提是首先要對交換機(jī)進(jìn)行正確的配置,其次交換機(jī)的制造商要對交換機(jī)軟件的基礎(chǔ)標(biāo)準(zhǔn)有著全面理解并徹底實現(xiàn)了這些標(biāo)準(zhǔn)。

          如果對網(wǎng)絡(luò)安全有著嚴(yán)格的要求,還是不要使用共享的交換機(jī),應(yīng)該使用專門的交換機(jī)來保證網(wǎng)絡(luò)安全。如果一定要在不可信的網(wǎng)絡(luò)和可信的用戶之間共享一個交換機(jī),那么帶來的只能是安全上的災(zāi)難。

          VLAN的確使得將網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行隔離成為可能,這些業(yè)務(wù)共享同一交換機(jī)甚至共享一組交換機(jī)。但是交換機(jī)的設(shè)計者們在把這種隔離功能加入到產(chǎn)品之中時,優(yōu)先考慮的并不是安全問題。VLAN的工作原理是限制和過濾廣播業(yè)務(wù)流量,不幸的是,VLAN是依靠軟件和配置機(jī)制而不是通過硬件來完成這一任務(wù)的。

          最近幾年,一些防火墻已經(jīng)成為VLAN設(shè)備,這意味著可以制定基于包標(biāo)簽的規(guī)則來使一個數(shù)據(jù)包轉(zhuǎn)到特定的VLAN.然而,作為VLAN設(shè)備的防火墻也為網(wǎng)頁寄存站點增加了很多靈活的規(guī)則,這樣防火墻所依賴的這些標(biāo)簽在設(shè)計時就不是以安全為準(zhǔn)則了。交換機(jī)之外的設(shè)備也可以生成標(biāo)簽,這些標(biāo)簽可以被輕易地附加在數(shù)據(jù)包上用來欺騙防火墻。

          VLAN的工作原理究竟是怎樣的?VLAN又有著什么樣的安全性上的優(yōu)點呢?如果決定使用VLAN作為安全體系的一部分,怎樣才能最大限度地避免VLAN的弱點呢?

          分區(qū)功能

          “交換機(jī)”一詞最早被用來描述這樣一種設(shè)備,這種設(shè)備將網(wǎng)絡(luò)業(yè)務(wù)在被稱之為“端口”的網(wǎng)絡(luò)接口間進(jìn)行交換。就在不久以前,局域網(wǎng)的交換機(jī)被稱作“橋接器”,F(xiàn)在,即使是與交換機(jī)相關(guān)的IEEE標(biāo)準(zhǔn)中也不可避免地用到“橋接器”這一術(shù)語。

          橋接器用來連接同一局域網(wǎng)上不同的段,這里的局域網(wǎng)指的是不需要路由的本地網(wǎng)絡(luò)。橋接器軟件通過檢測收到數(shù)據(jù)包中所含的MAC地址來獲悉哪個端口聯(lián)接到哪個網(wǎng)絡(luò)設(shè)備。最初,橋接器將所有收到的數(shù)據(jù)包發(fā)送到每個端口,經(jīng)過一段時間以后,橋接器通過建立生成樹和表的方法獲悉如何將數(shù)據(jù)包發(fā)送到正確的網(wǎng)絡(luò)接口。這些生成樹和表將MAC地址映射到端口的工作,是通過一些選擇正確網(wǎng)絡(luò)接口和避免回路的算法來完成的。通過將數(shù)據(jù)包發(fā)送到正確的`網(wǎng)絡(luò)接口,橋接器減少了網(wǎng)絡(luò)業(yè)務(wù)流量。可以將橋接器看作是連接兩條不同道路的高速公路,在高速公路上只通過兩條道路間必要的交通流量。

          盡管橋接器從整體上減少了網(wǎng)絡(luò)業(yè)務(wù)流量,使得網(wǎng)絡(luò)可以更加高效地運行。橋接器仍然需要對所有端口進(jìn)行廣播數(shù)據(jù)包的發(fā)送。在任何局域網(wǎng)中,廣播的含義是:一個消息廣播發(fā)送給局域網(wǎng)內(nèi)所有系統(tǒng)。ARP(地址解析協(xié)議)包就是廣播信息的一個例子。

          隨著端口數(shù)目和附加管理軟件數(shù)目的增多,橋接器設(shè)備的功能變得越來越強(qiáng)。一種新的功能出現(xiàn)了:橋接器具有了分區(qū)功能,可被分成多個虛擬橋。當(dāng)通過這種方式進(jìn)行分區(qū)時,廣播信息將被限制在與虛擬橋和對應(yīng)的VLAN的那些端口上,而不是被發(fā)送到所有的端口。

          將廣播限制在一個VLAN中并不能夠阻止一個VLAN中的系統(tǒng)訪問與之連接在同一橋接器而屬于不同VLAN的系統(tǒng)。但要記住,ARP廣播被用來獲得與特定IP對應(yīng)的MAC地址,而沒有MAC地址,即使在同一網(wǎng)絡(luò)中的機(jī)器也不能相互通信。

          Cisco網(wǎng)站上描述了在兩種情況下,數(shù)據(jù)包可以在連接于同一交換機(jī)的VLAN中傳送。在第一種情況下,系統(tǒng)在同一VLAN中建立了TCP/IP連接,然后交換機(jī)被重新設(shè)置,使得一個交換機(jī)的端口屬于另一個VLAN.通信仍將繼續(xù),因為通信雙方在自己的ARP緩沖區(qū)中都有對方的MAC地址,這樣橋接器知道目的MAC地址指向哪個端口。在第二種情況下,某人希望手動配制VLAN,為要訪問的系統(tǒng)建立靜態(tài)ARP項。這要求他知道目標(biāo)系統(tǒng)的MAC地址,也許需要在物理上直接訪問目標(biāo)系統(tǒng)。

          這兩種情況中所描述的問題能夠通過使用交換機(jī)軟件來得到改善,這些軟件的功能是消除數(shù)據(jù)包在傳送時所需要的信息。在Cisco的高端交換機(jī)中,將每個VLAN所存在的生成樹進(jìn)行分離。其他的交換機(jī)要么具有類似的特點,要么能被設(shè)置成可以對各個VLAN里的成員的橋接信息進(jìn)行過濾。

          鏈路聚合

          多個交換機(jī)可以通過配制機(jī)制和在交換機(jī)間交換數(shù)據(jù)包的標(biāo)簽來共享同一VLAN.你可以設(shè)置一個交換機(jī),使得其中一個端口成為鏈路,在鏈路上可以為任何VLAN傳送數(shù)據(jù)包。當(dāng)數(shù)據(jù)包在交換機(jī)之間傳遞時,每個數(shù)據(jù)包被加上基于802.1Q協(xié)議的標(biāo)簽,802.1Q協(xié)議是為在橋接器間傳送數(shù)據(jù)包而設(shè)立的IEEE標(biāo)準(zhǔn)。接收交換機(jī)消除數(shù)據(jù)包的標(biāo)簽,并將數(shù)據(jù)包發(fā)送到正確的端口,或在數(shù)據(jù)包是廣播包的情況下發(fā)送到正確的VLAN.

          這些四字節(jié)長的802.1Q被附加在以太網(wǎng)數(shù)據(jù)包頭中,緊跟在源地址后。前兩個字節(jié)包含81 00,是802.1Q標(biāo)簽協(xié)議類型。后兩個字節(jié)包含一個可能的優(yōu)先級,一個標(biāo)志和12比特的VID(VLAN Identifier)。VID的取值在0到4095之間,而0和4095都作為保留值。VID的默認(rèn)值為1,這個值同時也是為VLAN配置的交換機(jī)的未指定端口的默認(rèn)值。

          根據(jù)Cisco交換機(jī)的默認(rèn)配置,鏈路聚合是推薦的配置。如果一個端口發(fā)現(xiàn)另一個交換機(jī)也連在這個端口上,此端口可以對鏈路聚合進(jìn)行協(xié)商。默認(rèn)的鏈路端口屬于VLAN1,這個VLAN被稱作該端口的本地VLAN.管理員能夠?qū)㈡溌范丝谥付ńo任何VLAN.

          可以通過設(shè)置鏈路端口來防止這種VLAN間數(shù)據(jù)包的傳送,將鏈路端口的本地VLAN設(shè)置成不同于其他任何VLAN的VID.記住鏈路端口的默認(rèn)本地VLAN是VID 1.可以選擇將鏈路端口的本地VLAN設(shè)置為1001,或者任何交換機(jī)允許的且不被其他任何VLAN所使用的值。

          防火墻和VLAN

          知道了交換機(jī)如何共享VLAN信息之后,就可以更準(zhǔn)確地評價支持VLAN的防火墻。支持VLAN的防火墻從支持VLAN的交換機(jī)那里獲得頭部帶有802.1Q標(biāo)簽的數(shù)據(jù)包,這些標(biāo)簽將被防火墻展開,然后用來進(jìn)行安全規(guī)則的檢測。盡管到目前為止,我們只討論了以太網(wǎng)的情況,802.1Q標(biāo)簽同樣適用于其他類型的網(wǎng)絡(luò),比如ATM 和FDDI.

          802.1Q標(biāo)簽并不能提供身份驗證,它們只不過是交換機(jī)用來標(biāo)志從特定VLAN來的特定數(shù)據(jù)包的一種方式。如同許多年來人們偽造IP源地址一樣,VLAN標(biāo)簽同樣可以被偽造。最新的Linux操作系統(tǒng)帶有對工作于VLAN交換機(jī)模式的支持,可以生成本地系統(tǒng)管理員可以選擇的任意VLAN標(biāo)簽。

          安全使用802.1Q標(biāo)簽的關(guān)鍵在于設(shè)計這樣一種網(wǎng)絡(luò):交換機(jī)鏈路連接到防火墻接口,而基于VLAN標(biāo)簽的安全檢測將在防火墻接口進(jìn)行。如果有其他的線路能夠到達(dá)防火墻的接口,偽造VLAN標(biāo)簽的可能性就會增大。交換機(jī)本身必須被正確配置,進(jìn)行鏈路聚合的鏈路端口要進(jìn)行特殊配置,然后加入到非默認(rèn)VID中。

          在任何關(guān)于交換機(jī)的討論中,保護(hù)對交換機(jī)設(shè)備的管理權(quán)限這一結(jié)論是永遠(yuǎn)不變的。交換機(jī)和其他網(wǎng)絡(luò)設(shè)備一樣可以從三種途徑進(jìn)行管理:Telnet、HTTP和SNMP.關(guān)掉不使用的管理途徑,在所使用的管理途徑上也要加上訪問控制。因為當(dāng)攻擊者來自網(wǎng)絡(luò)外部時,防火墻可以控制他對交換機(jī)的訪問;當(dāng)攻擊者來自網(wǎng)絡(luò)內(nèi)部或者攻擊者獲得了訪問內(nèi)部系統(tǒng)的權(quán)限而發(fā)起攻擊時,防火墻對此將無能為力。

        【如何避免VLAN的弱點】相關(guān)文章:

        思科交換機(jī)Vlan如何刪除06-03

        CISCO交換機(jī)如何刪除Vlan11-13

        如何快速找到揮桿弱點09-02

        如何避免蜘蛛陷阱05-08

        如何避免裝修陷阱05-15

        如何避免英語發(fā)音誤區(qū)06-23

        淘寶開店如何避免扣分07-03

        如何避免出現(xiàn)僵尸進(jìn)程12-05

         如何避免早教誤區(qū)10-18

        国产高潮无套免费视频_久久九九兔免费精品6_99精品热6080YY久久_国产91久久久久久无码

        1. <tt id="5hhch"><source id="5hhch"></source></tt>
          1. <xmp id="5hhch"></xmp>

        2. <xmp id="5hhch"><rt id="5hhch"></rt></xmp>

          <rp id="5hhch"></rp>
              <dfn id="5hhch"></dfn>