區域網交換機安全
人們常認為區域網和乙太網交換機與管道系統很相似,易於安裝、配置。但恰恰是看似簡單的東西,往往容易忽略對其安全性的關注。
乙太網交換機存在著多個安全隱患1。利用這些隱患的攻擊工具幾年前就已經問世(例如著名的dsniff軟體包)。運用這些工具,黑客可以打破交換機的所謂安全神話:「不可能用嗅探和包擷取技術來攻擊交換機」。的確,使用dsniff、cain或者其他windows、linux系統下介面友好的工具,黑客可以輕而易舉地將任何流量轉向他的個人計算機,從而破壞了這些流量的保密性和完整性。
對於第二層協議,從生成樹協議到ipv6鄰居發現,這些隱患中的絕大部分都是與生俱來的。一旦第二層被攻陷,再使用諸如「中間人」(mitm)攻擊之類的技術在更高層協議上構建攻擊手段是輕而易舉的事。由於能夠擷取任意流量,黑客可以在明文通訊(例如http和telnet)和加密通道(例如ssl或ssh)裡做手腳。
要利用網路第二層的隱患,攻擊者常常必須與攻擊目標在第二層相鄰。儘管聽起來有些不可思議,但實際上外部黑客是可以連線到乙個公司的區域網的。他可以運用社交工程出入公司場所,或是假扮成一名**約來的工程師,來現場解決「機械故障」。
另外,很多攻擊來自於公司內部員工,比如由乙個在現場工作的雇員發起攻擊。傳統上,企業一直存在著不成文的和在某些場合是書面的規則,即認定雇員是受信任的個體。然而,過去數10年中無數的案件和統計資料證明,這一假設是錯誤的。2023年csi/fbi計算機犯罪與安全調查報告顯示,受調查公司68%的損失都部分地或完全歸結於內部員工的行為不端。
一旦進入大多數組織的場所內部,取得未經授權的網路連線相對來說就容易多了:找到乙個牆上閒置的乙太網插口,或者一部可以斷開的網路裝置(例如,一台網路印表機)。考慮到dhcp的廣泛部署,基於區域網的埠中僅有很低比例需要認證(例如ieee 802.1x),使用者的計算機可以獲得乙個ip位址,且在絕大多數情況下,擁有了和其他合法授權使用者同樣的網路訪問級別。獲取網路中的乙個ip位址後,惡意使用者就可以嘗試各種攻擊手段。
反言之,乙太網交換機及其相關協議、特性通過採用使用者識別、強制實施線速安全策略(wire speed security policy)、第二層加密等措施可以改善區域網環境的安全狀態。
第1章 安全導論
1.1 安全三要素(security triad)
1.2 風險管理(risk management)
1.3 訪問控制和身份管理
1.4 密碼學(cryptography)
1.5 總結
1.6 參考資料
第2章 挫敗學習型網橋的**程序
第3章 攻擊生成樹協議
第4章 vlan安全嗎
第5章 利用dhcp缺陷的攻擊
第6章 利用ipv4 arp的攻擊
第7章 利用ipv6鄰居發現和路由器通告協議的攻擊
第8章 乙太網上的供電呢
第9章 hsrp適應力強嗎
第10章 能打敗vrrp嗎
第11章 cisco輔助協議與資訊洩露
第12章 拒絕服務攻擊簡介
第13章 控制平面的監管
第14章 遮蔽控制平面協議
第15章 利用交換機發現資料平面拒絕服務攻擊(dos)
第16章 線速訪問控制列表
第17章 基於身份的網路服務與802.1x
第18章 ieee 802.1ae
附錄 結合ipsec與l2tpv3實現安全偽線
《區域網交換機安全》一1 5 總結
區域網交換機安全 風險管理與風險分析 什麼是安全暴露 以及風險控制 如何減少損失 有關。所有系統都存在缺陷。威脅則是敵人 對手 例如,乙個黑客 風險就是威脅利用缺陷造成損失的概率。控制或對策 countermeasures 可以降低或預防風險。殘餘的風險 residual risk 要麼是可接受的,...
交換機與集線器,區域網交換機常見技術指標
技術的進步帶動了交換機 的迅速下降,普通使用者也有能力去購買這樣的裝置,但是同早期的網路裝置 主要是同集線器hub的對比 相比較,它有什麼優勢呢?這也是大多數使用者所關心的問題。下面就對兩種實現結果相同 但是工作機理不同的裝置 交換機 switch 和集線器 hub 做一對比。從工作現象看,它們都是...
區域網下交換機配置
名字ip 閘道器子網掩碼 pc1192.168.1.2 192.168.1.254 255.255.255.0 pc2192.168.1.3 255.255.255.0 cisco模擬器 2臺pc機 2960 24tt交換機一台 我們先按照如下進行配置後按照拓撲結構進行連線注 同種裝置用交叉線,不同...