5.3　局域網安全

在討論完邊界安全和傳輸安全之后，下面介紹局域網安全。本節將關注三層路由安全和二層交換安全的相關內容。

5.3.1　三層路由安全

在互聯網環境中，就像大家不愿意將自己的住址和電話讓無關的人員掌握一樣，路由的隱藏往往也作為網絡建設的基礎要求。除此之外，包括OSPF的鄰居認證，OSPF TTL檢查和TCP攔截（TCP Intercept）等內容都將在本節與大家進行討論。

1. OSPF安全

OSPF協議作為被廣泛使用的動態路由協議也同樣需要考慮安全性問題，主要關注如下內容。

（1）鄰居認證：為了保護OSPF進程，防止未授權的連接，建議為OSPF各個區域開啟認證。

（2）域間路由過濾：如果在網絡邊界開啟OSPF協議，那么一定要注意類型3的域間路由過濾問題，從而防止內部路由泄露到外部，使未授權用戶獲得內部網絡路由信息。

（3）OSPF TTL檢查：OSPF TTL安全檢查是一種保護OSPF免受遠程攻擊的安全機制。在啟用此功能后，OSPF將發送TTL為255的數據包，并拒絕TTL小于配置閾值的任何數據包。在默認情況下，一旦啟用此功能，它將只接收TTL為255的包。由于路由每過一跳TTL會減1，因此這意味著只接收來自直接連接設備的OSPF包。

2. TCP攔截

TCP攔截（TCP Intercept）相關技術描述如下。

（1）TCP攔截是基于軟件的用于緩解基于TCP半開連接泛洪DoS攻擊的技術。

（2）TCP攔截有兩種工作模式，分別是觀察模式和攔截模式。

① 觀察模式：當設備工作在觀察模式時，攔截設備并不干預客戶端與服務器的通信，只做監視。當半開連接數超過閾值時，會自動切換到攔截模式。觀察模式如圖5-10所示。

② 攔截模式：當設備工作在攔截模式時，設備會主動干預客戶端與服務器的通信。也就是說，當客戶端向服務器發送TCP SYN時，攔截設備會冒充服務器回應客戶端，直到三次握手建立完成以后，攔截設備再冒充客戶端向服務器發起連接，等到與服務器的連接建立完成后，攔截設備會退出會話，讓客戶端與服務器直接進行通信。攔截模式如圖5-11所示。

5.3.2　二層交換安全

在網絡建設過程中，除了要考慮來自組織外部的攻擊，還要考慮來自組織內部的攻擊，本節將和大家討論二層交換安全。

1. 關于CAM表溢出攻擊

攻擊原理：攻擊者發送大量源自不同MAC地址的垃圾包，將交換機的CAM表堵滿，迫使交換機像HUB一樣進行泛洪（交換機的特性是未知單播泛洪，每臺交換機的CAM表占用的空間都是有限的，如果滿了，交換機會自動清空）。

緩解方法：使用端口安全技術（Port Security）嚴格控制接口接入的具體MAC地址和數量。

2. 關于VLAN跳躍攻擊

VLAN跳躍攻擊有如下幾種手段。

1）利用DTP實施VLAN跳躍攻擊

攻擊方法：很多交換機都開啟了動態Trunk（DTP）的主動協商，如某廠商的SW3550，大家會發現，如果用一根網線將兩臺3550交換機連接起來，它們會自動協商為Trunk，原因就是它們默認開啟了DTP的主動協商。如果一位攻擊者使用一臺PC安裝一塊服務器網卡，就可以輕松地與交換機協商Trunk。一旦協商完成，就可以隨意訪問任何VLAN（某些品牌交換機的Trunk默認允許所有VLAN流量通過，而某些品牌交換機的Trunk默認只允許默認VLAN，即VLAN1的流量通過）。

解決方法：可以通過關閉交換機的DTP主動協商來緩解此類攻擊。

2）利用雙層TAG實施VLAN跳躍攻擊

攻擊方法：攻擊者要想實施雙層TAG攻擊的前提是接入Native VLAN，然后在封裝幀時前面打兩層TAG，最外面一層是Native VLAN ID，第二層是要攻擊的VLAN ID。當這個幀進入第一臺交換機時，第一層標簽被摘掉，并送入Native VLAN，如VLAN 1。當這個幀進入sw1和sw2之間的Trunk時，由于它處于Native VLAN，因此不再封裝新的TAG，這樣它原本的第二層TAG就顯露出來了。當進入sw2時，再摘掉第二個TAG，也就是想要攻擊的VLAN，這樣就成功地實施了VLAN跳躍攻擊，但此類攻擊為單向攻擊（關于Native VLAN的作用，如果交換機二層出現故障，Native VLAN可以保證交換機的正常工作。Native VLAN的特點是穿越Trunk時不打TAG）。

關于雙層TAG實現的VLAN跳躍攻擊的緩解方式：更改默認的Native VLAN ID，使用一個不常用的VLAN作為Native VLAN，如767，并且Trunk的交換機Native VLAN ID要保持一致。

將所有不使用的接口shutdown劃入這個新創建的Native VLAN。

3）多域VLAN跳躍攻擊

當數據流量和語音流量共同接入一個交換機接口時，有可能發生PC攻擊語音VLAN的情況，攻擊方法就是PC封裝語音VLAN TAG發送到交換機。

關于緩解此類攻擊，一般來說，如果是高級IP Phone，那么在“選項”菜單中可以設置語音安全，這樣IP Phone會自動阻礙PC發來的攻擊流量。如果IP Phone型號比較低，沒有這個功能，就需要在交換機上做相應設置，來進行語音VLAN保護。

3. DHCP攻擊

DHCP攻擊主要分為DHCP枯竭攻擊和非法DHCP攻擊兩種，并且這兩種攻擊方式往往是并存且存在協作關系的。

攻擊方法：通常來說，攻擊者首先在網絡內實施DHCP枯竭攻擊，大量占用合法DHCP-Server的地址池。然后再實施非法DHCP攻擊，向內網用戶發送IP地址，這樣可以實現中間人攻擊。

1）DHCP枯竭攻擊

源自不同MAC的攻擊者向DHCP-Server申請大量IP地址，占用IP地址空間，這時的防范手段就是端口安全，使用Port-Security設置接口最大MAC接入數量可以有效緩解此類攻擊。

如果攻擊者使用攻擊工具，可以不更改MAC地址，向DHCP-Server申請大量IP地址，這時使用端口安全來進行緩解是無法解決問題的，應該使用DHCP Snooping進行緩解。

2）非法DHCP攻擊

攻擊者首先實施了DHCP枯竭攻擊，然后再架設一個非法的DHCP服務器向沒能從合法DHCP Server獲得IP地址的用戶提供DHCP服務。不但可以發送IP地址，還可以發送網關及DNS地址，從而實現中間人攻擊。

緩解方法是配置DHCP Snooping，DHCP Snooping技術可以檢查DHCP包內容，以及限制DHCP包的發送速率。