网络安全 – 数据链路层

上一个
下一个

我们已经看到互联网的快速发展引起了人们对网络安全的重大关注。为了在网络的应用层、传输层或网络层提供安全保障,已经开发出多种方法。

许多组织在较高的 OSI 层(从应用层一直到 IP 层)都采用了安全措施。然而,一个通常被忽视的领域是数据链路层的加固。这可能使网络容易受到各种攻击和破坏。

在本章中,我们将讨论数据链路层中的安全问题以及应对这些问题的方法。我们的讨论将重点放在以太网网络上。

数据链路层中的安全问题

以太网网络中的数据链路层极易受到多种攻击。最常见的攻击包括:

ARP 欺骗

地址解析协议 (ARP) 是一种用于将 IP 地址映射到本地以太网可识别的物理机器地址的协议。当主机需要查找 IP 地址对应的物理媒体访问控制 (MAC) 地址时,它会广播一个 ARP 请求。拥有该 IP 地址的其他主机会发送一个包含其物理地址的 ARP 响应消息。

网络上的每个主机都维护着一个称为“ARP 缓存”的表。该表保存网络上其他主机的 IP 地址和关联的 MAC 地址。

由于 ARP 是一种无状态协议,因此每次主机从另一主机收到 ARP 响应时,即使它没有发送 ARP 请求,它也会接受该 ARP 条目并更新其 ARP 缓存。修改目标主机 ARP 缓存中伪造条目的过程称为 ARP 欺骗或 ARP 欺骗。

ARP 欺骗可能允许攻击者伪装成合法主机,然后拦截网络上的数据帧,修改或停止它们。攻击者通常会利用这种攻击来发起其他攻击,例如中间人攻击、会话劫持或拒绝服务攻击。

ARP Spoofing

MAC 泛洪

以太网中的每个交换机都有一个内容可寻址内存 (CAM) 表,用于存储 MAC 地址、交换机端口号和其他信息。该表的大小是固定的。在 MAC 泛洪攻击中,攻击者使用伪造的 ARP 数据包向交换机发送 MAC 地址泛洪,直到 CAM 表满。

一旦 CAM 泛洪,交换机就会进入集线器模式,并开始广播没有 CAM 条目的流量。现在,位于同一网络上的攻击者可以接收所有原本只发往特定主机的帧。

端口窃取

以太网交换机能够学习并将 MAC 地址绑定到端口。当交换机从具有 MAC 源地址的端口接收流量时,它会绑定端口号和该 MAC 地址。

端口窃取攻击利用了交换机的这一功能。攻击者使用伪造的 ARP 帧泛洪交换机,并将目标主机的 MAC 地址作为源地址。交换机被欺骗认为目标主机位于攻击者实际连接的端口上。

现在,所有发往目标主机的数 据帧都会发送到攻击者的交换机端口,而不是目标主机。因此,攻击者现在可以接收所有原本只发往目标主机的帧。

DHCP 攻击

动态主机配置协议 (DHCP) 不是数据链路协议,但 DHCP 攻击的解决方案也有助于阻止第 2 层攻击。

DHCP 用于在特定时间段内动态地为计算机分配 IP 地址。攻击者可以通过导致网络拒绝服务或冒充 DHCP 服务器来攻击 DHCP 服务器。在 DHCP 耗尽攻击中,攻击者会请求所有可用的 DHCP 地址。这会导致网络上合法主机拒绝服务。

在 DHCP 欺骗攻击中,攻击者可以部署一个伪造的 DHCP 服务器来向客户端提供地址。在这里,攻击者可以使用 DHCP 响应为主机提供伪造的默认网关。现在,来自主机的帧被引导到伪造的网关,攻击者可以在那里拦截所有数据包并回复到实际网关或丢弃它们。

其他攻击

除了上述流行的攻击之外,还有其他攻击,例如基于第 2 层的广播、拒绝服务 (DoS)、MAC 克隆。

在广播攻击中,攻击者向网络上的主机发送伪造的 ARP 响应。这些 ARP 响应将默认网关的 MAC 地址设置为广播地址。这会导致所有出站流量都被广播,使坐在同一以太网上的攻击者能够进行嗅探。此类攻击也会影响网络容量。

在基于第 2 层的 DoS 攻击中,攻击者使用不存在的 MAC 地址更新网络中主机的 ARP 缓存。网络中每个网络接口卡的 MAC 地址都应该是全局唯一的。但是,通过启用 MAC 克隆可以轻松更改它。攻击者通过 DoS 攻击禁用目标主机,然后使用目标主机的 IP 和 MAC 地址。

攻击者执行这些攻击是为了发起更高级别的攻击,从而危及在网络上传输的信息安全。他可以拦截所有帧并读取帧数据。攻击者可以充当中间人并修改数据或简单地丢弃帧导致 DoS。他可以劫持目标主机与其他机器之间的正在进行的会话,并完全传递错误的信息。

保护以太网 LAN

我们在上一节中讨论了一些广为人知的第 2 层攻击。为了减轻此类攻击,已经开发出多种方法。一些重要的方法包括:

端口安全

这是智能以太网交换机上提供的一种第 2 层安全功能。它涉及将交换机的物理端口绑定到特定 MAC 地址。任何人都可以通过简单地将主机连接到任何可用的交换机端口来访问不安全的网络。但是,端口安全可以保护第 2 层访问。

Port Security

默认情况下,端口安全将入口 MAC 地址计数限制为一个。但是,可以通过配置允许多个授权主机从该端口连接。每个接口的允许 MAC 地址可以静态配置。一个方便的替代方案是启用“粘滞”MAC 地址学习,其中 MAC 地址将由交换机端口动态学习,直到达到端口的最大限制。

为了确保安全性,可以以多种不同的方式控制对端口上指定 MAC 地址的更改或端口上超出限制的地址的反应。可以将端口配置为关闭或阻止超出指定限制的 MAC 地址。建议的最佳实践是关闭端口。端口安全可以防止 MAC 泛洪和克隆攻击。

DHCP 嗅探

我们已经看到,DHCP 欺骗是一种攻击,其中攻击者侦听网络上主机发出的 DHCP 请求,并在授权的 DHCP 响应到达主机之前使用伪造的 DHCP 响应来回复这些请求。

DHCP 嗅探可以防止此类攻击。DHCP 嗅探是一种交换机功能。交换机可以配置为确定哪些交换机端口可以响应 DHCP 请求。交换机端口被标识为受信任端口或不受信任端口。

DHCP Snooping

仅将连接到授权 DHCP 服务器的端口配置为“受信任”,并允许其发送所有类型的 DHCP 消息。交换机上的所有其他端口都不受信任,并且只能发送 DHCP 请求。如果在不受信任的端口上看到 DHCP 响应,则该端口将被关闭。

防止 ARP 欺骗

端口安全的方法可以防止 MAC 泛洪和克隆攻击。但是,它不能防止 ARP 欺骗。端口安全验证帧报头中的 MAC 源地址,但 ARP 帧在数据有效负载中包含一个额外的 MAC 源字段,主机使用此字段填充其 ARP 缓存。防止 ARP 欺骗的一些方法如下所列。

  • 静态 ARP − 建议的操作之一是在主机 ARP 表中使用静态 ARP 条目。静态 ARP 条目是 ARP 缓存中的永久条目。但是,此方法不切实际。此外,它不允许使用某些动态主机配置协议 (DHCP),因为第 2 层网络中的所有主机都需要使用静态 IP。

  • 入侵检测系统 − 防御方法是利用配置为检测大量 ARP 流量的入侵检测系统 (IDS)。但是,IDS 容易报告误报。

  • 动态 ARP 检查 − 这种防止 ARP 欺骗的方法类似于 DHCP 嗅探。它使用受信任和不受信任的端口。ARP 响应仅允许在受信任端口上进入交换机接口。如果 ARP 响应进入不受信任端口上的交换机,则 ARP 响应的内容将与 DHCP 绑定表进行比较以验证其准确性。如果 ARP 响应无效,则丢弃 ARP 响应,并禁用该端口。

保护生成树协议

生成树协议 (STP) 是一种第 2 层链路管理协议。STP 的主要目的是确保当网络具有冗余路径时没有数据流循环。通常,构建冗余路径是为了为网络提供可靠性。但它们会形成致命的循环,这可能导致网络中的 DoS 攻击。

生成树协议

为了提供所需的路径冗余,并避免循环条件,STP 定义了一个跨越网络中所有交换机的树。STP 会强制某些冗余数据链路进入阻塞状态,并将其他链路保持在转发状态。

如果转发状态下的链路发生故障,STP 会重新配置网络并通过激活相应的备用路径来重新定义数据路径。STP 运行在网络中部署的桥接和交换机上。所有交换机交换信息以选择根交换机并进行后续的网络配置。桥接协议数据单元 (BPDU) 携带此信息。通过交换 BPDU,网络中的所有交换机都会选举一个根桥/交换机,该交换机成为网络的中心点并控制阻塞和转发链路。

对 STP 的攻击

  • 接管根桥。这是第 2 层最具破坏性的攻击类型之一。默认情况下,局域网交换机按字面意思接受来自相邻交换机发送的任何 BPDU。顺便说一句,STP 是可信的、无状态的,并且没有提供任何健全的身份验证机制。

  • 一旦进入根攻击模式,攻击交换机每 2 秒发送一个 BPDU,其优先级与当前根桥相同,但 MAC 地址略微小,这确保了其在根桥选举过程中的胜利。攻击者交换机可以通过不正确地确认其他交换机导致 BPDU 泛滥或通过声称自己是根交换机并在快速连续中撤回以使交换机过度处理 BPDU 来发起拒绝服务攻击。

  • 使用配置 BPDU 泛滥进行拒绝服务攻击。攻击交换机不会尝试接管根桥。相反,它每秒生成大量 BPDU,导致交换机的 CPU 利用率非常高。

防止对 STP 的攻击

幸运的是,针对根接管攻击的对策既简单又直接。两个功能有助于击败根接管攻击。

  • 根保护 - 根保护限制了可能协商根桥的交换机端口。如果启用了“根保护”的端口接收到的 BPDU 优于当前根桥发送的 BPDU,则该端口将移至根不一致状态,并且不会转发该端口上的任何数据流量。根保护最好部署到连接到不希望接管根桥的交换机的端口。

  • BPDU 保护 - BPDU 保护用于保护网络免受在访问端口上接收 BPDU 可能导致的问题。这些是不应接收 BPDU 的端口。BPDU 保护最好部署到面向用户的端口,以防止攻击者插入伪造的交换机。

保护虚拟局域网

在本地网络中,虚拟局域网 (VLAN) 有时被配置为一种安全措施,以限制易受第 2 层攻击的主机数量。VLAN 创建网络边界,广播 (ARP、DHCP) 流量无法跨越该边界。

虚拟局域网

采用支持 VLAN 功能的交换机/交换机的网络可以配置为在单个物理局域网基础设施上定义多个 VLAN。

Virtual Local Area Network

VLAN 的常见形式是基于端口的 VLAN。在这种 VLAN 结构中,交换机端口使用交换机管理软件分组到 VLAN 中。因此,单个物理交换机可以充当多个虚拟交换机。

VLAN 的使用提供了流量隔离。它将大型广播第 2 层网络划分为较小的逻辑第 2 层网络,从而减少了 ARP/DHCP 欺骗等攻击的范围。一个 VLAN 的数据帧只能在属于同一 VLAN 的端口之间移动。两个 VLAN 之间的帧转发是通过路由完成的。

VLAN 通常跨越多个交换机,如上图所示。中继端口之间的链路承载在多个物理交换机上定义的所有 VLAN 的帧。因此,交换机之间转发的 VLAN 帧不能是简单的 IEEE 802.1 以太网格式帧。由于这些帧在同一物理链路上移动,因此它们现在需要携带 VLAN ID 信息。IEEE 802.1Q 协议在中继端口之间转发的普通以太网帧中添加/删除额外的报头字段。

Ethernet Frames

当跟随两个 IP 地址字段的字段为 0x8100(> 1500)时,该帧被识别为 802.1Q 帧。2 字节标签协议标识符 (TPI) 的值为 81-00。TCI 字段包含 3 位优先级信息、1 位丢弃合格指示器 (DEI) 和 12 位 VLAN ID。这 3 位优先级字段和 DEI 字段与 VLAN 无关。优先级位用于提供服务质量。

当帧不属于任何 VLAN 时,存在一个默认的 VLAN ID,该帧被认为与之关联。

对 VLAN 的攻击和预防措施

在 VLAN 跳跃攻击中,一个 VLAN 上的攻击者可以访问通常无法访问的其他 VLAN 上的流量。在从一个 VLAN 到另一个 VLAN 通信时,它将绕过第 3 层设备(路由器),从而破坏 VLAN 创建的目的。

VLAN 跳跃可以通过两种方法执行;交换机欺骗和双重标记。

交换机欺骗

当攻击者连接到的交换机端口处于“中继”模式或“自动协商”模式时,可能会发生这种情况。攻击者充当交换机,并为目标远程 VLAN 的传出帧添加带有 VLAN 标签的 802.1Q 封装报头。接收交换机将这些帧解释为来自另一个 802.1Q 交换机,并将帧转发到目标 VLAN。

针对交换机欺骗攻击的两种预防措施是将边缘端口设置为静态访问模式并在所有端口上禁用自动协商。

双重标记

在此攻击中,连接到交换机本机 VLAN 端口的攻击者在帧报头中添加两个 VLAN 标签。第一个标签是本机 VLAN,第二个标签是目标 VLAN。当第一个交换机收到攻击者的帧时,它会删除第一个标签,因为本机 VLAN 的帧在中继端口上无标签转发。

  • 由于第二个标签从未被第一个交换机删除,因此接收交换机将剩余的标签识别为 VLAN 目标,并将帧转发到该 VLAN 中的目标主机。双重标记攻击利用了本机 VLAN 的概念。由于 VLAN 1 是访问端口的默认 VLAN 和中继端口上的默认本机 VLAN,因此它是一个容易的目标。

  • 第一个预防措施是从默认 VLAN 1 中删除所有访问端口,因为攻击者的端口必须与交换机的本机 VLAN 匹配。第二个预防措施是将所有交换机中继上的本机 VLAN 分配给一些未使用的 VLAN,例如 VLAN ID 999。最后,所有交换机都配置为在中继端口上对本机 VLAN 帧执行显式标记。

保护无线局域网

无线局域网是在有限地理区域内(例如办公楼或学校校园)的无线节点网络。节点能够进行无线通信。

无线局域网

无线局域网通常作为现有有线局域网的扩展来实现,以提供具有设备移动性的网络访问。最广泛实施的无线局域网技术基于 IEEE 802.11 标准及其修订版。

无线局域网中的两个主要组件是 -

  • 接入点 (AP) - 这些是无线网络的基站。它们传输和接收无线电频率以与无线客户端通信。

  • 无线客户端 - 这些是配备了无线网络接口卡 (WNIC) 的计算设备。笔记本电脑、IP 电话、PDA 是无线客户端的典型示例。

Wireless LAN

许多组织已经实施了无线局域网。这些网络正在飞速发展。因此,了解无线局域网中的威胁并学习常见的预防措施以确保网络安全至关重要。

无线局域网中的攻击

在无线局域网上执行的典型攻击包括 -

  • 窃听 - 攻击者被动地监控无线网络以获取数据,包括身份验证凭据。

  • 伪装 - 攻击者冒充授权用户并获取无线网络上的访问权限和特权。

  • 流量分析 - 攻击者通过无线网络监控传输以识别通信模式和参与者。

  • 拒绝服务 - 攻击者阻止或限制无线局域网或网络设备的正常使用或管理。

  • 消息修改/重放 - 攻击者通过删除、添加、更改或重新排序合法消息来更改或重放通过无线网络发送的合法消息。

无线局域网中的安全措施

安全措施提供了一种击败攻击和管理网络风险的方法。这些是网络管理、操作和技术措施。我们在下面描述为确保通过无线局域网传输的数据的机密性、可用性和完整性而采用的技术措施。

在无线局域网中,所有 AP 应配置为通过加密和客户端身份验证提供安全性。无线局域网中用于提供安全性的方案类型如下 -

有线等效隐私 (WEP)

它是一种内置于 802.11 标准中的加密算法,用于保护无线网络。WEP 加密使用 RC4(Rivest Cipher 4)流密码,密钥长度为 40 位/104 位,初始化向量为 24 位。它还可以提供端点身份验证。

然而,它是最弱的加密安全机制,因为在 WEP 加密中发现了一些缺陷。WEP 也没有身份验证协议。因此,不建议使用 WEP。

802.11i 协议

在此协议中,许多更强大的加密形式是可能的。它已被开发出来以取代脆弱的 WEP 方案。它提供了密钥分发机制。它支持每个站点一个密钥,并且不为所有站点使用相同的密钥。它使用与接入点分开的身份验证服务器。

IEEE802.11i 要求使用名为计数器模式与 CBC-MAC 协议 (CCMP) 的协议。CCMP 提供传输数据的机密性和完整性以及发送者的真实性。它基于高级加密标准 (AES) 分组密码。

IEEE802.11i 协议有四个操作阶段。

802.11i Protocol

  • STA 和 AP 通信并发现共同的安全功能,例如支持的算法。

  • STA 和 AS 互相认证并共同生成主密钥 (MK)。AP 充当“直通”。

  • STA 派生成对主密钥 (PMK)。AS 派生相同的 PMK 并发送到 AP。

  • STA、AP 使用 PMK 派生用于消息加密和数据完整性的临时密钥 (TK)。

其他标准

  • Wi-Fi 保护访问 (WPA) - 此协议实现了 IEEE 802.11i 标准的大部分内容。它存在于 IEEE 802.11i 之前,并使用 RC4 算法进行加密。它有两种操作模式。在“企业”模式下,WPA 使用身份验证协议 802.1x 与身份验证服务器通信,因此预主密钥 (PMK) 对客户端站点是特定的。在“个人”模式下,它不使用 802.1x,PMK 被预共享密钥替换,如用于小型办公室家庭办公室 (SOHO) 无线局域网环境。

    WPA 还包含一个健全的消息完整性检查,以替换 WEP 标准使用的循环冗余校验 (CRC)。

  • WPA2 - WPA2 取代了 WPA。WPA2 实现了 IEEE 802.11i 方案的所有强制性元素。特别是,它包括对 CCMP 的强制支持,这是一种基于 AES 的加密模式,具有强大的安全性。因此,就攻击而言,WPA2/IEEE802.11i 提供了充分的解决方案来防御 WEP 弱点、中间人攻击、伪造数据包伪造和重放攻击。但是,拒绝服务攻击没有得到妥善解决,并且没有可靠的协议来阻止此类攻击,这主要是因为此类攻击针对的是物理层,例如干扰频段。

总结

在本章中,我们考虑了攻击和缓解技术,假设使用了运行 IP 的交换式以太网网络。如果您的网络不使用以太网作为第 2 层协议,则其中一些攻击可能不适用,但很有可能此类网络容易受到不同类型的攻击。

安全性仅与最薄弱的环节一样强大。在网络方面,第 2 层可能是一个非常薄弱的环节。本章中提到的第 2 层安全措施在很大程度上可以保护网络免受多种类型的攻击。

打印页面

上一篇
下一篇
广告