PDA

查看完整版本 : 交换机的安全


Erika
2007-11-28, 11:24 AM
网络 (http://www.nohack.cn/)安全 (http://www.nohack.cn/)不再单纯依赖单一设备和单一技术 (http://www.nohack.cn/)来实现已成为业界共识。交换机作为网络 (http://www.nohack.cn/)骨干设备,自然也肩负着构筑网络 (http://www.nohack.cn/)安全 (http://www.nohack.cn/)防线的重任。

  《网络 (http://www.nohack.cn/)世界》曾围绕交换机的安全 (http://www.nohack.cn/)问题进行了用户调查,在收到的大量读者反馈中,通过统计和分析得出:70%的用户曾经遭受过Slammer、“冲击波”等蠕虫病毒 (http://www.nohack.cn/)的袭击,这些蠕虫病毒 (http://www.nohack.cn/)攻击 (http://www.nohack.cn/)的直接目标通常是PC机和服务器,但是攻击 (http://www.nohack.cn/)是通过网络 (http://www.nohack.cn/)进行的,因此当这些蠕虫病毒 (http://www.nohack.cn/)大规模爆发时,交换机、路由器会首先受到牵连。抽样分析表明:近50%的用户反映Slammer、冲击波等蠕虫病毒 (http://www.nohack.cn/)冲击了交换机,36%的用户的路由器受到冲击。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒 (http://www.nohack.cn/)对网络 (http://www.nohack.cn/)设备造成的影响。
蠕虫病毒 (http://www.nohack.cn/)攻击 (http://www.nohack.cn/)网络 (http://www.nohack.cn/)设备
  蠕虫病毒 (http://www.nohack.cn/)发作导致网络 (http://www.nohack.cn/)吞吐效率下降、变慢。如果网络 (http://www.nohack.cn/)中存在瓶颈,就会导致网络 (http://www.nohack.cn/)停顿甚至瘫痪。这些瓶颈可能是线路带宽,也可能是路由器、交换机的处理能力或者内存资源。需要指出的是,网络 (http://www.nohack.cn/)中的路由器、交换机已经达到或接近线速,内网带宽往往不收敛,在这种情况下,病毒 (http://www.nohack.cn/)攻击 (http://www.nohack.cn/)产生的流量对局域网内部带宽不会造成致命堵塞,但位于网络 (http://www.nohack.cn/)出口位置的路由器和位于网络 (http://www.nohack.cn/)核心位置的三层交换机却要吞吐绝大多数的流量,因而首当其冲地受到蠕虫病毒 (http://www.nohack.cn/)的攻击 (http://www.nohack.cn/)。接入层交换机通常需要与用户终端直接连接,一旦用户终端感染蠕虫病毒 (http://www.nohack.cn/),病毒 (http://www.nohack.cn/)发作就会严重消耗带宽和交换机资源,造成网络 (http://www.nohack.cn/)瘫痪,这一现象早已屡见不鲜。
  蠕虫病毒 (http://www.nohack.cn/)对网络 (http://www.nohack.cn/)设备的冲击形式主要有两种:一是堵塞带宽,导致服务不可用;二是占用CPU资源,导致宕机,红色代码、Slammer、冲击波等蠕虫病毒 (http://www.nohack.cn/)不停地扫描IP地址,在很短时间内就占用大量的带宽资源,造成网络 (http://www.nohack.cn/)出口堵塞。宕机共分几种情况:一是普通三层交换机都采用流转发模式,也就是将第一个数据包发送到CPU处理,根据其目的地址建流,频繁建流会急剧消耗CPU资源,蠕虫病毒 (http://www.nohack.cn/)最重要的攻击 (http://www.nohack.cn/)手段就是不停地发送数据流,这对于采用流转发模式的网络 (http://www.nohack.cn/)设备是致命的;二是如果网络 (http://www.nohack.cn/)规划有问题,在Slammer作用下导致大量ARP请求发生,也会耗尽CPU资源。再比如,Slammer病毒 (http://www.nohack.cn/)拥塞三层交换机之间链路带宽,导致路由协议的数据包(如Hello包)丢失,导致整个网络 (http://www.nohack.cn/)的路由震荡。类似的情形还有利用交换机安全 (http://www.nohack.cn/)漏洞 (http://www.nohack.cn/bugs/)对交换机CPU等资源发起的DoS攻击 (http://www.nohack.cn/)。在2003年第5期报纸上,我们曾集中介绍了路由器的安全 (http://www.nohack.cn/)问题,在这期报纸上我们将集中介绍交换机的安全 (http://www.nohack.cn/)问题。
交换机需要加强安全 (http://www.nohack.cn/)性
  以太网交换机实际是一个为转发数据包优化的计算机。而是计算机就有被攻击 (http://www.nohack.cn/)的可能,比如非法获取交换机的控制权,导致网络 (http://www.nohack.cn/)瘫痪,另一方面也会受到DoS攻击 (http://www.nohack.cn/),比如前面提到的几种蠕虫病毒 (http://www.nohack.cn/)。
  它们都利用了交换机的一些漏洞 (http://www.nohack.cn/bugs/)。一般交换机可以作生成权维护、路由协议维护、ARP、建路由表,维护路由协议,对ICMP报文进行处理,监控交换机,这些都有可能成为黑客 (http://www.nohack.cn/)攻击 (http://www.nohack.cn/)交换机的手段。
  蠕虫病毒 (http://www.nohack.cn/)的攻击 (http://www.nohack.cn/),使网络 (http://www.nohack.cn/)设备厂商和用户都开始注重交换机的安全 (http://www.nohack.cn/)性。对于交换机安全 (http://www.nohack.cn/)性的理解,近48%的用户认为交换机的安全 (http://www.nohack.cn/)性是指交换机本身具有抗攻击 (http://www.nohack.cn/)性和安全 (http://www.nohack.cn/)性,31%的用户认为是指交换机携带了安全 (http://www.nohack.cn/)模块,21%的用户认为两者兼备。绝大数网络 (http://www.nohack.cn/)设备厂商认为交换机的安全 (http://www.nohack.cn/)性需经过特殊设计、提高了抗攻击 (http://www.nohack.cn/)能力,同时具有一定的安全 (http://www.nohack.cn/)功能。


  传统交换机主要用于数据包的快速转发,强调转发性能。随着局域网的广泛互连,加上TCP/IP协议本身的开放性,网络 (http://www.nohack.cn/)安全 (http://www.nohack.cn/)成为一个突出问题,网络 (http://www.nohack.cn/)中的敏感数据、机密信息被泄露,重要数据设备被攻击 (http://www.nohack.cn/),而交换机作为网络 (http://www.nohack.cn/)环境中重要的转发设备,其原来的安全 (http://www.nohack.cn/)特性已经无法满足现在的安全 (http://www.nohack.cn/)需求,因此传统的交换机需要增加安全 (http://www.nohack.cn/)性。
  在网络 (http://www.nohack.cn/)设备厂商看来,加强安全 (http://www.nohack.cn/)性的交换机是对普通交换机的升级和完善,除了具备一般的功能外,这种交换机还具备普通交换机所不具有的安全 (http://www.nohack.cn/)策略功能。这种交换机从网络 (http://www.nohack.cn/)安全 (http://www.nohack.cn/)和用户业务应用出发,能够实现特定的安全 (http://www.nohack.cn/)策略,预防病毒 (http://www.nohack.cn/)和网络 (http://www.nohack.cn/)攻击 (http://www.nohack.cn/),限制非法访问,进行事后分析,有效保障用户网络 (http://www.nohack.cn/)业务的正常开展。实现安全 (http://www.nohack.cn/)性的一种作法就是在现有交换机中嵌入各种安全 (http://www.nohack.cn/)模块。不同用户有不同的需求,25%的用户希望交换机中增加防火墙、VPN、数据加密、身份认证等功能,37%的用户表示需要直接使用安全 (http://www.nohack.cn/)设备,48%的用户表示两种方式都需要。
  在现阶段,由于有过被攻击 (http://www.nohack.cn/)的经历,绝大多数用户对增强安全 (http://www.nohack.cn/)性的交换机表示出浓厚兴趣,18%的用户表示在三个月之内购买,29%的用户会在半年之内购买,19%的用户打算在一年之内购买,只有34%的用户表示近期不作考虑。同时,用户对这种加强安全 (http://www.nohack.cn/)性的交换机的价格也表现出理性态度:8%的用户希望能与传统交换机价格相当,4%的用户接受高于传统交换机20%以上的价格,而88%的用户接受10%~20%的价格上浮。
  安全 (http://www.nohack.cn/)性加强的交换机本身具有抗攻击 (http://www.nohack.cn/)性,比普通交换机具有更高的智能性和安全 (http://www.nohack.cn/)保护功能。在系统 (http://www.nohack.cn/jsj/system/)安全 (http://www.nohack.cn/)方面,交换机在网络 (http://www.nohack.cn/)由核心到边缘的整体架构中实现了安全 (http://www.nohack.cn/)机制,即通过特定技术 (http://www.nohack.cn/)对网络 (http://www.nohack.cn/)管理信息进行加密、控制;在接入安全 (http://www.nohack.cn/)性方面,采用安全 (http://www.nohack.cn/)接入机制,包括802.1x接入验证、RADIUS/TACACST、MAC地址检验以及各种类型虚网技术 (http://www.nohack.cn/)等。不仅如此,许多交换机还增加了硬件形式的安全 (http://www.nohack.cn/)模块,一些具有内网安全 (http://www.nohack.cn/)功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全 (http://www.nohack.cn/)隐患。目前交换机中常用的安全 (http://www.nohack.cn/)技术 (http://www.nohack.cn/)包括以下几种。
  流量控制技术 (http://www.nohack.cn/) 把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能,能够实现风暴控制、端口保护和端口安全 (http://www.nohack.cn/)。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免报文丢失。广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。 不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。
  访问控制列表(ACL)技术 (http://www.nohack.cn/) ACL通过对网络 (http://www.nohack.cn/)资源进行访问输入和输出控制,确保网络 (http://www.nohack.cn/)设备不被非法访问或被用作攻击 (http://www.nohack.cn/)跳板。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络 (http://www.nohack.cn/)至关重要。