局域網(wǎng)交換機安全

前言

人們常認為局域網(wǎng)和以太網(wǎng)交換機與管道系統(tǒng)很相似，易于安裝、配置。但恰恰是看似簡單的東西，往往容易忽略對其安全性的關(guān)注。以太網(wǎng)交換機存在著多個安全隱患。利用這些隱患的攻擊工具幾年前就已經(jīng)問世（例如著名的dsniff軟件包）。運用這些工具，黑客可以打破交換機的所謂安全神話：“不可能用嗅探和包截取技術(shù)來攻擊交換機”。的確，使用dsniff、Cain或者其他Windows、Linux系統(tǒng)下界面友好的工具，黑客可以輕而易舉地將任何流量轉(zhuǎn)向他的個人計算機，從而破壞了這些流量的保密性和完整性。對于第二層協(xié)議，從生成樹協(xié)議到IPv6鄰居發(fā)現(xiàn)，這些隱患中的絕大部分都是與生俱來的。一旦第二層被攻陷，再使用諸如“中間人”（MTTM）攻擊之類的技術(shù)在更高層協(xié)議上構(gòu)建攻擊手段是輕而易舉的事。由于能夠截取任意流量，黑客可以在明文通信（例如HTTP和Telnet）和加密通道（例如SSL或SSH）里做手腳。要利用網(wǎng)絡(luò)第二層的隱患，攻擊者常常必須與攻擊目標在第二層相鄰。盡管聽起來有些不可思議，但實際上外部黑客是可以連接到一個公司的局域網(wǎng)的。他可以運用社交工程出入公司場所，或是假扮成一名電話約來的工程師，來現(xiàn)場解決“機械故障”。另外，很多攻擊來自于公司內(nèi)部員工，比如由一個在現(xiàn)場工作的雇員發(fā)起攻擊。傳統(tǒng)上，企業(yè)一直存在著不成文的和在某些場合是書面的規(guī)則，即認定雇員是受信任的個體。然而，過去數(shù)10年中無數(shù)的案件和統(tǒng)計數(shù)據(jù)證明，這一假設(shè)是錯誤的。2006年CSI／FBI計算機犯罪與安全調(diào)查報告顯示，受調(diào)查公司68％的損失都部分地或完全歸結(jié)于內(nèi)部員工的行為不端。一旦進入大多數(shù)組織的場所內(nèi)部，取得未經(jīng)授權(quán)的網(wǎng)絡(luò)連接相對來說就容易多了：找到一個墻上閑置的以太網(wǎng)插口，或者一部可以斷開的網(wǎng)絡(luò)設(shè)備（例如，一臺網(wǎng)絡(luò)打印機）?？紤]到DHCP的廣泛部署，基于局域網(wǎng)的端口中僅有很低比例需要認證（例如IEEE 802.1x），用戶的計算機可以獲得一個IP地址，且在絕大多數(shù)情況下，擁有了和其他合法授權(quán)用戶同樣的網(wǎng)絡(luò)訪問級別。獲取網(wǎng)絡(luò)中的一個IP地址后，惡意用戶就可以嘗試各種攻擊手段。

內(nèi)容概要

　　本書是迄今為止國內(nèi)引進的第一本專門介紹第二層交換環(huán)境安全技術(shù)的圖書。作者在書中通過一個個鮮活的第二層攻擊場景，以及針對這些攻擊的化解之策，來強調(diào)第二層安全的重要性。這些針對第二層協(xié)議的攻擊場景，囊括了讀者所知的任何一種第二層協(xié)議(STP、VRRP/HSRP、LACP/PagP、ARP等)。書中給出了針對上述攻擊的各種反制措施。　　除了攻擊與對抗攻擊之外，作者還高屋建瓴般地展望了未來以及正在流行的第二層安全體系結(jié)構(gòu)及技術(shù)，這包括線速的ACL、IEEE 802.1AE、Cisco INBS以及結(jié)合IPSec與L2TPv3的安全偽線。讀完本書之后，讀者將會加深對網(wǎng)絡(luò)整體安全性的理解：網(wǎng)絡(luò)安全并不能只靠防火墻、入侵檢測系統(tǒng)甚至是內(nèi)容過濾設(shè)備。如果沒有上述這些設(shè)備，在網(wǎng)絡(luò)的第二層利用交換機同樣可以實施網(wǎng)絡(luò)安全?！　”緯m合從事計算機網(wǎng)絡(luò)設(shè)計、管理和運維工作的工程技術(shù)人員閱讀，可以幫助網(wǎng)絡(luò)(安全)工程師、網(wǎng)絡(luò)管理員快速、高效地掌握各種第二層網(wǎng)絡(luò)安全技術(shù)。本書同樣可以作為高校計算機和通信專業(yè)本科生或研究生學習網(wǎng)絡(luò)安全的參考資料。

作者簡介

作者：（美國）維恩克（Eric vyncke） （美國）培根（Christopher paggen） 譯者：孫余強 孫劍維恩克（Eric Vymcke），獲得比利時列日大學計算機科學工程系碩士學位后在該校任助理研究員。隨后進入比利時網(wǎng)絡(luò)研究院，出任研發(fā)部門的領(lǐng)導(dǎo)。之后加盟西門子出任多個安全項目（包括-個代理防火墻項目）的項目經(jīng)理。自1997年起，他被Cisco公司委以杰出咨詢工程師一職，擔當公司歐洲地區(qū)的安全技術(shù)顧問。20年來，Eric從事的專業(yè)領(lǐng)域一直在從第二層到應(yīng)用層的網(wǎng)絡(luò)安全方面。Eric還是幾所比利時大學安全研討班的客座教授，經(jīng)常參加各種安全活動.（如Cisco Live的Networkers、RSA大會）并發(fā)言。培根（Christopher Paggen），于1996年加入Cisco，一直從事以局域網(wǎng)交換和安全方面為主的工作。之后，轉(zhuǎn)而負責公司當前和未來高端防火墻的產(chǎn)品需求定義。Christopher持有幾項美國專利，其中一項與動態(tài)ARP檢測（Dynamic ARP Inspection，DAI）有關(guān)。除CCIE證書（CCIE#2659）外，Christopher還曾獲得HEMES大學（比利時）計算機科學學士學位，并繼續(xù)在I.IMS大學（比利時）學習了兩年經(jīng)濟學。

書籍目錄

第1部分　安全隱患和緩解技術(shù)　第1章　安全導(dǎo)論　第2章　挫敗學習型網(wǎng)橋的轉(zhuǎn)發(fā)進程　第3章　攻擊生成樹協(xié)議　　第4章　VLAN安全嗎　第5章　利用DHCP缺陷的攻擊　第6章　利用IPv4 ARP的攻擊　第7章　利用IPv6鄰居發(fā)現(xiàn)和路由器通告協(xié)議的攻擊　　第8章　以太網(wǎng)上的供電呢　　第9章　HSRP適應(yīng)力強嗎　第10章　能打敗VRRP嗎　　第11章　Cisco輔助協(xié)議與信息泄露第2部分　交換機如何抵抗拒絕服務(wù)攻擊　第12章　拒絕服務(wù)攻擊簡介　　第13章　控制平面的監(jiān)管　　第14章　屏蔽控制平面協(xié)議　　第15章　利用交換機發(fā)現(xiàn)數(shù)據(jù)平面拒絕服務(wù)攻擊(DoS)第3部分　用交換機來增強網(wǎng)絡(luò)安全 　第16章　線速訪問控制列表　　第17章　基于身份的網(wǎng)絡(luò)服務(wù)與802.1X第4部分　網(wǎng)絡(luò)安全的下一步 　第18章　IEEE 802.1AE　附錄　結(jié)合IPSec與L2TPv3 實現(xiàn)安全偽線　

章節(jié)摘錄

插圖：17.2.2 認證認證是為請求服務(wù)的客戶端確立和證實身份的過程。在建立相關(guān)授權(quán)時，認證是必需的，其強度由所采取的核實方法決定。17.2.3 授權(quán)授權(quán)是指在一個域中獲得服務(wù)的權(quán)利，它可以發(fā)生在OSI參考模型的任意-層。未經(jīng)認證的授權(quán)毫無意義。IBNS和802.1X一起提供了對用戶和／或設(shè)備進行認證的基本概念，并提供了與I.AN介質(zhì)的無關(guān)性。從技術(shù)角度來看，當用戶通過傳統(tǒng)的點到點介質(zhì)連入交換機或通過無線網(wǎng)絡(luò)訪問LAN時，必須對用戶進行認證。通常，應(yīng)僅允許已經(jīng)一個組織批準的機器或用戶進行訪問。此外，當用戶或設(shè)備通過有區(qū)別的訪問控制獲得對網(wǎng)絡(luò)的訪問時，IBNS還有助于為這些用戶和設(shè)備制定行為規(guī)范。認證還針對網(wǎng)絡(luò)提供了立即記賬的能力，除了能夠知曉何時、何處以及如何獲得服務(wù)以外，還可以了解“誰”獲得了網(wǎng)絡(luò)訪問。17.3 探索擴展認證協(xié)議基于端口的網(wǎng)絡(luò)訪問控制使用IEEE 802 I.AN基礎(chǔ)設(shè)施的物理訪問特性。這些基礎(chǔ)設(shè)施能夠充分利用擴展認證協(xié)議（EAP）承載任意的認證信息，而非認證方法本身。

編輯推薦

《局域網(wǎng)交換機安全》：與普遍觀點相反，以太網(wǎng)交換機并不具備天然的安全性。以太網(wǎng)交換機中的安全隱患多種多樣：從交換機的實現(xiàn)，到控制平面協(xié)議（生成樹協(xié)議（STP）、Cisco發(fā)現(xiàn)協(xié)議等）和數(shù)據(jù)平面協(xié)議，例如，地址解析協(xié)議（ARP）或動態(tài)主機配置協(xié)議（DHCP）?！毒钟蚓W(wǎng)交換機安全》闡述了網(wǎng)絡(luò)基礎(chǔ)設(shè)施中與以太網(wǎng)交換機相關(guān)的所有安全隱患，而且還展示了如何配置交換機以防止或緩解基于這些安全隱患的攻擊。《局域網(wǎng)交換機安全》還以專門章節(jié)描述了如何利用交換機以增強整個網(wǎng)絡(luò)的安全性，并防范未來的攻擊?！毒钟蚓W(wǎng)交換機安全》為4個部分，為讀者提供了實施的具體步驟，以確保在第二層設(shè)備上穿梭往來的語音及數(shù)據(jù)流量的完整性。第1部分講述了第二層協(xié)議中的缺陷，以及如何配置交換機阻止針對這些缺陷的攻擊。第2部分介紹了與以太網(wǎng)交換機有關(guān)的拒絕服務(wù)攻擊（DoS），并演示了如何遏制這些攻擊。第3部分詳述了通過在交換機上利用線速訪問控制列表（ACL）的處理，以及通過IEEE80 2.1X執(zhí)行用戶的認證和授權(quán)，從而切實增強網(wǎng)絡(luò)整體安全性的方法。第4部分研究了IEEE LinkSec工作組的未來發(fā)展?！毒钟蚓W(wǎng)交換機安全》通篇的絕大部分內(nèi)容與硬件供應(yīng)商無關(guān)，并對所有部署以太網(wǎng)交換機的網(wǎng)絡(luò)架構(gòu)師都有極高的實用性。閱讀完《局域網(wǎng)交換機安全》后，讀者一定會對加深對LAN安全的理解，并有能力堵住存在于諸多園區(qū)網(wǎng)絡(luò)中的安全漏洞。利用端口安全防范CAM攻擊防范生成樹攻擊運用正確的配置手段隔離VLAN防范流氓DHCP服務(wù)器阻止ARP欺騙防范IPv6鄰居發(fā)現(xiàn)和路由器懇求攻擊識別PoE隱患緩解HSRP陽VRRP的風險遏制利用CDP、PaGP、CGMPI以及其他Cisco輔助協(xié)議的信息泄露理解并防范針對交換機的DoS攻擊利用ACI一執(zhí)行簡單的線速安全策略以端口為基礎(chǔ)利用802.1X實施用戶認證使用IEEE的新協(xié)議以線速加密所有以太網(wǎng)幀《局域網(wǎng)交換機安全》為Cisco Press出版的網(wǎng)絡(luò)技術(shù)系列叢書之一。Cisco Press出版的安全類別的圖書可以幫助網(wǎng)絡(luò)從業(yè)人員保護重要的數(shù)據(jù)和資源。防范和緩解網(wǎng)絡(luò)攻擊。以及構(gòu)建端到端的自防御網(wǎng)絡(luò)。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    局域網(wǎng)交換機安全 PDF格式下載

---