虚拟LAN安全的最佳实践经验
独立的安全调研公司 @stake [9] 最近对 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4500 和 Catalyst 6500 系列交换机上采用的虚拟 LAN ( VLAN )技术进行了一次安全检查 [1] 。虽然此次检查没有暴露出严重的安全漏洞,但必须指出的是,如果交换机的配置不正确或不适当,则很有可能引发意外行为或发生安全问题。
去年,思科系统公司一直致力于在若干文档中制定安全网络配置的最佳实践准则,例如《 SAFE 蓝图》 [2] 或《 Catalyst 4500 、 5000 和 6500 系列交换机最佳实践经验》 [3] 。但是,迄今为止,思科还没有提供一本全面介绍与 VLAN 相关的所有最佳实践经验、可方便客户和现场工程师参考的文档。
本文的目的是全面介绍思科工程师多年积累的丰富经验和建议,帮助客户和现场工程师正确地在思科交换机上配置 VLAN 。除此以外,本文还将通过要点说明解释 @stake 测试的主要结果,阐述解决安全问题的方法。
基本安全准则
要想创建安全的交换网,必须先熟悉基本安全准则。需要特别注意的是, SAFE 最佳实践 [2] 中强调的基本准则是设计任何安全交换网的基石。
如果用户不希望任何设备受损,则必须严格控制对该设备的访问。不仅如此,所有网络管理员都应该使用思科平台上提供的所有实用安全工具,包括系统密码的基本配置、 IP 准入过滤器和登陆检查,以及 RADIUS 、 TACACS+ 、 Kerberos 、 SSH 、 SNMPv3 、 IDS 等更先进的工具(详情参见 [3] )。
必须使所有基本安全准则得到满足之后,再关注更先进的安全细节。在下面的章节中,我们将说明与 VLAN 相关的问题。
虚拟 LAN
第二层( L2 )交换机指能够将若干端口组成虚拟广播域,且各虚拟广播域之间相互隔离的设备。这些域一般称为虚拟 LAN ( VLAN )。
VLAN 的概念与网络领域中的其它概念相似,流量由标记或标签标识。标识对第二层设备非常重要,只有标识正确,才能隔离端口并正确转发接收到的流量。正如后面章节中将要介绍的那样,缺乏标识有时是引发安全问题的原因,因而需要避免。
如果设备中的所有分组与相应 VLAN 标记紧密结合,则能够可靠区分不同域的流量。这就是 VLAN 交换体系结构的基本前提。
值得注意的是,在物理链路(有时称为干线)上,思科设备使用的是 ISL 或 802.1Q 等常用的 VLAN 标记技术。与此同时,思科设备使用先进标记技术在内部保留 VLAN 信息,并用于流量转发。
此时,我们可以得出这样的结论:如果从源节点发送出去之后,分组的 VLAN 标识不能被修改,即保持端到端不变,则 VLAN 的可靠性应等价于物理安全性。
关于这个问题,我们还将在下面详细讨论。
控制面板
恶意用户特别希望能够访问网络设备的管理控制台,因为一旦成功,就能够容易地根据他们的需要修改网络配置。
在基于 VLAN 的交换机中,除与带外端口直接连接外,管理 CPU 还可以使用一个或多个 VLAN 执行带内管理。另外,它还可以使用一个或多个 VLAN 与其它网络设备交换协议流量。
基本物理安全准则要求网络设备位于可控(锁定)空间,主要 VLAN 安全准则则要求将带内管理和协议流量限制在可控环境中。这个要求可以通过以下工具和最佳实践经验实现:
1
流量和协议 ACL 或过滤器
2
QoS 标记和优先级划分(控制协议由相应的服务等级或 DSCP 值区分)
3
有选择地关闭不可信端口上的第二层协议(例如关闭接入端口上的 DTP )
4
只在专用 VLAN 上配置带内管理端口
5
避免使用 VLAN 1 传输任何数据流量
命令示例:
Catalyst 操作系统( CatOS )软件 Cisco IOS ò 软件
使用 VLAN 1 需注意的事项
VLAN 1 成为特殊 VLAN 的原因是,需要第二层设备才能由默认 VLAN 分配其端口,包括其管理端口。另外, CDP 、 PAgP 和 VTP 等许多第二层协议都需要发送到干线链路上的特定 VLAN 。基于这三个原因,最后选中了 VLAN 1 。
因此,如果裁剪不当, VLAN 1 有时会不明智地包含整个网络。当其直径达到一定程度时,不稳定性风险将迅速升高。不仅如此,如果使用几乎覆盖全网的 VLAN 执行管理任务,则将提高可信设备的风险,使其容易受到因误配置或意外接入而进入 VLAN 1 ,或者特意利用这种意外安全漏洞接入 VLAN 1 的不可信设备的攻击。
为挽回 VLAN 1 的声誉,可实施一个简单的通用安全准则:作为一项安全规定,网络管理员应该将任何 VLAN ,尤其是 VLAN 1 与并非绝对需要此 VLAN 的所有端口隔离开。
因此,对于 VLAN 1 ,上述准则可以转换成以下建议:
1
不使用 VLAN 1 传输带内管理流量,使用另一专用 VLAN ,将管理流量与用户数据和协议流量隔离开;
2
撤销 VLAN 1 中所有不需要的干线和接入端口(包括未连接端口和关闭端口)。
同样,上述规则也适用于管理 VLAN 读操作:
1
不在不需要的任何干线或接入端口上配置管理 VLAN (包括未连接端口和关闭端口);
2
为增强安全性,应尽可能不使用带内管理,转而使用带外管理(如果想详细了解带外管理基础设施,请参见 [3] )。
作为一项设计准则,必须“切掉”特定 VLAN 中不需要的流量。例如,为防止所有 telnet 连接,只运行 SSH 进程,通常会对管理 VLAN 中传输的流量应用 VLAN ACL 和 / 或 IP 过滤器。另外,也可以应用 QoS ACL ,以便限制呼叫流量的最高速率。
如果 VLAN 1 或者管理 VLAN 以外的 VLAN 出现安全问题,应使用自动或人工剪裁。需要注意的是,以透明或关闭方式配置 VTP 或者人工剪裁 VLAN 通常是增强对 VLAN 网络控制的最有效的方法。
命令示例:
CatOS Cisco IOS 软件
“完全信任或完全不信任所有人同样有害”――英国谚语
正确决定并实施 VLAN 1 之后,下一个逻辑步骤是将注意力转向安全环境中另一常用的、同等重要的最佳实践。这是个通用的安全准则:将不可信设备与不可信端口相连,将可信设备或可信端口相连,断开所有其他端口。这个准则可转变为以下通用建议:
1
如果某端口与“外部”设备相连,则不要与它进行任何通信,否则,很可能会中了某人的圈套,产生对自己不利的效果。在这些端口上,应关闭 CDP 、 DTP 、 PAgP 、 UDLD 及其它不必要的协议,并启用 portfast/BPDU 防护。我们可以这样想这个问题:为什么要冒险与不可信任的邻居交谈呢?
2
启用根防护特性,防止直接或间接连接的 STP 型设备影响根桥的位置。
3
如果想限制或防止意外协议与网络级 VLAN 配置交互,应对 VTP 域作相应的配置,或者全部关闭 VTP 。这种预防措施不但能限制或防止将管理员的错误传播到整个网络,还能限制或防止 VTP 版本较高的新交换机意外地覆盖掉整个域的 VLAN 配置。
4
默认状态下,只能相信那些确实“可信”的端口,所有其它端口则一律定为“不可信”端口,以防止连接的设备不适当地修改 QoS 值。
5
关闭未使用端口,将其放置在未使用 VLAN 中。如果不与未使用 VLAN 建立连接,或者不在未使用 VLAN 中添加设备,就可以通过基本的物理或逻辑障碍来防止非授权访问。
命令示例:
CatOS Cisco IOS 软个件
为什么首先担心第二层安全性?
为使不同层次能够独立操作(只了解其相互接口),我们建立了 OSI 模型。 OSI 的思想是:只要留有各层次之间的标准接口,某层协议的开发就不会影响到其它层次。
遗憾的是,这意味着,当某个层次遭袭时,由于其它层次意识不到问题的存在,因而会危及通信的安全性(如图 1 所示)。
图 1 OSI 模型的结构
在这个体系结构中,系统的安全性只相当于最薄弱链路的安全性。
数据链路层与其它层次一样脆弱,可能会遭受各种攻击,因此,交换机必须通过配置加以保护。
VLAN 网络可能会遇到哪类攻击?
第二层的多数攻击都将使设备失去攻击者跟踪能力,这样,攻击者就能够在转发路径上大肆执行恶意操作,先修改配置,然后攻击网络。
下面列出的是人们最常谈到的第二层攻击,无独有偶,这些也是 @stake 记录的攻击类型 [1] :
1
MAC 洪泛攻击
2
802.1Q 和 ISL 标记攻击
3
双封装 802.1Q/ 嵌套式 VLAN 攻击
4
ARP 攻击
5
专用 VLAN 攻击
6
组播暴力攻击
7
扩展树攻击
8
随机帧重压攻击
下面详细说明这些攻击。
MAC 洪泛攻击
从严格意义上讲,这种攻击不属于 “攻击”,因为它只是限制所有交换机和桥接器的工作路径。它们占用了用于保存所有接收分组的源地址的有限硬件学习表,当这些表充满后,由于无法再读到流量的地址,无法转发流量,因而会出现流量洪泛现象。但是,由于分组洪泛只局限在初始 VLAN 内,因而不允许 VLAN 跳转(如 @stake 的报
