局域網(wǎng)交換機安全

作者：（美國）維恩克（Eric vyncke） （美國）培根（Christopher paggen） 譯者：孫余強 孫劍

維恩克（Eric Vymcke），獲得比利時列日大學計算機科學工程系碩士學位后在該校任助理研究員。隨后進入比利時網(wǎng)絡(luò)研究院，出任研發(fā)部門的領(lǐng)導。之后加盟西門子出任多個安全項目（包括-個代理防火墻項目）的項目經(jīng)理。自1997年起，他被Cisco公司委以杰出咨詢工程師一職，擔當公司歐洲地區(qū)的安全技術(shù)顧問。20年來，Eric從事的專業(yè)領(lǐng)域一直在從第二層到應(yīng)用層的網(wǎng)絡(luò)安全方面。Eric還是幾所比利時大學安全研討班的客座教授，經(jīng)常參加各種安全活動.（如Cisco Live的Networkers、RSA大會）并發(fā)言。

培根（Christopher Paggen），于1996年加入Cisco，一直從事以局域網(wǎng)交換和安全方面為主的工作。之后，轉(zhuǎn)而負責公司當前和未來高端防火墻的產(chǎn)品需求定義。Christopher持有幾項美國專利，其中一項與動態(tài)ARP檢測（Dynamic ARP Inspection，DAI）有關(guān)。除CCIE證書（CCIE#2659）外，Christopher還曾獲得HEMES大學（比利時）計算機科學學士學位，并繼續(xù)在I.IMS大學（比利時）學習了兩年經(jīng)濟學。

第1部分 安全隱患和緩解技術(shù)

第1章 安全導論 3

1.1 安全三要素（Security Triad） 3

1.1.1 保密性（Confidentiality） 4

1.1.2 完整性（Integrity） 5

1.1.3 可用性（Availability） 5

1.1.4 逆向安全三要素（Reverse Security Triad） 5

1.2 風險管理（Risk Management） 6

1.2.1 風險分析 6

1.2.2 風險控制 7

1.3 訪問控制和身份管理 7

1.4 密碼學（Cryptography） 9

1.4.1 對稱加密系統(tǒng) 10

1.4.2 非對稱加密系統(tǒng) 12

1.4.3 針對加密系統(tǒng)的攻擊 15

1.5 總結(jié) 16

1.6 參考資料 17

第2章 挫敗學習型網(wǎng)橋的轉(zhuǎn)發(fā)進程 19

2.1 基礎(chǔ)回顧：以太網(wǎng)交換101 19

2.1.1 以太網(wǎng)幀格式 19

2.1.2 學習型網(wǎng)橋 21

2.1.3 過量泛洪（Excessive Flooding）的后果 22

2.2 利用橋接表的MAC地址泛洪攻擊 23

2.2.1 強制產(chǎn)生一個過量泛洪的條件 23

2.2.2 macof工具簡介 26

2.3 MAC欺騙（MAC Spoofing）攻擊：MAC泛洪的變異 30

2.4 預(yù)防MAC地址泛洪及欺騙攻擊 32

2.4.1 探測MAC Activity 32

2.4.2 port security（端口安全） 32

2.4.3 未知單播泛洪的保護 35

2.5 總結(jié) 36

2.6 參考資料 37

第3章 攻擊生成樹協(xié)議 39

3.1 生成樹協(xié)議入門 39

3.1.1 STP的類型 41

3.1.2 STP操作的更多細節(jié) 42

3.2 開始攻擊游戲 48

3.2.1 攻擊1：接管根網(wǎng)橋 50

3.2.2 攻擊2：利用配置BPDU泛洪的DoS 55

3.2.3 攻擊3：利用配置BPDU泛洪的DoS 58

3.2.4 攻擊4：模擬一臺雙宿主（Dual-Homed）交換機 58

3.3 總結(jié) 59

3.4 參考資料 59

第4章 VLAN安全嗎 61

4.1 IEEE 802.1Q概覽 61

4.1.1 幀的歸類（Classification） 62

4.1.2 “入鄉(xiāng)隨俗”（go native） 63

4.1.3 802.1Q標記棧（802.1Q Tag Stack）攻擊 65

4.2 理解Cisco動態(tài)Trunk協(xié)議（Dynamic Trunking Protocol） 69

4.2.1 手動發(fā)起一個DTP攻擊 70

4.2.2 DTP攻擊的反制措施 73

4.3 理解Cisco VTP 74

4.4 總結(jié) 75

4.5 參考資料 75

第5章 利用DHCP缺陷的攻擊 77

5.1 DHCP概覽 77

5.2 攻擊DHCP 80

5.2.1 耗盡DHCP的范圍：針對DHCP的DoS攻擊 81

5.2.2 利用DHCP無賴服務(wù)器劫持流量 83

5.3 DHCP（范圍）耗盡攻擊的對策 84

5.3.1 Port Security（端口安全） 85

5.3.2 介紹DHCP snooping 87

5.4 針對IP/MAC欺騙攻擊的DHCP snooping 91

5.5 總結(jié) 94

5.6 參考資料 95

第6章 利用IPv4 ARP的攻擊 97

6.1 ARP基礎(chǔ)回顧 97

6.1.1 正常的ARP行為 97

6.1.2 免費ARP 99

6.2 ARP的風險分析 100

6.3 ARP欺騙（ARP spoofing）攻擊 100

6.3.1 ARP欺騙攻擊諸要素 100

6.3.2 發(fā)起一次ARP欺騙攻擊 102

6.4 緩解ARP欺騙攻擊 103

6.4.1 動態(tài)ARP檢測 104

6.4.2 保護主機 107

6.4.3 入侵檢測 107

6.5 緩解其他的ARP缺陷（vulnerability） 108

6.6 總結(jié) 109

6.7 參考資料 109

第7章 利用IPv6鄰居發(fā)現(xiàn)和路由器通告協(xié)議的攻擊 111

7.1 IPv6簡介 111

7.1.1 IPv6的動機 111

7.1.2 IPv6改變了什么 112

7.1.3 鄰居發(fā)現(xiàn) 116

7.1.4 路由器通告的無狀態(tài)配置 117

7.2 ND和無狀態(tài)配置的風險分析 119

7.3 緩解ND和RA攻擊 120

7.3.1 針對主機 120

7.3.2 針對交換機 120

7.4 安全的ND 120

7.5 總結(jié) 122

7.6 參考資料 123

第8章 以太網(wǎng)上的供電呢 125

8.1 PoE簡介 125

8.1.1 PoE的工作原理 126

8.1.2 檢測機制 126

8.1.3 供電機制 128

8.2 PoE的風險分析 129

8.3 緩解攻擊 130

8.3.1 防御偷電行為 130

8.3.2 防御改變功率攻擊 131

8.3.3 防御關(guān)閉攻擊 131

8.3.4 防御燒毀攻擊 131

8.4 總結(jié) 132

8.5 參考資料 132

第9章 HSRP適應(yīng)力強嗎 135

9.1 HSRP的工作原理 135

9.2 攻擊HSRP 138

9.2.1 DoS攻擊 139

9.2.2 中間人攻擊 140

9.2.3 信息泄露 140

9.3 緩解HSRP攻擊 140

9.3.1 使用強認證 141

9.3.2 依靠網(wǎng)絡(luò)基礎(chǔ)設(shè)施 143

9.4 總結(jié) 144

9.5 參考資料 144

第10章 能打敗VRRP嗎 147

10.1 探索VRRP 147

10.2 VRRP的風險分析 150

10.3 緩解VRRP攻擊 151

10.3.1 使用強認證 151

10.3.2 依靠網(wǎng)絡(luò)基礎(chǔ)設(shè)施 152

10.4 總結(jié) 152

10.5 參考資料 152

第11章 Cisco輔助協(xié)議與信息泄露 155

11.1 Cisco發(fā)現(xiàn)協(xié)議 155

11.1.1 深入研究CDP 155

11.1.2 CDP的風險分析 157

11.1.3 緩解CDP的風險 159

11.2 IEEE鏈路層發(fā)現(xiàn)協(xié)議 159

11.3 VLAN Trunking協(xié)議 160

11.3.1 VTP風險分析 161

11.3.2 VTP風險分析 162

11.4 鏈路聚合協(xié)議 163

11.4.1 風險分析 165

11.4.2 風險緩解 166

11.5 總結(jié) 166

11.6 參考資料 167

第2部分 交換機如何抵抗拒絕服務(wù)攻擊

第12章 拒絕服務(wù)攻擊簡介 171

12.1 DoS攻擊和DDoS攻擊的區(qū)別 171

12.2 發(fā)起DDoS攻擊 172

12.2.1 僵尸行動（Zombie） 172

12.2.2 Botnet（僵尸群） 173

12.3 DoS和DDoS攻擊 174

12.3.1 攻擊基礎(chǔ)設(shè)施 174

12.3.2 遏制針對服務(wù)的攻擊 175

12.4 利用DoS和DDoS攻擊LAN交換機 175

12.4.1 交換機的內(nèi)部結(jié)構(gòu) 175

12.4.2 三種平面 176

12.4.3 攻擊交換機 177

12.5 總結(jié) 180

12.6 參考資料 181

第13章 控制平面的監(jiān)管 183

第14章 屏蔽控制平面協(xié)議 209

第15章 利用交換機發(fā)現(xiàn)數(shù)據(jù)平面拒絕服務(wù)攻擊（DoS） 223

第3部分 用交換機來增強網(wǎng)絡(luò)安全

第16章 線速訪問控制列表 243

第17章 基于身份的網(wǎng)絡(luò)服務(wù)與802.1X 255

第4部分 網(wǎng)絡(luò)安全的下一步

第18章 IEEE 802.1AE

附錄

《局域網(wǎng)交換機安全》是迄今為止國內(nèi)引進的第一本專門介紹第二層交換環(huán)境安全技術(shù)的圖書。作者在書中通過一個個鮮活的第二層攻擊場景，以及針對這些攻擊的化解之策，來強調(diào)第二層安全的重要性。這些針對第二層協(xié)議的攻擊場景，囊括了讀者所知的任何一種第二層協(xié)議(STP、VRRP/HSRP、LACP/PagP、ARP等)。書中給出了針對上述攻擊的各種反制措施。

除了攻擊與對抗攻擊之外，作者還高屋建瓴般地展望了未來以及正在流行的第二層安全體系結(jié)構(gòu)及技術(shù)，這包括線速的ACL、IEEE802.1AE、CiscoINBS以及結(jié)合IPSec與L2TPv3的安全偽線。讀完《局域網(wǎng)交換機安全》之后，讀者將會加深對網(wǎng)絡(luò)整體安全性的理解：網(wǎng)絡(luò)安全并不能只靠防火墻、入侵檢測系統(tǒng)甚至是內(nèi)容過濾設(shè)備。如果沒有上述這些設(shè)備，在網(wǎng)絡(luò)的第二層利用交換機同樣可以實施網(wǎng)絡(luò)安全。

《局域網(wǎng)交換機安全》適合從事計算機網(wǎng)絡(luò)設(shè)計、管理和運維工作的工程技術(shù)人員閱讀，可以幫助網(wǎng)絡(luò)(安全)工程師、網(wǎng)絡(luò)管理員快速、高效地掌握各種第二層網(wǎng)絡(luò)安全技術(shù)。《局域網(wǎng)交換機安全》同樣可以作為高校計算機和通信專業(yè)本科生或研究生學習網(wǎng)絡(luò)安全的參考資料。