以太网交换机本身并不安全。作者专家Christopher Paggen和Eric Vyncke解释了如何阻止威胁,如ARP欺骗,ARP中毒,P2P流量,无线局域网威胁和攻击生成树协议,思科发现协议,数据平面协议和DHCP。
主持人 - 朱莉:欢迎来到网络世界聊天。有个足球雷竞技app今天的嘉宾是作家专家Christopher Paggen讨论这个话题,局域网交换机安全:黑客了解您的交换机.他写了一本同名的书。我们今天也来了一位意外的客人;Chris的合著者,Eric Vyncke(但是Eric会晚点加入我们)。
Christopher_Paggen:你好 - 很高兴来到这里!
ARP欺骗和ARP中毒
主持人 - Keith:我们为什么要关心局域网安全?外面的黑客不能做太多(我们在防火墙后面),我们非常肯定员工没有参与非法活动。
Christopher_Paggen:虽然您对保护您免受外部局域网攻击的防火墙的看法是正确的,但是局域网的攻击总是由连接到本地网络端口的人在本地执行。执行局域网攻击的人范围很广,从“玩弄”瑞士军刀工具的爱冒险的员工,到试图获取机密数据的恶意客户。
Bartknight:我听说它可以在公司内部运营的黑客拦截所有LAN流量而不被注意到。这怎么可能?
Christopher_Paggen:是的,通过使用ARP毒药路由确实是可能的。
Stiekes:有多少局域网安全风险更准确地描述为由主机系统的妥协造成的?
Christopher_Paggen:许多非常强大的局域网攻击,如ARP欺骗,都是在与受害者连接同一局域网的远程机器上执行的。因此,即使你的主机用最新的杀毒软件打了补丁,它仍在以太网段通信,仍然受到通信劫持的影响。
萨利:vlan跳上开关怎么样?有可能,如果是的话,那么如何防止它?
Christopher_Paggen:VLAN跳变是最棘手的攻击之一,因为它需要许多有利的条件才能发生。虽然像耶尔森尼亚这样的工具使尝试变得容易,但从黑客的角度来看,回报是相当少的:恶意流量以一种方式从黑客注入到受害者。黑客从受害者那里得不到任何反馈,因为从受害者那里回来的流量不会将vlan跳回给黑客。总而言之,我认为这是一种较低的严重程度,难以执行的攻击。
弗雷德:你能给我们一些典型攻击的例子,以及如何捍卫他们?
Christopher_Paggen:当然。最糟糕的攻击可能是ARP中毒。我评价最糟糕的是因为它非常偷偷,非常高效,(太)易于执行。有两种方法可以保护自己免受ARP欺骗/中毒攻击:您要么监控连接到LAN的机器上的可疑ARP流量(使用ARPWATCT),或者您依赖交换机内置安全机制.例如,大多数思科交换机都有防止ARP欺骗攻击的船舶。它们通过将MAC条目(包括源以太网MAC和ARP Packet的有效载荷)与给定的可信端口相关联。如果相同的ARP数据包在不同的端口上显示,则不允许该端口通话,并且触发违规指示。
直接转矩:您是否可以推荐任何可以抵消ARP欺骗的工具?
Christopher_Paggen:如果您正在寻找一个独立于交换机本身的解决方案,您可以使用ARPWatch例如监视局域网上的ARP活动。它运行在Linux上,并且是免费的(或在GPL许可下)。
萨利:通过DHCP snooping的“IP ARP检测”方式是否可以消除ARP欺骗?典型的交换机配置包括端口安全、ARP检查、DHCP snooping、BPDU-guard、BPDU -filter、root guard和CDP off。
Christopher_Paggen:是的,这些确实是用来对抗ARP欺骗攻击的机制。
Stiekes:您已将ARP欺骗作为高风险漏洞,其中可以将交换机的数据重定向到受损主机。存在哪些其他交换机漏洞,可能会危及运输交换机的数据?
Christopher_Paggen:这正是ARP中毒攻击的问题所在。像Abel&Cain这样的工具不仅可以安装陈旧的ARP表项,还可以将流量重新路由到预定的目的地!因此,您甚至不会注意到您的流量正在被拦截。
主持人 - 朱莉:Eric Vyncke现在已经加入了我们,并跳上了回答问题。
克丽斯汀提娜:随着ARP中毒不断出现,你能推荐一些缓解它的方法吗?
Eric_Vyncke:第6章描述了减轻这种攻击的方法。综上所述,首先查看DHCP流量内部,了解IP地址和以太网地址的官方映射关系,然后检查所有ARP报文,检查ARP响应是否包含官方映射关系(从DHCP学到的映射关系)。如果不是正式映射关系,则放弃ARP应答。简单和高效。
回声:引用您所作的“简单而有效”的评论,我想说,如果您使用静态ip(如在数据中心环境中)并且必须手动映射所有内容,那么这就不简单了。雷竞技电脑网站;-)
Eric_Vyncke:同意了。这将变得“有效”,因为你需要预先定义MAC和IP地址的官方映射(这不是那么“容易”,即使“简单”)。
Stiekes:私有vlan的使用将提供何种级别的保护(如果有的话)?
Christopher_Paggen:私有vlan在广播域之间提供了出色的隔离。它们在vlan中创建小的vlan,并确保隔离端口上的主机只能与称为混杂端口的可信端口通信。所以从一开始,ARP欺骗攻击将更难实施(虽然不是不可能,但它们是单向的)。
点对点(P2P)流量
萨利:您对主机的受保护端口感觉如何?我在谈论使用它们来通过路由器进行通话,以防止对等流量以及允许使用ACL的流量控制?我还没有这样做,因为端口将支持端口安全性粘性或受保护而不是两者。
Christopher_Paggen:阻塞点对点通信并不是小事。P2P软件工程师想尽办法寻找能够通过防火墙工作的机制,使用众所周知的端口,如TCP 80等。在局域网级别,识别流量的性质为时过早(或在ISO堆栈中位置太低)。交换机可以看到PC的MAC地址,并可以允许或拒绝它,但这并不足以确定流量是合法的还是P2P。
六月:你能限制P2P流量吗?
Eric_Vyncke:限制速率的P2P并没有真正连接到局域网安全,但确实是可行的(主要是在服务提供商的网络中,因为限制速率的设备非常昂贵)。如果P2P运行在缺省端口上,则可以在交换机上进行速率限制。
鲍勃:你建议采取什么步骤来“防弹”局域网内的任何电脑,包括点对点,基于服务器的,等等?
Christopher_Paggen:您可以采取许多步骤,例如实现基于行为的异常检测软件(想到思科的CSA)。现在请记住,LAN攻击利用LAN协议本身,并且能够执行与主机加固级别无关的攻击。这是因为在某些时候,主机将不得不在局域网上“交谈”。
洪水袭击
Cisconow:您是否建议使用特定的配置检查表以确保覆盖了常见的攻击点?
Christopher_Paggen:是的,一段时间前,思科委托一家名为AtStake的公司来测试vlan的安全性。在参与后产生报告。
回声:想提到我读过这本书并喜欢它。我对Cisco交换机在DOS攻击下失败的方式有一个问题。是否存在存在的测试信息,指出了思科交换机如何在不同级别的DOS / DDOS攻击级别作出反应?在VLAN方面,失败开放等
Christopher_Paggen:很高兴你喜欢这本书!这是一个很好的问题。您通常会发现供应商发布许多功能指南。例如,就BPDU和通用协议隧穿而言,我们将指南发布到每秒帧数或处理器舒适的帧数。与逻辑数的生成树端口相同的东西。然而,供应商建议不能从信誉良好的笔测试公司取代全吹专业评估。供应商无法控制每个部署的每个配置,因此重要的是依靠我们对供应商准则的评估。
回声:2层硬化的所有你所描述的很有道理,但我遇到的企业,许多核心信息安全类型包括员工(ISS)继续认为思科交换机易受洪水袭击将导致VLAN分割失败失败打开和关闭。我想我的问题是,思科内部有什么文档支持或反对思科交换机(vlan)在压力下无法打开的声明(除了AtStake文档)?
Eric_Vyncke:这真的是令人惊讶的老故事不断出现:-)据我所知,没有其他文件除了AtStake文件。泛洪攻击永远不会导致VLAN分段失败打开,但思科没有任何关于它的外部文档。我很确定在交换行业里没有人有这样的文件。如今,IEEE .1q的威胁已广为人知。这是一个古老的故事。
回声:这就是我一直试图向与我共事的信息安全小组解释的,但他们有点固执。;-)
Eric_Vyncke:告诉我:-)不确定我们如何帮助您。您可能想要恢复他们的技术:向我展示一个攻击通过纯洪水来做这攻击的例子。或者,只需使用每个VLAN的一个交换机(您的思科客户经理将是快乐的!)。即使在这种情况下(在一些非常高的安全环境中使用),仍有人类错误的问题:将电缆放在错误的地方。底线,具有多个VLAN的集中式交换机更安全,因为您不需要关心在错误的地方进行电缆。BTW,这是一个高度安全组织所作的相同决定。使用开关。它更安全。
STP、VTP、BPDU
提米:哪些是生成树协议和VLAN集群协议黑客的一些例子?
Eric_Vyncke:STP攻击可以包括针对STP控制平面的DoS(向CPU发送过多的BPDU以达到100%的负载),假装成STP的根,以改变“路由”拓扑结构。VTP黑客可以用来更改识别的VLAN(假设使用的是未经身份验证的VTP),如果您让一些VLAN从您的校园网络中消失,还可以用来更改DoS。
提米:在STP攻击中,是否存在BPDU的速率限制类型抑制来防止洪水?[思科的]BPDU Guard和Root Guard应该在其中一些方面提供帮助,对吗?
Eric_Vyncke:Timmy,你是正确的。可以使用BDPU Guard(第3章)和控制平面警务来缓解控制平面攻击(第13章)。
克丽斯汀提娜:你会怎么做来对抗DoS和STP?BPDU保护,BPDU -filter,根保护?哪个更好?默认情况下,我硬编码根优先级。
Christopher_Paggen:一般来说,终端站(主机)没有参与生成树的业务。因此,我建议对主机端口进行bpdu过滤。这将悄悄地丢弃传入和传出的bpdu,消除了来自主机的STP DoS攻击的所有可能性。
Stiekes:在数据中心实施BPDU Guard作为设备和主机平台的任何已知挑战稳步走向虚拟化?雷竞技电脑网站
Eric_Vyncke:虚拟化确实是业界令人兴奋的趋势。我知道虚拟化和BPDU保护没有任何挑战。
移动/笔记本电脑安全
鲍勃:当你在无线环境中旅行或移动时,你会建议采取哪些步骤来保护笔记本电脑?
Eric_Vyncke:无线笔记本电脑应该只与可信网络相关联(以防止您的笔记本电脑认为它处于安全环境中),也就是说,它们应该能够检查AP(实际上是AP后面的RADIUS服务器)是否来自可信的人;这可以通过PEAP, EAP-TLS等来实现。现在,如果你的笔记本电脑在旅行时也与热点相关联,那么你就很容易受到WIFI邻居的攻击。一些热点阻止从一个本地WIFI站到另一个本地WIFI站的直接通信(但您不能确定您的热点是否这样配置)。最后的保护是一个个人防火墙或主机入侵防御系统(如Cisco Security Agent)。
萨利:如何处理同一交换机上移动用户笔记本电脑的端口安全?
Christopher_Paggen:我建议调整不活动超时参数以及动态MAC学习模式。它需要一定量的调谐,因为它取决于坐在坐在口岸的端口A和User_X之间的User_X之间经过的时间。
一般安全/局域网交换机的问题
Tshoot:如何处理插入通过802.1x等的电话的数据端口的用户的安全性,但用户可能不是?
Christopher_Paggen:最近的iOS版本包括保护手机本身但不是数据端口的机制。