網路安全 – 資料鏈路層

我們已經看到網際網路的快速發展引起了人們對網路安全的重大關注。為了在網路的應用層、傳輸層或網路層提供安全保障，已經開發出多種方法。

許多組織在較高的 OSI 層（從應用層一直到 IP 層）都採用了安全措施。然而，一個通常被忽視的領域是資料鏈路層的加固。這可能使網路容易受到各種攻擊和破壞。

在本章中，我們將討論資料鏈路層中的安全問題以及應對這些問題的方法。我們的討論將重點放在乙太網網路上。

資料鏈路層中的安全問題

乙太網網路中的資料鏈路層極易受到多種攻擊。最常見的攻擊包括：

ARP 欺騙

地址解析協議 (ARP) 是一種用於將 IP 地址對映到本地乙太網可識別的物理機器地址的協議。當主機需要查詢 IP 地址對應的物理媒體訪問控制 (MAC) 地址時，它會廣播一個 ARP 請求。擁有該 IP 地址的其他主機會發送一個包含其物理地址的 ARP 響應訊息。

網路上的每個主機都維護著一個稱為“ARP 快取”的表。該表儲存網路上其他主機的 IP 地址和關聯的 MAC 地址。

由於 ARP 是一種無狀態協議，因此每次主機從另一主機收到 ARP 響應時，即使它沒有傳送 ARP 請求，它也會接受該 ARP 條目並更新其 ARP 快取。修改目標主機 ARP 快取中偽造條目的過程稱為 ARP 欺騙或 ARP 欺騙。

ARP 欺騙可能允許攻擊者偽裝成合法主機，然後攔截網路上的資料幀，修改或停止它們。攻擊者通常會利用這種攻擊來發起其他攻擊，例如中間人攻擊、會話劫持或拒絕服務攻擊。

MAC 泛洪

乙太網中的每個交換機都有一個內容可定址記憶體 (CAM) 表，用於儲存 MAC 地址、交換機埠號和其他資訊。該表的大小是固定的。在 MAC 泛洪攻擊中，攻擊者使用偽造的 ARP 資料包向交換機發送 MAC 地址泛洪，直到 CAM 表滿。

一旦 CAM 泛洪，交換機就會進入集線器模式，並開始廣播沒有 CAM 條目的流量。現在，位於同一網路上的攻擊者可以接收所有原本只發往特定主機的幀。

埠竊取

乙太網交換機能夠學習並將 MAC 地址繫結到埠。當交換機從具有 MAC 源地址的埠接收流量時，它會繫結埠號和該 MAC 地址。

埠竊取攻擊利用了交換機的這一功能。攻擊者使用偽造的 ARP 幀泛洪交換機，並將目標主機的 MAC 地址作為源地址。交換機被欺騙認為目標主機位於攻擊者實際連線的埠上。

現在，所有發往目標主機的數據幀都會發送到攻擊者的交換機埠，而不是目標主機。因此，攻擊者現在可以接收所有原本只發往目標主機的幀。

DHCP 攻擊

動態主機配置協議 (DHCP) 不是資料鏈路協議，但 DHCP 攻擊的解決方案也有助於阻止第 2 層攻擊。

DHCP 用於在特定時間段內動態地為計算機分配 IP 地址。攻擊者可以透過導致網路拒絕服務或冒充 DHCP 伺服器來攻擊 DHCP 伺服器。在 DHCP 耗盡攻擊中，攻擊者會請求所有可用的 DHCP 地址。這會導致網路上合法主機拒絕服務。

在 DHCP 欺騙攻擊中，攻擊者可以部署一個偽造的 DHCP 伺服器來向客戶端提供地址。在這裡，攻擊者可以使用 DHCP 響應為主機提供偽造的預設閘道器。現在，來自主機的幀被引導到偽造的閘道器，攻擊者可以在那裡攔截所有資料包並回復到實際閘道器或丟棄它們。

其他攻擊

除了上述流行的攻擊之外，還有其他攻擊，例如基於第 2 層的廣播、拒絕服務 (DoS)、MAC 克隆。

在廣播攻擊中，攻擊者向網路上的主機發送偽造的 ARP 響應。這些 ARP 響應將預設閘道器的 MAC 地址設定為廣播地址。這會導致所有出站流量都被廣播，使坐在同一乙太網上的攻擊者能夠進行嗅探。此類攻擊也會影響網路容量。

在基於第 2 層的 DoS 攻擊中，攻擊者使用不存在的 MAC 地址更新網路中主機的 ARP 快取。網路中每個網路介面卡的 MAC 地址都應該是全域性唯一的。但是，透過啟用 MAC 克隆可以輕鬆更改它。攻擊者透過 DoS 攻擊停用目標主機，然後使用目標主機的 IP 和 MAC 地址。

攻擊者執行這些攻擊是為了發起更高級別的攻擊，從而危及在網路上傳輸的資訊安全。他可以攔截所有幀並讀取幀資料。攻擊者可以充當中間人並修改資料或簡單地丟棄幀導致 DoS。他可以劫持目標主機與其他機器之間的正在進行的會話，並完全傳遞錯誤的資訊。

保護乙太網 LAN

我們在上一節中討論了一些廣為人知的第 2 層攻擊。為了減輕此類攻擊，已經開發出多種方法。一些重要的方法包括：

埠安全

這是智慧乙太網交換機上提供的一種第 2 層安全功能。它涉及將交換機的物理埠繫結到特定 MAC 地址。任何人都可以透過簡單地將主機連線到任何可用的交換機埠來訪問不安全的網路。但是，埠安全可以保護第 2 層訪問。

預設情況下，埠安全將入口 MAC 地址計數限制為一個。但是，可以透過配置允許多個授權主機從該埠連線。每個介面的允許 MAC 地址可以靜態配置。一個方便的替代方案是啟用“粘滯”MAC 地址學習，其中 MAC 地址將由交換機埠動態學習，直到達到埠的最大限制。

為了確保安全性，可以以多種不同的方式控制對埠上指定 MAC 地址的更改或埠上超出限制的地址的反應。可以將埠配置為關閉或阻止超出指定限制的 MAC 地址。建議的最佳實踐是關閉埠。埠安全可以防止 MAC 泛洪和克隆攻擊。

DHCP 嗅探

我們已經看到，DHCP 欺騙是一種攻擊，其中攻擊者偵聽網路上主機發出的 DHCP 請求，並在授權的 DHCP 響應到達主機之前使用偽造的 DHCP 響應來回復這些請求。

DHCP 嗅探可以防止此類攻擊。DHCP 嗅探是一種交換機功能。交換機可以配置為確定哪些交換機埠可以響應 DHCP 請求。交換機埠被標識為受信任埠或不受信任埠。

僅將連線到授權 DHCP 伺服器的埠配置為“受信任”，並允許其傳送所有型別的 DHCP 訊息。交換機上的所有其他埠都不受信任，並且只能傳送 DHCP 請求。如果在不受信任的埠上看到 DHCP 響應，則該埠將被關閉。

防止 ARP 欺騙

埠安全的方法可以防止 MAC 泛洪和克隆攻擊。但是，它不能防止 ARP 欺騙。埠安全驗證幀報頭中的 MAC 源地址，但 ARP 幀在資料有效負載中包含一個額外的 MAC 源欄位，主機使用此欄位填充其 ARP 快取。防止 ARP 欺騙的一些方法如下所列。

靜態 ARP − 建議的操作之一是在主機 ARP 表中使用靜態 ARP 條目。靜態 ARP 條目是 ARP 快取中的永久條目。但是，此方法不切實際。此外，它不允許使用某些動態主機配置協議 (DHCP)，因為第 2 層網路中的所有主機都需要使用靜態 IP。
入侵檢測系統 − 防禦方法是利用配置為檢測大量 ARP 流量的入侵檢測系統 (IDS)。但是，IDS 容易報告誤報。
動態 ARP 檢查 − 這種防止 ARP 欺騙的方法類似於 DHCP 嗅探。它使用受信任和不受信任的埠。ARP 響應僅允許在受信任埠上進入交換機介面。如果 ARP 響應進入不受信任埠上的交換機，則 ARP 響應的內容將與 DHCP 繫結表進行比較以驗證其準確性。如果 ARP 響應無效，則丟棄 ARP 響應，並停用該埠。

保護生成樹協議

生成樹協議 (STP) 是一種第 2 層鏈路管理協議。STP 的主要目的是確保當網路具有冗餘路徑時沒有資料流迴圈。通常，構建冗餘路徑是為了為網路提供可靠性。但它們會形成致命的迴圈，這可能導致網路中的 DoS 攻擊。

生成樹協議

為了提供所需的路徑冗餘，並避免迴圈條件，STP 定義了一個跨越網路中所有交換機的樹。STP 會強制某些冗餘資料鏈路進入阻塞狀態，並將其他鏈路保持在轉發狀態。

如果轉發狀態下的鏈路發生故障，STP 會重新配置網路並透過啟用相應的備用路徑來重新定義資料路徑。STP 執行在網路中部署的橋接和交換機上。所有交換機交換資訊以選擇根交換機並進行後續的網路配置。橋接協議資料單元 (BPDU) 攜帶此資訊。透過交換 BPDU，網路中的所有交換機都會選舉一個根橋/交換機，該交換機成為網路的中心點並控制阻塞和轉發鏈路。

對 STP 的攻擊

接管根橋。這是第 2 層最具破壞性的攻擊型別之一。預設情況下，區域網交換機按字面意思接受來自相鄰交換機發送的任何 BPDU。順便說一句，STP 是可信的、無狀態的，並且沒有提供任何健全的身份驗證機制。
一旦進入根攻擊模式，攻擊交換機每 2 秒傳送一個 BPDU，其優先順序與當前根橋相同，但 MAC 地址略微小，這確保了其在根橋選舉過程中的勝利。攻擊者交換機可以透過不正確地確認其他交換機導致 BPDU 氾濫或透過聲稱自己是根交換機並在快速連續中撤回以使交換機過度處理 BPDU 來發起拒絕服務攻擊。
使用配置 BPDU 氾濫進行拒絕服務攻擊。攻擊交換機不會嘗試接管根橋。相反，它每秒生成大量 BPDU，導致交換機的 CPU 利用率非常高。

防止對 STP 的攻擊

幸運的是，針對根接管攻擊的對策既簡單又直接。兩個功能有助於擊敗根接管攻擊。

根保護 - 根保護限制了可能協商根橋的交換機埠。如果啟用了“根保護”的埠接收到的 BPDU 優於當前根橋傳送的 BPDU，則該埠將移至根不一致狀態，並且不會轉發該埠上的任何資料流量。根保護最好部署到連線到不希望接管根橋的交換機的埠。
BPDU 保護 - BPDU 保護用於保護網路免受在訪問埠上接收 BPDU 可能導致的問題。這些是不應接收 BPDU 的埠。BPDU 保護最好部署到面向使用者的埠，以防止攻擊者插入偽造的交換機。

保護虛擬區域網

在本地網路中，虛擬區域網 (VLAN) 有時被配置為一種安全措施，以限制易受第 2 層攻擊的主機數量。VLAN 建立網路邊界，廣播 (ARP、DHCP) 流量無法跨越該邊界。

虛擬區域網

採用支援 VLAN 功能的交換機/交換機的網路可以配置為在單個物理區域網基礎設施上定義多個 VLAN。

VLAN 的常見形式是基於埠的 VLAN。在這種 VLAN 結構中，交換機埠使用交換機管理軟體分組到 VLAN 中。因此，單個物理交換機可以充當多個虛擬交換機。

VLAN 的使用提供了流量隔離。它將大型廣播第 2 層網路劃分為較小的邏輯第 2 層網路，從而減少了 ARP/DHCP 欺騙等攻擊的範圍。一個 VLAN 的資料幀只能在屬於同一 VLAN 的埠之間移動。兩個 VLAN 之間的幀轉發是透過路由完成的。

VLAN 通常跨越多個交換機，如上圖所示。中繼埠之間的鏈路承載在多個物理交換機上定義的所有 VLAN 的幀。因此，交換機之間轉發的 VLAN 幀不能是簡單的 IEEE 802.1 乙太網格式幀。由於這些幀在同一物理鏈路上移動，因此它們現在需要攜帶 VLAN ID 資訊。IEEE 802.1Q 協議在中繼埠之間轉發的普通乙太網幀中新增/刪除額外的報頭欄位。

當跟隨兩個 IP 地址欄位的欄位為 0x8100（> 1500）時，該幀被識別為 802.1Q 幀。2 位元組標籤協議識別符號 (TPI) 的值為 81-00。TCI 欄位包含 3 位優先順序資訊、1 位丟棄合格指示器 (DEI) 和 12 位 VLAN ID。這 3 位優先順序欄位和 DEI 欄位與 VLAN 無關。優先順序位用於提供服務質量。

當幀不屬於任何 VLAN 時，存在一個預設的 VLAN ID，該幀被認為與之關聯。

對 VLAN 的攻擊和預防措施

在 VLAN 跳躍攻擊中，一個 VLAN 上的攻擊者可以訪問通常無法訪問的其他 VLAN 上的流量。在從一個 VLAN 到另一個 VLAN 通訊時，它將繞過第 3 層裝置（路由器），從而破壞 VLAN 建立的目的。

VLAN 跳躍可以透過兩種方法執行；交換機欺騙和雙重標記。

交換機欺騙

當攻擊者連線到的交換機埠處於“中繼”模式或“自動協商”模式時，可能會發生這種情況。攻擊者充當交換機，併為目標遠端 VLAN 的傳出幀新增帶有 VLAN 標籤的 802.1Q 封裝報頭。接收交換機將這些幀解釋為來自另一個 802.1Q 交換機，並將幀轉發到目標 VLAN。

針對交換機欺騙攻擊的兩種預防措施是將邊緣埠設定為靜態訪問模式並在所有埠上停用自動協商。

雙重標記

在此攻擊中，連線到交換機本機 VLAN 埠的攻擊者在幀報頭中新增兩個 VLAN 標籤。第一個標籤是本機 VLAN，第二個標籤是目標 VLAN。當第一個交換機收到攻擊者的幀時，它會刪除第一個標籤，因為本機 VLAN 的幀在中繼埠上無標籤轉發。

由於第二個標籤從未被第一個交換機刪除，因此接收交換機將剩餘的標籤識別為 VLAN 目標，並將幀轉發到該 VLAN 中的目標主機。雙重標記攻擊利用了本機 VLAN 的概念。由於 VLAN 1 是訪問埠的預設 VLAN 和中繼埠上的預設本機 VLAN，因此它是一個容易的目標。
第一個預防措施是從預設 VLAN 1 中刪除所有訪問埠，因為攻擊者的埠必須與交換機的本機 VLAN 匹配。第二個預防措施是將所有交換機中繼上的本機 VLAN 分配給一些未使用的 VLAN，例如 VLAN ID 999。最後，所有交換機都配置為在中繼埠上對本機 VLAN 幀執行顯式標記。

保護無線區域網

無線區域網是在有限地理區域內（例如辦公樓或學校校園）的無線節點網路。節點能夠進行無線通訊。

無線區域網

無線區域網通常作為現有有線區域網的擴充套件來實現，以提供具有裝置移動性的網路訪問。最廣泛實施的無線區域網技術基於 IEEE 802.11 標準及其修訂版。

無線區域網中的兩個主要元件是 -

接入點 (AP) - 這些是無線網路的基站。它們傳輸和接收無線電頻率以與無線客戶端通訊。
無線客戶端 - 這些是配備了無線網路介面卡 (WNIC) 的計算裝置。筆記型電腦、IP 電話、PDA 是無線客戶端的典型示例。

許多組織已經實施了無線區域網。這些網路正在飛速發展。因此，瞭解無線區域網中的威脅並學習常見的預防措施以確保網路安全至關重要。

無線區域網中的攻擊

在無線區域網上執行的典型攻擊包括 -

竊聽 - 攻擊者被動地監控無線網路以獲取資料，包括身份驗證憑據。
偽裝 - 攻擊者冒充授權使用者並獲取無線網路上的訪問許可權和特權。
流量分析 - 攻擊者透過無線網路監控傳輸以識別通訊模式和參與者。
拒絕服務 - 攻擊者阻止或限制無線區域網或網路裝置的正常使用或管理。
訊息修改/重放 - 攻擊者透過刪除、新增、更改或重新排序合法訊息來更改或重放透過無線網路傳送的合法訊息。

無線區域網中的安全措施

安全措施提供了一種擊敗攻擊和管理網路風險的方法。這些是網路管理、操作和技術措施。我們在下面描述為確保透過無線區域網傳輸的資料的機密性、可用性和完整性而採用的技術措施。

在無線區域網中，所有 AP 應配置為透過加密和客戶端身份驗證提供安全性。無線區域網中用於提供安全性的方案型別如下 -

有線等效隱私 (WEP)

它是一種內置於 802.11 標準中的加密演算法，用於保護無線網路。WEP 加密使用 RC4（Rivest Cipher 4）流密碼，金鑰長度為 40 位/104 位，初始化向量為 24 位。它還可以提供端點身份驗證。

然而，它是最弱的加密安全機制，因為在 WEP 加密中發現了一些缺陷。WEP 也沒有身份驗證協議。因此，不建議使用 WEP。

802.11i 協議

在此協議中，許多更強大的加密形式是可能的。它已被開發出來以取代脆弱的 WEP 方案。它提供了金鑰分發機制。它支援每個站點一個金鑰，並且不為所有站點使用相同的金鑰。它使用與接入點分開的身份驗證伺服器。

IEEE802.11i 要求使用名為計數器模式與 CBC-MAC 協議 (CCMP) 的協議。CCMP 提供傳輸資料的機密性和完整性以及傳送者的真實性。它基於高階加密標準 (AES) 分組密碼。

IEEE802.11i 協議有四個操作階段。

STA 和 AP 通訊並發現共同的安全功能，例如支援的演算法。
STA 和 AS 互相認證並共同生成主金鑰 (MK)。AP 充當“直通”。
STA 派生成對主金鑰 (PMK)。AS 派生相同的 PMK 併發送到 AP。
STA、AP 使用 PMK 派生用於訊息加密和資料完整性的臨時金鑰 (TK)。

其他標準

Wi-Fi 保護訪問 (WPA) - 此協議實現了 IEEE 802.11i 標準的大部分內容。它存在於 IEEE 802.11i 之前，並使用 RC4 演算法進行加密。它有兩種操作模式。在“企業”模式下，WPA 使用身份驗證協議 802.1x 與身份驗證伺服器通訊，因此預主金鑰 (PMK) 對客戶端站點是特定的。在“個人”模式下，它不使用 802.1x，PMK 被預共享金鑰替換，如用於小型辦公室家庭辦公室 (SOHO) 無線區域網環境。

WPA 還包含一個健全的訊息完整性檢查，以替換 WEP 標準使用的迴圈冗餘校驗 (CRC)。
WPA2 - WPA2 取代了 WPA。WPA2 實現了 IEEE 802.11i 方案的所有強制性元素。特別是，它包括對 CCMP 的強制支援，這是一種基於 AES 的加密模式，具有強大的安全性。因此，就攻擊而言，WPA2/IEEE802.11i 提供了充分的解決方案來防禦 WEP 弱點、中間人攻擊、偽造資料包偽造和重放攻擊。但是，拒絕服務攻擊沒有得到妥善解決，並且沒有可靠的協議來阻止此類攻擊，這主要是因為此類攻擊針對的是物理層，例如干擾頻段。

總結

在本章中，我們考慮了攻擊和緩解技術，假設使用了執行 IP 的交換式乙太網網路。如果您的網路不使用乙太網作為第 2 層協議，則其中一些攻擊可能不適用，但很有可能此類網路容易受到不同型別的攻擊。

安全性僅與最薄弱的環節一樣強大。在網路方面，第 2 層可能是一個非常薄弱的環節。本章中提到的第 2 層安全措施在很大程度上可以保護網路免受多種型別的攻擊。

列印頁面