如何避免VLAN的弱點(diǎn)

　　VLAN(Virtual Local Area Network)的中文名為"虛擬局域網(wǎng)"。下面小編為大家整理了關(guān)于如何避免VLAN弱點(diǎn)的文章，一起來(lái)看看吧：

　　怎樣才能最大限度地避免VLAN的弱點(diǎn)

　　交換機不是被設計用來(lái)作安全設備的，其功能仍是以提高網(wǎng)絡(luò )性能為主。如果要將交換機納入安全機制的一部分，前提是首先要對交換機進(jìn)行正確的配置，其次交換機的制造商要對交換機軟件的基礎標準有著(zhù)全面理解并徹底實(shí)現了這些標準。

　　如果對網(wǎng)絡(luò )安全有著(zhù)嚴格的要求，還是不要使用共享的交換機，應該使用專(zhuān)門(mén)的交換機來(lái)保證網(wǎng)絡(luò )安全。如果一定要在不可信的網(wǎng)絡(luò )和可信的用戶(hù)之間共享一個(gè)交換機，那么帶來(lái)的只能是安全上的災難。

　　VLAN的確使得將網(wǎng)絡(luò )業(yè)務(wù)進(jìn)行隔離成為可能，這些業(yè)務(wù)共享同一交換機甚至共享一組交換機。但是交換機的設計者們在把這種隔離功能加入到產(chǎn)品之中時(shí)，優(yōu)先考慮的并不是安全問(wèn)題。VLAN的工作原理是限制和過(guò)濾廣播業(yè)務(wù)流量，不幸的是，VLAN是依靠軟件和配置機制而不是通過(guò)硬件來(lái)完成這一任務(wù)的。

　　最近幾年，一些防火墻已經(jīng)成為VLAN設備，這意味著(zhù)可以制定基于包標簽的規則來(lái)使一個(gè)數據包轉到特定的VLAN.然而，作為VLAN設備的防火墻也為網(wǎng)頁(yè)寄存站點(diǎn)增加了很多靈活的規則，這樣防火墻所依賴(lài)的這些標簽在設計時(shí)就不是以安全為準則了。交換機之外的設備也可以生成標簽，這些標簽可以被輕易地附加在數據包上用來(lái)欺騙防火墻。

　　VLAN的工作原理究竟是怎樣的?VLAN又有著(zhù)什么樣的安全性上的優(yōu)點(diǎn)呢?如果決定使用VLAN作為安全體系的一部分，怎樣才能最大限度地避免VLAN的弱點(diǎn)呢?

　　分區功能

　　“交換機”一詞最早被用來(lái)描述這樣一種設備，這種設備將網(wǎng)絡(luò )業(yè)務(wù)在被稱(chēng)之為“端口”的網(wǎng)絡(luò )接口間進(jìn)行交換。就在不久以前，局域網(wǎng)的交換機被稱(chēng)作“橋接器”�，F在，即使是與交換機相關(guān)的IEEE標準中也不可避免地用到“橋接器”這一術(shù)語(yǔ)。

　　橋接器用來(lái)連接同一局域網(wǎng)上不同的段，這里的局域網(wǎng)指的是不需要路由的本地網(wǎng)絡(luò )。橋接器軟件通過(guò)檢測收到數據包中所含的MAC地址來(lái)獲悉哪個(gè)端口聯(lián)接到哪個(gè)網(wǎng)絡(luò )設備。最初，橋接器將所有收到的數據包發(fā)送到每個(gè)端口，經(jīng)過(guò)一段時(shí)間以后，橋接器通過(guò)建立生成樹(shù)和表的方法獲悉如何將數據包發(fā)送到正確的網(wǎng)絡(luò )接口。這些生成樹(shù)和表將MAC地址映射到端口的工作，是通過(guò)一些選擇正確網(wǎng)絡(luò )接口和避免回路的算法來(lái)完成的。通過(guò)將數據包發(fā)送到正確的網(wǎng)絡(luò )接口，橋接器減少了網(wǎng)絡(luò )業(yè)務(wù)流量�？梢詫�橋接器看作是連接兩條不同道路的高速公路，在高速公路上只通過(guò)兩條道路間必要的交通流量。

　　盡管橋接器從整體上減少了網(wǎng)絡(luò )業(yè)務(wù)流量，使得網(wǎng)絡(luò )可以更加高效地運行。橋接器仍然需要對所有端口進(jìn)行廣播數據包的發(fā)送。在任何局域網(wǎng)中，廣播的含義是：一個(gè)消息廣播發(fā)送給局域網(wǎng)內所有系統。ARP(地址解析協(xié)議)包就是廣播信息的一個(gè)例子。

　　隨著(zhù)端口數目和附加管理軟件數目的增多，橋接器設備的功能變得越來(lái)越強。一種新的功能出現了：橋接器具有了分區功能，可被分成多個(gè)虛擬橋。當通過(guò)這種方式進(jìn)行分區時(shí)，廣播信息將被限制在與虛擬橋和對應的VLAN的那些端口上，而不是被發(fā)送到所有的端口。

　　將廣播限制在一個(gè)VLAN中并不能夠阻止一個(gè)VLAN中的系統訪(fǎng)問(wèn)與之連接在同一橋接器而屬于不同VLAN的系統。但要記住，ARP廣播被用來(lái)獲得與特定IP對應的MAC地址，而沒(méi)有MAC地址，即使在同一網(wǎng)絡(luò )中的機器也不能相互通信。

　　Cisco網(wǎng)站上描述了在兩種情況下，數據包可以在連接于同一交換機的VLAN中傳送。在第一種情況下，系統在同一VLAN中建立了TCP/IP連接，然后交換機被重新設置，使得一個(gè)交換機的端口屬于另一個(gè)VLAN.通信仍將繼續，因為通信雙方在自己的ARP緩沖區中都有對方的MAC地址，這樣橋接器知道目的MAC地址指向哪個(gè)端口。在第二種情況下，某人希望手動(dòng)配制VLAN，為要訪(fǎng)問(wèn)的系統建立靜態(tài)ARP項。這要求他知道目標系統的MAC地址，也許需要在物理上直接訪(fǎng)問(wèn)目標系統。

　　這兩種情況中所描述的問(wèn)題能夠通過(guò)使用交換機軟件來(lái)得到改善，這些軟件的功能是消除數據包在傳送時(shí)所需要的信息。在Cisco的高端交換機中，將每個(gè)VLAN所存在的生成樹(shù)進(jìn)行分離。其他的交換機要么具有類(lèi)似的特點(diǎn)，要么能被設置成可以對各個(gè)VLAN里的成員的橋接信息進(jìn)行過(guò)濾。

　　鏈路聚合

　　多個(gè)交換機可以通過(guò)配制機制和在交換機間交換數據包的標簽來(lái)共享同一VLAN.你可以設置一個(gè)交換機，使得其中一個(gè)端口成為鏈路，在鏈路上可以為任何VLAN傳送數據包。當數據包在交換機之間傳遞時(shí)，每個(gè)數據包被加上基于802.1Q協(xié)議的標簽，802.1Q協(xié)議是為在橋接器間傳送數據包而設立的IEEE標準。接收交換機消除數據包的標簽，并將數據包發(fā)送到正確的端口，或在數據包是廣播包的情況下發(fā)送到正確的VLAN.

　　這些四字節長(cháng)的802.1Q被附加在以太網(wǎng)數據包頭中，緊跟在源地址后。前兩個(gè)字節包含81 00，是802.1Q標簽協(xié)議類(lèi)型。后兩個(gè)字節包含一個(gè)可能的優(yōu)先級，一個(gè)標志和12比特的VID(VLAN Identifier)。VID的取值在0到4095之間，而0和4095都作為保留值。VID的默認值為1，這個(gè)值同時(shí)也是為VLAN配置的交換機的未指定端口的默認值。

　　根據Cisco交換機的默認配置，鏈路聚合是推薦的配置。如果一個(gè)端口發(fā)現另一個(gè)交換機也連在這個(gè)端口上，此端口可以對鏈路聚合進(jìn)行協(xié)商。默認的鏈路端口屬于VLAN1，這個(gè)VLAN被稱(chēng)作該端口的本地VLAN.管理員能夠將鏈路端口指定給任何VLAN.

　　可以通過(guò)設置鏈路端口來(lái)防止這種VLAN間數據包的傳送，將鏈路端口的本地VLAN設置成不同于其他任何VLAN的VID.記住鏈路端口的默認本地VLAN是VID 1.可以選擇將鏈路端口的本地VLAN設置為1001，或者任何交換機允許的且不被其他任何VLAN所使用的值。

　　防火墻和VLAN

　　知道了交換機如何共享VLAN信息之后，就可以更準確地評價(jià)支持VLAN的防火墻。支持VLAN的防火墻從支持VLAN的交換機那里獲得頭部帶有802.1Q標簽的數據包，這些標簽將被防火墻展開(kāi)，然后用來(lái)進(jìn)行安全規則的檢測。盡管到目前為止，我們只討論了以太網(wǎng)的情況，802.1Q標簽同樣適用于其他類(lèi)型的網(wǎng)絡(luò )，比如ATM 和FDDI.

　　802.1Q標簽并不能提供身份驗證，它們只不過(guò)是交換機用來(lái)標志從特定VLAN來(lái)的特定數據包的一種方式。如同許多年來(lái)人們偽造IP源地址一樣，VLAN標簽同樣可以被偽造。最新的Linux操作系統帶有對工作于VLAN交換機模式的支持，可以生成本地系統管理員可以選擇的任意VLAN標簽。

　　安全使用802.1Q標簽的關(guān)鍵在于設計這樣一種網(wǎng)絡(luò )：交換機鏈路連接到防火墻接口，而基于VLAN標簽的安全檢測將在防火墻接口進(jìn)行。如果有其他的線(xiàn)路能夠到達防火墻的接口，偽造VLAN標簽的可能性就會(huì )增大。交換機本身必須被正確配置，進(jìn)行鏈路聚合的鏈路端口要進(jìn)行特殊配置，然后加入到非默認VID中。

　　在任何關(guān)于交換機的討論中，保護對交換機設備的管理權限這一結論是永遠不變的。交換機和其他網(wǎng)絡(luò )設備一樣可以從三種途徑進(jìn)行管理：Telnet、HTTP和SNMP.關(guān)掉不使用的管理途徑，在所使用的管理途徑上也要加上訪(fǎng)問(wèn)控制。因為當攻擊者來(lái)自網(wǎng)絡(luò )外部時(shí)，防火墻可以控制他對交換機的訪(fǎng)問(wèn);當攻擊者來(lái)自網(wǎng)絡(luò )內部或者攻擊者獲得了訪(fǎng)問(wèn)內部系統的權限而發(fā)起攻擊時(shí)，防火墻對此將無(wú)能為力。

【如何避免VLAN的弱點(diǎn)】相關(guān)文章：

CISCO交換機如何刪除Vlan11-02

如何避免蜘蛛陷阱06-14

如何避免瑜伽傷害10-21

如何避免酒后駕車(chē)-避免酒后駕車(chē)的方法08-22

如何避免商品漏發(fā)08-09

如何打高球避免高爾夫10-26

如何避免汽車(chē)后視鏡盲區07-13

如何避免孩子的起床氣？07-05

淘寶開(kāi)店如何避免扣分09-26

托福詞匯如何避免用錯10-19