用VLAN技术防御黑客攻击

为什么用VLAN？VLAN的实现对用户进行逻辑划分，使得不同VLAN的用户无法直接通信。这种技术易于实现，并且节省资金。然而，随着VLAN的广泛应用，与VLAN相关的安全管理问题也越来越严重。
VLAN技术的应用为网络安全提供了基于管理的策略。我们可以根据企业网络管理的特点选择不同的VLAN划分方法。虽然网络安全得到了一定程度的保障，但安全往往与危险并存。面对这些新颖的攻击方式，如何采取有效的防范措施？在本文中，我们将介绍黑客的攻击手段以及我们对VLAN技术管理的网络可以采取的防御手段。
常见的VLAN攻击
目前常见的VLAN攻击有几种:
1.802.1Q和ISL标签攻击
标签攻击属于恶意攻击，一个VLAN中的用户可以通过使用它非法访问另一个VLAN。例如，如果交换机端口配置为DTP(动态中继协议)自动接收伪造的DTP(动态中继协议)数据包，它将成为中继端口，并可能接收到任何VLAN的流量。因此，恶意用户可以通过受控端口与其他VLAN通信。有时，即使它只接收普通的数据包，交换机端口也可能违背其初衷，像通用中继端口一样工作(例如，接收来自本地区域之外的其他VLANs的数据包)。这种现象通常被称为“VLAN泄漏”。
对于这种攻击，只需将所有不可信端口(不满足信任条件)上的DTP(动态中继协议)设置为“关”即可防止攻击。运行在Cisco 2950、Catalyst 3550、Catalyst 4000和Catalyst 6000系列交换机上的软件和硬件也可以在所有端口上实施正确的流量分类和隔离。
2。双重封装的802.1Q/嵌套VLAN攻击
在交换机内部，VLAN号码和标识符以一种特殊的扩展格式表示，为了保持转发路径端到端VLAN的独立性而不丢失任何信息。在交换机外部，标记规则由ISL或802.1Q标准规定。
ISL是Cisco的专有技术，是设备中使用的扩展数据包报头的一种压缩形式。每个数据包总是有一个标签，没有身份丢失的风险，因此可以提高安全性。
另一方面，制定802.1Q的IEEE委员会决定支持固有VLAN，即与802.1Q链路上的任何标签都不显式相关的VLAN，以实现向后兼容。此VLAN隐式用于接收802.1Q端口上所有未标记的流量。
这个功能是用户想要的，因为有了这个功能，802.1Q端口可以通过发送和接收未标记的流量，直接与旧的802.3端口对话。然而，在所有其他情况下，这种功能可能是非常有害的，因为与本地VLAN相关的数据包在通过802.1Q链路传输时会丢失它们的标签，例如它们的服务级别(802.1p位)。
但是，由于这些原因——标识和分类信息的丢失，我们应该避免使用原生VLAN，更不用说其他原因了。
802.1 q帧首先被剥离，然后被发送回攻击者。VLAN A和VLAN B的数据包括了具有内在VLAN A的主干道的VLAN B的数据。
注意:只有当主干道的内在VLAN与攻击者的相同时才有效。
当双重封装的802.1Q数据包碰巧从与中继路的本地VLAN具有相同VLAN的设备进入网络时，这些数据包的VLAN标识将不会端到端地保留，因为802.1Q中继路总是会修改数据包，即剥离其外部标签。删除外部标签后，内部标签将成为数据包的唯一VLAN标识符。因此，如果数据包使用两个不同的标签进行双重封装，流量可能会在不同的VLAN之间跳跃。
这种情况将被视为配置错误，因为802.1Q标准不会强制用户在这些情况下使用原生VLAN。事实上，应该始终使用的正确配置是从所有802.1Q主干路中清除本地VLAN(将其设置为802.1 q-全标记模式可以达到完全相同的效果)。当本地VLAN无法清除时，应选择未使用的VLAN作为所有干线公路的本地VLAN，不得将VLAN用于其他任何用途。STP、DTP(动态中继协议)和UDLD等协议应该是本地VLAN的合法用户，它们的流量应该与所有数据包完全隔离。3.VLAN跳跃攻击
虚拟局域网(VLAN)是一种分割广播域的方法。VLAN还经常用于为网络提供额外的安全性，因为如果没有明确的访问权限，一台VLAN上的计算机就不能与另一台VLAN上的用户通话。然而，VLAN本身不足以保护环境的安全。恶意黑客可以从一个VLAN跳到另一个，即使他们没有被授权。
VLAN跳跃攻击依赖于动态中继协议(DTP)。如果有两台互连的交换机，DTP(动态中继协议)可以对它们进行协商，以确定它们是否应该成为802.1Q中继。通过检查端口的配置状态来完成协商过程。
VLAN跳跃攻击充分利用了DTP(动态中继协议)。在VLAN跳跃攻击中，黑客可以欺骗计算机，伪装成另一台交换机发送虚假的DTP(动态中继协议)协商消息，宣布自己要做中继；在接收到这个DTP(动态中继协议)消息后，真实交换机认为它应该启用802.1Q中继功能。一旦中继线功能被启用，流经整个VLAN的信息流将被发送到黑客的电脑上。
中继建立后，黑客可以继续检测信息流，或者通过在帧中添加802.1Q信息来指定他们要向哪个VLAN发送攻击流量。
4。VTP攻击
VLAN中继协议(VTP)是一种管理协议，可以减少交换环境中的配置数量。就VTP而言，交换机可以是VTP服务器、VTP客户端或VTP透明交换机。这里主要讨论VTP服务器和VTP客户端。每当用户改变以VTP服务器模式运行的交换机的配置时，无论是添加、修改还是移除VLAN，VTP配置版本号都将增加1。当VTP客户端发现配置版本号高于当前版本号时，它会自动与VTP服务器同步。
一个恶意的黑客可以将VTP为己所用，删除网络上的所有VLAN(除了默认的VLAN)，这样他就可以进入其他所有用户所在的同一个VLAN。但是用户可能还在不同的网段，所以恶意黑客需要改变自己的IP地址，才能进入他要攻击的主机所在的同一个网段。
恶意黑客只要连接到交换机，并在其计算机和交换机之间建立中继，就可以充分利用VTP。黑客可以向配置版本号高于当前版本号的VTP服务器发送VTP消息，这将导致所有交换机与恶意黑客的计算机同步，从而从VLAN数据库中删除所有非默认VLAN。
各种各样的攻击，可以看出我们实现的VLAN是多么脆弱，但幸运的是，如果交换机配置不正确或不合适，可能会导致意外的行为或安全问题。所以下面，我们就告诉你配置交换机时必须注意的要点。