链路层协议安全
本节分为三个部分:
- 有线网络协议安全
- 无线网络协议安全
- VLAN安全
链路层协议安全
有线网络协议安全
无线网络协议安全
VLAN安全
特点
VLAN与传统LAN相比,具有以下特点:
- 隔离广播域
- 创建虚拟工作组,超越传统网络的工作方式,减少改变的代价,安全性⬆,健壮性⬆
VLAN的划分方法有以下几种:
- 基于端口(静态)
- 基于MAC(动态)
- 基于协议
- 基于子网
三层交换机
不同VLAN的信息必须通过三层路由处理才能转发到端口上。
二层交换机与路由器
二层交换机:数据交换靠硬件,但不能处理不同子网(包括VLAN)间数据交换;
路由器:主要功能是路由转发,通过软件实现,所以转发效率低。
三层交换技术
三层交换技术其实就是:二层交换技术+三层转发技术。它能做到一次路由,多次转发,对于数据包转发等规律性的过程由硬件高速实现,而像路由信息更新、路由表维护、路由计算等功能,由软件实现。
工作过程
1.第一个包过来(包目的MAC是自己,交给IP层,发现IP地址不是自己),硬件转发表无表项,交给路由进程处理,查找下一跳IP,通过ARP得到MAC;
2.转发时:修改IP包ttl;修改原mac;建立硬件转发表;
3.下一包,直接查看硬件转发表直接转发,而不会经过路由表查询。
链路类型
1.干道链路
可以承载多个不同VLAN数据,用于交换机间、交换机与路由器间的互连,它不属于任何一个具体VLAN。所有在干道链路上传输的帧都是打上标记的帧。
2.接入链路
用于连接主机和交换机的链路,接入链路属于某一个特定的端口,这个端口属于一个并且只能是一个VLAN。
帧在网络通信中的变化
本征VLAN
相当于默认VLAN,可以在Trunk链路上指定一个Native VLAN。Access端口只属于一个VLAN,所以它的缺省ID就是它所在的VLAN,不用设置;Trunk端口属于多个VLAN, 所以需要设置缺省VLAN ID,缺省情况下为VLAN 1。
来自Native VLAN的数据帧通过Trunk链路时不重新封装,以原有的帧传输(不重新打标签)。
转发原则(由交换机实现)
Access-Link
Trunk-Link
VLAN安全威胁
双标签跳跃攻击
原理:构造含有双层标签的帧,其外层标记为Trunk链路的 Native VLAN 号,交换机trunk端口发送帧时,将外层标签去掉
缺点:只能单项攻击
防范:native VLAN设置为一个不存在的VLAN
DTP跳跃攻击
DTP:有设备主动向接口发起协议,接口将形成Trunk,该链路可以双向传输任何VLAN数据
特点:可双向访问,绕过防火墙
VPT攻击
原理:VLAN信息的同步是通过VTP通告来实现的, VTP通告只能在Trunk链路上传输(因此交换机之间的Trunk链路必须成功配置了Trunk)
思路:攻击者发送高的Revision的VTP通告,就能把网络中的VLAN信息覆盖了。
