常用交换机安全防范技术应用
 
2008-07-23 08:08:26

  中国石油新疆油田公司通讯公司 许国剑

  随着计算机性能的不断提升,以及网络的大范围的推广使用,在企业网环境中,网络安全的问题日益凸现出来,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈,用户缺乏足够的安全防范意识,致使病毒泛滥,网络中因病毒导致的故障层出不穷。而交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,应用一定的策略,通过交换机本身支持的一些功能,可以有效的减少发生网络故障的几率,以下就简单介绍一些常用的交换机安全防范技术。

  一、IEEE802.1x强安全认证

  在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给企业造成了潜在的安全威胁。另外,在ISP提供的小区宽带及校园网中,由于涉及到网络的计费,所以验证用户接入的合法性也显得非常重要。IEEE 802.1x认证正是解决这个问题的有效方法,目前已经被集成到二层智能交换机中,完成用户的接入安全审核。802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。提供一种对连接到局域网的用户进行认证和授权的手段,达到接受合法用户接入,保护网络安全的目的。

  802.1x协议利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,交换机端口上的设备首先发起认证请求,交换设备将该报文透传至认证服务器,在服务器验证认证是否合法,验证成功则返回报文,要求交换机打开端口,允许该端口下连的设备使用局域网,认证失败则不允许接入。

  在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

  1.客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。

  2.认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。

  3. 认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。

  二、广播风暴控制技术

  网络设备接口和网卡的损坏、黑客工具的使用、感染病毒的计算机等,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。

  1.广播风暴抑制比

  可以使用命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%%,即不对广播流量进行抑制。配置命令如下:

  在交换机的系统视图模式下使用broad-cast-suppression ratio {数字}来定义广播流量例如:[ZJGS_XXZX_Q_S3050_01-Ether-net0/10]broadcast-suppression ratio 50 (这表明对这台交换机的10号端口广播流量限制在50%%)

  2.为VLAN指定广播风暴抑制比

  同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%%。对于某些经常产生大量广播包的VLAN,可以用一个较合理的广播风暴抑制比来限制广播包的传播,避免网络拥塞。

  三、MAC地址控制技术

  以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。

  1. 设置最多可学习到的MAC地址数

  通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。如果用户设置的值为count,则该端口学习到的MAC地址条数达到count 时,该端口将不再对MAC地址进行学习。缺省情况下,交换机对于端口最多可以学习到的MAC地址数目没有限制。

  在以太网端口视图下进行下列配置:

  mac-address max-mac-count count 2. 设置系统MAC地址老化时间

  设置合适的老化时间可以有效实现MAC地址老化的功能。用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文,影响交换机的运行性能。如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致交换机无法根据网络的变化更新MAC地址表。如果用户设置的老化时间太短,以太网交换机可能会删除有效的MAC地址表项。一般情况下,推荐使用老化时间age的缺省值300秒。

  在系统视图下进行下列配置: mac-address timer { aging age | no-aging } 使用参数no-aging时表示不对MAC地址表项进行老化。

  3.设置MAC地址表的老化时间

  这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。在以太网端口上使用命令mac-address max-mac-count设置端口能够学习的最大地址数以后,学习到的MAC地址表项将和相应的端口绑定起来。如果某个MAC地址对应的主机长时间不上网或已移走,它仍然占用端口上的一个MAC地址表项,从而造成MAC地址在这5个MAC地址以外的主机将不能上网。此时可以通过设置锁定端口对应的MAC地址表的老化时间,使长时间不上网的主机对应的MAC地址表项老化,从而使其他主机可以上网。缺省情况下,锁定端口对应的MAC地址表的老化时间为1小时。在系统视图下进行下列配置:

  lock-port mac-aging {age-time|no-age} 四、ACL(访问控制列表)技术

  现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC模式,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。访问控制列表又可分为以下几种类型。

  基本访问控制列表:根据三层源IP制定规则,对数据包进行相应的分析处理。

  高级访问控制列表:根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则,对数据包进行相应的处理。高级访问控制列表支持对三种报文优先级的分析处理:TOS(Type Of Service)优先级、IP优先级和DSCP优先级。

  二层访问控制列表:根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则,对数据进行相应处理。

  用户自定义访问控制列表:根据用户的定义对二层数据帧的前80个字节中的任意字节进行匹配,对数据报文作出相应的处理。正确使用用户自定义访问控制列表需要用户对二层数据帧的构成有深入的了解。

  访问控制列表在网络设备中有着广泛的应用,访问控制列表配置、启用包括以下几个步骤,最好依次进行,其中前两个步骤可以不用配置,采用默认值。

  (1) 配置时间段

  在系统视图下使用time-range命令配置时间段。例如,如果想在每周的上班时间9:30--19:30控制用户访问,可以使用下面的命令: time-range ourworkingtime 9:30 to 19:30 working-day (2) 选择交换机使用的流分类规则模式

  交换机只能选择一种流分类规则模式:二层ACL模式或者三层ACL模式。在二层ACL模式下,只有二层ACL可以被定义、激活或者被其他应用引用,三层ACL模式类似。可以通过下面的命令来选择使用L2或L3模式的流分类规则。缺省情况下,选择使用IP-based流分类规则模式,即L3流分类规则。

  在系统视图下进行下列配置:

  acl mode { ip-based | link-based } (3) 定义访问控制列表(命令较多,只以高级访问控制列表为例)

  ①进入相应的访问控制列表视图

  acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ] ②定义访问列表的子规则

  在系统视图下使用rule命令配置规则。

  例如,如果想控制内网10.71.200.0/24用户在工作时间使用ftp下载,可以使用下面的命令:acl number 3006 rule 1 deny tcp source 10.71.200.0 255.255.255.0 destination any destination-port eq ftp time-range ourworkingtime ③激活访问控制列表

  不同的交换机型号配置命令不太相同,以S8500系列为例,在端口视图下进行下列配置:

  packet-filter inbound { ip-group { a-cl-number | acl-name } [ rule rule ] | link-group { acl-number | acl-name } [ rule rule ] } 实例:[ZJGS_Q_S8505_01-GigabitEthernet4/2/2]pack-et-filter inbound ip-group 3333(在4/2/2端口应用编号为3333的ACL,回车后出现以下信息)

  Acl 3333 rule 0 has been applied! Acl 3333 rule 1 has been applied! Acl 3333 rule 2 has been applied! 表示acl 3333中的0,1,2三条规则已经应用于4/2/2端口上。

  当然,交换机安全技术还有很多,以上只是一些较常用的安全防范技术,随着网络交换技术的发展,必然会出现更多更好的交换机安全技术,为局域网的稳定安全服务。

  

(责编:刘金兰 作者:)

关闭窗口