VLAN***手段是***基於VLAN技術應用所採取的***方式,面對這些花樣翻新的***手段,如何採取有效的防範措施?在本文中,將針對應用VLAN技術管理的網絡,介紹***的***手段和我們可以採取的防禦手段。
目前常見的VLAN的***有以下幾種:
VLAN***1.802.1Q 和 ISL 標記***
標 記***屬於惡意***,利用它,一個 VLAN 上的用戶可以非法訪問另一個 VLAN 。例如,如果將交換機端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ,用於接收僞造 DTP(DYNAMIC TRUNK PROTCOL) 分組,那麼,它將成爲幹道端口,並有可能接收通往任何 VLAN 的流量。由此,惡意用戶可以通過受控制的端口與其它 VLAN 通信。 有時即便只是接收普通分組,交換機端口也可能違背自己的初衷,像全能幹道端口那樣操作(例如,從本地以外的其它 VLAN 接收分組),這種現象通常稱爲“VLAN 滲漏”。
對於這種***,只需將所有不可信端口(不符合信任條件)上的 DTP(DYNAMIC TRUNK PROTCOL) 設置爲“關”,即可預防這種***的侵襲。 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交換機上運行的軟件和硬件還能夠在所有端口上實施適當的流量分類和隔離。
VLAN***2.雙封裝 802.1Q/ 嵌套式 VLAN ***
在交換機內部, VLAN 數字和標識用特殊擴展格式表示,目的是讓轉發路徑保持端到端 VLAN 獨立,而且不會損失任何信息。在交換機外部,標記規則由 ISL 或 802.1Q 等標準規定。
ISL 屬於思科專有技術,是設備中使用的擴展分組報頭的緊湊形式,每個分組總會獲得一個標記,沒有標識丟失風險,因而可以提高安全性。
另一方面,制訂了 802.1Q 的 IEEE 委員會決定,爲實現向下兼容性,最好支持本徵 VLAN ,即支持與 802.1Q 鏈路上任何標記顯式不相關的 VLAN 。這種 VLAN 以隱含方式被用於接收802.1Q端口上的所有無標記流量。
這 種功能是用戶所希望的,因爲利用這個功能,802.1Q端口可以通過收發無標記流量直接與老 802.3 端口對話。但是,在所有其他情況下,這種功能可能會非常有害,因爲通過 802.1Q 鏈路傳輸時,與本地 VLAN 相關的分組將丟失其標記,例如丟失其服務等級( 802.1p 位)。
先剝離,再送回***者 802.1q 幀 ,VLAN A、 VLAN B 數據包含本徵VLAN A 的幹道 VLAN B 數據
注意: 只有幹道所處的本徵 VLAN 與***者相同,纔會發生作用。
當 雙封裝 802.1Q 分組恰巧從 VLAN與幹道的本徵 VLAN 相同的設備進入網絡時,這些分組的 VLAN 標識將無法端到端保留,因爲 802.1Q 幹道總會對分組進行修改,即剝離掉其外部標記。刪除外部標記之後,內部標記將成爲分組的惟一 VLAN 標識符。因此,如果用兩個不同的標記對分組進行雙封裝,流量就可以在不同 VLAN 之間跳轉。
這種情況將被視爲誤配置,因爲 802.1Q 標準並不逼迫用戶在這些情況下使用本徵 VLAN 。事實上,應一貫使用的適當配置是從所有 802.1Q 幹道清除本地 VLAN (將其設置爲 802.1q-all-tagged 模式能夠達到完全相同的效果)。在無法清除本地 VLAN 時, 應選擇未使用的 VLAN 作爲所有幹道的本地 VLAN ,而且不能將該 VLAN 用於任何其它目的 。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等協議應爲本地 VLAN 的唯一合法用戶,而且其流量應該與所有數據分組完全隔離開。
VLAN***3.VLAN跳躍***
虛擬局域網(VLAN)是對廣播域進行分段的方法。VLAN還經常用於爲網絡提供額外的安全,因爲一個VLAN上的計算機無法與沒有明確訪問權的另一個VLAN上的用戶進行對話。不過VLAN本身不足以保護環境的安全,惡意***通過VLAN跳躍***,即使未經授權,也可以從一個VLAN跳到另一個VLAN。
VLAN 跳躍***(VLAN hopping)依靠的是動態中繼協議(DTP(DYNAMIC TRUNK PROTCOL))。如果有兩個相互連接的交換機,DTP(DYNAMIC TRUNK PROTCOL)就能夠對兩者進行協商,確定它們要不要成爲802.1Q中繼,洽商過程是通過檢查端口的配置狀態來完成的。
VLAN跳躍***充分利用了DTP(DYNAMIC TRUNK PROTCOL),在VLAN跳躍***中,***可 以欺騙計算機,冒充成另一個交換機發送虛假的DTP(DYNAMIC TRUNK PROTCOL)協商消息,宣佈它想成爲中繼; 真實的交換機收到這個DTP(DYNAMIC TRUNK PROTCOL)消息後,以爲它應當啓用802.1Q中繼功能,而一旦中繼功能被啓用,通過所有VLAN的信息流就會發送到***的計算機上。
中繼建立起來後,***可以繼續探測信息流,也可以通過給幀添加802.1Q信息,指定想把***流量發送給哪個VLAN。