Network Security – Data Link Layer

我们已经看到,互联网的迅速增长引起了对网络安全的重大关切。 制定了几种方法,以保障网络的应用、运输或网络层面的安全。

很多组织将安全措施纳入从应用层到IP层的更高层次。 然而,一个通常无人居住的地区是数据链接层的硬化。 这可为各种攻击和妥协打开网络。

在这一章中,我们将讨论数据链接层的安全问题和对付这些问题的方法。 我们的讨论将侧重于“太网”网络。

Security Concerns in Data Link Layer

外界网络的数据链接极易受到几次袭击。 最常见的袭击是:

ARP Spoofing

解决议定书(ARP)是用于将IP地址绘制成可在当地外联网识别的物理机器地址的议定书。 当一个接收机需要找到一个媒体出入控制地址时,它播放了ARP的要求。 拥有IP地址的另一个东道方寄发了ARP的答复信息及其实际地址。

每个网络接收机都设有一个表格,称为“ARP切身”。 该表载有该网络其他东道方的IP地址和相关的MAC地址。

由于ARP是一个无国籍议定书,每当东道国收到另一个东道国的ARP答复时,即使没有发出ARP的请求,它承认ARP入境并更新ARP藏匿点。 修改目标东道方的ARP藏匿处,改名为ARP中毒或ARP偷渡。

RP的偷窃可允许攻击者将泥.成合法的东道国,然后拦截网络的数据框架,加以修改或阻止。 袭击往往被用来发动其他攻击,如人对手、劫持会议或拒绝服务。

MAC Flooding

非正式网络的每个开关都有一张内容可承受的记忆表,储存MAC地址、开关港口号码和其他信息。 该表有固定规模。 在MAC洪水袭击中,袭击者用伪造的ARP包裹与MAC的地址交接,直到海安会的桌上满为止。

南极海委会一旦淹没,便转而采用类似中枢的方式,并开始广播没有海委会进入的交通。 攻击者在同一网络上,现在只接收一个特定东道国。

Port Steapng

过度网关有能力向港口学习并约束MAC地址。 当开关从有MAC源地址的港口接收交通时,它约束港口号码和MAC地址。

港口偷窃袭击利用了开关者的这种能力。 袭击者洪水用伪造的ARP框架与目标东道方的MAC地址作为源头。 交换机冷静地相信目标东道方是港口,实际上袭击者与港口有联系。

现在,针对目标东道国的所有数据框架都发送给攻击者的开关港,而不是目标东道国。 因此,袭击者现在只得到目标东道国的所有实际目标。

DHCP Attacks

动态的《东道国保密议定书》并不是一个数据链接议定书,但解决人权和人民党袭击事件的办法也有助于挫败第2次袭击。

DHCP用于在一定时期内积极将IP地址分配给计算机。 有可能攻击人权方案服务器,造成网络服务被拒或冒用人权方案服务器。 在一次苏人解的饥民袭击中,袭击者要求所有现有的人运地址。 这导致拒绝向网络的合法东道国提供服务。

在DHCP策划的袭击中,袭击者可以部署一个手无寸铁的DHCP服务器,向客户提供地址。 在此,袭击者可以向东道机器提供一条通往人权和人民党的应急通道。 东道国的数据框架现在被引导到路边,袭击者可以拦截所有包裹,对实际的网关做出答复,或将其 drop走。

Other Attacks

除了上述民众攻击之外,还有其他攻击,如2台广播、登机、MAC克隆。

在广播攻击中,袭击者向网络的东道方寄发了ARP的答复。 这些ARP的答复将MAC的地址定在广播地址的缺省门上。 这使得所有外来交通都能够进行广播,使袭击者能够在同一外联网上播音。 这种攻击也影响到网络的能力。

在以2为基地的DoS袭击中,袭击者在网络中更新了ARP藏匿处,没有MAC地址。 该网络中每个网络接口卡的MAC地址应具有全球独特性。 然而,通过允许使用MAC克隆技术,可以很容易地改变这种做法。 袭击者通过DoS攻击使袭击对象的东道国丧失能力,然后使用目标东道国的IP和MAC地址。

袭击者实施袭击,以发动更高层次的袭击,以危害网络上的信息安全。 他可以拦截所有框架,并读到框架数据。 攻击者可以充当中风的人,修改数据,或简单地放弃导致多功能的基线。 他可以劫持目标主机和其他机器之间的本届会议,并完全传达错误的信息。

Securing Ethernet LANs

我们在前一节讨论了对数据链接层的一些广为人知的攻击。 为了减轻这些类型的攻击,已经制定了几种方法。 一些重要的方法是:

Port Security

它是一层2级安全特征,可在电离层交换器上查阅。 它涉及将一个实际港口连接到一个具体MAC地址/es。 任何人都能够通过将东道国与现有交换港口之一连接起来,进入一个不安全的网络。 但是,港口安全可以确保二层通道的安全。

违约时,港口安全将现行海运公会的地址限为一。 然而,允许不止一个经授权的东道国通过配置连接该港口。 允许的每个接口的MAC地址可以固定配置。 一种方便的替代办法是,在港口达到最大限额之前,能够让“标准”的海运局处理将动态地从开关港学到MAC地址的学习问题。

为确保安全,对港口或港口超载地址上具体MAC地址/地址变化的反应可以多种不同的方式加以控制。 港口可以配置,以关闭或阻挡超过规定限额的排雷中心地址。 建议的最佳做法是关闭港口。 港口安全防止了MAC洪水和克隆攻击。

DHCP Snooping

我们已经看到,人权促进会的偷猎是一种攻击,袭击者们在网络上听听了人权促进会的要求,并在人权促进会的授权反应到东道国之前用假的人权促进会反应来回答。

防止此类攻击的“DHCP”。 DHCP 选择是一种交换特征。 可以配置开关,以确定哪些开关港口可以响应DHCP的要求。 港口被确认为可信赖或不信任的港口。

只有与特许的DHCP服务器连接的港口被配置为“委托”,并允许发送所有类型的DHCP信息。 其余所有开关的港口都是不信任的,只能寄送人权促进委员会的要求。 如果在无人信任的港口看到人权与和平中心的反应,该港口就会关闭。

Preventing ARP Spoofing

港口安全的方法可以防止水银洪水和克隆攻击。 然而,这并不妨碍ARP的偷渡。 港口安全验证了基准头上的MAC源地址,但ARP框架在数据有效载荷中增加了一个MAC源领域,而东道方利用这个领域为其ARP藏匿点。 防止ARP偷渡的一些方法如下。

建议采取的一项行动是,在东道ARP表格中采用静态的ARP条目。 法定的ARP条目是ARP藏匿处的永久条目。 然而,这种方法不切实际。 而且,这还不允许使用某些动态的东道方保密议定书,因为第2层网络的所有东道方都需要使用静态的IP。

入侵探测系统 防卫方法是利用安装的入侵探测系统,以发现高数量的ARP交通。 然而,国际发展学会很容易报告虚假的正面。

。 这种防止ARP偷猎的方法类似于DHCP的绝食。 它使用有信誉和不信任的港口。 只有在信任的港口,才允许向转口公司作出答复。 如果ARP的答复涉及一个未信任港口的开关,则ARP的答复包件内容与DHCP为核查其准确性而设的具有约束力的表格相比较。 如果ARP的答复无效,ARP的答复就撤回,港口残疾。

Securing Spanning Tree Protocol

《 Spa树议定书》是2层连接管理议定书。 STP的主要目的是确保在网络有多余的道路时不出现数据流 lo。 一般来说,建造多余的道路是为了为网络提供可靠性。 但是,它们可以形成致命的 lo,可能导致DoS在网络中发动攻击。

Spanning Tree Protocol

为了提供所希望的道路 red余,以及避免出现 lo状态,STP界定了一个横跨网络所有开关的树木。 STP把某些多余的数据连接到一个被封锁的国家,并在一个前沿国家保持其他联系。

如果前线的连接中断,STP重新配置了网络,并通过启动适当的备用道路重新界定了数据途径。 STP在网络部署的桥梁和开关上。 所有开关者都交换了信息,用于进行根本开关选择和随后的网络配置。 礼宾数据单位(BPDU)掌握这一信息。 通过交换BPDU,网络的所有开关者都选择了成为网络协调中心的根桥/itch,控制被封锁和转口的链接。

Attacks on STP

战胜根桥。 它是在层次上最具破坏性的攻击类型之一。 2. 违约时,一个局域网开关从相邻的开关处发送的任何BPDU,其面值不变。 顺便说一句,STP是信任的、无国籍的,没有提供任何健全的认证机制。

一旦发生根本攻击,袭击的开关每2个都派一名BPDU,其优先程度与目前的根桥相同,但MAC地址在数量上略低,以确保它在深层选举过程中取得胜利。 攻击者开关可以发动DoS攻击,要么不承认造成BPDU洪水的其他开关,要么把开关转向超处理过程的BPDUS,一方面声称是扎根,一度重新接手。

DoS 利用Flood of Configuration BPDU。 攻击开关并不试图把它作为根基。 相反,它每秒就会产生大量的BPDU,导致CPU在开关上的使用率很高。

Preventing Attacks on STP

幸运的是,彻底接管袭击的反措施简单明了。 有两个特点有助于打败根本的接管袭击。

。 如果“可保的”港口接收高于现有根桥运输的BPDU,那么该港口就被移至根本不结盟状态,而且该港口没有数据传输。 根基警卫最适于连接不希望作为根桥接的开关的港口。

BPDU-Guard——BPDU卫兵用于保护网络免受在出入港口接收BPDUs可能产生的问题。 这些港口不应接收这些港口。 BPDU卫兵最好部署在使用设施的港口,以防止攻击者插入流ogue。

Securing Virtual LAN

在地方网络中,虚拟地方网络(VLANs)有时被组合为安全措施,以限制易受2级攻击的东道方数目。 VLANs建立了网络边界,因此广播(ARP、DHCP)交通无法穿越。

Virtual Local Area Network

可以配置一个网络,利用转换/支持局域网能力,在单一有形局域网基础设施上界定多个局域网。

通用的VLAN是一种基于港口的VLAN。 在这一局域网结构中,使用转换管理软件将开关港口分成局域网。 因此,单一物理开关可以作为多个虚拟开关。

就业局提供交通隔离。 它把大型广播层2网络分成较小的逻辑层2网络,从而缩小了ARP/DHCP Spoofing等攻击的范围。 只有一个VLAN的数据框架只能从属于同一局域网的港口内部转移。 两个局域网之间的框架通过路线进行。

如上文图表所示,VLAN一般跨越多个开关。 干地港口之间的联系包含所有由多个物理开关界定的局域网。 因此,转换器之间传输的VLAN框架不能简单地成为第802.1次网络格式框架。 由于这些框架具有同样的物理联系,现在需要携带VLAN ID信息。 782.1Q 议定书增加了/将更多的主干区移至停泊港之间的浅层。

当两个IP地址之后的田间为0x8100(>1500)时,这个框架被确定为802.1Q框架。 2-byte Tag Protocol Identifier(TPI)的价值为81-00。 TCI领域包括3项优先信息、1项标准指标(DEI)和12项标准指标。 这3个优先领域和多功能环境倡议领域与区域局无关。 优先参数用于提供服务质量。

如果框架不属于任何局域网,则有违约的局域网,该框架被认为与它有关。

Attack on VLAN & Prevention Measures

在袭击VLAN时,袭击VLAN的一名袭击者可以进入通常无法进入的其他VLAN。 在从一个局域网向另一个局进行通信时,它将绕过第3层装置(路段),从而打败了局域网制作的目的。

可通过两种方法进行局域网制图;转换信道和双重标记。

Switch Spoofing

当袭击者与之连接的开关港,无论是在“停泊”模式中,还是“谈判”模式中,都会发生。 袭击者充当开关,在离队的偏远局域网标上增加了802.1Q的cap头。 接收人转口将这些框架解释为来自另一个802.1Q转换,并将框架推向目标VLAN。

防止转口攻击的两种预防措施是将港口置于固定准入模式的边缘,并对所有港口进行可拆卸的汽车谈判。

Double Tagging

在这次袭击中,一名与本土的VLAN交换港连接的攻击者在设计负责人中预先发放了两个VLAN标记。 第一个标的是本土的VLAN,第二个标的是VLAN。 当第一个开关接收袭击者的框架时,它便拆除了第一个tag子,因为本地的VLAN框架在停泊港未经tag子转交。

由于第一个交换点从未拆除第二个标签,接收交换台将其余标记确定为局域网的目的地,并将框架推向该局的目标东道方。 双重攻击利用了当地VLAN的概念。 由于VLAN 1 是港口的缺省VLAN,而本地的VLAN是干.的,因此这是一个容易实现的目标。

第一项预防措施是,将所有出入港口从违约的VLAN 1上移走,因为袭击者的港口必须符合开关的原局。 第二项预防措施是将本地VLAN分配给一些未使用的VLAN,即VLAN id 999。 最后,所有开关都要进行配置,以便在停泊港明确划定本地的VLAN框架。

Securing Wireless LAN

无线局域网是有限地理区域内无线节点网络,如办公楼或学校校园。 des能够进行无线电通信。

Wireless LAN

无线局域网通常作为现有无线局域网的延伸而实施,以提供网络接入,提供设备流动。 最广泛实施的无线局域网技术基于ISO 802.11标准及其修正。

无线局域网的两个主要组成部分是:

这些是无线网络的基础站。 他们传送和接收无线电频率,与无线客户沟通。

无用户 这些是配备无线网络界面卡的计算机设备。 Laptops、IP Telephones、PDAs是无线客户的典型例子。

许多组织实施了无线局域网。 这些网络正在急剧增长。 因此,必须了解无线局域网中的威胁,并学习确保网络安全的共同预防措施。

Attacks in Wireless LAN

对无线局域网进行的典型攻击是:

袭击者被动地监测无线数据网络,包括认证证书。

袭击者冒犯了授权的用户,并在无线网络上获得准入和特权。

袭击者通过无线网络监测传播,以确定通信模式和参与者。

Denial of Service - 袭击者阻止或限制无线局域网或网络装置的正常使用或管理。

袭击者通过无线网络传递的合法信息,通过删除、增加、改变或重新排序,改变或答复。

Security Measures in Wireless LAN

安全措施为击败袭击和管理网络风险提供了手段。 这些是网络管理、运作和技术措施。 下文介绍为确保通过无线局传送的数据的保密性、可用性和完整性而采取的技术措施。

在无线局域网中,应配置所有仪器,通过加密和客户认证提供安保。 无线局域网用于提供安保的各类计划如下:

Wired Equivalent Privacy (WEP)

这是在802.11标准中建立的加密算法,以确保无线网络的安全。 WEP 加密使用RC4(Rivest Cipher 4)流层,具有40-bit/104-bit钥匙和24-bit初始化矢量。 它还可以提供最终认证。

然而,这是最薄弱的加密安全机制,因为在该系统的加密中发现了一些缺陷。 WEP也没有认证程序。 因此,使用“最佳环境标准”的建议并不高。

802.11i Protocol

在该议定书中,有可能出现多种更强有力的加密形式。 已经制定这一计划,以取代弱小的妇女就业计划。 它提供了关键的分配机制。 它支持每个站的一个钥匙,对所有人不使用同样的钥匙。 它使用独立于接入点的认证服务器。

237. 工发组织授权使用一个称为CBC-MAC议定书的反制模式的议定书。 CCMP提供所转让数据的保密性和完整性以及发送人的真实性。 其依据是高级加密标准。

《电子计算法》802.11i议定书有四个运行阶段。

STA和AP交流并发现相互的安全能力,例如辅助算法。

STA和AS相互认证,共同产生主(MK)。 行动方案是“绕行”。

STA产生Pairwise Master Key(PMK)。 AS也拥有同样的PMK,并寄给AP。

STA, AP利用PMK来获取用于加密和数据完整性的温度钥匙。

Other Standards

Wi-Fi Protected Access (WPA) - 该议定书执行了大部分的ISO 802.11i标准。 它存在于第802.11i号电子文件之前,并用于加密的RC4算法。 它有两个运作方式。 在“Enterprise”模式中,邮管处使用认证程序802.1x与认证服务器通信,因此,主机钥匙(PMK)是客户站特有的。 在“Personal”模式中,它没有使用802.1x,PMK被一个预先共享的钥匙所取代,用于小型办公室家庭办公室无线局域网环境。

邮电局还包括一个声音完整性检查,以取代《电离辐射标准》中所用的“电离破”。

WPA2-WPA2取而代之。 WPA2执行E 802.11i计划的所有强制性内容。 具体来说,这包括强制性支持《议定书》/《公约》缔约方会议,这是一个基于《京都议定书》的、具有强大安全性的加密模式。 因此,就这些袭击而言,WPA2 /IE802.11i提供了适当的解决办法,以防范WEP的弱点、人为的中途袭击、伪造包装单伪造和再起攻击。 然而,DoS的袭击没有得到适当处理,没有制止这种攻击的坚实议定书,其基本原因是这种攻击所针对的是身体上层,如干扰频带。

Summary

在本章中,我们认为,攻击和缓解技术假定是采用IP的转子网络。 如果您的网络不使用太网作为第2级议定书,则其中一些攻击可能不适用,但这种网络可能受到不同类型的攻击。

安全只是最薄弱的环节。 在联网方面,第2层可能是一个非常薄弱的环节。 本章提及的2项安全措施在保护网络免遭各种袭击方面大有可为。