WEB开发网
开发学院网络安全安全技术 知己知彼 用VLAN技术防御黑客攻击 阅读

知己知彼 用VLAN技术防御黑客攻击

 2008-01-22 13:11:13 来源:WEB开发网   
核心提示: 恶意黑客可以让VTP为己所用,移除网络上的所有VLAN(除了默认的VLAN外),知己知彼 用VLAN技术防御黑客攻击(4),这样他就可以进入其他每个用户所在的同一个VLAN上,不过,我们可以不进行任何的命令操作,也可以完成在跨交换的相同VLAN-ID之间的通讯,用户可能仍在不同的网段,所以

恶意黑客可以让VTP为己所用,移除网络上的所有VLAN(除了默认的VLAN外),这样他就可以进入其他每个用户所在的同一个VLAN上。不过,用户可能仍在不同的网段,所以恶意黑客就需要改动他的IP地址,才能进入他想要攻击的主机所在的同一个网段。

恶意黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机都与恶意黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去。

这么多种攻击,可见我们实施的VLAN是多么的脆弱,不过我们值得庆幸的是:如果交换机的配置不正确或不适当,才有可能引发意外行为或发生安全问题。所以我们在下面会告诉大家配置交换机时必须注意的关键点。

二.TRUNK接口的安全性

交换机的端口有两种工作状态:一是Access状态,也就是我们用户主机接入时所需要的端口状态;二是Trunk状态,主要用于跨交换的相同VLAN_id之间的VLAN通讯。、

Access状态一般被我们称之为正常状态,是主机的正常接入接口,这种接口的状态能引起安全的问题很小,我们不在这里详细的描述了。

干道技术(Trunking)是通过两个设备之间点对点的连接来承载多个VLAN数据的一种方法。以下两种方法可以实现以太网干道连接ISL(交换机间链路,Cisco私有协议) 802.1Q(IEEE组织制度,国际标准)。

前文提到的802.1Q 和 ISL 标记攻击,就是利用的Trunk的原理来实现的。那么我们在进行Trunk的操作中,怎样做才能更有效的避免这个安全隐患呢?

我们已经知道,在实施Trunk时,我们可以不进行任何的命令操作,也可以完成在跨交换的相同VLAN-ID之间的通讯。这是因为我们有DTP(DYNAMIC TRUNK PROTCOL)。我们所有的接口上缺省使用了下面这条命令:

上一页  1 2 3 4 5 6 7 8 9  下一页

Tags:知己知彼 VLAN 技术

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接