前 言

局域网交换机安全

人们常认为局域网和以太网交换机与管道系统很相似，易于安装、配置。但恰恰是看似简单的东西，往往容易忽略对其安全性的关注。

以太网交换机存在着多个安全隐患1。利用这些隐患的攻击工具几年前就已经问世（例如著名的dsniff软件包）。运用这些工具，黑客可以打破交换机的所谓安全神话：“不可能用嗅探和包截取技术来攻击交换机”。的确，使用dsniff、Cain或者其他Windows、Linux系统下界面友好的工具，黑客可以轻而易举地将任何流量转向他的个人计算机，从而破坏了这些流量的保密性和完整性。

对于第二层协议，从生成树协议到IPv6邻居发现，这些隐患中的绝大部分都是与生俱来的。一旦第二层被攻陷，再使用诸如“中间人”（MITM）攻击之类的技术在更高层协议上构建攻击手段是轻而易举的事。由于能够截取任意流量，黑客可以在明文通信（例如HTTP和Telnet）和加密通道（例如SSL或SSH）里做手脚。

要利用网络第二层的隐患，攻击者常常必须与攻击目标在第二层相邻。尽管听起来有些不可思议，但实际上外部黑客是可以连接到一个公司的局域网的。他可以运用社交工程出入公司场所，或是假扮成一名电话约来的工程师，来现场解决“机械故障”。

另外，很多攻击来自于公司内部员工，比如由一个在现场工作的雇员发起攻击。传统上，企业一直存在着不成文的和在某些场合是书面的规则，即认定雇员是受信任的个体。然而，过去数10年中无数的案件和统计数据证明，这一假设是错误的。2006年CSI/FBI计算机犯罪与安全调查报告显示，受调查公司68％的损失都部分地或完全归结于内部员工的行为不端。

一旦进入大多数组织的场所内部，取得未经授权的网络连接相对来说就容易多了：找到一个墙上闲置的以太网插口，或者一部可以断开的网络设备（例如，一台网络打印机）。考虑到DHCP的广泛部署，基于局域网的端口中仅有很低比例需要认证（例如IEEE 802.1X），用户的计算机可以获得一个IP地址，且在绝大多数情况下，拥有了和其他合法授权用户同样的网络访问级别。获取网络中的一个IP地址后，恶意用户就可以尝试各种攻击手段。

有了针对网络用户的信任假定，在这一新观点的审视之下，敏感和秘密信息在网络上的流转成为不容忽视的事实。如非全部，绝大多数组织都会在其应用系统和众多文档容器中设计访问安全机制。然而，这并非万无一失。它们仅仅有助于确保适当授权的用户访问应用系统或文档容器中的信息。这些访问控制技术并不能阻止恶意用户在信息的运转过程中用在线窥探来获得信息访问权。目前，大部分在网络上流转的信息都没有经过加密。聪明而常常是好奇的网络用户，借助于简单的脚本工具就可以轻松地在线探测到任何明文信息。这些可能是无关痛痒的会议通知，或是敏感信息：诸如用户名和密码、人力资源密或健康记录、保密客户信息、信用卡信息、合同、知识产权，甚至机密的政府信息。不言而喻，一个公司信息资产有多么重要，有时甚至是公司的中枢所在。信息的曝光、泄露对公司都是极其不利的，有时会造成严重的经济后果。公司可能在一夜间名誉扫地，随之失去忠实的客户基础。

随着设计用来暴露或者利用网络协议弱点的工具的大量涌现（诸如Yersinia和Cain），在线窥探所需的知识在过去10年来发生了巨大的变化。在很多情况下，这些工具对内容敏感并提供了帮助菜单，这使得针对在线流转信息的窃听、篡改和回放行为更加普遍。同样，一旦获取了用户访问权限，黑客们可以利用操作系统和应用程序存在的隐患来获取或篡改信息，引发“拒绝服务”。

反言之，以太网交换机及其相关协议、特性通过采用用户识别、强制实施线速安全策略（wire speed security policy）、第二层加密等措施可以改善局域网环境的安全状态。

目 录

第2章　挫败学习型网桥的转发进程第3章　攻击生成树协议第4章　VLAN安全吗第5章　利用DHCP缺陷的攻击第6章　利用IPv4 ARP的攻击第7章　利用IPv6邻居发现和路由器通告协议的攻击第8章　以太网上的供电呢第9章　HSRP适应力强吗第10章　能打败VRRP吗第11章　Cisco辅助协议与信息泄露第12章　拒绝服务攻击简介第13章　控制平面的监管第14章　屏蔽控制平面协议第15章　利用交换机发现数据平面拒绝服务攻击（DoS）第16章　线速访问控制列表第17章　基于身份的网络服务与802.1X第18章　IEEE 802.1AE附录　结合IPSec与L2TPv3实现安全伪线