|
|
网络安全已经成为大部分企业和商业网络管理员最关心的问题。尽管过去人们最关注的是“物理安全”,但是几乎每周都会出现的新型互联网病毒、蠕虫和攻击工具大大提高了企业生产率受损的风险。网络安全过去仅仅被视为在网络和互联网之间设立防火墙。现在,网络管理人员正在将安全技术端到端地集成到整个网络中,并将安全策略和功能渗透到网络中的每个环节和设备之中。随着网络逐渐成为基于IP的应用和通信系统(例如IP话音)的关键集成点,网络安全变得比以往任何时候都更为重要。要确保网络安全,首先应当从保护交换基础设施开始。 思科系统公司将创新的、业界领先的安全功能集成到了Cisco Catalyst智能交换机系列中。今天,企业在购买LAN交换机时都希望它能够提供内置的用户识别功能。园区交换基础设施代表了第一条防线:它是网络设备接入网络的环节;同时,它也是攻击进入网络的第一个入口。
Cisco Catalyst集成化安全提供了三个与思科自防御网络架构集成的系统。
· 信任关系和身份识别――让网络管理人员可以控制接入网络的人员和设备,以及所使用的策略;这些功能包括802.1x和相关的、基于身份识别的网络服务,以及网络准入控制(NAC)。
· 威胁防御――让网络可以防御和制止攻击―无论它们来自于网络上的其他用户还是网络设备本身;这些功能包括控制层面速率限制,访问控制列表(ACL),中间人攻击制止,以及防火墙
· 安全连接――为在园区网络内部或者两个通过互联网连接的地点之间进行的通信提供隐私保护
本文介绍了Cisco Catalyst集成化安全,讨论了思科在园区、分支机构和数据中心基础设施中嵌入的安全功能。
今天的安全挑战
过去,网络被设计为一种开放的公用基础设施。尽管网络安全始终是一个考虑因素,但是它很少成为人们的关注焦点,而且通常仅限于物理安全(例如,防止某人接触交换机)。导致这种情况发生变化的第一个原因是企业开始通过他们的网络访问互联网。这些连接向外部世界敞开了大门,一方面为合法的网络用户创造了无限的可能性,一方面也为入侵者、黑客、数据窃贼或者任何不怀好意的用户创造了各种机会。保护网络周边的防火墙和控制对资源的访问权限的安全策略可以在保护网络内部的同时,维持合理的访问权限和移动能力。但随着更加复杂的蠕虫和病毒的出现,这些策略和设备都已经无法满足实际的需要。图1显示了多年以来攻击的发展历程。
图1 了解安全攻击――过去、现在和未来
由于这些攻击的速度和不可预测性,需要在一个统一的系统中集成一组产品和技术――包括主动式和被动式组件。该系统首先必须覆盖网络中的多个层次――从远程办公人员、园区到数据中心。这些层次必须能够解决复杂的、综合性的威胁,防范多种攻击途径。其次,该系统必须能够自动防御,让网络能够对用户进行身份验证和在攻击首次出现时, 实现“零天保护”。最后,该系统必须被全面地集成到网络的所有层面,以便让网络管理人员可以协调一致地应对攻击。
交换基础设施是企业总体安全战略的关键组成部分。通常,一个“安全运营”经理最关心网络的总体安全。但是,网络运营经理现在更加关注安全问题,而且通常很担心设备本身遭受的威胁和可能从与网络连接的终端发动的攻击。因为这些设备会影响处于网络业务部门控制之下的交换机、路由器和终端,所以安全问题在网络的每个层面都应当引起足够的重视。企业LAN管理人员期望设备能够具有内置的安全功能,以保护交换机本身和与它们连接的用户。如图2所示,一个自防御网络主要由三个系统构成。
图2 自防御系统的构成
那么,这些系统可以防范哪些威胁?大部分人都很熟悉他们通过电子邮件收到的病毒,而且各种消息也充斥着各种关于某个企业因为网络攻击而损失惨重的新闻,但是很多安全威胁要比它们隐蔽得多。
· 偷窥者――这种人会走到没有安全防护意识的员工身后偷看保密信息,从而越过楼宇的物理安全检查。在楼宇内部,他可以接入网络、下载保密信息或者发动攻击。
· 被感染的笔记本电脑――笔记本电脑的普及,以及它们所连接的网络的多样性,可能会造成病毒的迅速传播。一台来自公共网络的笔记本电脑在接入企业网络时,可能会在无意中散播蠕虫或病毒。在蠕虫传播时,网络效率将会受到严重的影响。
· 未经授权的设备――很多用户所连接的设备可能会敞开网络的安全漏洞。最典型的例子是没有采取安全措施的无线接入点,它会让任何拥有无线设备的用户都可以在覆盖范围内接入企业网络。
· 大规模感染――拒绝服务(DoS)攻击会利用过多的流量阻塞整个网络,从而导致网络设备无法响应合法的网络请求和流量。
· 心怀不满的员工(也被称为中间人)――在这种攻击中,恶意用户会利用公用的软件“监视”其他员工的数据,包括IP电话、密码等。这些攻击包括动态主机配置协议(DHCP)欺骗、IP欺骗和地址解析协议(ARP)攻击。
Cisco Catalyst硬件和软件中内嵌的安全机制提供了针对这些攻击的工具和保护,从而让用户可以防范攻击。如果攻击已经发生,用户可以迅速发现、成功地将其制止。
信任关系和身份识别系统
园区或者分支机构基础设施中的第一道防线是识别访问网络的人员或者设备,这些用户有权访问的资源,以及设备的状态。除了偷窥者以外,无线网络在园区和分支机构中的迅速普及也增加了网络管理人员的安全负担,因为任何一个恶意的或者无意的用户都可以在停车场中访问网络。这些未经授权的用户可能会造成严重的后果――轻则占用不属于他们的网络带宽,重则发动针对其他用户的攻击,或者监控其他用户的行为。另外,今天的企业都需要与供应商、合作伙伴和客户进行广泛的交流。他们都需要通过访问企业网络保持生产率――但是他们都不应当获得对于整个网络的访问权限。思科提供了一整套全面的功能,以确保在交换网络中保持信任关系和身份识别。
信任关系和身份识别包括两个基本的组成部分:
基于身份识别的网络服务。它们需要在授予网络的物理访问权限之前,核实和验证用户或者设备的身份证明的真伪。它们可以用于确保只向访问者提供对正确的网络资源的访问权限。
· 网络准入控制(NAC)。它可以识别设备的状况(或者对规定的符合情况),以确保在不会导致不必要的风险的情况下,让设备连接到网络。
信任关系和身份识别系统为网络接入和策略控制奠定了基础。图3显示了一个信任关系和身份识别系统中的不同步骤如何结合到一起。
基于身份的网络服务(IBNS)
大部分企业都要求员工先登陆网络,再访问服务器、电子邮件和其他资源;基于身份的网络服务(IBNS)采用了相同的原则。可以将IBNS比做一个拥有护照和航空公司积分卡的旅客。护照可以证明该旅客的身份(通常是安全运营部门的关注重点),而积分卡表明了他应当获得的待遇(通常是网络运营部门的关注重点)。这种能力具有一些明显的优点。首先,因为交换网络是第一道防线,IBNS通过首先允许或者拒绝用户进入网络,提供了第一道防御措施。另外一项优点是它能够根据预定的策略为用户提供相应的服务――无论他们身在何处。最后,在某些网络架构中,用户的身份可以直接对应到某个特定的、独立的工作组或者VPN。
IEEE 802.1x
IBNS的第一个重要组成部分是IEEE 802.1x协议。这是一个MAC层协议,能够与一台RADIUS服务器――例如Cisco Secure ACS――通信,将终端映射到用户名和密码。802.1x标准工作在终端和RADIUS服务器之间。因为这是一种终端协议,一个支持身份识别的网络只有在操作系统支持802.1x的情况下才能正常发挥作用。幸运的是,大部分操作系统――包括Windows XP、2000和NT,以及MacOS――都支持这项功能(这个列表并不详尽,另外还有其他系统也支持该功能)。交换机充当事务处理的智能中间人,在身份验证流程顺利完成的情况下启用端口。实际使用的身份验证机制被称为可扩展身份认证协议(EAP)。EAP包含在802.1x帧中,通过交换基础设施穿越网络,发送到身份验证服务器。
交换机有责任在终端连接网络和提出登陆申请之后查询终端的身份。如果客户端支持802.1x,终端就会发出它的身份证明,交换机则会将其转发到Cisco Secure ACS。如果客户端不支持802.1x,或者不能进行身份验证,客户端将会被置于一个“来宾VLAN”(稍后将详细介绍)之中。在成功完成身份验证之后,交换机将会完全启用该端口,允许对网络资源的访问。根据Cisco Secure ACS所提供的信息,网络可以启用其他策略。
有助于加强管理的VLAN分配
在IBNS上可以实施的第一批策略之一是设置用户所属的VLAN的名称。假设在营销部门工作的John Smith是一个经过身份验证的用户。在身份验证完成之后,Cisco Secure ACS就会将用户所属的VLAN名称(即“VLAN营销”)发给交换机。交换机随后会将该名称映射到某个预定的VLAN编号。这可以帮助网络管理人员跟踪和记录用户在网络中的行为。必须指出的是,这并不意味着某个特定的用户在整个网络中始终只使用一个VLAN编号(这种方式会给VLAN的管理带来极大的负担,而且会大幅度增加生成树域的复杂程度)。只有经过设置的VLAN名称会被提供。
分区
IBNS最值得注意的特点之一是它能够根据用户的身份将其划分到不同的工作组或者VLAN。例如,假设一个公司的客户在进入公司办公楼之后,希望将他们的笔记本电脑接入网络,从远程收取他们的电子邮件。该公司肯定不希望这些客户接触到内部网络的保密信息,因此它可以创建一个来宾VLAN。在缺省情况下,这些客户不需要由Cisco Secure ACS服务器进行身份验证,而是直接会被置入一个只能访问互联网的VLAN中。通过这种方式,企业网络可以避免未经授权的访问,同时客户仍然能够通过互联网访问他们的资源。
根据企业所需要的精确度和安全性的等级,分区还有一些更加重要的应用。如果多个不同的工作组位于同一个IP基础设施中,基于身份识别的分区会在提供安全VPN方面变得非常有用。又譬如,假设一个大型企业的网络除了包含员工以外,还包含很多承包商和供应商,网络管理人员可能希望以不同的方式对待每个群组(承包商、供应商和员工),为他们提供不同的网络访问权限、服务质量(QoS)策略,或者不同的网络性能。另外一个典型的例子是机场。它拥有一个公用的基础设施(舱门、售票处等)和统一的IP网络。通过身份识别,网络可以区分一个联合航空公司的员工和一个美洲航空公司的员工,并根据每个员工所属的安全工作组提供相应的权限。
分区还对公共骨干网上的传输具有重要的意义。整个网络不大可能全部运行在同一台交换机上,因此安全地传输分区数据变得非常重要。本文的“安全连接系统”将更加详细地介绍这部分内容。
网络准入控制
在提供网络访问权限之前确保用户的身份已经经过核实是信任关系和身份识别系统的重要组成部分。但是,识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络――这种情况可能会构成一个网络运营问题。为什么会出现这种情况?笔记本电脑在今天的工作环境中的普及提高了用户的生产率,因为他们能够将计算机带到他们所选择的任何地点。但是,这也会产生一定的问题:这些计算机很容易感染病毒或者蠕虫。它们会在不经意之间进入企业环境。
NAC是思科自防御网络计划的重要组成部分。IBNS的作用是验证用户的身份,而NAC的作用是检查设备的“状态”。交换平台上的NAC可以与思科信任代理共同构成一个系统。思科信任代理可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。思科和NAC合作伙伴将会把思科信任代理与它们的安全软件客户端集成到一起。思科正在与McAfee Security、Symantec、Trend Micro和IBM合作,将它们的防病毒软件集成到思科信任代理中。
交换机会向思科信任代理索取主机身份证明,并将这些信息发送到制定NAC决策的策略服务器。根据客户预定的策略,网络会执行相应的准入控制决策:允许、拒绝、隔离或者限制。这些ACL是在边缘交换机,根据发回到交换机的策略自动配置的。如果客户端不能顺利地通过身份验证,它们将会被放在一个“隔离VLAN”中,以确保它们可以升级其防病毒软件或者基于客户端的安全代理。根据802.1x身份验证,端口可能会因为设备被视为不“安全”而被限制或拒绝。
策略服务器会评估网络设备所发来的终端安全信息,确定所要执行的相应访问策略。作为一个身份验证、授权和记账(AAA)RADIUS服务器,Cisco Secure ACS服务器是策略服务器系统的基础。它可以与NAC合作伙伴应用服务器配合,提供更加深入的身份证明验证功能,例如防病毒策略服务器。
使用思科信任关系和身份识别系统
信任关系和身份识别系统的各个组成部分共同为网络的访问和策略控制奠定了基础。图3显示了信任关系和身份识别系统的各个步骤的配合方式。
图3 信任关系和身份识别系统
1. 你是谁? 802.1x标准结合Cisco Secure ACS对用户进行身份验证。
2. 你可以去哪些地方? 根据身份验证的结果,用户被置于相应的工作组或者VLAN。
3. 你应当获得怎样的服务水平?用户可以被置于一个设有防火墙的VPN,或者在网络上获得特定的QoS优先级。
4. 你在做什么?通过对用户的身份识别和定位,可以更好地管理对用户行为的跟踪和记录。
威胁防御系统
威胁防御系统的目的是防止网络遭受攻击,确保网络可以在发生入侵或者攻击之后恢复正常。交换基础设施负责威胁防御系统的主要部分,因为交换机可能会成为攻击目标,也可能在不知情的情况下协助攻击在网络中的扩散――因为它连接了多个用户和服务器。Cisco Catalyst交换机可以为保护自身及其所连接的用户提供重要的功能。
保护交换机配置并控制分组
首先,交换机本身可能会成为攻击目标。这些攻击可能以多种形式出现,例如黑客试图进入交换机更改配置,蠕虫填满MAC转发表或者第三层流向表,或者试图窜改控制信息,例如路由更新或者生成树网桥协议数据单元(BPDU)。Cisco Catalyst交换机的硬件和软件中内置了可以加强网络自防御能力的安全机制。
保护远程接入的安全
网络管理人员通常必须要从远程设置设备。这样做的一个明显的好处是:可以在同一个地点集中设置多台交换机。攻击者可能会窃听从网络管理人员的配置基站发往交换机设备的流量,以获取密码或者达到其他恶意目的。确保安全的主要手段之一是通过对流量加密来保护隐私。这是利用Secure Shell(SSH)协议实现的。SSH为在不安全的网络中进行安全的远程连接提供了一种有效的方法。数据将通过某个经过加密的隧道发送,以保证数据的正确传输和完整性。隧道两端都会对用户进行身份验证,确保安全的数据传输和复制。这可以有效地避免中间人攻击,确保关键的管理信息不会受到威胁。
更改交换机配置
更改交换机配置是针对基础设施的攻击的基本类型之一。通过窃取密码,恶意用户可以进入交换机更改配置。这种更改可能很简单(例如从100到1000Mbps),也可能极具破坏性,例如更改控制信息(如路由表)。Cisco Catalyst系列可以提供加密的密码和多层客户权限,以确保设备本身不会遭受未经授权的访问。这有助于确保访问权限的层次化――即使在IT部门内部,从而避免让所有的人都有权更改交换机的所有配置。通过结合RADIUS和TACACS+身份验证,这可以确保信任关系和身份识别。这通常是交换机保护的第一个层次。
伪装控制信息
另外一种常见的攻击方式是伪装控制信息,并将其发送到网络。控制信息――例如路由升级或生成树BPDU――对于网络的正常运行具有重要的作用。这些协议可以避免环路,确定让网络可以正确运行的操作方式。一台交换机在收到这些分组之后会采取相应的措施。可能的结果是交换机误以为某个网络位于某个接口之上,或者认为存在另外一个生成树根网桥,从而导致灾难性的后果,严重地影响网络的正常运行。
为了防止路由信息被伪装,Cisco Catalyst第三层交换机采用了信息摘要算法5(MD5)路由验证机制。MD5是一种供路由信令在相邻第三层交换机或路由器之间交换信息的认证协议,它可以确保这些信息只被这两个对等路由设备交换和识别。网络中的其他路由会被忽略,从而确保了网络的路由稳定性不会受到影响。
生成树缺乏第三层路由协议所固有的智能。因此,生成树网络相对比较容易发生中断故障,这可能是由于有意或者无意的操作而导致。例如,一个拥有多台PC的用户可以利用一台交换机将它们连接到一起。交换机可以发送BPDU到网络中,声明“我是根网桥”。这可能会产生严重的后果――轻则在出现问题时很难进行准确的诊断,重则交换网络会变得很不稳定,影响到第二层域中的所有用户。
为了防止出现这种情况,思科对生成树协议进行了多项改进:端口可以接收或者拒绝BPDU。如果与端口相连的设备向网络发送了一个未经授权的BPDU,该端口会被禁用。这项功能最适用于面向用户的接口。Root Guard可以在每个端口的基础上使用,以确保根网桥的完整性。启用了Root Guard的端口会成为指定端口,这意味着它周围的交换机不会成为根网桥。这可以防止第二层网络发生意外的网络重新融合。
针对交换机处理器和转发表的攻击
由蠕虫或者病毒发动的DoS攻击通常是针对网络基础设施的。由于它们会阻止交换机学习地址和流程控制信息,所以会极大地降低网络的稳定性。这些攻击是目前企业和商业网络中最常见的攻击类型之一,可能会产生严重的影响。CSI/FIS在2003年对400家公司进行的计算机犯罪和安全调查表明,90%的受访企业都表示曾经遭遇安全攻击。他们的总损失预计高达2亿美元以上。另外,蠕虫的传输速度可能极为惊人。例如,最近的结构化查询语言(SQL)Slammer蠕虫感染的主机数量每8.5秒钟增加一倍。在3分钟之内,它的扫描速度高达每秒5500万次,在短短一分钟之内就让1Gbps的连接陷入瘫痪。
因为每种攻击对交换机的影响方式都有所不同,人们也为防范和制止这些攻击开发了不同的工具。这些攻击通常都会用伪造流量拥塞网络,阻碍交换机需要处理的合法流量,例如路由更新、未知MAC地址或者生成树BPDU。Cisco Catalyst针对所有这些攻击都提供了相应的功能,详见表1所示。下面将对所有这些攻击和相应的制止功能进行详细的介绍。
表1 通过交换机制止攻击 利用伪造流量拥塞网络
DoS或者蠕虫攻击可能会阻塞网络连接,填满设备缓存,占据交换机之间的以太网连接。这会影响话音质量,严重降低应用的“实际吞吐率”(“实际吞吐率”一词指得是真正实现的应用吞吐率,它与交换机的原始吞吐率无关)。很多这样的蠕虫都会使用多种不同的TCP或者用户数据报协议(UDP)流量扫描网络。这会在网络中产生大量的数据。本文的下一节将会介绍流量过剩所导致的问题和相应的解决方案,但是链路拥塞问题是一个总体问题:拥塞并不是由某个流量单独导致的,因此连接上的所有流量都必须被限制。利用Cisco Catalyst QoS Scavenger Class,可以解决这个问题并保护连接。
QoS是一种智能供应系统,可以建立信任边界,根据策略区分流量类型和设定流量的优先级。这让网络管理人员可以管理速率和在必要情况下重新区分特定的流量类型,并根据可设置的供应需求调度和传输流量。Scavenger Class过去主要用于为特定的应用提供不同级别的服务,即等级低于“尽力而为”的服务。对于尽力而为式流量,一个隐含的信用承诺意味着至少部分网络资源应当可用。但是在这种模式下,信用承诺很难实现,而Scavenger Class服务被用于降低来自于具有极高速率的系统的流量的优先级。
这个解决方案采用了Cisco Catalyst交换机中的每端口多个队列的架构。在发生蠕虫攻击时,一个终端会向网络发送大量的流量。这些流量会被拿来与预定的策略(包括确定Scavenger Class流量的方法)对比。Scavenger Class流量被定义为在一段持续的时间内突然增多或者以高于某个规定阈值的速率传输的流量――即意味着它不可能来自于某个正常工作的终端。但不能凭借第一次检测的结果丢弃分组,因为它可能是一个合法的突发性流量。但是,一个端口不大可能长时间地传输这样高速的流量。这些流量会被标为“scavenger”,置于优先级最低的队列中。这个队列通常较窄,以便经常发生队列溢出或者队尾丢弃。基于TCP的流量会降低速度,而UDP流量会被丢弃。通过这种方式,话音流量和其他流量――例如合法的尽力而为式流量――会得到妥善的保护。
填满交换机第二层转发表
第二层转发表――也被称为CAM表――可以根据MAC地址建立交换转发表。这是交换机或者网桥在第二层执行转发、过滤和学习机制的方式。但是,该表的空间是有限的。这种攻击会迫使交换机学习伪造的MAC地址,从而导致CAM表过载。当CAM表填满时,它就无法再学习合法的额外地址,因此来自于这些地址的数据就会充满整个第二层VLAN域。尽管这是第二层交换机的标准行为,但是它会严重降低网络和终端的性能。
为了防范这种攻击,Cisco Catalyst交换机提供了端口安全功能。它可以限制某个指定端口所能学习的MAC地址数量。这样,如果有更多的地址进入交换机,Cisco Catalyst交换机就会将这些端口置于出错禁用模式,以防止网络遭受攻击。这有助于确保某个指定端口只学习少量的MAC地址。如果发现更多的地址,就立即锁定该端口。通过这种方式,可以立即阻止攻击。另外一种功能是广播抑制,即风暴控制。这种功能为某个接口可以输入网络的广播或者组播分组的数量设定了一个阈值。如果超过该阈值,这些分组将会被丢弃。
填满交换机第三层转发表
数据流的定义是一个位于源和目的地IP地址之间,或者相应的TCP或者UDP端口之间的第三层连接。很多蠕虫会更改源和目的地IP、TCP或者UDP,迫使交换机学习数十万个新的数据流。很多交换机采用了一种基于数据流的架构,这需要将数据流中的分组发送到CPU(或者路由处理器),以针对路由表进行搜索。在搜索完成之后,流量条目会被缓存于硬件转发表中,以便进行高速交换。这种攻击利用的就是这种“第一分组处理”模式。通过更改IP、TCP或者UDP信息,交换机CPU可能会过载,进而陷于瘫痪。交换机将无法交换或者学习合法的流量,从而导致路由网络的性能受到严重的影响。最近产生这种后果的蠕虫包括红色代码、Slammer和Witty。
Cisco Catalyst交换机采用了思科快速转发(CEF)技术。它是一种基于网络拓扑――而不是流量的――交换机制。当路由表被路由协议(最短路径首先打开[OSPF]、增强边界网关路由协议[EIRGR]等)所填充时,一个基于硬件的表会由网络前缀所填充。例如,IP目的地地址192.24.20.2位于接口GigabitEthernet 0/1,而网络192.24.20.0/24可能位于该接口之外。这种最初旨在提高网络对于路由变化的适应能力的技术也可以直接被用于制止蠕虫攻击, 因为思科快速转发并不关心网络中的流量,第三层转发表不会受到影响。通过结合QoS Scavenger Class,思科快速转发可以消除蠕虫在网络中产生的不利影响。
攻击交换机CPU
除了攻击交换机的转发表以外,攻击者还可以通过向CPU发送需要处理的控制信息(例如ARP分组),攻击设备本身的CPU。由于处理能力有限,CPU将会过载,从而导致真正的控制分组――例如路由更新或者BPDU――被丢弃。很多网络管理人员都很熟悉一个以100%占用率运行的CPU产生的后果――设备和网络都会变得不稳定。
Cisco Catalyst 6500支持控制层面速率限制。它可以限制向CPU发送的分组的速率。在正常情况下,除非启用了基于软件的功能,不大可能会突然有大量的流量发往CPU。这些攻击中使用的这种流量更不可能以很高的数据速率发送到CPU。这些分组包括互联网控制消息协议(ICMP)不可到达、ICMP重定位、思科快速转发无路由、生存时间(TTL)错误,以及输入或者输出ACL等。如果启用了对这些发往CPU的分组的速率限制,超过某个特定速率的分组将会被丢弃,从而确保了CPU可以正常地处理(很可能是丢弃)恶意分组。这使得CPU可以继续处理正常的系统任务――即使在遭受攻击时。
Cisco Catalyst 4500系列可以利用CPU QoS支持类似的功能,它可以为CPU提供多个队列。每个队列会获得一定的CPU带宽。这将由一个循环调度程序设置。这限制了任何特定的流量类型的带宽,有助于防止因为某一个队列(或者某一种流量)导致处理器过载。在正常情况下,这些队列让CPU能够以必要的处理能力应对所有的控制分组。另外,速率限制还可以被应用于ARP和DHCP分组,以确保在Cisco Catalyst 4500 CPU遭受攻击时,优先级流量仍然会得到处理。
保护终端设备
除了保护自身以外,Cisco Catalyst交换机还必须保护它所连接的用户和服务器。与那些会导致网络中断的攻击不同,很多针对用户和服务器的攻击是悄悄进行的。这些通常被称为“中间人”的攻击采用的都是一些可以从互联网上下载的通用工具。这些工具使用的多种机制让恶意用户可以监视其他员工、经理或者高层管理人员, 这可能会导致保密信息失窃或者隐私遭到侵犯。
根据上文提到的2003年度CSI/FBI 计算机犯罪和安全调查,这种攻击导致了超过7000万美元的损失。75%的受访者认为心怀不满的员工是这种攻击的主要来源。另外,新的隐私保护法律意味着如果您的网络中的保密数据不慎丢失,您可能会遭到严重的处罚。例如,美国的健康保险便携与责任法案(HIPAA)规定,如果保密的电子医疗信息的安全性受到威胁,最高可能判处25万美元的罚款和5年有期徒刑。Cisco Catalyst交换机提供的多种功能可以制止这些攻击,保护数据和用户的完整性。
表2 中间人攻击和解决方案 伪装DHCP服务器
黑客获取某个交换网络的控制权的最佳途径之一是伪装DHCP服务器发送错误的地址和缺省网关信息。(值得一提的是,这种情况可能会在无意中发生,例如某个配置错误的用户会充当一台DHCP服务器,向其他用户发送地址。)通过伪装DHCP服务器,发出DHCP地址请求的用户实际上不会连接到DHCP服务器,而是会被恶意用户提供一个地址。这是恶意用户窃取保密信息的计划的第一步。
DHCP监听是防范这种攻击的第一步。Cisco Catalyst交换机上的这项功能有助于确保只有一台交换机上的特定端口可以处理DHCP信息和DHCP请求。这项功能定义了可靠端口(可以发送DHCP请求和确认消息的端口)和不可靠端口。后者只能转发DHCP请求。可靠端口是那些连接到DHCP服务器本身,或者将交换机连接到网络其他部分的交换端口(例如上行连接)的端口。如果某个恶意用户试图向网络中发送一个DHCP确认(ACK)分组,该端口就会被禁用。这项功能让交换机可以建立一个DHCP绑定表,映射客户端的MAC地址、IP地址、VLAN和端口ID。该表是其他可以进一步防范攻击的Cisco Catalyst功能的基础。
该功能还可以结合DHCP选项82。后者使交换机可以将关于自身的信息加入到DHCP分组中。最常见的插入信息是DHCP请求的物理端口。这可以为网络提供重要的信息,以防止恶意的设备和服务器接入网络。
利用免费ARP分组伪装身份
终端可以通过发送一个ARP分组,发现它的缺省网关的IP地址,并将其映射到网关IP地址。这是IP网络中一个常见的操作步骤。但是,这也是ARP的一个安全漏洞――一个路由器或者终端可以发送一个免费ARP,即一个主动提供的ARP应答。这种攻击通常被称为“ARP中毒”。通过发送免费ARP,恶意用户可以伪装缺省网关,或者网络中的任何其他设备,从而将自己置于用户和真正的缺省网关之间。这让恶意用户可以在不知情的用户和缺省网关之间监视用户发出的所有数据。问题在于,缺省网关和最终用户都不知道攻击的存在。因此,恶意用户可以随心所欲地监视保密信息,从而让他们有足够的时间查看密码、电子邮件和交易信息等。
Cisco Catalyst交换机为阻止这种攻击提供了一种名为DAI的功能。与DHCP监听一样,DAI使用了可靠和不可靠端口的概念,以确定哪些ARP分组需要检测。为此,DAI会拦截所有ARP分组,检查它们的MAC-IP绑定关系是否正确。这是通过DHCP监听所建立的DHCP绑定表而实现的。如果某个ARP分组到达了一个可靠端口,就不需要进行任何检查。如果它到达了一个不可靠端口,就需要对ARP分组进行检查,并与DHCP绑定表相比较。
例如,用户John Smith的IP地址为172.20.24.45,MAC地址为00aa.0062.c609,位于端口FastEthernet 3/47上(一个不可靠端口)。这些信息都被记录在DHCP绑定表之中。如果John Smith向网络发出一个免费ARP分组,DAI就会检查该ARP分组,将它的信息与DHCP绑定表中的信息对比。如果不匹配,该ARP分组就会被丢弃。
伪装一个IP地址
恶意用户可能采取的另外一种攻击形式是伪装不知情用户的IP地址。在大部分操作系统中,这一点很容易做到。这将让恶意用户看起来似乎位于另外一个子网上,或者可以绕过ACL。利用DHCP绑定表,IP源保护可以检查IP地址与MAC地址、端口和相关VLAN的绑定关系。这是通过在Cisco Catalyst三重内容可寻址存储(TCAM)中自动设置一个ACL实现的。它限制了某个端口只能处理由DHCP提供给终端的IP地址。如果某个IP地址与绑定表中的信息不符,该端口将会被禁用。
中间人攻击制止方法综述
Cisco Catalyst交换机为阻止中间人攻击提供了内置的功能。这些攻击本身通常包含多个步骤:访问端口,发出伪装的DHCP信息和免费ARP,或者盗用其他的、由DHCP提供的IP地址。为了制止这些攻击,建议将所有这些功能结合到一起。这些功能的核心是DHCP绑定表。该表首先通过DHCP监听填充。DAI和IP源保护可以利用该表进一步防范其他的攻击方法。通过这种方式,可以保护网络隐私,防止重要的或者保密的信息被攻击者窃取。
集成化防火墙和入侵检测
大型企业和商业企业面临的威胁的增长迫使网络管理人员必须更加主动地在整个网络中部署威胁防御设备。因为园区和分支机构网络以千兆位速度运行,必须将这些功能集成到LAN交换基础设施之中。Cisco Catalyst 6500可以通过将专门用于高级服务的处理能力集成到平台之中,提供业界领先的服务平台。
防火墙是专门充当访问控制系统的设备,可以检查进出网段的所有分组。根据安全策略,防火墙可以允许或者拒绝进出网段的任何流量,提供更加精确的网络控制。防火墙通常位于互联网边缘。在网络的这个环节,安全策略显然非常关键。但是,对于保护网络基础设施中的连接的需求促使企业在网络内部部署防火墙。
入侵检测系统(IDS)也被广泛地用于威胁防御。IDS设备和模块位于数据路径之中,寻找表明攻击正在进行的特定模式。这可以通过匹配特定攻击的模式或者特征实现,或者通过寻找异常的网络行为实现。越早检测到攻击或者网络入侵,就能越快地加以阻止。
Cisco Catalyst 6500的防火墙服务模块(FWSM)是第一个(也是唯一一个)集成到多层交换平台中的防火墙。防火墙通常关系到“如何将入侵者拒之门外”,部署在互联网边缘。这一般是安全运营部门的考虑因素。但是,在数据速率较高的情况下引入防火墙可以为将用户划分不同的安全工作组提供独特的支持。这种能力可以帮助企业在他们的网络中提供更高级别的安全性,更好地将安全策略映射到工作组,确保这些策略可以用于各种用户――无论他们位于网络中的什么位置。
用于Cisco Catalyst 6500的入侵检测服务模块(IDSM)可以直接将入侵检测集成到交换机数据流中,连入Cisco Catalyst 6500高速交换矩阵。IDSM可以覆盖交换机上设置的所有VLAN,扫描所有入侵特征。
安全连接系统
在任何一个企业中,隐私保护都是一个重要的考虑因素。每个人都希望他们的办公桌和个人空间受到尊重和不被打扰,也不希望他们的计算机和数据被未经授权的人员使用和查看。对于隐私的期望也拓展到了网络本身。本文已经介绍了很多功能。它们可以通过控制网络访问权限和防止各种攻击,保护网络隐私。但是,有些企业和一些独特的部署环境――例如机场和大学――需要在园区交换基础设施中实现更高的隐私保护等级。
安全连接系统通常需要使用VPN。基于公共互联网的VPN需要在客户和企业之间建立一个隐私的、保密和受保护的连接。但是,VPN的概念多年来已经在园区交换的多个方面得到了广泛的应用。尽管更加严格的安全需求对网络架构提出了更多的技术要求,但是这些概念仍然与过去一样。
安全连接建立在分区的基础之上。分区实际上是指根据多项标准,将网络划分为多个子工作组:网络寻址,用户和配线间的位置,物理工作组-用户的映射关系,或者连接到网络的用户或者设备的身份识别。本节将介绍如何划分网络和提供额外的安全保护。下面列出了安全连接系统的主要组成部分:
· 虚拟LAN——第二层的流量划分
· 虚拟防火墙——在VLAN边界执行策略
· 安全传输——利用多协议标签交换(MPLS)在公共骨干网上划分工作组流量
虚拟局域网和专用VLAN
从1994年面世以来,VLAN一直是第二层交换的组成部分。它的基本概念相当简单:一个通用的交换基础设施被划分为不同的广播域,每个拥有它自己的LAN。利用思科交换机间连接(ISL)和后来出现的标准IEEE 802.1Q,这些单独的VLAN可以穿越整个交换基础设施。第三层交换的推出和集中的数据服务器、资源消除了让这些工作组跨越整个企业的需求。但是,很多企业正在重新评估将工作组分配到整个企业的需求,而VLAN成为这个流程的第一步。必须指出的是,安全连接并不需要VLAN端到端地穿越整个企业;它们仅仅是在交换基础设施上进行分区的第一种方法。
另一种用于保护隐私的VLAN功能是专用VLAN,它主要是一个较大的VLAN中的一些较小的、需要隐私保护的子VLAN。这种需求首先出现在托管数据中心,但是在拥有多个连接到同一个基础设施的独立群组的网络中也很常见。专用VLAN会指定特殊的端口类型:一个混合端口,一个隔离端口,以及一个社区端口。混合端口可以与所有专用VLAN中的所有端口通信,例如一个上行连接端口。隔离端口只能与混合端口通信。最后,社区端口可以与所有混合端口以及它自己的专用VLAN中的所有其他端口通信。在任何情况下,一个专用VLAN中的端口都不能在第二层与其他专用VLAN的端口通信;为此,分组必须被发送到缺省网关,在第三层路由,再被发回。通过这种方式,可以确保隐私和策略的执行。
虚拟防火墙
实际上,很多企业网络都像是服务供应商――需要为每个“客户”提供安全的服务。在一些大型企业中,需要根据各个部门所需要的服务水平,就网络的使用向不同部分计费。在其他一些网络中,例如机场网络,不同公司都在使用同一个骨干网,并且必须彼此隔离。加上人们对于工作组隐私的要求,网络的虚拟化特质导致了虚拟防火墙的出现。
虚拟防火墙功能可以利用Cisco Catalyst 6500中的FWSM,划分网络中的不同工作组。在这种情况下,FWSM相当于网络中的多个防火墙,每个都具有自己的策略(NAT、ACL等)。如果位于需要汇聚多个配线间的网络分布层,虚拟防火墙可以将网络划分为多个安全域,针对每个“客户”实现极为精确的策略控制。VLAN现在可以用做分区的初级方式,即将每个VLAN对应到FWSM上的一个虚拟防火墙。这可以隔离交换域中的不同VLAN,同时保护在通用骨干网上传输的流量。
利用MPLS在骨干网上传输
安全连接在交换基础设施中的最后一个环节是怎样真正地在公共骨干网上传输安全的工作组流量。在一个第三层路由网络中,不再存在VLAN,流量以一种开放的方式从源发送到目的地。必须在骨干网上保障通信的安全。幸运的是,IP骨干网提供了可以重叠于公共骨干网上的安全传输机制。MPLS是一种可以实现工作组流量的安全传输的机制。
随着企业对于分区的需求的不断增长,已经在服务供应商环境中长期使用的MPLS正在成为一种极具吸引力的园区技术。RFC 2547中定义的MPLS VPN允许在MPLS网络中存在多个具有自己的虚拟路由和转发(VRF)表的工作组。每个VRF表都映射到某个特定的“客户”。该客户的流量将通过公共骨干网基础设施传输。MPLS设定了两种路由器:供应商边缘(PE)和供应商(P)路由器。每个都具有特定的功能,可以让VPN正常发挥作用。
在一个园区MPLS部署中,供应商边缘路由器可以从“客户边缘”路由器接收路由。后者位于网络边缘,可以将VPN范围拓展到路由域的边缘。在一个园区VPN部署中,客户边缘通常是一台集中了安全服务的LAN交换机或者多层交换机。供应商边缘路由器随后将通过MPLS骨干网,把这些路由发送到其他供应商边缘路由器。供应商路由器位于网络中央,也被称为标签交换路由器(LSR)。它们将提供传输服务。必须注意的是,只有在供应商边缘才需要VPN信息。VPN在供应商边缘进行划分;只有属于某个特定VPN的供应商边缘需要获得该VPN的信息。另外,因为P路由器根据分组所附加的标签进行交换,它们也需要知道VPN的信息。这可以提高P路由器的路由表的可扩展性。
MPLS骨干网的入口由供应商边缘控制,从而让网络工程师可以控制VPN的接入点的位置和数量,以及安全策略。这种接入点为大型或者小型园区提供了集中的服务和策略。通过在供应商边缘集中这些服务,可以提供很多重要的优势。首先,网络工程师可以减少网络中的ACL。其次,网络工程师可以针对大部分的网络,管理VPN之间的过渡区域和对共享资源(例如数据中心、WAN或者互联网)的访问。最后,服务集中可以实现那些提供防火墙和入侵检测的服务模块或者设备的共享。例如,Cisco Catalyst 6500防火墙虚拟解决方案是这个系统的重要组成部分,它可以在VPN到MPLS云之间充当防火墙,从而加强安全性和隐私保护。
Cisco Catalyst智能交换产品系列
思科提供了目前网络行业最全面的交换产品系列。这些产品可以部署在企业、服务供应商和商业应用中,提供旨在防范、制止安全漏洞、攻击和入侵,以及从灾难中恢复的安全功能。
Cisco Catalyst 6500系列
Cisco Catalyst 6500系列是业界最灵活、最具创新性的交换平台,也是思科最主要的交换平台。它为园区和服务供应商环境中的IP通信和应用供应树立了标准。从1999年面世以来,该平台通过支持所有线路卡和Supervisor Engine,提供了全面的投资保护。Cisco Catalyst 6500系列已经从带有Supervisor Engine 1的32Gbps系统发展到了既能支持每秒处理多达4亿个分组的性能,由能保持向后兼容的720Gbps系统。今天,Cisco Catalyst 6500系列为10/100、10/100/1000千兆位以太网和万兆位以太网提供了业界最高的端口密度。
Cisco Catalyst 6500支持范围最广泛的硬件和软件安全功能,其中包括用于身份识别和制止中间人攻击的功能。以前必须为部署防火墙、入侵检测和安全套接字层(SSL)端接部署单独设备的网络管理人员现在可以利用各种功能模块,将这些功能全部集成到Cisco Catalyst 6500中。这些业界独创的专用模块不仅提供了高速的、可由交换机管理的服务,而且还可以提供Gb级的性能。除了集成化的信任关系、身份识别和威胁防御以外,Cisco Catalyst 6500还可以通过VPN服务模块,提供出色的安全连接功能,包括IP VPN汇聚等;它还在硬件中集成了多种安全传输技术,例如MPLS和通用路由封装(GRE)。这些模块可以部署在园区环境中,创建虚拟的、安全的工作组,或者在数据中心提供一个集成化的服务平台。
最后,Cisco Catalyst 6500可以通过多种功能制止DoS攻击。这包括基于CPU的速率限制,它让网络管理人员可以利用各种过滤器保护交换机处理器。针对每个端口的Scavenger Class排序可以通过丢弃超出某个端口限制的过剩流量限制攻击范围。
Cisco Catalyst 4500系列
Cisco Catalyst 4500系列交换机专门为企业配线间、分支机构和小型第三层分布点而设计。Cisco Catalyst 4500系列包括多种型号,可以支持三种Supervisor Engine和广泛的线路卡,包括高密度,10/100,10/100/1000(都带有802.3af互联网供电[PoE]选项),100BASE-FX,以及1000BASE-X。Cisco Catalyst 4500系列可以通过扩展,在铜缆或者光纤接口上支持336个10/100/1000端口,并且适于部署在企业配线间、小型骨干网和分支机构环境中。在Cisco Catalyst 4500系列中,所有系统智能都位于Supervisor Engine中――将来可以通过升级Supervisor Engine,逐步添加基于硬件的功能,例如Ipv6和万兆位以太网。今天的Supervisor Engine最高可以提供96Gbps的交换容量和每秒7200万个分组的交换性能。
对于配线间环境的关注使得Cisco Catalyst 4500系列具有了多种适用于配线间的特性和功能。与Cisco Catalyst 6500一样,Cisco Catalyst 4500支持多种信任关系和身份识别功能,包括802.1x和它的很多扩展。另外,Cisco Catalyst 4500还可以在网络入口阻止中间人攻击――在这些攻击深入网络之前及时加以阻止。最后,Cisco Catalyst 4500可以部署多个基于CPU的队列,其中每个都具有带宽限制。这可以在DHCP和ARP分组的基础上限制DoS攻击的影响。
Cisco Catalyst 3750系列
创新的Cisco Catalyst 3750系列交换机通过结合业界领先的易用性和所有可堆叠交换机中最高的永续性提高了LAN运营性能。该产品系列代表了桌面交换机的下一代产品。它采用了Cisco StackWise技术,以及一个让客户可以构建统一的、高度灵活的交换系统(一次一台交换机)的32Gbps堆栈互联。对于中型机构和大型企业分支机构,Cisco Catalyst 3750系列提供了集成的安全功能。它们可以确保身份识别和访问控制,以及制止各种常见的中间人攻击。
Cisco Catalyst 3560
Cisco Catalyst 3560系列交换机通过提供独立的、固定配置的、支持IEEE 802.3af的交换机,以及思科预标准PoE交换机弥补了Cisco Catalyst 3750产品系列的不足。在快速以太网配置方面,Cisco Catalyst 3560可以为提高网络运营效率提供出色的可用性、安全性和QoS。这些交换机适于在那些不需要很高密度,但是仍然需要智能交换服务(例如可用性和安全性)的小型配线间和分支机构中的独立部署。与其他固定配置交换机一样,Cisco Catalyst 3560系列内嵌了思科集群管理套件(CMS),它让用户可以利用一个标准的Web浏览器同时配置和诊断多台Cisco Catayst桌面交换机。
Cisco Catalyst 3550系列
Cisco Catalyst 3550系列智能以太网交换机为中型企业和大型企业分支机构带来了大型企业级别的功能。这些采用了线速快速以太网和千兆位以太网配置的交换机可以支持多种智能服务,例如高级QoS和速率限制,安全ACL,组播,以及IP路由。这些交换机可以充当中型企业和大型企业分支机构配线间的接入和分布层交换机。Cisco Catalyst 3550不仅为802.1x身份验证和来宾VLAN提供了基本的安全功能,还提供了用于防范MAC泛洪攻击的端口安全和用于安全远程交换机管理的SSH和SSL。
让您的网络具备自防御能力
Cisco Catalyst LAN交换是思科自防御网络计划的重要基础。通过保护基础设施、用户、服务器和交换机本身,Cisco Catalyst 集成化安全可以在一个大企业或者小型企业的总体安全战略中提供第一道防线。思科在LAN交换的安全领域处于业界领导地位,一直致力于推动各种用于保护、控制和隐私保护的安全功能的开发和部署。
思科创新的集成化安全系统可以通过在思科路由器、交换机、终端软件和专用安全设备中使用各种模块化的、丰富的安全服务,帮助企业部署可靠的、受到严格保护的业务应用和服务。思科集成化安全系统集成了一组全面的、功能丰富的安全服务(VPN、威胁防御、身份识别等)。它们可以被灵活地用于独立设备(包括Cisco PIX安全设备、Cisco IDS入侵监测器和思科VPN集中器),用于路由器和交换机的安全硬件模块和软件,用于台式机和服务器的安全软件代理,信任关系和身份识别管理系统。另外,思科集成化安全系统还可以对所有安全技术进行集中的管理和分析,从而构成了市场上最完整的安全系统。 |
|
IP卡
狗仔卡
发表于 2007-5-21 08:59:38
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡