OSI第二层网络架构安全要素（下）

阻止CAM表格以及DHCP耗尽

黑客们可以利用这样一个事实，那就是交换机和DHCP服务器所能保留的MAC地址或IP地址是有限的。黑客可以修改自己的MAC地址，并从DHCP服务器上要求多个DHCP地址，直到用尽DHCP池中每一个单独IP地址。黑客也可以非常迅速的修改自己的MAC地址，从而快速的将任意以太网交换机的CAM表格占满。一旦一台以太网交换机的CAM表格被塞满，它事实上就变成了一个以太网集线器。不仅会导致性能的急剧降低，同时交换机将被迫的向每一个端口广播所有的网络通信，这让黑客可以偷听交换机上的每一台设备，看起来就像是在使用一台集线器一样。要阻止CAM表格攻击以及DHCP耗尽攻击，你必须按照下属示例的方法对端口防护进行正确的配置。

注意，你必须禁止那些连接其他交换机的端口的安全。

阻止DHCP，MAC，以及IP欺骗

ARP以及IP欺骗允许黑客佯装其他人，从而截取通讯。DHCP欺骗则允许一个黑客将一个信任客户端放入一个伪造IP范围的以太网段上，从而淹没攻击者达到网络的其他地方。所有这些方式都是为了截取网路通讯，以便攻击者可以嗅探内部局域网上的各种秘密。你可以通过部署DHCP调查，动态ARP检查，以及IP源地址防护来阻止这些攻击。 

要注意，Cisco Catalyst OS不支持这些反欺骗功能，所以将你的大CAT OS迁移到Native OS上是一个很好的想法。这意味着你将不得不将你的MSFC路由器和CAT OS 交换机合并到一个单一的Native IOS镜像里。

对Layer 2的防护，以及强化交换机架构，应对内部局域网威胁而言，反欺骗绝对是一个非常重要的部件。内部威胁应当和外部威胁处于同等重要地位，因为一台简单的被恶意软件所侵害的工作站，加上rootkit工具，即可将一个外部威胁立刻转变成为内部威胁。
 
限制STP域的大小

这也是在交换机架构方面常常为人忽视的一个方面。一个单一STP（展开树协议）域应当永远不允许长得太过巨大或者变成极度复杂。我曾在一个大学校园里，碰到一个个人用户，仅仅因为偶然插入一个小型桌面交换机，而后偶然的将CAT-5电缆接成自我回环，就瘫痪了整个校园的数千台电脑和IP电话。无论何时，一旦STP域中发生BPDU请求而导致STP重新计算的话，那些同样含有校园网VLAN的网络就会神秘中断，每次都会锁定整个校园网长达30秒之久。数据网络的中断已经够惨了，但是它同时还会导致IP电话架构瘫痪。于是数以百计的人们根本无法工作，因为没有数据，同时也没有了电话。

要避免过大和过于复杂的STP拓扑结构，你必须路由通讯，而不是交换通讯。实际上，这意味着你必须使用layer 3兼容交换机来取代Layer 2交换机，因为后者仅知道如何交换通讯，而不懂如何路由通讯。这也意味着VLAN将无法在那些不属于统一STP交换域的交换机之间展开。这种结构改变可能意味着整个校园局域网的基础架构重新设计，这可不是一件轻松的事情，但是在部署任何IP电话系统之前，这些问题必须被考虑。

维护交换机软件到最新的稳定版本

在网络安全方面，最大以及最常见的罪恶之一，就是人们假设交换机以及架构上的路由是和铅制造一样的，并且你永远不需要去碰它。但是如果你是在运行一台Cisco交换机或者路由器，而它的软件镜像是半年之前的话，那么在你的交换机或者路由器上就很可能存有某些漏洞。说起来很悲哀，但是我的确看到人们在他们的Cisco设备上，运行3年以前或者4年以前的软件镜像，而没有任何想法。

永远更新你的网络设备，就像你不断从硬件厂商那里获取稳定的软件来更新你的客户端以及服务器电脑一样，并始终对相关的更新保持留意。所有的网络和安全工程师都应当问自己一句“上一次我对网络设备软件升级是什么时候了？”。制定出一份行动计划，其中包括一个立即执行的计划，以及一个长期实行的计划，并将其用于管理之中。保持你的远见，提前消除事故，而不是去等待事故的发生。

最终想法

Layer2 安全是信息安全方面最被人忽视的一个方面，常常被安全审核错过，特别是当那些审核更多的聚焦在策略之上，而不是实际部署的时候。黑客们不关心策略，他们只会利用任何可用的安全漏洞。在获得网络中单台电脑的根用户权限后，他们第一时间要做的事情之一，就是实施Layer 2攻击。Layer 2攻击常常被忽视的另一个方面，就是那些部署基于VPN的无线网络安全的公司。一旦不可靠的匿名客户端被允许进入一个AP，而AP通常都会直接连上一台内部交换机，并由VLAN进行分段，而你可能就会忘记Layer安全。要限制来自AP的MAC地址数量非常困难。基于这个原因，高度建议基于VPN的无线局域网安全，应当避免使用基于802.1x的无线局域网安全。

越过这些锁闭进程之后，则是Layer 2交换机安全的下一步，关于无线局域网802.1x安全的有线版。幸运的是，用于无线局域网认证的同一架构也适用于有线认证。基于端口的安全措施基本上说起来都是——即使你插入了一个端口，我们也不会让你进入我们的Layer 2交换机架构的，除非你能证明你是谁，以及你是被许可进入网络的。尽管许多公司已经部署了802.1x无线局域网安全，但部署802.1x有线版的还是很少。Windows XP自动进行无线局域网802.1x配置，但是不会自动进行802.1x有线局域网配置。这一点会在Vista中进行改变，无论有线还是无线的802.1x局域网都会自动进行配置。

除了对802.1x的增强之外，Vista也增加了NAP（网络访问保护）客户端，也就是微软版本的NAC（网络访问控制）标准。NAP或者NAC使用了802.1x基于端口的安全理念，并更进一步，不仅在它们被允许连上网络之前，要求来自客户端的认证和许可，同时也核定客户端的健康状况。如果一个客户端可以证明自己是谁，并证明自己得到网络的认证，他们还依旧必须证明自己是足够健康的。NAC健康通常被定义为完全进行了安全补丁方面的更新，正确部署了防火墙，并使用了最新的防病毒库定义。如果一个认证的客户端电脑不能通过健康测试，他们将被放入网络上的一个受限隔离区，直到他们使用正确的更新将自己修正完毕为止。

今天的无损耗网络，部署的是文章中记述的所有锁闭进程。而明天的无损耗网络，将部署本文中除NAP/NAC以外的所有一切。

（责任编辑:陈毅东）