交换机安全专题全景图

当今社会,网络已经成为人们传递信息的重要工具,随着网络的应用越来越广泛,安全问题就变得日益突出 。在网络中占有重要地位的交换机,不可避免的成为黑客攻击的重点对象 。交换机的核心在于"交换",因此交换机安全最重要的任务就是能够正常转发数据,并保证数据在传输过程中不被截获或者篡改 。而交换机的网络安全主要包括以下三个方面:
保密性:交换机存储、处理和传输的信息,不会被泄露到非授权的用户、实体或过程 。即信息只为授权用户使用 。
完整性:信息未经授权不能进行改变的特性 。即网络信息在交换机存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等行为破坏和丢失的特性 。
可用性:在要求的外部资源得到保证的前提下,交换机在规定的条件下和规定的时刻或时间区间,处于可执行规定功能状态的能力 。业务持续可用,满足电信级服务质量要求 。
为了达到这个目的,S交换机的安全从以下三个平面进行了规划部署 。
图1 S交换机安全规划部署图

交换机安全专题全景图

文章插图
 
接入平面
接入平面的安全重点在于确保设备能够被合法管理,具体指哪些用户可以登录设备,登录到设备上
的用户又可以进行哪些操作 。
如图1所示,S交换机接入平面的安全主要通过管理员登录和用户接入来保证 。
管理员登录就是保证管理员安全的管理设备,交换机通过设置用户名和密码、ACL限制用户登
录,通过STelnet登录方式保证管理员登录过程安全,通过设置用户的级别控制用户操作权限 。
用户接入指的是通过对接入用户进行认证、授权,保证只有合法安全的用户才能通过交换机接
入网络 。
控制平面
控制平面主要采用CPU实现转发的控制 。CPU就像我们的大脑,指挥着设备各项机能的正常运转 。
CPU的安全是设备和协议正常运行的前提 。我们都知道如果电脑打开的程序太多,运行过程中就会
出现卡顿,设备也是一样的道理 。如果上送CPU处理的协议报文过多,CPU就会很繁忙,设备性能就
会下降,业务就会中断 。因此,作为交换机的核心部件,CPU也就成为非法用户攻击的对象 。
网络攻击可能会导致CPU高,但是CPU高并不一定是网络攻击引起的,还有可能是硬件故障、网络震
荡、网络环路等原因,本专题仅介绍由网络攻击引起的CPU高,其他内容请参见"华为S系列园区交
换机维护宝典" 。
为了保证CPU的正常运行,交换机使用默认的CPCAR值对上送的协议报文进行限速 。
图2 CPU防攻击处理流程
交换机安全专题全景图

文章插图
 
如果经过交换机默认的CPCAR限速后,上送CPU的报文依然超过了CPU可以处理的范围,CPU利用
率很高,还可以通过以下方式做进一步的处理:
调整CPCAR值:缩小CPCAR值,减少上送CPU的协议报文的数量;
攻击溯源:对上送CPU的报文进行分析统计,设置检查阈值,对于超过检查阈值的报文执行相
应的惩罚措施,如丢弃报文、Shutdown接口、设置黑名单等 。
转发平面
转发平面的作用就是通过查询转发表项指导数据流量正确转发,因此针对转发平面的攻击无外乎两
种:
1) 耗尽转发表资源,导致合法用户的转发表无法被学习,合法用户的流量无法被转发
【交换机安全专题全景图】2) 篡改转发表,导致合法用户的流量转发至错误的地方 。
那么交换机又是怎么预防这些攻击的呢?下面基于交换机网络部署位置,分别讲下二层网络的防攻
击方法和三层网络的防攻击方法 。
二层网络
二层网络数据转发的核心是mac表,所有数据流量的转发都需要查找MAC表,因此MAC表也就
成为非法用户攻击二层网络的主要目标 。非法用户通过发送大量的报文,迅速耗尽MAC表资源,
使报文因查找不到MAC表项进行广播,从而占用带宽资源,产生广播风暴 。交换机支持通过MAC
学习控制、DHCP Snooping和风暴抑制等方式来保护MAC表的安全 。
三层网络
三层网络数据转发依赖ARP表和路由表 。路由表是通过协议协商生成的,因此非法用户很难对
此进行攻击 。ARP表是通过协议报文生成的,非法用户可以发送大量的协议报文或者伪造协议
报文使ARP表项出现异常 。因此ARP表是交换机在三层网络中保护的主要对象 。交换机支持通过


推荐阅读