宋麗娜 榮鈺
網絡安全不再單純依賴單一設備和單一技術來實現已成為業界共識。交換機作為網絡骨干設備,自然也肩負著構筑網絡安全防線的重任。
蠕蟲病毒攻擊網絡設備
蠕蟲病毒發作導致網絡吞吐效率下降、變慢。如果網絡中存在瓶頸,就會導致網絡停頓甚至癱瘓。這些瓶頸可能是線路帶寬,也可能是路由器、交換機的處理能力或者內存資源。需要指出的是,網絡中的路由器、交換機已經達到或接近線速,內網帶寬往往不收斂,在這種情況下,病毒攻擊產生的流量對局域網內部帶寬不會造成致命堵塞,但位于網絡出口位置的路由器和位于網絡核心位置的三層交換機卻要吞吐絕大多數的流量,因而首當其沖地受到蠕蟲病毒的攻擊。接入層交換機通常需要與用戶終端直接連接,一旦用戶終端感染蠕蟲病毒,病毒發作就會嚴重消耗帶寬和交換機資源,造成網絡癱瘓,這一現象早已屢見不鮮。
蠕蟲病毒對網絡設備的沖擊形式主要有兩種:一是堵塞帶寬,導致服務不可用;二是占用CPU資源,導致宕機,紅色代碼、Slammer、沖擊波等蠕蟲病毒不停地掃描IP地址,在很短時間內就占用大量的帶寬資源,造成網絡出口堵塞。宕機共分幾種情況:一是普通三層交換機都采用流轉發模式,也就是將第一個數據包發送到CPU處理,根據其目的地址建流,頻繁建流會急劇消耗CPU資源,蠕蟲病毒最重要的攻擊手段就是不停地發送數據流,這對于采用流轉發模式的網絡設備是致命的;二是如果網絡規劃有問題,在Slammer作用下導致大量ARP請求發生,也會耗盡CPU資源。再比如,Slammer病毒擁塞三層交換機之間鏈路帶寬,導致路由協議的數據包(如Hello包)丟失,導致整個網絡的路由震蕩。類似的情形還有利用交換機安全漏洞對交換機CPU等資源發起的DoS攻擊。在2003年第5期報紙上,我們曾集中介紹了路由器的安全問題,在這期報紙上我們將集中介紹交換機的安全問題。
交換機需要加強安全性
以太網交換機實際是一個為轉發數據包優化的計算機。而是計算機就有被攻擊的可能,比如非法獲取交換機的控制權,導致網絡癱瘓,另一方面也會受到DoS攻擊,比如前面提到的幾種蠕蟲病毒。
它們都利用了交換機的一些漏洞。一般交換機可以作生成權維護、路由協議維護、ARP、建路由表,維護路由協議,對ICMP報文進行處理,監控交換機,這些都有可能成為黑客攻擊交換機的手段。
蠕蟲病毒的攻擊,使網絡設備廠商和用戶都開始注重交換機的安全性。對于交換機安全性的理解,近48%的用戶認為交換機的安全性是指交換機本身具有抗攻擊性和安全性,31%的用戶認為是指交換機攜帶了安全模塊,21%的用戶認為兩者兼備。絕大數網絡設備廠商認為交換機的安全性需經過特殊設計、提高了抗攻擊能力,同時具有一定的安全功能。
傳統交換機主要用于數據包的快速轉發,強調轉發性能。隨著局域網的廣泛互連,加上TCP/IP協議本身的開放性,網絡安全成為一個突出問題,網絡中的敏感數據、機密信息被泄露,重要數據設備被攻擊,而交換機作為網絡環境中重要的轉發設備,其原來的安全特性已經無法滿足現在的安全需求,因此傳統的交換機需要增加安全性。
在網絡設備廠商看來,加強安全性的交換機是對普通交換機的升級和完善,除了具備一般的功能外,這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網絡安全和用戶業務應用出發,能夠實現特定的安全策略,預防病毒和網絡攻擊,限制非法訪問,進行事后分析,有效保障用戶網絡業務的正常開展。實現安全性的一種作法就是在現有交換機中嵌入各種安全模塊。不同用戶有不同的需求,25%的用戶希望交換機中增加防火墻、VPN、數據加密、身份認證等功能,37%的用戶表示需要直接使用安全設備,48%的用戶表示兩種方式都需要。
在現階段,由于有過被攻擊的經歷,絕大多數用戶對增強安全性的交換機表示出濃厚興趣,18%的用戶表示在三個月之內購買,29%的用戶會在半年之內購買,19%的用戶打算在一年之內購買,只有34%的用戶表示近期不作考慮。同時,用戶對這種加強安全性的交換機的價格也表現出理性態度:8%的用戶希望能與傳統交換機價格相當,4%的用戶接受高于傳統交換機20%以上的價格,而88%的用戶接受10%~20%的價格上浮。
安全性加強的交換機本身具有抗攻擊性,比普通交換機具有更高的智能性和安全保護功能。在系統安全方面,交換機在網絡由核心到邊緣的整體架構中實現了安全機制,即通過特定技術對網絡管理信息進行加密、控制;在接入安全性方面,采用安全接入機制,包括802.1x接入驗證、RADIUS/TACACST、MAC地址檢驗以及各種類型虛網技術等。不僅如此,許多交換機還增加了硬件形式的安全模塊,一些具有內網安全功能的交換機則更好地遏制了隨著WLAN應用而泛濫的內網安全隱患。目前交換機中常用的安全技術包括以下幾種。
流量控制技術 把流經端口的異常流量限制在一定的范圍內。許多交換機具有基于端口的流量控制功能,能夠實現風暴控制、端口保護和端口安全。流量控制功能用于交換機與交換機之間在發生擁塞時通知對方暫時停止發送數據包,以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小,對超過設定值的廣播流量進行丟棄處理。 不過,交換機的流量控制功能只能對經過端口的各類流量進行簡單的速率限制,將廣播、組播的異常流量限制在一定的范圍內,而無法區分哪些是正常流量,哪些是異常流量。同時,如何設定一個合適的閾值也比較困難。
訪問控制列表(ACL)技術 ACL通過對網絡資源進行訪問輸入和輸出控制,確保網絡設備不被非法訪問或被用作攻擊跳板。ACL是一張規則表,交換機按照順序執行這些規則,并且處理每一個進入端口的數據包。每條規則根據數據包的屬性(如源地址、目的地址和協議)要么允許、要么拒絕數據包通過。由于規則是按照一定順序處理的,因此每條規則的相對位置對于確定允許和不允許什么樣的數據包通過網絡至關重要。
安全套接層(SSL) 為所有 HTTP 流量加密,允許訪問交換機上基于瀏覽器的管理 GUI。
802.1x和RADIUS 網絡登錄 控制基于端口的訪問,以進行驗證和責任明晰。
源端口過濾 只允許指定端口進行相互通信。
Secure Shell (SSHv1/SSHv2) 加密傳輸所有的數據,確保IP網絡上安全的CLI遠程訪問。
安全FTP 實現與交換機之間安全的文件傳輸,避免不需要的文件下載或未授權的交換機配置文件復制。
但是有安全功能不等于就行,一些交換機具有ACL,但如果ASIC支持的ACL少仍舊沒有用。一般交換機還不能對非法的ARP(源目的MAC為廣播地址)進行特殊處理。網絡中是否會出現路由欺詐、生成樹欺詐的攻擊、802.1x的DoS攻擊、對交換機網管系統的DoS攻擊等,都是交換機面臨的潛在威脅。
交換機與IDS聯動
傳統的IDS系統一直倍受爭議,原因有四點:一是誤報率和漏報率太高;二是沒有主動防御能力,只能被動防守;三是缺乏準確的定位和處理機制,只能識別IP地址,無法定位IP地址;四是性能普遍不足,不能適應交換技術和高帶寬環境,大流量沖擊和多IP分片情況都可能造成IDS癱瘓或丟包,容易遭到DoS攻擊。
在采訪網絡設備廠商的過程中,思科、華為3Com、港灣都提到了交換機與IDS的聯動,大家認為,交換機IDS聯動,能夠克服IDS的不足,實現雙贏效果。眾所周知,黑客和病毒都是依賴網絡平臺進行攻擊,將IDS作為監控系統,與交換機進行聯動,就能在網絡平臺上切斷黑客和病毒的傳播途徑,實現意想不到的安全效果。具體來說,IDS與交換設備聯動是指在運行的過程中,交換機將各種數據流的信息上報給安全設備,IDS可以根據上報信息和數據流內容進行檢測,在發現網絡安全事件的時候,進行有針對性的操作,并將這些對安全事件反應的動作發送到交換機上,由交換機來實現精確的端口斷開操作。實現這種聯動,需要交換機能夠支持認證、端口鏡像、強制流分類、進程數控制、端口反查等功能,同時具備線速交換特性。目前,新一代智能交換機能夠與IDS實現聯動。港灣FlexHammer5010就是這樣一款產品,它具備多重網絡標識的綁定和端口反查功能,防止網絡欺騙行為,可以幫助IDS系統對攻擊點進行準確定位。
專家認為:在目前,智能交換機與IDS的聯動是一個非常實際而且不會給用戶帶來額外投資的理想方案。不過與網絡設備廠商看好交換機與IDS聯動技術形成反差的是,絕大多數用戶表示認可這項技術,但真正在實踐中將交換機與IDS聯動起來的用戶卻是極少數,這說明網絡設備廠商在培訓教育用戶綜合使用交換機和IDS方面還存在明顯不足。
安全與效率的權衡
在我們的調查中,用戶對交換機安全問題的關注率高達97%以上。不過大約48%的用戶擔心增強交換機的安全功能會影響網絡的吞吐效率,34%的用戶表示無所謂,關注安全與效率問題的用戶主要是大中型企業。
安全與效率的確是對此消彼長的矛盾。從技術上講,傳統的交換機大都采用軟件方式,依靠CPU處理能力,來提供安全防御功能。眾所周知,病毒攻擊對交換機性能的影響較大,當網絡流量大到一定程度時必然造成交換機癱瘓,網絡中斷。但對于依靠硬件技術實現了安全功能的交換機來說,在負載范圍內,其處理能力是全冗余的,不會影響性能。同時因為數據過濾、智能識別攻擊源、策略查找等功能也是基于硬件來實現,從而保證了病毒引起的流量不影響交換機的正常運行。當病毒報文流量大到一定程度,并且是未知類型的病毒時,可能會對交換機的正常業務造成影響,具有自我保護功能的交換設備則可以根據優先級設置,丟棄低優先級的、可能具有攻擊性的報文,保證高優先級業務不中斷,系統穩定運行。從上述分析可以看出,采用先進體系架構的交換設備可以做到保障安全同時保證性能。對于強調效率的用戶來說,最好選擇依靠硬件實現安全功能的交換機。
產品篇
思科將安全模塊集成在交換機中,企業可以根據自己的需求采用不同的安全措施和預防技術。Catalyst 6500系列交換機集成了IPSec VPN、防火墻、入侵檢測以及多層LAN、WAN和MAN交換功能。針對Catalyst 6500系列,思科還設計了思科安全套接層(SSL)模塊,提高Web應用的性能和安全性,提供安全聯網。而如果將SSL與思科內容交換模塊(CSM)集成在一起,將能夠加速流量,同時從Web服務器卸載資源,從而提供安全的服務器負載均衡解決方案。
HP Procurve Swtich 5300xl交換機是面向中小企業網絡核心的產品,它具有緊湊的4插槽或8插槽模塊化外形,提供76.8G的交換容量和48Mpps的第二、三層轉發性能,采用源端口過濾、802.1x和RADIUS 網絡登錄等安全技術與功能,使交換機具有很高的安全性。
華為3Com公司的Quidway S3500系列安全智能三層交換機提供完善的路由協議、VLAN控制、流量交換、QoS保證機制,適合作為關注業務管理控制和網絡安全保障能力的匯聚三層交換機。該系列設備具有完備的安全控制策略,采用基于最長匹配的路由策略和逐包轉發方式,能夠防御蠕蟲病毒的攻擊。此外,該設備還支持802.1x和Web Portal認證,通過MAC、IP、VLAN、PORT任意組合綁定,防止用戶非法訪問網絡,支持多種ACL訪問控制策略,能夠對用戶訪問網絡資源權限進行設置。
北電Alteon應用交換機具有智能流量管理功能和豐富的安全特性。Alteon 應用交換機采用虛擬矩陣交換結構和智能流量管理系統,具有出色的應用層處理性能,其基本應用層功能包括服務器負載均衡(SLB)、智能內容(第七層)交換、緩存重定向(WCR)、防火墻及VPN網關負載均衡等。此外,其先進的DoS防御能夠保障應用交換機后端的服務器群及網絡系統的安全性。更重要的是,這些安全功能可以與其他流量管理應用同時工作。
STAR-S2100系列是銳捷網絡自主研發的、針對各種規模的網絡匯聚接入而定制的智能千兆交換機。STAR-S2100系列能夠提供智能的流分類和完善的服務質量(QoS)以及組播管理特性,可以實施靈活多樣的ACL訪問控制,通過SNMP、Telnet、Web和Console口等多種方式提供豐富的管理功能。STAR-S2126G/S2150G以出色的性價比為各類型網絡提供端到端的服務質量、靈活豐富的安全設置和基于策略的網絡管理,滿足高速、安全、智能的應用需求。
交換機也需設防
有一種現象正在引起網絡設備廠商和用戶的注意,無論是黑客發動DoS、DDoS攻擊,還是惡意蠕蟲爆發,交換機常常受到沖擊,最終癱瘓并導致網絡中斷。《網絡世界》進行的交換機用戶調查顯示:近50%用戶反映交換機曾經受到Slammer、沖擊波等蠕蟲病毒的沖擊。
很多企業網絡系統不進行安全設防,作為網絡核心的交換機,自然而然地肩負著構筑網絡安全防線的任務,它的安全性、健壯性將直接影響到網絡的可用性,在交換機上采取必要的安全技術不僅可以有效緩解其他設備的安全壓力,而且能夠及時發現并解決問題。例如,防病毒軟件對蠕蟲病毒無能為力,防火墻的反查找能力十分薄弱,入侵檢測軟件不能檢測內部入侵,交換機可以輕松彌補上述安全設備的不足。對于網絡層以上的安全問題,用戶可以對交換機端口的流量進行控制來解決,對付Slammer蠕蟲病毒,用戶可以通過禁止交換機上采用UDP 1434端口來防范。
