理论教育 扩展以太网服务的安全性问题

扩展以太网服务的安全性问题

时间:2023-07-01 理论教育 版权反馈
【摘要】:所有这些服务通过广域网在逻辑上扩展以太网LAN服务,例如使用MPLS/IP。虽然MPLS/IP核本身不易受以太网LAN相关威胁的影响,但是客户服务基本上具有LAN的脆弱性。基本上,新站点到局域网的拥塞允许在以太网层经由泛洪、网桥或MAC地址学习过程进行直接相连。控制帧,例如生成树BPDU或其他以太网控制协议需要处理,并且除非受保护,控制处理器可能崩溃。显然,IPsec不会减轻以太网级别的漏洞,然而IP层持续受保护。

扩展以太网服务的安全性问题

MEF服务中,E-线路定义了点到点连接,而E-LAN支持多点连接(E-树是E-LAN的变体,作为具有在轮辐之间的受限连接的根多点,其仅能到达中枢节点)。

所有这些服务通过广域网在逻辑上扩展以太网LAN服务,例如使用MPLS/IP。虽然MPLS/IP核本身不易受以太网LAN相关威胁的影响,但是客户服务(例如E-LAN)基本上具有LAN的脆弱性。使用E-LAN,提供商网络看起来像一个虚拟网桥:支持MAC地址学习,具有桥接功能,如未知单播和广播泛洪。

E-LAN服务(如果用于移动回传)在连接到相同服务实例(VLAN)的所有站点之间提供以太网级连接。逻辑上这是一个VLAN,每个站可以到达每个其他站。将站分配到不同的VLAN支持进一步的流量分离。

点对点服务(E-线路)或根多点(E-树)提供更好的隔离,因为辐射站不能彼此通信。对于2G和3G,也不需要BTS到BTS的连接,因为逻辑拓扑是中心辐射(类似E-树)。

LAN相关的安全风险以及提出的对策由Vyncke和Paggen[12]给出。许多主题是特定的,因为可用于硬化桥的配置选项和参数不同。不是所有的以太网LAN相关的威胁和风险都可以在这里覆盖。基于文献[12]的几个例子是为了说明这个话题。

基本上,新站点到局域网的拥塞允许在以太网层经由泛洪、网桥或MAC地址学习过程进行直接相连。首要的主题是去使能不适用的网桥节点。它们也可以配置为未使用的VLAN。这将隔离端口。

如果LAN可以通过某个活动端口访问,DoS攻击很容易。作为广播帧或作为控制流量,控制流量可以被洪泛。控制帧,例如生成树BPDU或其他以太网控制协议需要处理,并且除非受保护,控制处理器可能崩溃。入口策略限制在任何端口入口处允许的最大流量,并且控制平面监管限制允许进入控制处理器控制流量的量。

在客户站点中可能需要生成树协议用于冗余。最初开发生成树时,没有考虑到安全漏洞。(www.daowen.com)

生成树中的一个主题是根桥选择。如果使用更好(较低)的网桥ID将网桥添加到LAN,则会声明根角色。所有的业务都通过这个新的桥梁传递。桥接可能具有配置选项,限制从某些端口接受更好的桥ID或甚至接受任何类型的BPDU的可能性。通常还有其他(供应商特定的)参数来加固网桥以防误配置和恶意攻击。

简单的攻击包括需要由控制处理器处理的泛洪BPDU。这可以通过不接受来自某个端口的BPDU来类似地减轻。此外,可以监视输入帧,使得不超过某一最大速率。

与生成树类似,在最初设计时没考虑ARP协议漏洞。ARP不进行身份验证。此外,连接到VLAN的所有站都将学习IP/MAC地址映射。由于所有站也由于广播性质而接收ARP,它们还需要处理ARP。

使用ARP欺骗攻击,伪ARP回复(免费ARP)由攻击者生成。因此,攻击者接收指向相应IP地址的所有帧。如果是默认网关的地址,攻击者将接收到转发到默认网关的所有流量。对于移动网络,这实际上可以意味着来自某个无线电接入区域的所有业务,这取决于回传结构。

一种简单的方法是不允许主机和设备接受免费ARP,但是这会降低故障情况下的恢复速度。另一种方法是维护一个“有效”IP-MAC地址表的表,并检测是否尝试修改绑定。

IPsec可以提供什么级别的保护?显然,IPsec不会减轻以太网级别的漏洞,然而IP层持续受保护。DoS攻击可能来自下面的层,然而应用(在移动回传的情况下的无线网络层)保持受保护。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈