较新的 Catalyst 不再提供 ISL 中继模式。现在我担心在使用 VLAN 进行 WAN 隔离时会受到 VLAN 跳跃/封装攻击。
- 我该怎么做才能防止此类攻击?
- 我可以混合 ISL 和 802.1Q 中继连接吗?
- 还有什么需要考虑的吗?
谢谢
编辑:
如果所有主机都连接到“静态访问”配置的交换机端口,并且 802.1Q 中继仅位于 Cisco 交换机之间,那么 VLAN 跳跃是否可行?
答案1
在面向主机的接口上使用以下配置应该相对安全:
switchport mode access
switchport access vlan <vlan>
这将禁用端口上的 DTP(动态中继协议)并有助于防止 VLAN 跳跃攻击。
此外,使用以下配置枚举中继接口上允许的 VLAN 是一种很好的做法:
switchport trunk allowed vlan <vlan list>
有关第 2 层安全最佳实践的良好参考可以在这里找到:
答案2
如果将交换机端口强制设置为 ACCESS 模式(switchport nonegotiate
,switchport mode access
)并分配给特定 VLAN(switchport access vlan X
),则这是一种完全安全的设置;如果连接的主机发送任何标记帧,则会丢弃该帧,因为该端口上无法进行中继。
如果仅在交换机之间使用中继,并且您具有良好的物理安全性,则任何计算机都无法访问除其自己之外的任何 VLAN。
答案3
经过大量研究后我找到了答案:
http://www.sans.org/security-resources/idfaq/vlan.php
在默认配置中,可以将 802.1q 帧注入交换机上的非中继端口,并将这些帧传送到目的地。
如果将帧注入属于中继端口的本机 VLAN 的交换机端口,则可以使 802.1q 帧从一个 VLAN 跳转到另一个 VLAN。[..]
因此我必须确保访问模式 VLAN不是使用中继上配置的本机 VLAN:
[...] 通过更改中继端口的本机 VLAN,可以消除 VLAN 跳跃。这已测试并被证明是真的。