交换机的安全情结

tian7163

网络安全不再单纯依赖单一设备和单一技术来实现已成为业界共识。交换机作为网络骨干设备，自然也肩负着构筑网络安全防线的重任。

　　蠕虫病毒攻击网络设备

　　蠕虫病毒发作导致网络吞吐效率下降、变慢。如果网络中存在瓶颈，就会导致网络停顿甚至瘫痪。这些瓶颈可能是线路带宽，也可能是路由器、交换机的处理能力或者内存资源。需要指出的是，网络中的路由器、交换机已经达到或接近线速，内网带宽往往不收敛，在这种情况下，病毒攻击产生的流量对局域网内部带宽不会造成致命堵塞，但位于网络出口位置的路由器和位于网络核心位置的三层交换机却要吞吐绝大多数的流量，因而首当其冲地受到蠕虫病毒的攻击。接入层交换机通常需要与用户终端直接连接，一旦用户终端感染蠕虫病毒，病毒发作就会严重消耗带宽和交换机资源，造成网络瘫痪，这一现象早已屡见不鲜。

　　蠕虫病毒对网络设备的冲击形式主要有两种：一是堵塞带宽，导致服务不可用；二是占用CPU资源，导致宕机，红色代码、Slammer、冲击波等蠕虫病毒不停地扫描IP地址，在很短时间内就占用大量的带宽资源，造成网络出口堵塞。宕机共分几种情况:一是普通三层交换机都采用流转发模式，也就是将第一个数据包发送到CPU处理，根据其目的地址建流，频繁建流会急剧消耗CPU资源，蠕虫病毒最重要的攻击手段就是不停地发送数据流，这对于采用流转发模式的网络设备是致命的；二是如果网络规划有问题，在Slammer作用下导致大量ARP请求发生，也会耗尽CPU资源。再比如，Slammer病毒拥塞三层交换机之间链路带宽，导致路由协议的数据包（如Hello包）丢失，导致整个网络的路由震荡。类似的情形还有利用交换机安全漏洞对交换机CPU等资源发起的DoS攻击。在2003年第５期报纸上，大家曾集中先容了路由器的安全问题，在这期报纸上大家将集中先容交换机的安全问题。

　　交换机需要加强安全性

　　以太网交换机实际是一个为转发数据包优化的计算机。而是计算机就有被攻击的可能，比如非法获取交换机的控制权，导致网络瘫痪，另一方面也会受到DoS攻击，比如前面提到的几种蠕虫病毒。

　　它们都利用了交换机的一些漏洞。一般交换机可以作生成权维护、路由协议维护、ARP、建路由表，维护路由协议，对ICＭP报文进行处理，监控交换机，这些都有可能成为黑客攻击交换机的手段。

　　蠕虫病毒的攻击，使网络设备厂商和用户都开始注重交换机的安全性。对于交换机安全性的理解，近48%的用户认为交换机的安全性是指交换机本身具有抗攻击性和安全性，31%的用户认为是指交换机携带了安全模块，21%的用户认为两者兼备。绝大数网络设备厂商认为交换机的安全性需经过特殊设计、提高了抗攻击能力，同时具有一定的安全功能。

　　传统交换机主要用于数据包的快速转发，强调转发性能。随着局域网的广泛互连，加上TCP/IP协议本身的开放性，网络安全成为一个突出问题，网络中的敏感数据、机密信息被泄露，重要数据设备被攻击，而交换机作为网络环境中重要的转发设备，其原来的安全特性已经无法满足现在的安全需求，因此传统的交换机需要增加安全性。

　　在网络设备厂商看来，加强安全性的交换机是对普通交换机的升级和完善，除了具备一般的功能外，这种交换机还具备普通交换机所不具有的安全策略功能。这种交换机从网络安全和用户业务应用出发，能够实现特定的安全策略，预防病毒和网络攻击，限制非法访问，进行事后分析，有效保障用户网络业务的正常开展。实现安全性的一种作法就是在现有交换机中嵌入各种安全模块。不同用户有不同的需求，25%的用户希翼交换机中增加防火墙、VPN、数据加密、身份认证等功能，37%的用户表示需要直接使用安全设备，48%的用户表示两种方式都需要。

　　在现阶段，由于有过被攻击的经历，绝大多数用户对增强安全性的交换机表示出浓厚兴趣，18%的用户表示在三个月之内购买，29%的用户会在半年之内购买，19%的用户打算在一年之内购买，只有34%的用户表示近期不作考虑。同时，用户对这种加强安全性的交换机的价格也表现出理性态度：8%的用户希翼能与传统交换机价格相当，4%的用户接受高于传统交换机20%以上的价格，而88%的用户接受10%～20%的价格上浮。

　　安全性加强的交换机本身具有抗攻击性，比普通交换机具有更高的智能性和安全保护功能。在系统安全方面，交换机在网络由核心到边缘的整体架构中实现了安全机制，即通过特定技术对网络管理信息进行加密、控制；在接入安全性方面，采用安全接入机制，包括802.1x接入验证、RADIUS/TACACST、MAC地址检验以及各种类型虚网技术等。不仅如此，许多交换机还增加了硬件形式的安全模块，一些具有内网安全功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全隐患。目前交换机中常用的安全技术包括以下几种。

　　流量控制技术 把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能，能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包，以避免报文丢失。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。 不过，交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制，将广播、组播的异常流量限制在一定的范围内，而无法区分哪些是正常流量，哪些是异常流量。同时，如何设定一个合适的阈值也比较困难。

　　访问控制列表(ACL)技术 ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表，交换机按照顺序实行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

　　安全套接层(SSL) 为所有 HTTP 流量加密，允许访问交换机上基于浏览器的管理 GUI。

　　802.1x和RADIUS 网络登录 控制基于端口的访问，以进行验证和责任明晰。

　　源端口过滤 只允许指定端口进行相互通信。

　　Secure Shell (SSHv1/SSHv2) 加密传输所有的数据，确保IP网络上安全的CLI远程访问。

　　安全FTP 实现与交换机之间安全的文件传输，避免不需要的文件下载或未授权的交换机配置文件复制。

　　但是有安全功能不等于就行，一些交换机具有ACL，但如果ASIC支撑的ACL少仍旧没有用。一般交换机还不能对非法的ARP（源目的MAC为广播地址）进行特殊处理。网络中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等，都是交换机面临的潜在威胁。

　　交换机与IDS联动

　　传统的IDS系统一直倍受争议，原因有四点：一是误报率和漏报率太高；二是没有主动防御能力，只能被动防守；三是缺乏准确的定位和处理机制，只能识别IP地址，无法定位IP地址；四是性能普遍不足，不能适应交换技术和高带宽环境，大流量冲击和多IP分片情况都可能造成IDS瘫痪或丢包，容易遭到DoS攻击。

　　在采访网络设备厂商的过程中，思科、HUAWEI3Com、港湾都提到了交换机与IDS的联动，大家认为，交换机IDS联动，能够克服IDS的不足，实现双赢效果。众所周知，黑客和病毒都是依赖网络平台进行攻击，将IDS作为监控系统，与交换机进行联动，就能在网络平台上切断黑客和病毒的传播途径，实现意想不到的安全效果。具体来说，IDS与交换设备联动是指在运行的过程中，交换机将各种数据流的信息上报给安全设备，IDS可以根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。实现这种联动，需要交换机能够支撑认证、端口镜像、强制流分类、进程数控制、端口反查等功能，同时具备线速交换特性。目前，新一代智能交换机能够与IDS实现联动。港湾FlexHammer5010就是这样一款产品，它具备多重网络标识的绑定和端口反查功能，防止网络欺骗行为，可以帮助IDS系统对攻击点进行准确定位。

　　专家认为：在目前，智能交换机与IDS的联动是一个非常实际而且不会给用户带来额外投资的理想方案。不过与网络设备厂商看好交换机与IDS联动技术形成反差的是，绝大多数用户表示认可这项技术，但真正在实践中将交换机与IDS联动起来的用户却是极少数，这说明网络设备厂商在培训教育用户综合使用交换机和IDS方面还存在明显不足。

　　安全与效率的权衡

　　在大家的调查中，用户对交换机安全问题的关注率高达97%以上。不过大约48%的用户担心增强交换机的安全功能会影响网络的吞吐效率，34%的用户表示无所谓，关注安全与效率问题的用户主要是大中型企业。

　　安全与效率的确是对此消彼长的矛盾。从技术上讲，传统的交换机大都采用App方式，依靠CPU处理能力，来提供安全防御功能。众所周知，病毒攻击对交换机性能的影响较大，当网络流量大到一定程度时必然造成交换机瘫痪，网络中断。但对于依靠硬件技术实现了安全功能的交换机来说，在负载范围内，其处理能力是全冗余的，不会影响性能。同时因为数据过滤、智能识别攻击源、策略查找等功能也是基于硬件来实现，从而保证了病毒引起的流量不影响交换机的正常运行。当病毒报文流量大到一定程度，并且是未知类型的病毒时，可能会对交换机的正常业务造成影响，具有自我保护功能的交换设备则可以根据优先级设置，丢弃低优先级的、可能具有攻击性的报文，保证高优先级业务不中断，系统稳定运行。从上述分析可以看出，采用先进体系架构的交换设备可以做到保障安全同时保证性能。对于强调效率的用户来说，最好选择依靠硬件实现安全功能的交换机。

　　产品篇

　　思科Catalyst 6500: 模块化安全设计

　　思科将安全模块集成在交换机中，企业可以根据自己的需求采用不同的安全措施和预防技术。Catalyst 6500系列交换机集成了I