局域網安全風險分析與應對

摘? 要：局域網容易受到各種安全威脅，且受到的威脅環(huán)節(jié)很多樣化。文章從數據的傳輸流程角度，以一個數據發(fā)出的全流程來分析數據在其中各個環(huán)節(jié)受到的安全威脅，并研究了局域網現有的網絡構成狀況，對局域網容易出現的安全風險進行分析，包括局域網設備接入時容易受到的欺騙攻擊、數據在各層進行轉換時受到的欺騙攻擊、交換機本身容易受到的攻擊，并針對性地提出安全防御方案。

關鍵詞：局域網;DHCP;ARP;交換機

中圖分類號：TP393.1;TP309.2? ? ? 文獻標識碼：A 文章編號：2096-4706（2020）16-0134-04

Analysis and Countermeasures of Local Area Network Security Risk

LI Hanguang

（Hainan Vocational College of Political Science and Law，Haikou? 571100，China）

Abstract：The local area network is vulnerable to various security threats，and the threat links are very diverse. Analyze from the perspective of the data transmission process，analyze the security threats of the data in each link in the whole process of a data transmission，study the existing network composition of the LAN，and analyze the security risks of the LAN，including the LAN equipment The spoofing attacks that are vulnerable to access，the spoofing attacks that are encountered when data is converted at various layers，and the attacks that the switch itself is vulnerable to，and a targeted security defense plan is proposed

Keywords：LAN（local area network）;DHCP;ARP;switchboard

0? 引? 言

在2017年勒索病毒的全球大爆發(fā)中，受攻擊的主要對象就是內網設備和服務器，這一事件將局域網的安全短板直接暴露在了公眾面前。局域網到底會受到哪些類型的安全威脅，應該從哪些方面進行安全配置，是我們應該考慮的問題。

統(tǒng)計數據顯示目前專業(yè)網絡安全運維人員嚴重不足，每年有數十萬的安全人才缺口，而大量的安全運維人員并非網絡安全專業(yè)出身。根據在學院信息中心的多年工作經驗和在不同專業(yè)的教學經驗，筆者發(fā)現對于網絡安全運維人員而言，一個完整的安全風險認知體系非常重要，非網絡安全專業(yè)的運維人員因為不了解網絡安全的整體架構和需求，在安全產品方案的部署中容易流于表面，甚至因為對于某些方面的了解不足，而在方案的部署時留下較為明顯的漏洞。為了幫助網絡安全運維人員了解局域網可能受到的風險，本文將從數據的轉發(fā)流程考慮，研究局域網的安全風險，并針對這些安全威脅，提出對應的安全防御方案。

1? 局域網安全現狀分析

局域網由各類接入和數據轉發(fā)設備構成，而這些設備又因為各自的特點容易受到欺騙和廣播風暴類攻擊，常見的局域網風險點如表1所示。

下面我們以局域網內某臺電腦（設為電腦A）訪問某個外網服務器（設為www.test.com）的數據為例，基于數據的轉發(fā)過程，根據網絡協議逐層分析每層可能受到的安全風險，如表2所示。

1.1? 域名解析欺騙

網絡訪問中，極少有用戶使用IP地址直接訪問，大多數必須依靠域名解析服務器訪問，如果域名解析服務器沒有正常提供服務，或者是虛假的域名解析服務器提供服務，則可能會導致用戶無法訪問網頁。

現實中的攻擊行為包括以下幾類：

（1）DNS欺騙，常見的攻擊工具有DNSChef和Ettercap，利用這類工具，可以實現以虛假DNS服務器代替正常DNS服務器對主機進行DNS回復，從而讓攻擊者扮演真正的服務器，利用DNS欺騙可以分析甚至控制主機的網絡流。

（2）虛假Wi-Fi，常見的攻擊手段是搭建一個虛假Wi-Fi熱點，用戶接入此Wi-Fi后，域名解析服務將由虛假的Wi-Fi

提供，此時不需要其他欺騙工具就可以實現DNS欺騙。

DNS欺騙因為數據的轉發(fā)被轉向到其他設備，所以可能會發(fā)生數據被嗅探的情況，導致用戶賬號、密碼、訪問數據的丟失;DNS欺騙的后果還包括用戶可以被解析到虛假的釣魚網站，從而引發(fā)數據丟失甚至是財產損失，典型的DNS欺騙攻擊工具如圖1所示。

1.2? 局域網廣播風暴

處于同一個網絡的所有設備位于同一個廣播域。一個局域網的傳輸帶寬是有限的，簡單來說就是處于同一個廣播域的設備如果發(fā)送過于巨大的數據量，特別是廣播數據，可能堵塞整個網絡，從而導致網絡擁塞甚至中斷，這也是局域網最直接的安全威脅。能引發(fā)局域網廣播風暴的攻擊行為很多，最典型的包括一系列局域網攻擊，比如過于大量的掃描數據包、針對局域網設備的拒絕服務攻擊、局域網環(huán)路、網卡損壞或網線破損、網絡病毒爆發(fā)、一些網絡管理工具的不合理使用等。

1.3? 局域網地址欺騙

所謂欺騙即仿冒正常的身份，在局域網當中，我們使用IP和MAC地址來區(qū)分設備通信地址，但IP地址或者MAC地址本身都不具備唯一性，IP地址可隨意設置，MAC地址雖然理論上屬于全球統(tǒng)一且被預先固化在網卡硬件中，但是可通過工具進行修改，常見的可利用的工具比如Change MAC Address，另外類似Ettercap的攻擊工具也可以完成MAC的偽裝。

在局域網當中，如果有兩個設備擁有相同的IP地址會引發(fā)IP沖突，而如果同時修改成相同的IP和MAC，因為IP和MAC都相同且交換機基于MAC和端口轉發(fā)數據，此時交換機的轉發(fā)機制被破壞，從而會導致網絡故障;如果進一步進行攻擊，將某個設備的IP和MAC設置為和網關相同，就可能會引發(fā)整個局域網內部的網絡故障。

第二類攻擊方式不需要攻擊者修改本機的IP和MAC地址信息，根據網絡協議分層，我們知道局域網由ARP協議完成從IP地址到MAC地址的轉發(fā)，所以在網絡層的IP地址進入下一層通信時需要轉換為MAC地址，此時可以利用ARP欺騙工具將正常的IP地址欺騙為虛假的MAC地址，從而完成數據的轉向。

常見的攻擊工具有Cain、Ettercap和ARPspoof等，利用ARP欺騙工具可以完成局域網內部不同設備間的通信轉向，但更主要的是完成對局域網網關的欺騙和偽造，通過偽造網關的方式可以實現對局域網通信的阻斷或者數據的竊取，典型的ARP欺騙工具如圖2所示。

1.4? 數據鏈路層攻擊

在局域網中，交換機工作在數據鏈路層，在這一層網絡中主要考慮交換機自身可能受到的攻擊和威脅，可能出現情況有以下幾種：

第一，交換機自身受到的攻擊。根據歷年海南省護網行動的經驗，系統(tǒng)所受攻擊占比最大的并不是各類應用系統(tǒng)漏洞，而是弱口令。交換機作為網絡中使用最多的設備，因為其數量太大所以很難完全按照密碼使用安全需求進行設置。

第二，從交換機的工作過程分析，其數據轉發(fā)的特點是基于MAC地址轉發(fā)，如果針對交換機的工作特點進行攻擊，比如MAC地址泛洪攻擊，通過攻擊交換機CAM表，使交換機由于無法獲得正確的MAC地址來轉發(fā)信息，只能通過廣播方式發(fā)送數據，此時可能受到嗅探攻擊。

第三，局域網交換機的一個重要操作是對網絡進行VLAN劃分，從而實現基本的網段隔離效果，但是實際上VLAN并不能實現真正意義上的安全保護。針對VLAN的一種常見攻擊是VLAN跳躍攻擊，原理在于兩個交換機交換VLAN數據時需要依賴動態(tài)中繼協議（DTP），如果黑客將自身偽裝為一臺交換機并發(fā)送虛假DTP信息從而宣告其為中繼，其他交換機接收信息后就會相信此中繼信息，此時所有的VLAN數據都會發(fā)送往黑客的主機，黑客從而能監(jiān)控所有的流經數據。

第四，局域網為了避免出現環(huán)路引發(fā)廣播風暴，通常配置生成樹（STP），生成樹協議通過交換BPDU數據來甄別是否存在冗余鏈接，通過互相比較其中攜帶的網橋ID和優(yōu)先級，決定優(yōu)先級最低的交換機可以成為根交換機。如果黑客通過精心構造一個優(yōu)先級很低的數據內容，從而將自身偽裝為一臺優(yōu)先級非常低的交換機，此時其他交換機會以為這是一個新的根，從而引發(fā)局域網拓撲結構的變化，甚至引發(fā)回路導致網絡中斷，常見的攻擊工具比如Yersinia可以用來進行VLAN跳躍和STP攻擊。

2? 局域網安全應對策略

前文分析了局域網可能受到的安全風險，并跟蹤一條對外訪問數據的解析和傳輸路線，從中逐步分析局域網可能受到的安全威脅。針對這些風險和威脅，我們提出了以下安全設置策略。

第一，針對DNS欺騙攻擊，首先應該對局域網通信數據進行監(jiān)聽部署，如果客戶端短時間發(fā)現有兩條以上不同的DNS響應，則可能是受到了攻擊;為了防御DNS欺騙攻擊還可以在DNS服務器和客戶端之間部署SSH加密協議;另外在發(fā)生攻擊時還可以臨時使用IP地址訪問重要的服務器。本校核心交換機上部署的端口鏡像如圖3所示，在此鏡像端口上部署了數據監(jiān)聽。

第二，針對局域網廣播風暴，通過合理劃分VLAN可以減少廣播域;給所有的局域網設備打上最新補丁防御蠕蟲病毒，在局域網設備配置ACL過濾阻止病毒傳播，本校實訓樓匯聚交換機部署的過濾列表如圖4所示;在局域網啟用生成樹協議，避免環(huán)路;啟用交換機的風暴抑制功能，本校接入交換機啟動的風暴抑制功能如圖5所示。

第三，針對局域網地址欺騙，首先應該部署對內部數據的監(jiān)控，如果發(fā)現有兩條以上的來自不同端口的相同IP地址信息，則需要特別關注，并進行追蹤處理。還可以部署IP源保護（IPSG），此時只要其他設備沒有占用端口，哪怕是偽造了IP也無法進行網絡訪問。再次應該在局域網使用防ARP欺騙技術，比如動態(tài)ARP檢測（DAI）、靜態(tài)ARP綁定等技術，通過防御ARP欺騙來防御IP地址欺騙攻擊。本院匯聚交換機部署的ARP掃描防御功能如圖6所示。

第四，針對數據鏈路層攻擊，首先應該給交換機設置強壯的密碼，并啟動相關的密碼安全鎖定策略，盡量使用強壯的密碼加密算法，啟用SSH或者SNMP來替換Telnet管理，保證交換機本身的安全性;其次應進行端口的安全配置，在交換機上配置每個端口允許連接的設備數量，如果超過數量可以直接阻塞或者關閉端口，從而阻斷攻擊;再次應通過更改本征VLAN和關閉不用端口的方式來阻止通過其他端口接入交換機，阻斷交換機的VLAN跳躍攻擊;最后可以通過STP的安全防護機制，比如BPDU Guard、BPDU Filter、根橋保護、TC保護等手段，針對BPDU數據包的發(fā)送和接收進行處理，檢測和阻斷BPDU數據包的發(fā)送，從而防御針對STP的攻擊。本院匯聚層交換機上啟用的SNMP管理功能如圖7所示。

3? 結? 論

本文從數據轉發(fā)的流程出發(fā)，分析流程中可能存在的安全風險，并針對風險分析所有可行的安全策略和安全設置。目前局域網受到的安全風險占比依然比較高，但是因為局域網受到的安全威脅較為分散，需要較多的安全產品和安全設置，本文實現了從現有的安全產品和設置出發(fā)逐步實現局域網安全，但是沒有更好地以集中化的簡單方式來實現設置，下一步的研究目標是部署集中化的產品和策略，以盡可能簡單有效的方式來強化局域網安全。

參考文獻：

[1] 司天歌，張堯學，戴一奇.局域網絡中的L-BLP安全模型 [J].電子學報，2007（5）：1005-1008.

[2] 潘飛，李迎.網絡安全技術的防范及對策研究 [J].網絡安全技術與應用，2017（6）：1+6.

[3] 張良，郝凱鋒.基于RSSI變化序列的MAC地址與目標匹配方法 [J].系統(tǒng)仿真學報，2020，32（1）：113-121.

[4] 張國慶，鄭貴省，于波.局域網安全風險分析與防范 [J].信息安全與通信保密，2010（6）：68-70.

[5] 張雨涵.局域網存在的安全風險與防范措施分析 [J].硅谷，2014，7（4）：120+119.

[6] 展昭.無線城市安全認證架構與方法研究 [J].現代信息科技，2020，4（12）：151-153.

[7] 殷明，賈世杰.一種局域網中基于SSD的防范勒索軟件攻擊技術 [J].信息網絡安全，2019（9）：71-75.

[8] 曹利敏.企業(yè)局域網網絡安全防范措施淺述 [J].網絡安全技術與應用，2020（2）：99-100.

作者簡介：李漢廣（1984—），男，漢族，江西豐城人，講師，本科，研究方向：網絡安全、滲透測試。