畢瑩

【摘 要】本文從AFC系統(tǒng)網(wǎng)絡的安全性出發(fā)，以三號線AFC系統(tǒng)網(wǎng)絡結構為例，分析VLAN技術在AFC系統(tǒng)網(wǎng)絡中起到的重要性作用，提出兩種局域網(wǎng)中比較經(jīng)典的第二層網(wǎng)絡攻擊，分析產生攻擊的依存環(huán)境條件、攻擊方法及可能產生的危害，并提出了相應的防范措施，借此以拋磚引玉，旨在提醒更多人提高安全意識，注意安全操作。

【關鍵詞】安全；VLAN技術；AFC系統(tǒng)網(wǎng)絡；安全隱患；解決方案

0.引言

自動售檢票（AFC）系統(tǒng)是一個集售票、檢票、計費、收費、統(tǒng)計、清分結算和運行管理等于一體的自動化系統(tǒng)[1]，其作為軌道交通運營管理重要子系統(tǒng)之一，既承擔著減少地鐵工作人員的勞動強度，獲取城市交通客流信息的一手資料等任務，也負責著票務收入計量，財務信息的匯總分析等重要工作。鑒于AFC系統(tǒng)在軌道交通運營過程中的重要地位，其安全性原則不容忽視。安全性建設意義重大，但完善安全性建設卻難以面面俱到。一方面，我們知道安全是AFC系統(tǒng)能否正常運行的關鍵；另一方面，AFC系統(tǒng)作為內容繁多，結構嚴密，邏輯清晰的信息聯(lián)機儲存以及管理的系統(tǒng)，其安全性建設是一個系統(tǒng)工程。信息安全理論的木桶原理告訴我們：一個組織的信息安全水平將由與信息安全有關的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定，也即是說，安全性建設這個系統(tǒng)工程必須重視每一個安全細節(jié)。

1.三號線網(wǎng)絡中的VLAN技術

網(wǎng)絡作為AFC系統(tǒng)的重要組成部分，其安全性也是AFC系統(tǒng)安全的一部分。

三號線的AFC網(wǎng)絡規(guī)劃需要將多個車站的終端組成一個網(wǎng)絡，并且由于業(yè)務分工的需要，每個車站內部的終端需要組成不同的局域網(wǎng)。若使用傳統(tǒng)的局域網(wǎng)加路由的技術，則滿足需求的網(wǎng)絡方案中必須用到大量的路由，而且對處理網(wǎng)絡結構的改變也不夠靈活。而VLAN技術的特點卻正好有效的解決了以上需求。利用VLAN技術以及VLAN技術上的干道技術，一方面，我們可以有效的分割廣播域且不會增加對路由的需求，節(jié)約了成本；另一方面，VLAN可以非常靈活的處理終端的重新歸網(wǎng)問題。

2.安全隱患

在了解了VLAN技術之后，我們來看看這種安全技術的兩個潛在隱患。

第二層攻擊類型介紹。

交換機處理的數(shù)據(jù)屬于參考網(wǎng)絡模型的第二層，即數(shù)據(jù)鏈路層。利用該層數(shù)據(jù)幀進行的網(wǎng)絡攻擊我們都稱為第二層網(wǎng)絡攻擊。已知的第二層攻擊有以下幾種：VLAN跳躍，STP攻擊，DHCP欺騙，CAM表溢出等。我們將重點放在VLAN跳躍攻擊上。

VLAN跳躍攻擊有兩種方法，分別是交換機欺騙和雙重標示。

2.1交換機欺騙

我們知道，如果一條線路成為干道的話，該線路將可以傳遞所有VLAN數(shù)據(jù)幀。一些cisco交換機端口的中繼默認設置為auto模式，這使得接入交換機的攻擊者主機可以構造DTP幀來打開交換機的中繼模式。收到DTP幀的交換機會認為攻擊者主機是另一交換機的中繼端口，從而打開自己的中繼模式，使得交換機將所有的VLAN數(shù)據(jù)幀傳送給攻擊者主機。如果車站服務器被入侵，那么當服務器上的入侵者向交換機發(fā)送其構造的DTP幀時，中繼默認設置為auto模式的交換機便會將該交換機上所有VLAN的數(shù)據(jù)包發(fā)給工作站。此時，服務器上的入侵者得到了該連接到該交換機上所有其他設備的數(shù)據(jù)包，包括GATE，TVM，BOM，TCM等。這就是VLAN跳躍攻擊。

2.2雙重標記

為了能和不支持VLAN技術的交換機或其他設備通訊，支持VLAN技術的交換機設置了一個默認的本地VLAN。這個VLAN的發(fā)出數(shù)據(jù)幀是不帶VLAN標簽的。如果一個數(shù)據(jù)幀含有本地VLAN的標簽，那么在發(fā)出這個數(shù)據(jù)幀的時候，該VLAN會被交換機刪去。針對這一處理方法，攻擊者可以構造一個雙重標記的數(shù)據(jù)幀，達到訪問本不能訪問的VLAN網(wǎng)絡的目的。

如右圖所示，假設下圖的工作站A和終端A分別屬于VLAN2和VLAN3，在一般情況下工作站A不能訪問終端A。然而，當工作站A向交換機A發(fā)送一個雙重標記的數(shù)據(jù)幀時，這個數(shù)據(jù)幀就可以到達終端A，進而達到訪問終端A的目的。

3.防范措施

3.1針對交換機欺騙的防范措施

交換機欺騙的危害雖大，但其預防措施卻并不復雜。事實上，交換機欺騙攻擊之所以說是一個安全隱患是因為大多數(shù)的交換機默認就將端口設置auto模式。三號線采用的交換機CiscoCatalyst 3550，其端口的默認設置便是這種形式。

為了防范交換機欺騙攻擊，我們可以修改非干道端口上默認打開的auto模式，將其改成接入模式。以CiscoCatalyst 3550交換機為例，我們可以用下面的命令消除交換機欺騙攻擊隱患：

Switch（config）#interface gigabitethernet 0/1

Switch（config-if）#switchport mode access

C3550交換機是地鐵三號線車站計算機系統(tǒng)中的站臺設備接入交換機，數(shù)目較多，這就加大該隱患的危險性。以上改變端口默認設置的命令應該在各個C3550交換機上執(zhí)行，另外，對于線路中的其他交換機，我們也必須確定交換機的端口是否為auto設置，若是，則按照相應交換機的操作命令修改auto設置。

3.2針對雙重標記的防范措施

實現(xiàn)雙重標記這種攻擊，前提條件是兩臺交換機使用802.1q協(xié)議作為干道的中繼通訊以及兩臺交換機均具有相同標號的本地VLAN。大多數(shù)的交換機為了提高兼容性都是使用802.1q協(xié)議作為干道的中繼通訊協(xié)議，并且，交換機默認的本地VLAN都為VLAN1，從而，這些默認設置滋生了雙重標識這種安全隱患。

（1）修改以上提及的默認設置，我們便可以防范這個隱患。

以C3550交換機為例，可以在交換機上利用下列命令將本地VLAN的編號設置成其他編號：

Switch（config）#interface gigabitethernet 0/1

Switch（config-if）#switchport trunk native vlan 123

（2）選擇思科的專有協(xié)議ISL代替802.1q協(xié)議。這方法只能用在車站交換機全部支持ISL協(xié)議的場合，操作的命令是：

Switch（config-if）#switchport trunk encapsulation isl

（3）比較實用的防范方法是在干道端口上標記所有本地VLAN流量，命令如下：

Switch（config-if）#switchport native vlan tag

通過這條命令，我們可以讓所有的干道端口保留本地VLAN數(shù)據(jù)包的幀標記，雙重標記攻擊便失效了。

4.結語

通過討論VLAN的兩個較為隱蔽安全隱患及其防范措施，我們填補三號線AFC網(wǎng)絡的存在的一些安全隱患。安全是一個系統(tǒng)性工程，而安全系統(tǒng)總是取決與最薄弱環(huán)節(jié)的安全程度，因此在日常工作中，我們必須加強安全意識，領會安全性原則，并重視安全性操作，借此提高廣州地鐵的安全性建設水平，為更好服務市民做出努力。

【參考文獻】

[1]趙時旻.軌道交通自動售檢票系統(tǒng)[M].上海：同濟大學出版社，2007.

[2]Dr.Andrew，A.Vladimirov，etc.，HACKING EXPOSED CISCO NETWORKS：CISCO SECURITY SECRETS & SOLUTIONS，New York.