不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>局域網(wǎng)安全>

關(guān)于局域網(wǎng)安全知識

時間: 若木635 分享

這篇局域網(wǎng)安全知識是學(xué)習(xí)啦小編特地為大家整理的,希望對大家有所幫助!

目前的局域網(wǎng)基本上都采用以廣播為 目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng),任何兩個節(jié)點之間的通信數(shù)據(jù)包,不僅為這兩個節(jié)點的網(wǎng)卡所接收,也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此,黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽,就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包,對其進行解包分析,從而竊取關(guān)鍵信息,這就是以太網(wǎng)所固有的安全隱患。

事實上,Internet上許多免費的黑客工具,如SATAN、ISS、NETCAT等等,都把以太網(wǎng)偵聽作為其最基本的手段。

當(dāng)前,局域網(wǎng)安全的解決辦法有以下幾種:

1.網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段通常被認為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段,但其實也是保證網(wǎng)絡(luò)安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離,從而防止可能的非法偵聽,網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

目前,海關(guān)的局域網(wǎng)大多采用以交換機為中心、路由器為邊界的網(wǎng)絡(luò)格局,應(yīng)重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應(yīng)用物理分段與邏輯分段兩種方法,來實現(xiàn)對局域網(wǎng)的安全控制。例如:在海關(guān)系統(tǒng)中普遍使用的DEC MultiSwitch 900的入侵檢測功能,其實就是一種基于MAC地址的訪問控制,也就是上述的基于數(shù)據(jù)鏈路層的物理分段。

2.以交換式集線器代替共享式集線器

對局域網(wǎng)的中心交換機進行網(wǎng)絡(luò)分段后,以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當(dāng)用戶與主機進行數(shù)據(jù)通信時,兩臺機器之間的數(shù)據(jù)包(稱為單播包Unicast Packet)還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息),都將被明文發(fā)送,這就給黑客提供了機會。

因此,應(yīng)該以交換式集線器代替共享式集線器,使單播包僅在兩個節(jié)點之間傳送,從而防止非法偵聽。當(dāng)然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,廣播包和多播包內(nèi)的關(guān)鍵信息,要遠遠少于單播包。

3.VLAN的劃分

為了克服以太網(wǎng)的廣播問題,除了上述方法外,還可以運用VLAN(虛擬局域網(wǎng))技術(shù),將以太網(wǎng)通信變?yōu)辄c到點通信,防止大部分基于網(wǎng)絡(luò)偵聽的入侵。

目前的VLAN技術(shù)主要有三種:基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?;诙丝诘腣LAN雖然稍欠靈活,但卻比較成熟,在實際應(yīng)用中效果顯著,廣受歡迎。基于MAC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN,理論上非常理想,但實際應(yīng)用卻尚不成熟。

在集中式網(wǎng)絡(luò)環(huán)境下,我們通常將中心的所有主機系統(tǒng)集中到一個VLAN里,在這個VLAN里不允許有任何用戶節(jié)點,從而較好地保護敏感的主機資源。在分布式網(wǎng)絡(luò)環(huán)境下,我們可以按機構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點都在各自的VLAN內(nèi),互不侵擾。

VLAN內(nèi)部的連接采用交換實現(xiàn),而VLAN與VLAN之間的連接則采用路由實現(xiàn)。目前,大多數(shù)的交換機(包括海關(guān)內(nèi)部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF這兩種國際標準的路由協(xié)議。如果有特殊需要,必須使用其他路由協(xié)議(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太網(wǎng)口路由器來代替交換機,實現(xiàn)VLAN之間的路由功能。當(dāng)然,這種情況下,路由轉(zhuǎn)發(fā)的效率會有所下降。

無論是交換式集線器還是VLAN交換機,都是以交換技術(shù)為核心,它們在控制廣播、防止黑客上相當(dāng)有效,但同時也給一些基于廣播原理的入侵監(jiān)控技術(shù)和協(xié)議分析技術(shù)帶來了麻煩。因此,如果局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備,就必須選用特殊的帶有SPAN(Switch Port Analyzer)功能的交換機。這種交換機允許系統(tǒng)管理員將全部或某些交換端口的數(shù)據(jù)包映射到指定的端口上,提供給接在這一端口上的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備。筆者在廈門海關(guān)外部網(wǎng)設(shè)計中,就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機,既得到了交換技術(shù)的好處,又使原有的Sniffer協(xié)議分析儀“英雄有用武之地”。

廣域網(wǎng)安全

由于廣域網(wǎng)大多采用公網(wǎng)來進行數(shù)據(jù)傳輸,信息在廣域網(wǎng)上傳輸時被截取和利用的可能性就比局域網(wǎng)要大得多。如果沒有專用的軟件對數(shù)據(jù)進行控制,只要使用Internet上免費下載的“包檢測”工具軟件,就可以很容易地對通信數(shù)據(jù)進行截取和破譯。

因此,必須采取手段,使得在廣域網(wǎng)上發(fā)送和接收信息時能夠保證:

①除了發(fā)送方和接收方外,其他人是無法知悉的(隱私性);

②傳輸過程中不被篡改(真實性);

③發(fā)送方能確知接收方不是假冒的(非偽裝性);

④發(fā)送方不能否認自己的發(fā)送行為(不可抵賴性)。

為了達到以上安全目的,廣域網(wǎng)通常采用以下安全解決辦法:

1.加密技術(shù)

加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全,而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性。數(shù)據(jù)加密技術(shù)可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。

其中不可逆加密算法不存在密鑰保管和分發(fā)問題,適用于分布式網(wǎng)絡(luò)系統(tǒng),但是其加密計算量相當(dāng)可觀,所以通常用于數(shù)據(jù)量有限的情形下使用。計算機系統(tǒng)中的口令就是利用不可逆加密算法加密的。近年來,隨著計算機系統(tǒng)性能的不斷提高,不可逆加密算法的應(yīng)用逐漸增加,常用的如RSA公司的MD5和美國國家標準局的SHS。在海關(guān)系統(tǒng)中廣泛使用的Cisco路由器,有兩種口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就采用了MD5不可逆加密算法,因而目前尚未發(fā)現(xiàn)解除方法(除非使用字典攻擊法)。而Enable Password則采用了非常脆弱的加密算法(即簡單地將口令與一個常數(shù)進行XOR與或運算),目前至少已有兩種解除軟件。因此,最好不用Enable Password。

2.技術(shù)

(虛擬專網(wǎng))技術(shù)的核心是采用隧道技術(shù),將企業(yè)專網(wǎng)的數(shù)據(jù)加密封裝后,透過虛擬的公網(wǎng)隧道進行傳輸,從而防止敏感數(shù)據(jù)的被竊??梢栽贗nternet、服務(wù)提供商的IP、幀中繼或ATM網(wǎng)上建立。企業(yè)通過公網(wǎng)建立,就如同通過自己的專用網(wǎng)建立內(nèi)部網(wǎng)一樣,享有較高的安全性、優(yōu)先性、可靠性和可管理性,而其建立周期、投入資金和維護費用卻大大降低,同時還為移動計算提供了可能。因此,技術(shù)一經(jīng)推出,便紅遍全球。

但應(yīng)該指出的是,目前技術(shù)的許多核心協(xié)議,如L2TP、IPSec等,都還未形成通用標準。這就使得不同的服務(wù)提供商之間、設(shè)備之間的互操作性成為問題。因此,企業(yè)在建網(wǎng)選型時,一定要慎重選擇服務(wù)提供商和設(shè)備。

3.身份認證技術(shù)

對于從外部撥號訪問總部內(nèi)部網(wǎng)的用戶,由于使用公共電話網(wǎng)進行數(shù)據(jù)傳輸所帶來的風(fēng)險,必須更加嚴格控制其安全性。一種常見的做法是采用身份認證技術(shù),對撥號用戶的身份進行驗證并記錄完備的登錄日志。較常用的身份認證技術(shù),有Cisco公司提出的TACACS+以及業(yè)界標準的RADIUS。筆者在廈門海關(guān)外部網(wǎng)設(shè)計中,就選用了Cisco公司的CiscoSecure ACS V2.3軟件進行RADIUS身份認證。

外部網(wǎng)安全

海關(guān)的外部網(wǎng)建設(shè),通常指與Internet的互聯(lián)及與外部企業(yè)用戶的互聯(lián)兩種。無論哪一種外部網(wǎng),都普遍采用基于TCP/IP的Internet協(xié)議族。Internet協(xié)議族自身的開放性極大地方便了各種計算機的組網(wǎng)和互聯(lián),并直接推動了網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展。但是,由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視,以及Internet在使用和管理上的無政府狀態(tài),逐漸使Internet自身的安全受到威脅,黑客事件頻頻發(fā)生。

對外部網(wǎng)安全的威脅主要表現(xiàn)在:非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等。

外部網(wǎng)安全解決辦法主要依靠防火墻技術(shù)、入侵檢測技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)。在實際的外部網(wǎng)安全設(shè)計中,往往采取上述三種技術(shù)(即防火墻、入侵檢測、網(wǎng)絡(luò)防病毒)相結(jié)合的方法。筆者在廈門海關(guān)外部網(wǎng)設(shè)計中,就選用了NAI公司最新版本的三宿主自適應(yīng)動態(tài)防火墻Gauntlet Active Firewall。該防火墻產(chǎn)品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件,將防火墻技術(shù)、入侵檢測技術(shù)與網(wǎng)絡(luò)防病毒技術(shù)融為一體,緊密結(jié)合,相得益彰,性價比比較高。

90715