第一篇:局域网安全
局域网安全
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。
事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
当前,局域网安全的解决办法有以下几种:
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
2.以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
3.VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括海关内部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。广域网安全
由于广域网大多采用公网来进行数据传输,信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制,只要使用Internet上免费下载的“包检测”工具软件,就可以很容易地对通信数据进行截取和破译。
因此,必须采取手段,使得在广域网上发送和接收信息时能够保证:
①除了发送方和接收方外,其他人是无法知悉的(隐私性);
②传输过程中不被篡改(真实性);
③发送方能确知接收方不是假冒的(非伪装性);
④发送方不能否认自己的发送行为(不可抵赖性)。
为了达到以上安全目的,广域网通常采用以下安全解决办法:
1.加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类,即对称型加密、不对称型加
密和不可逆加密。
其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可观,所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国家标准局的SHS。在海关系统中广泛使用的Cisco路由器,有两种口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就采用了MD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字典攻击法)。而Enable Password则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运算),目前至少已有两种破解软件。因此,最好不用Enable Password。
2.VPN技术
VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。因此,VPN技术一经推出,便红遍全球。
但应该指出的是,目前VPN技术的许多核心协议,如L2TP、IPSec等,都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此,企业在VPN建网选型时,一定要慎重选择VPN服务提供商和VPN设备。
3.身份认证技术
对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术,有Cisco公司提出的TACACS+以及业界标准的RADIUS。笔者在厦门海关外部网设计中,就选用了Cisco公司的CiscoSecure ACS V2.3软件进行RADIUS身份认证。外部网安全
海关的外部网建设,通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网,都普遍采用基于TCP/IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联,并直接推动了网络技术的迅猛发展。但是,由于在早期网络协议设计上对安全问题的忽视,以及Internet在使用和管理上的无政府状态,逐渐使Internet自身的安全受到威胁,黑客事件频频发生。
对外部网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。
外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中,往往采取上述三种技术(即防火墙、入侵检测、网络防病毒)相结合的方法。笔者在厦门海关外部网设计中,就选用了NAI公司最新版本的三宿主自适应动态防火墙Gauntlet Active Firewall。该防火墙产品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件,将防火墙技术、入侵检测技术与网络防病毒技术融为一体,紧密结合,相得益彰,性价比比较高。
第二篇:局域网安全毕业论文
论文关键词:计算机网络 网络安全 局域网安全 广域网
论文摘要:随着计算机网络和互联网的发展,局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此,局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通,研究局域网的安全以及防范措施已迫在眉睫。
1.当前局域网安全形势
1.1 计算机网络的定义
计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。[①]
计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分,负责全网络面向应用的数据处理工作。就局域网而言,通信子网由网卡、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设备及相关软件所组成。
1.2 网络安全定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。[②]
1.3 局域网安全
局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的,主要指数据的保密性、完整性、可用性等。
1.3.1 来自互联网的安全威胁
局域网是与Inernet互连的。由于Internet的开放性、国际性与自由性,局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施,很容易遭到来自Internet 黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,如网络I P 地址、应用操作系统的类型、开放的T C P 端口号、系统用来保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网络中重要信息。还能通过发送大量数据包对网络服务器进行攻击,使得服务器超负荷工作导致拒绝服务,甚至使系统瘫痪。
1.3.2 来自局域网内部的安全威胁
内部管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏;内部职工有的可能熟悉服务器、小程序、脚本和系统的弱点,利用网络开些小玩笑,甚至搞破坏。如,泄漏至关重要的信息、错误地进入数据库、删除数据等,这些都将给网络造成极大的安全威胁。
1.4 局域网当前形势及面临的问题
随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便,但是受技术和社会因素的各种影响,计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷,实施攻击和入侵,给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,严重损害了网民的利益;网上色情、暴力等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。
根据中国互联网信息中心2006年初发布的统计报告显示:我国互联网网站近百万家,上网用户1亿多,网民数和宽带上网人数均居全球第二。同时,网络安全风险也无处不在,各种网络安全漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势,我国的网络安全保障工作尚处于起步阶段,基础薄弱,水平不高,网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节,安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。在监督管理方面缺乏依据和标准,监管措施不到位,监管体系尚待完善,网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善,关键技术和产品受制于人,网络信息安全服务机构专业化程度不高,行为不规范,网络安全技术与管理人才缺乏。
面对网络安全的严峻形势,如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。
2.常用局域网的攻击方法
2.1 ARP欺骗
2.1.1 ARP协议
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址IA——物理地址PA),请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
假如我们有两个网段、三台主机、两个网关、分别是:
主机名 IP地址 MAC地址
网关1 192.168.1.1 01-01-01-01-01-01
主机A 192.168.1.2 02-02-02-02-02-02
主机B 192.168.1.3 03-03-03-03-03-03
网关2 10.1.1.1 04-04-04-04-04-04
主机C 10.1.1.2 05-05-05-05-05-05
假如主机A要与主机B通讯,它首先会通过网络掩码比对,确认出主机B是否在自己同一网段内,如果在它就会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,即目的MAC地址是全1的广播询问帧,0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果B存在的话,必须作出应答,回答―B的MAC地址是…‖的单播应答帧,02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3;A收到应答帧后,把―192.168.1.3 03-03-03-03-03-03 动态‖写入ARP表。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了,直到通讯停止后两分钟,这个对应关系才会被从表中删除。
如果是非局域网内部的通讯过程,假如主机A需要和主机C进行通讯,它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关1(192.168.1.1)对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通讯,然后再由网关1通过路由将数据包送到网关2,网关2收到这个数据包后发现是送给主机C(10.1.1.2)的,它就会检查自己的ARP缓存(没错,网关一样有自己的ARP缓存),看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址将数据转发给主机C。
2.1.2 ARP欺骗原理
在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性,也就是说主机A与主机C之间的通讯只通过网关1和网关2,像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03,同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03,同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时,它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址,也就是发给了主机B,主机B在收到这个包后经过修改再转发给真正的网关1,当从主机C返回的数据包到达网关1后,网关1也使用自己ARP表中的MAC,将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B,主机B在收到这个包后再转发给主机A完成一次完整的数据通讯,这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。
2.1.3 ARP病毒清除
感染病毒后,需要立即断开网络,以免影响其他电脑使用。重新启动到DOS模式下,用杀毒软件进行全面杀毒。
临时处理对策:
步骤
一、能上网情况下,输入命令arp –a,查看网关IP对应的正确MAC地址,将其记录下来。如果已经不能上网,则运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤
二、如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。输入命令:arp –s,网关IP 网关MAC手工绑定在计算机关机重开机后就会失效,需要再绑定。可以把该命令放在autoexec.bat中,每次开机即自动运行。
2.2 网络监听
2.2.1 网络监听的定义
众所周知,电话可以进行监听,无线电通讯可以监听,而计算机网络使用的数字信号在线路上传输时,同样也可以监听。网络监听也叫嗅探器,其英文名是Sniffer,即将网络上传输的数据捕获并进行分析的行为。[③]
网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直备受网络管理员的青睐。然而,在另一方面网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。
2.2.2 网络监听的基本原理
局域网中的数据是以广播方式发送的,局域网中的每台主机都时刻在监听网络中传输的数据,主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较,如果两者相同就接收该帧,否则就丢掉该帧。如果把对网卡进行适当的设置和修改,将它设置为混杂模式,在这种状态下它就能接收网络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。
2.2.3 网络监听的检测
2.2.3.1 在本地计算机上进行检测
(1)检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP 探测技术。也可以编写一些程序来实现。在Linux 下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP探测技术。也可以编写一些程序来实现。在Linux下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。
(2)搜索法。在本地主机上搜索所有运行的进程,就可以知道是否有人在进行网络监听。在Windows系统下,按下Ctrl+Alt+Del可以得到任务列表,查看是否有监听程序在运行。如果有不熟悉的进程,或者通过跟另外一台机器比较,看哪些进程是有可能是监听进程。
2.2.3.2 在其它计算机上进行检测
(1)观察法。如果某台电脑没有监听的话,无论是信息的传送还是电脑对信息的响应时间等方面都是正常的,如果被监听的话,就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。
网络通讯掉包率是否反常地高。例如ping命令会显示掉了百分几的信息包。如果网络中有人在监听,就会拦截每个信息包,从而导致信息包丢包率提高。
网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽,对外界的响应很慢,这台计算机就有可能被监听。
机器性能是否下降。向网上发大量不存在的物理地址的包,而监听程序往往就会将这些包进行处理,这样就会导致机器性能下降,可以用icmp echo delay 来判断和比较它。
(2)PING 法。这种检测原理基于以太网的数据链路层和TCP/IP 网络层的实现,是一种非常有效的测试方法。
ping法的原理:如果一个以太网的数据包的目的MAC 地址不属于本机,该包会在以太网的数据链路层上被抛弃,无法进入TCP/IP 网络层;进入TCP/IP 网络层的数据包,如果解析该包后,发现这是一个包含本机ICMP 回应请示的TCP 包(PING 包),则网络层向该包的发送主机发送ICMP 回应。
我们可以构造一个PING 包,包含正确的IP 地址和错误的MAC 地址,其中IP 地址是可疑主机的IP地址,MAC 地址是伪造的,这样如果可疑主机的网卡工作在正常模式,则该包将在可疑主机的以太网的数据链路层上被丢弃,TCP/IP 网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式,它就能接收错误的MAC 地址,该非法包会被数据链路层接收而进入上层的TCP/IP 网络层,TCP/IP 网络层将对这个非法的PING 包产生回应,从而暴露其工作模式。
使用 PING 方法的具体步骤及结论如下:
① 假设可疑主机的IP 地址为192.168.10.11,MAC 地址是00-E0-4C-3A-4B-A5,检测者和可疑主机位于同一网段。
② 稍微修改可疑主机的MAC 地址,假设改成00-E0-4C-3A-4B-A4。
③ 向可疑主机发送一个PING 包,包含它的IP 和改动后的MAC 地址。
④ 没有被监听的主机不能够看到发送的数据包,因为正常的主机检查这个数据包,比较数据包的MAC 地址与自己的MAC 地址不相符,则丢弃这个数据包,不产生回应。
⑤ 如果看到回应,说明数据包没有被丢弃,也就是说,可疑主机被监听了。
(3)ARP 法。除了使用PING 进行监测外,还可以利用ARP 方式进行监测的。这种模式使用ARP数据包替代了上述的ICMP 数据包。向局域网内的主机发送非广播方式的ARP 包,如果局域网内的某个主机以自己的IP 地址响应了这个ARP 请求,那么就可以判断它很可能就处于网络监听模式了。
(4)响应时间测试法。这种检测已被证明是最有效的。它能够发现网络中处于监听模式的机器,而不管其操作系统是什么。非监听模式的机器的响应时间变化量会很小,而监听模式的机器的响应时间变化量则通常会较大。
2.2.4 网络监听的防范措施
为了防止网络上的主机被监听,有多种技术手段,可以归纳为以下三类。
第一种是预防,监听行为要想发生,一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破,只有利用被攻破的主机,才能进行监听,从而收集以网络内重要的数据。因此,要预防网络中的主机被攻破。这就要求我们养成良好的使用计算机的习惯,不随意下载和使用来历不明的软件,及时给计算机打上补丁程序,安装防火墙等措施,涉及到国家安全的部门还应该有防电辐射技术,干扰技术等等,防止数据被监听。
二是被动防御,主要是采取数据加密技术,数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输,容易辨认。一旦口令被截获,入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后,监听器依然可以捕获传送的信息,但显示的是乱码。使用加密技术,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一,但是它的缺点是速度问题。几乎所有的加密技术都将导致网络的延迟,加密技术越强,网络速度就越慢。只有很重要的信息才采用加密技术进行保护。
三是主动防御,主要是使用安全的拓扑结构和利用交换机划分VLAN,这也是限制网络监听的有效方法,这样的监听行为只能发生在一个虚拟网中,最大限度地降低了监听的危害,但需要增加硬件设备的开支,实现起来要花费不少的钱。
3.无线局域网安全威胁
3.1 非授权访问
无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。所以,未授权实体可以从外部或内部进入网络,浏览存放在网络上的信息;另外,也可以利用该网络作为攻击第三方的出发点,对移动终端发动攻击。而且,IEEE 802.11标准采用单向认证机制,只要求STA向AP进行认证,不要求AP向STA进行认证。入侵者可以通过这种协议上的缺陷对AP进行认证进行攻击,向AP发送大量的认证请求帧,从而导致AP拒绝服务。
3.2 敏感信息泄露
WLAN物理层的信号是无线、全方位的空中传播,开放传输使得其物理层的保密性无法保证。WLAN无线信号的覆盖范围一般都会超过实际需求,只要在信号覆盖范围内入侵者就可以利用无线监听技术捕获无线网络的数据包,对网络通信进行分析,从而获取有用信息。目前窃听已经成为无线局域网面临的最大问题之一。
3.3 WEB缺陷威胁
有线等效保密WEP是IEEE 802.11无线局域网标准的一部分,它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。IEEE选择在数据链路层用RC4算法加密来防止对网络进行窃听。WEP在每一个数据包中使用完整性校验字段来保证数据在传输过程中不被窜改,它使用了CRC-32校验。在WEP中明文通过和密钥流进行异或产生密文,为了加密,WEP要求所有无线网络连接共享一个密钥。实际上,网络只使用一个或几个密钥,也很少更换。WEP算法根据密钥和初始化向量IV产生密钥流,确保后续的数据包用不同的密钥流加密。但IV在一个相当短的时间内重用,使用24位的IV并不能满足要求。一个24位的字段包含16777216个可能值, 假设网络流量是11M, 传输2000字节的包,在7个小时左右, IV 就会重用。CRC-32不是一个很适合WEP的完整性校验, 即使部分数据以及CRC-32校验码同时被修改也无法校验出来。
3.4 无线局域网的安全措施
3.4.1 阻止非法用户的接入
(1)基于服务设置标识符(SSID)防止非法用户接入
服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
(2)基于无线网卡物理地址过滤防止非法用户接入
由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP 设置基于MAC 地址的Access Control(访问控制表),确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
3.4.2 实行动态加密
动态加密技术是基于对称加密和非对称加密的结合,能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身,认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段,身份验证的安全需要非对称加密以及对PKI的改进来防止非授权访问,同时完成初始密钥的动态部署和管理工作,会话建立后,大量的数据安全传输必须通过对称加密方式,但该系统通过一种动态加密的模式,摒弃了现有机制下静态加密的若干缺陷,从而使通信双方的每次―通信回合‖都有安全保证。在一个通信回合中,双方将使用相同的对称加密密钥,是每个通信方经过共同了解的信息计算而得到的,在通信回合之间,所使用的密钥将实时改变,虽然与上次回合的密钥有一定联系,但外界无法推算出来。
3.4.3 数据的访问控制
访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。访问控制也是一种安全机制,它通过访问BSSID、MAC 地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
4.计算机局域网病毒及防治
虽然局域网采用的是专网形式,但因管理及使用方面等多种原因,计算机病毒也开始在局域网出现并迅速泛滥,给网络工程安全带来一定的隐患,对数据安全造成极大威胁,妨碍了机器的正常运行,影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全己成为当前面临的一个重要且紧迫的任务。
4.1 局域网病毒
局域网病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点:传播方式和途径多样化;病毒的欺骗性日益增强病毒的传播速度极快;病毒的制作成本降低;病毒变种增多;病毒难以控制和根治;病毒传播更具有不确定性和跳跃性;病毒版本自动在线升级和自我保护能力;病毒编制采用了集成方式等。局域网病毒的传播速度快,传播范围广,危害也大。局域网病毒还特别难以清除,只要有一台工作站的病毒未被彻底清除,整个网络就有可能重新感染。
当计算机感染上病毒出现异常时,人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天,病毒的种类和数量以及所造成的损失不是逐年减少,反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具,已显露出重大缺陷----对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键。
4.2 计算机局域网病毒的防治措施
计算机局域网中最主要的软硬件就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外要加强各级人员的管理教育及各项制度的督促落实。
(1)基于工作站的防治技术。局域网中的每个工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:
一、是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。
二、是在工作站上插防病毒卡,防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。
三、是在网络接口卡上安装防病病毒芯片它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
(2)基于服务器的防治技术。服务器是网络的核心,是网络的支柱,服务器一旦被病毒感染,便无法启动,整个网络都将陷入瘫痪状态,造成的损失是灾难性的。难以挽回和无法估量的,目前市场上基于服务器的病毒防治采用NLM方法,它以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒的能力,从而保证服务器不被病毒感染,消除了病毒传播的路径,从根本上杜绝了病毒在网络上的蔓延。
(3)加强计算机网络的管理。计算机局域网病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,才有可能从根本上保护网络系统的安全运行。
一、从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,不损人,不犯法,规范工作程序和操作规程,严惩从事非法活动的集体和个人。
二、加强各级网络管理人员的专业技能学习,提高工作能力,并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况,做到及时发现问题解决问题,同时在网络工作站上经常做好病毒检测的工作,把好网络的第一道大门。
4.3 清除网络病毒
一旦在局域网上发现病毒,应尽快加以清除,以防网络病毒的扩散给整个系统造成更大的损失,具体过程为:
(1)立即停止使用受感染的电脑,并停止电脑与网络的联接,因为病毒会随时发作,继续使用受感染的电脑,只会加速该病毒的扩散,用broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器。
(2)用干净的系统盘启动系统管理员工作站,并立即清除本机工作站中含有的病毒。
(3)用干净的系统盘启动文件服务器,系统管理员登录后,使用disable longin禁止其他用户登录。
(4)用防病毒软件扫描服务器上所有卷的文件,恢复或删除被感染的文件,重新安装被删除的文件。
(5)若没有最新的备份文件,可尝试使用杀毒软件把病毒清除,对在已染毒网络上存取过的软盘进行消毒。
(6)确信网络病毒已全部彻底清除后,重新启动网络及各工作站。
5.局域网安全防范系统
5.1 防火墙系统
5.1.1 防火墙概述
防火墙是一种用来增强内部网络安全性的系统,它将网络隔离为内部网和外部网,从某种程度上来说,防火墙是位于内部网和外部网之间的桥梁和检查站,它一般由一台和多台计算机构成,它对内部网和外部网的数据流量进行分析、检测、管理和控制,通过对数据的筛选和过滤,来防止未授权的访问进出内部计算机网,从而达到保护内部网资源和信息的目的。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
5.1.2 防火墙的体系结构
5.1.2.1 双重宿主主机体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。
5.1.2.2 被屏蔽主机体系结构
双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图4所示。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接(什么是“可允许连接”将由你的站点的特殊的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:
(1)允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由数据包过滤的服务);
(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
5.1.2.3 被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个―隔离带‖。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。
5.1.3 防火墙的功能
5.1.3.1 数据包过滤技术
数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口,而其余数据包则从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络,用这种方法可以阻塞某些主机和网络连入内部网络,也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流中阻挡丢弃。
5.1.3.2 网络地址转换技术
网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址[ 7 ]。在内部网络通过安全网卡访
问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问7 ]。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
5.1.3.3 代理技术
代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。
代理侦听网络内部客户的服务请求,当一个连接到来时,首先进行身份验证,并根据安全策略决定是否中转连接。当决定转发时,代理服务器上的客户进程向真正的服务器发出请求,服务器返回代理服务器转发客户机的数据。
另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。若为合法用户,则把该请求转发给真正的某个内部网络的主机。而在整个服务过程中,应用代理一直监控着用户的操作,一旦用户进行非法操作,就可以进行干涉,并对每一个操作进行记录。若为不合法用语,则拒绝访问。
5.1.3.4 全状态检测技术
全状态检测防火墙在包过滤的同时,检测数据包之间的关联性,数据包中动态变化的状态码。它有一个检测引擎,在网关上执行网络安全策略。监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测,抽取状态信息,并动态地保存起来,作为以后执行安全策略的参考。当用户访问请求到达网关是操作系统前,状态监测器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。
5.2 入侵检测系统
5.2.1 入侵检测系统概述
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统
5.2.2 入侵检测原理
入侵检测跟其他检测技术有同样的原理。从一组数据中,检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹,这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹,并给出相关的提示和警告。
入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
第二步是信息分析,收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
第三步是结果处理,控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
5.2.3 局域网入侵检测系统的构建方法
根据CIDF规范,从功能上将IDS 划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。具体实现起来,一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现,称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现,数据库管理子系统基于Access或其他功能更强大的数据库如SQL等,多跟控制台子系统结合在一起,称之为控制管理中心。构建一个基本的IDS,具体需考虑以下几个方面的内容。
首先,数据采集机制是实现IDS的基础,数据采集子系统位于IDS的最底层,其主要目的是从网络环境中获取事件,并向其他部分提供事件。这就需要使用网络监听来实现审计数据的获取,可以通过对网卡工作模式的设置为―混杂‖模式实现对某一段网络上所有数据包的捕获。然后,需要构建并配置探测器,实现数据采集功能。应根据自己网络的具体情况,选用合适的软件及硬件设备,如果网络数据流量很小,用一般的PC机安装Linux即可,如果所监控的网络流量非常大,则需要用一台性能较高的机器;在服务器上开出一个日志分区,用于采集数据的存储;接着应进行有关软件的安装与配置,至此系统已经能够收集到网络数据流了。
其次,应建立数据分析模块。数据分析模块相当于IDS的大脑,它必须具备高度的―智慧‖和―判断能力‖,所以,在设计此模块之前,需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入地研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。设计数据分析模块的工作量浩大,需要不断地更新、升级、完善。在这里需要特别注意3个问题。应优化检测模型和算法的设计,确保系统的执行效率;安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性;报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意制订消息格式的不规范做法。
第三,需要构建控制台子系统。控制台子系统负责向网络管理员汇报各种网络违规行为,并由管理员对一些恶意行为采取行动(如阻断、跟踪等)。控制台子系统的主要任务有:管理数据采集分析中心,以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息;根据安全策略进行一系列的响应动作,以阻止非法行为,确保网络的安全。控制台子系统的设计重点是:警报信息查询、探测器管理、规则管理及用户管理。
第四,需要构建数据库管理子系统。一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起,用Access或其他数据库存储警报信息和其他数据。
第五,完成综合调试。以上几步完成之后,一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来,还需要保持各个部分之间安全、顺畅地通信和交互,这就是综合调试工作所要解决的问题,主要包括要实现数据采集分析中心和控制管理中心之间的双向通信及保证通信的安全性,最好对通信数据流进行加密操作,以防止被窃听或篡改。同时,控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作,如警报信息查询、网络事件重建等。经过综合调试后,一个基本的IDS就构建完成了,但是此时还不能放松警惕,因为在以后的应用中要不断地对它进行维护,特别是其检测能力的提高;同时还要注意与防火墙等其它系统安全方面的软件相配合,以期从整体性能上提高局域网的安全能力。
6.局域网安全防范策略
一个网络的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
6.1 划分VLAN 防止网络侦听
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
6.2 网络分段
局域网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。所以网络分段是保证局域网安全的一项重要措施。
6.3 以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
6.4 实施IP/MAC 绑定
很多网关软件实施流量过滤时都是基于IP或MAC地址,对控制普通用户起到了很好的效果,但对于高级用户就显得无能为力了,因为不管是IP或是MAC地址都可以随意修改。要实施基于IP或MAC地址过滤的访问控制,就必须进行IP/MAC地址的绑定,禁止用户对IP或MAC的修改。首先通过交换机实施用户与交换机端口的MAC绑定,再通过服务器网络管理实施IP/MAC绑定,这样用户既不能改网卡的MAC地址,也不能改IP地址。通过IP/MAC绑定后,再实施流量过滤就显得有效多了。
7.总结
网络安全技术和病毒防护是一个涉及多方面的系统工程,在实际工作中既需要综合运用以上方法,还要将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此,局域网安全不是一个单纯的技术问题,它涉及整个网络安全系统,包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁,不断健全网络的相关法规,提高网络安全防范的技术是否被授权,从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平,才能有力地保障网络安全。
[①].高传善,钱松荣.专注.数据通信与计算机网络[M].高等教育出版社,2001:8-9
[②].邓亚平.计算机网络安全[M].人民邮电出版社, 2004:1-10.[③].李成大,张京.计算机信息安全[M].人民邮电出版社,2004:72-117
第三篇:无线局域网安全论文范文
《宽带无线接入技术》课程论文
无线局域网安全
马欢
631106040118
通信工程专业1班 1060314488@qq.com
摘要:无线局域网是在有线网络上发展起来的,是无线传输技术在局域网技术上的运用,而其大部分应用也是有线局域网的体现。由于无线局域网在诸多领域体现出的巨大优势,因此对无线局域网络技术的研究成为了广大学者研究的热点。无线局域网具有组网灵活、接入简便和适用范围广泛的特点,但由于其基于无线路径进行传播,因此传播方式的开放性特性给无线局域网的安全设计和实现带来了诸多的问题。无线局域网的安全性有两个方面的内容[1]:一个是信息安全,即保证信息传输的可靠性、保密性、合法性、和不可篡改性;另一个是人员安全,即电磁波的辐射对人体健康的损害。鉴于此,对无线局域网的安全进行研究分析。
关键字:无线局域网技术;网络安全;安全接入控制;保密性
The security of wireless LAN
MA Huan 631106040118 Communication engineering,grade 2011 and 1060314488@qq.com
Abstract: Wireless local area network(LAN)is developed on the cable network, wireless local area network(LAN)is applied to the wireless transmission technology in the local area network(LAN)technology, and most of its application is also the embodiment of the wired LAN.Because of the wireless local area network(LAN), reflect the huge advantage in many fields, so the research of wireless local area network technology become the focus of many scholars study.Wireless local area network(LAN)with flexible networking and access is simple and applicable to a wide range of features, but due to its based on wireless path for transmission, so the openness of the mode of transmission characteristics for safety design and the implementation of the wireless local area network(LAN)has brought many problems.Wireless LAN security has two aspects: one is the information security, namely, to ensure the reliability of information transmission, confidentiality, legitimacy, and do not tamper with the sex;Another is the personnel security, namely the electromagnetic radiation damage to human body health.In view of this, study on analysis of wireless LAN security.Keyword: The technology of wireless LAN;Network security;Security of access control;confidentiality
通信摆脱了时间、地点和对象的束缚,极大地改善了人类的生活质量,加快了社会发展的进程.无线网络技术为人们带来极大方便的同时,安全问题已经成为阻碍无线网络技术普及的一个主要障碍。
目前无线局域网的主流标准为IEEE802.11,但其存在设计缺陷,缺少密钥管理,存在很多安全漏洞。无线网络面临的威胁越来越多,像蹭网、重要隐私和数据遭破坏或窃取等事件也是接连发生,因此,网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网,广域网还是无线网中,都存在自然与人为等诸多因素的潜在威胁和网络的脆弱性,网络的安全措施应该是
[3]1引言
在以前,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。近几年来,随着我国宽带接入网建设热潮的涌现,在各种宽带接入技术中,无线宽带接入技术异军突起,呈现出加速发展的趋势。尽管目前无线局域网还不能完全独立于有线网络,但近年来无线局域网的产品逐渐走向成熟,正以它优越的灵活性和便捷性在网络应用中发挥日益重要的作用。无线通信技术的出现使得通信技术出现了一次飞跃,使人类的[2]
《宽带无线接入技术》课程论文
能全方位地针对各种各样的威胁和网络本身的脆弱性,只有这样才能确保网络信息的完整性、保密性和可用性。为了保证信息的安全与畅通,研究网络安全及防范措施已迫在眉睫,我们必须采取一定的安全技术手段来保护无线网络的安全。无线局域网的安全现状及安全性缺陷
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。具体分析,无线局域网存在如下两种主要的安全性缺陷:
4.1静态密钥的缺陷
静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员,否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题,但当用户少时,管理员可以定期更新这个静态配置的密钥,而且工作量也不大。但是在用户数量可观时,即便可以通过某些方法对所有AP(接入点)上的密钥一起更新以减轻管理员的配置任务,管理员及时更新这些密钥的工作量也是难以想像的。
4.2访问控制机制的安全缺陷
封闭网络访问控制机制:几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。
以太网MAC地址访问控制表:MAC地址很容易的就会被攻击者嗅探到,如激活了WEP,MAC地址也必须暴露在外;而且大多数的无线网卡可以用软件来改变MAC地址。因此,攻击者可以窃听到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制。
[6]2 网络安全概述
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立与采取的技术、管理的安全保护,保护计算机硬件、软件等数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。计算机安全的定义涵盖了物理安全和逻辑安全双方面的内容,其逻辑安全的内容就可以理解为我们常说的信息安全,也就是指对信息的完整性、保密性和可用性的保护。而网络安全的定义就是信息安全的扩展。计算机的网络安全主要是指网络系统的硬件设施、软件设施以及系统中的数据受到保护,不会因为偶然的或者其他意外的原因而受到破坏、更改、泄露,同时要求在系统连续可靠的正常运行中,网络服务不会中断。在保证计算机本身安全的同时,也能使各个计算机用户的利益有所保障。
[4]3无线局域网安全研究的发展与研究必要性
无线局域网在带来巨大应用便利的同时,也存在许多安全上的问题。由于局域网通过开放性的无线传输线路传输高速数据,很多有线网络中的安全策略在无线方式下不再适用,在无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息,而将发射功率对准某一特定用户在实际中难以实现。这种开放性的数据传输方式在带来灵便的同时也带来了安全性方面的新的挑战。
IEEE标准化组织在发布802.11标准之后,也已经意识到其固有的安全性缺陷,并针对性的提出了加密协议(如WEP)来实现对数据的加密和完整性保护。通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后的研究表明,WEP协议同样存在致命性的弱点。为了解决802.11中安全机制存在的严重缺陷,IEEE802.11工作组提出了新的安全体系,并开发了新的安全标准IEEE802.11i,其针对WEP机密机制的各种缺陷作了多方面的改进,并定义了RSN(Robust Security Network)的概念,增强了无线局域网的数据加密和认证性能。IEEE802.11i建立了新的认证机制,重新规定了基于802.1x的认证机制,主要包括TKIP(Temporal Key Integrity Protoco1),CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless RobustAuthenticated Protoco1)等3种加密机制,同时引入了新的密钥管理机制,也提供了密钥缓存、预认证机制来支持用户的漫游功能,从而大幅度提升了网络的安全性。[5]WLAN面临的安全问题
由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(Access Point)所服务的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,这样就可能包括一些恶意用户也能接收到其他无线数据信号。这样恶意用户在无线局域网中相对于在有线局域网当中,去窃听或干扰信息就来得容易得多。
由无线局域网的传输介质的特殊性,使得信息在传输过程中具有更多的不确定性,受到影响更大,主要表现在以下几类:
5.1 网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。这类攻击是企业管理员面临的最大安全问题。如果没有基于加密的强有力的安全服务,数据就很容易在空气中传输时被他人读取并利用。
5.2 AP中间人欺骗
[7]
《宽带无线接入技术》课程论文
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。解决这种攻击的通常做法是采用双向认证方法(即网络认证用户,同时用户也认证网络)和基于应用层的加密认证(如HTTPS+WEB)。
5.3 WEP破解
现在互联网上存在一些程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,以及由于802.11帧冲突引起的IV重发数量,最快可以在两个小时内攻破WEP密钥。
5.4 MAC地址欺骗
即使AP起用了MAC地址过滤,使未授权的黑客的无线网卡不能连接AP,这并不意味着能阻止黑客进行无线信号侦听。通过某些软件分析截获的数据,能够获得AP允许通信的STA MAC地址,这样黑客就能利用MAC地址伪装等手段入侵网络了。
MAC 地址在网上是明码模式传送,只要监听网络便可从中截取或盗用该MAC 地址,进而伪装使用者潜入企业或组织内部偷取机密资料。
部分无线网卡允许通过软件来更改其MAC 地址,可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC 地址,因此可通过访问控制的检查而获取访问受保护网络的权限。
媒体访问控制属于硬件认证,而不是用户认证。6.3 有线等效保密(WEP)
有线等效保密(WEP)是常见的资料加密措施,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术,当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
WEP的工作原理是通过一组40位或128位的密钥作为认证口令,当WEP功能启动时,每台工作站都使用这个密钥,将准备传输的资料加密运算形成新的资料,并透过无线电波传送,另一工作站在接收到资料时,也利用同一组密钥来确认资料并做解码动作,以获得原始资料。
WEP目的是向无线局域网提供与有线网络相同级别的安全保护,它用于保障无线通信信号的安全,即保密性和完整性。但WEP提供了40位长度的密钥机制存在许多缺陷,表现在:
位的密钥现在很容易破解。
密钥是手工输入与维护,更换密钥费时和困难,密钥通常长时间使用而很少更换,若一个用户丢失密钥,则将危及到整个网络。
WEP 标准支持每个信息包的加密功能,但不支持对每个信息包的验证。
现在针对WEP的不足之处,对WEP加以扩展,提出了动态安全链路技术(DSL)。DSL采用了128 位动态分配的密钥,每一个会话都自动生成一把密钥,并且在同一个会话期间,对于每256个数据包,密钥将自动改变一次。
6.4 端口访问控制技术(IEEE802.1x)
端口访问控制技术(802.1x)是 由IEEE 定义的,用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权,可以用于局域网,也可以用于城域网。802.1x 引入了PPP 协议定义的扩展认证协议EAP。EAP 采用更多的认证机制,如MD5、一次性口令等等,从而提供更高级别的安全。
802.1x是运行在无线网设备关联,其认证层次包括两方面:客户端到认证端,认证端到认证服务器。802.1x 定义客户端到认证端采用EAP over LAN 协议,认证端到认证服务器采用EAP over RADIUS 协议。
802.1x要求无线工作站安装802.1x客户端软件,无线访问站点要内嵌802.1x认证代理,同时它还作为Radius客户无线局域网安全技术
为了有效保障无线局域网(WLAN)的安全性,针对性的对相应的问题做出控制、完善、最终得到解决问题的方法,就必须实现以下几个安全目标:提供接入控制:验证用户,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入;确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的数据;防止拒绝服务(DoS)攻击:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。
下面是业界常见的无线网络安全技术: 6.1 服务区标识符(SSID)匹配
服务集标识符(SSID)技术将一个无线局域网分为几个需要不同身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络,同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点(AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。通常SSID须事先设置于所有使用者的无线网卡及A P中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID,这是唯一标识网络的字符串。但是SSID对于网络中所有用户都是相同的字符串,其安全性差,人们可以轻易地从每个信息包的明文里窃取到它。
6.2 无线网卡物理地址(MAC)过滤
每个无线工作站的网卡都有唯一的物理地址,应用媒体访问控制(MAC)技术,可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。但媒体访问控制只适合于小型网络规模。这是因为:
[8]
《宽带无线接入技术》课程论文
端,将用户的认证信息转发给Radius服务器。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
6.5可扩展认证协议(EAP)
802.1x认证技术是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。如果认证失败,则禁止该设备访问LAN资源。尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合802.11标准的无线局域网,且被视为是WLAN的一种增强性网络安全解决方案。
802.1x体系结构包括三个主要的组件:
请求方(Supplicant):提出认证申请的用户接入设备,在无线网络中,通常指待接入网络的无线客户机STA。
认证方(Authenticator):允许客户机进行网络访问的实体,在无线网络中,通常指访问接入点AP。认证服务器(Authentication Sever):为认证方提供认证服务的实体。认证服务器对请求方进行验证,然后告知认证方该请求者是否为授权用户。认证服务器可以是某个单独的服务器实体,也可以不是,后一种情况通常是将认证功能集成在认证方Authenticator中。
802.1x草案为认证方定义了两种访问控制端口:即“受控”端口和“非受控”端口。“受控端口”分配给那些已经成功通过认证的实体进行网络访问;而在认证尚未完成之前,所有的通信数据流从“非受控端口”进出。“非受控端口”只允许通过802.1X认证数据,一旦认证成功通过,请求方就可以通过“受控端口”访问LAN资源和服务。下图列出802.1x认证前后的逻辑示意图。
与其他认证平台进行对接;提供基于用户的计费系统。802.1x认证技术的缺点:只提供用户接入认证机制。没有提供认证成功之后的数据加密;一般只提供单向认证;它提供STA与RADIUS服务器之间的认证,而不是与AP之间的认证;用户的数据仍然是使用的RC4进行加密。
6.6 WPA(Wi-Fi 保护访问)技术
Wi-Fi保护性接入(WPA)是继承了WEP 基本原理而又解决了WEP 缺点的一种新技术。其原理为 根据通用密钥,配合表示电脑MAC 地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP 一样将此密钥用RC4 加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。
WPA 标准采用了TKIP、EAP 和802.1X 等技术,在保持Wi-Fi 认证产品硬件可用性的基础上,解决802.11 在数据加密、接入认证和密钥管理等方面存在的缺陷。结语
从本文的分析看来,无线网络仍然无法独立于有线网而存在,但却克服了很多有线网络中无法解决的问题。由于无线局域网传输信息的特殊性,安全问题对其就变成了一个重要的、急待解决的问题[9]。虽然如此,却并不能限制无线技术的发展,甚至超越了现有的固定网络。可以预见,无线局域网的安全研究仍将是一个热点和重要对象;随着无线技术的进步和无线局域网络应用的日趋广泛,研究者们对无线局域网安全的研究将会投入更多的关注和探讨。针对不同的用户、用户环境给出相应的解决方案。为用户提供更快的速率、更高的安全性、更方便的应用性的无线局域网技术标准也将出现。
[9]
参考文献
[1] 汪涛.无线网络技术导论[M].北京:清华大学出版社.2012
[2] 杨慧.网络安全技术的发展现状和未来发展趋势[J].电脑知识与
技术,2010,35:9991-9993.[3] 严照楼,潘爱民.无线局域网的安全性研究[J].计算机工程与应
802.1x技术是一种增强型的网络安全解决方案。在采用802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为请求方,无线访问点AP内嵌802.1x认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。802.1x认证技术的好处和优势:802.1x协议仅仅关注受控端口的打开与关闭;接入认证通过之后,IP数据包在二层普通MAC帧上传送;由于是采用Radius协议进行认证,所以可以很方便地
用,2004,05:139-141+203.[4] 赵晖.网络安全概述[J].福建电脑,2007,04:75-76.[5] [1]张虎,卫克,陈伟鹏,付珂,赵尚弘.无线局域网安全研究的进展[J].网络安全技术与应用,2006,02:74-76.[6] 王曼珠,何文才,杨亚涛,魏占祯.无线局域网IEEE802.11的安全缺
陷分析[J].微电子学与计算机,2005,07:189-192.[7] 赵玉娟.无线局域网安全机制研究[D].郑州大学,2006.[8] 赵志飞.无线局域网安全技术研究[D].西安电子科技大学,2005.[9] 孙浩.无线网络安全的解决方案研究[J].河南科技,2014,02:5-6.《宽带无线接入技术》课程论文
第四篇:电力企业局域网的安全管理
摘要:文章分析了局域网的安全管理所涉及的问题,并根据自己的经验提出了相应的解决方法。
关键字:系统、防火墙、INTERNET、信息安全、数据库、病毒
随着计算机信息技术的发展,网络已成为我们生活的重要组成部分。但网络在应用过程中也会带来许多问题,由于频繁使用互联网,病毒的传播日益猖獗,黑客的攻击也越来越多,给局域网数据的管理、网络的安全带来很多问题,笔者从事局域网的管理工作多年,结合自己的工作实际,提出一些关于局域网的安全管理方面的经验与教训,供大家借鉴。
我们单位的局域网综合了公司生产管理、经营管理、物资管理、安全管理、生产日报、月报等各方面的许多信息,并且这些信息都是每天靠相关专业人员写进数据库的,因此在使用中出现了许多问题,但通过我们的努力工作,网络运行状况一直良好。经验告诉我们:要管好局域网,必须由局域网用户和管理员共同来努力。
一.网络管理员应作到的安全措施
1.加强服务器主机的独立性
局域网中,通常有一台以上的主服务器,提供所有计算机的连结并控制.这台计算机就是黑客攻击的主要目标.因此,企业内部应对服务器主机的安全性加强控制,尽可能将其独立,不要将重要资料放置此处,将重要资料独立放在内部机器上,这样可保证资料的安全性、完整性。免费论文网[freelw.cn]免费毕业论文下载!
2.网络分段
把网络上相互间没有直接关系的系统分布在不同的网段,由于各网段
间不能直接互访,从而减少各系统被正面攻击的机会。以前,网段分离是
物理概念,组网单位要为各网段单独购置集线器等网络设备。现在有了虚
拟网技术,网段分离成为逻辑概念,网络管理员可以在网络控制台上对网
段做任意划分。
网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(ISO/OSI)模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。
例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
3.防火墙技术
如果网络在没有防火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发生。防火墙有助于提高主系统总体安全性。防火墙的基本思想——不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障,它可以实施比较广泛的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。防火墙系统可以是路由器,也可以是个人机、主系统或者是一批主系统,专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。
防火墙是一种用来阻止外面的未经授权的用户的非法访问你的网络下的设备的工具,它通常是软件和硬件的结合体。
为了更好地理解防火墙的工作原理,我们就使用以前提到过的例子来说明.首先,大多数网络身份验证除了用户帐号和口令之外的,就是IP地址,IP地址是INTERNET网络上最普遍的身份索引,它有动态和静态两种。
(1)动态IP地址指每次强制分配给不同上网机器的主机的地址。ISP提供的拨号服务通常是分配动态IP地址,一个拨号计算机通常每次拨号都有一个不同的IP但是总有一个范围。
(2)静态IP地址是固定不变的地址,它可以是某台连入Internet的主机地址,静态IP分几类,一类是whois可以查询到的,并且此类IP地址主要是Internet中最高层主机的地址,这些主机可以是域名服务器,httpd服务器(Web Server)、邮件服务器、BBS主机或者网络棋类游戏服务器。另一类静态IP地址被分配给Internet网络中的第二层和第三层的主机,这些机器有固定的物理地址。然而他们不一定有注册的主机名。
4.使用企业级杀毒软件
在网络病毒日益猖獗的今天,不管人们多么小心翼翼,仍然会难免碰翻病毒这个“潘多拉”盒子。在这时候,选择一个功力高深的网络版病毒“杀手”就至关重要了。一般而言,查杀是否彻底细致,界面是否友好方便,能否实现远程控制、集中管理是决定一个“杀手”的三大要素。现在病毒日益猖獗,日常需要写入服务器的单机的安全也特别重要,我建议购买企业版杀毒软件,并控制写入服务器的客户端,网管可以随时杀毒,保证写入数据的安全性,服务器的安全性。免费论文网[freelw.cn]免费计算机论文下载!
最好选择从事反病毒行业历史比较悠久,在市场上有较高知名度企业研发的产品,千万不能贪便宜选择不知名厂商生产的廉价产品,不仅产品质量、售后服务得不到保证,而且一旦造成损失,将会得不偿失。
5.防止黑客攻击
随着宽带网络的普及,个人服务器、家庭局域网如雨后春笋般出现在小区局域网和校园网中,他们根据自己的喜好开设的各种各样的共享服务,为广大网虫们提供了丰富的共享资源,但由于自身的精力与资金的原因不能建立完善的防护体系,往往成为黑客和准黑客们的试验品,造成数据的丢失或硬件的损坏。因此如何保证网络安全及自身机器的安全就成了一个越来越重要的问题。
黑客与管理员是两个互相独立又互相了解的对立面,一个好的管理员如果不了解黑客的思路、做法,就无法来设置安全策略保护自己的网络,而一个黑客如果不熟悉各种安全措施,在面对着种类繁多的防护措施又会无从下手,双方为了攻击与反击想尽了方法,用尽了手段。正所谓“工欲善其事,必先利其器”,如果我们想要保护自己防范攻击就必须先了解对方的想法和思路以及他们使用的方法和工具,这样我们就可以根据他们所采用的方式方法来制定自己的安全策略,做到因法而异,准备以不变应万变,来对抗入侵。黑客入侵常用方法如下:(责任编辑:免费论文网[freelw.cn]
●Data Diddling-------------未经授权删除档案,更改其资料(15.5%)●Scanner-------------利用工具寻找暗门漏洞(15.8%)
●Sniffer--------------监听加密之封包(11.2%)●Denial of
Service-------------使其系
●Data Diddling-------------未经授权删除档案,更改其资料(15.5%)
●Scanner-------------利用工具寻找暗门漏洞(15.8%)
●Sniffer--------------监听加密之封包(11.2%)
●Denial of Service-------------使其系统瘫痪(16.2%)
●IP Spoofing---------------冒充系统内网络的IP地址(12.4%)
●Other------------其他
(13.9%)
知道了黑客的入侵方法,我们就可以对症下药。
如果要给黑客们分类的话,大致可以分成两类。一类是偶然攻击者,他们与前面提到的偶然威胁中的用户可不一样,他们往往无目的地攻击服务器,试图搜索里面的信息,这样做的原因仅仅是为了满足他们的好奇心,使他们过了一把当黑客的瘾,这些人一般只会使用已有的黑客软件,或者从网上照搬来的攻击方法来试探系统漏洞。总体来说,水平一般,很业余,只要采取一般的保护措施,比如简单的防火墙或者升级系统补丁就可以把他们屏蔽在外了。而对付另一类顽固攻击者就没有这么简单了。他们大部分为网络及编程高手,熟悉各种程序语言、操作系统及网络各层间的协议,能够自己编写攻击程序,找到系统的漏洞,发现侵入的方法。而且这些人的目的远远不只是为满足一下自己的好奇心,而是为了商业机密,报复等原因。
现在我们再来说一下黑客几种主要和常见的攻击类型。拒绝服务攻击,这是目前最常见的攻击方式,一般是通过程序占用了主机上所有的资源,或者是在短时间内向主机发送大量数据包,影响其它正常数据交换,从而造成系统过载或系统瘫痪。网络蠕虫是目前最为常见的影响最大的实现拒绝攻击服务的方法。此外通过中止TCP握手过程和邮件炸弹也可以实现拒绝服务攻击。前门攻击,这种攻击方式最为直接,黑客会试图以系统承认的合法用户的身份登录系统进行访问。他们会直接试图利用字母组合去破解合法的用户名及密码。由于使用了配置强大的计算机运算的破解程序,前门攻击对于高级黑客来说也不是什么难事,所以当服务器日志中出现了大量登录失败的信息后,就说明很可能已经有黑客开始光顾服务器的前门了。天窗攻击和特洛伊木马攻击很相似,前者是直接利用管理员留下的后门(就是用于系统检测或故障维护的特殊用户通道)侵入系统;而后者是通过一些驻留内存的程序(后门病毒,代码炸弹等),为非法入侵者打开一个随时出入的特殊通道。IP欺骗和中间人攻击是另外两种类似的攻击手段,第一种前面已经提过,通过新生成的IP报头非法进入合法网络进行通讯,而中间人攻击则是首先通过IP欺骗获得合法身份,然后截取网络中的数据包获取其中的数据,从这些数据窃取合法的用户名和密码。
管理员在配置服务器的安全策略时一定要小心谨慎,比如在配置授权服务时,尽量用自己的方式为每个用户加上详细的描述来表述其身份,这样一旦发现新出现的用户没有描述,或未用你的方法进行描述,你可以立刻核对它的合法性,看是否为入侵后留下的额外控制账号。配置数据保护和数据集成可以为主机上的各种数据提供授权保护和加密,这样可以防止用户在远端登录主机时,登录信息被中途监听、截获,如果已经被截获,可以防止被破解。安全策略是管理员手里最基础的工具,有效地利用这个工具可以击退大部分非法入侵。
做为要建立服务器的管理员,首先要评估和分析自己服务器会受到哪些入侵,以及自己服务器上哪些资源数据容易被别人攻击。做好这样的评析才能方便地建立自己的安全策略,花最小的代价建立好最妥当的防护方法。入侵监视软件
也是管理员必备的武器之一,它替代管理员对流入流出服务器的数据进行监视,检测其合法性。这类软件都还有一个规则数据库,用来和网络中实时交流的数据进行检测比较,通过那些合法的,中止那些非法的。管理员可以自行设置网络规则和应变手段,比如在发现入侵后进行反跟踪,找到入侵的源头。或者是直接进行反击,迫使黑客停止攻击,转入防御(比较常见的监听软件有ISS RealSecure、Axent Intruder Alert等)。而且在配置服务器时,尽量避免使用系统的默认配置,这些默认配置是为了方便普通用户使用的,但是很多黑客都熟悉默认配置的漏洞,能很方便地、从这里侵入系统,所以当系统安装完毕后第一步就是要升级最新的补丁,然后更改系统的默认设置。为用户建立好详细的属性和权限,方便确认用户身份以及他能访问修改的资料。定期修改用户密码,这样可以让密码破解的威胁降到最低。总之要利用好服务器自身系统的各种安全策略,就可以占用最小的资源,挡住大部分黑客了。
6.数据库的安全保护:
服务器中的程序、数据是动态的,随时变化,因此要作好备份工作,备份要多留几份,这样才使系统崩溃时,可以及时恢复数据,保证工作正常进行。
随时修改口令、密码,不要将密码泄露出去,服务器不用时就进入锁定状态,免得由于误错做,引起故障,带来不必要的麻烦。
二.局域网用户应做的安全防护
许多企业内发生的网络安全危机,有多半来自员工本身没有具备基本的网络安全常识.导致黑客有机会侵入计算机,达到破坏的目的.因此企业或个人加强本身的网络保护知识,有绝对的不要.以下列出几项,供各位参考.1.保密自己的口令、密码。严禁帐号,密码外借,密码设置不要过于简单,平时我们设定密码时往往随便就以简单的数字,电话号码,或单纯的英文字母,单词设定,这样很不安全,很容易被轻易获取.因此设定密码愈复杂,就愈安全.密码、帐号不要借给他人使用,避免不必要的麻烦.2.安装在线杀毒软件,随时监视病毒的侵入,保护硬盘及系统不受伤害。常见的有KV3000、金山毒霸等,还要记得及时给病毒库升级。这样才能加强杀毒软件的抗病毒能力。
3.浏览WEB时不要轻易打开来历不明的电子邮件.常见黑客入侵的方式,都是先寄发内含入侵程序的电子邮件给对方,使收件人在不知情的情况下打开邮件,入侵程序便悄悄进驻你的计算机,这样不仅会被窃取重要资料,而且会破坏你硬盘的所有资料.也有的黑客将邮件以HTM格式放在WEB页上寄出,只要上网者轻轻一击,你的计算机就种着了.4.不要随便借你的计算机给别人使用
黑客会在你的计算机上种植木马程序或获取你的相关网络资源密码等, 以后他就可以在任何计算机上随意获取你的资源,监视你的一举一动,控制你的计算机,使你的机器速度下降,甚至死机.(责任编辑:免费论文网[freelw.cn]
第五篇:局域网共享问题
局域网共享问题大全
一般情况
重新设置一下局域网,参照以下步骤:
1、工作组要相同。具体操作: 右键 我的电脑 属性 计算机名 更改工作组。
2、禁用“GUEST”帐户。具体操作:右键 我的电脑 管理 本地用户和组 双击用户 点 GUEST 右键 属性 账户已停用前勾上。
3、更改本地帐户的安全和共享模式为经典。具体操作:开始 设置 控制面板 性能和维护 管理工具 本地安全策略 安全选项 网络访问:本地账号的共享和安全模式 选 “经典:本地用户以自己的身份验证”。
4、若想实现文件和打印机共享,要开启各机的共享。
你试试,祝你成功!
若还是不行,可以参考
一、首先启用guest来宾帐户;
二、控制面板→管理工具→本地安全策略→本地策略→用户权利指派里,“从网络访问此计算机”中加入guest帐户,而“拒绝从网络访问这台计算机”中删除guest帐户;
三、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享(推荐)”前的勾;
四、设置共享文件夹;
五、控制面板→管理工具→本地安全策略→本地策略→安全选项里,把“网络访问:本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”(可选,此项设置可去除访问时要求输入密码的对话框,也可视情况设为“经典-本地用户以自己的身份验证”);
六、右击“我的电脑”→“属性”→“计算机名”,该选项卡中有没有出现你的局域网工作组名称,如“work”等。然后单击“网络
ID”按钮,开始“网络标识向导”:单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”;单击“下一步”,选择“公司使用没有域的网络”;单击“下一步”按钮,然后输入你的局域网的工作组名,如“work”,再次单击“下一步”按钮,最后单击“完成”按钮完成设置。
七、检查本地连接是否被禁用,右击“本地连接”→“启用”;
八、关闭网络防火墙;
九、检查是否启用了域,是否加入了该域并检查域设置;
十、检查是否关闭了server服务;
十一、检查本地连接IP、子网掩码、网关及DNS设置是否有误;
十二、“本地连接”→属性→常规,检查是否安装了“Microsoft网络文件和打印机共享”、“Microsoft网络客户端”以及TCP/IP协议;
十三、某些局域网游戏和软件须安装NetBEUI协议。而且网上有文章说,在小型局域网中,微软在WinXP中只支持的TCP/IP协议和 NWLinkIPX/SPX/NetBIOS兼容协议表现不尽如人意,在小型局域网(拥有200台左右电脑的网络)中NetBEUI是占用内存最少、速度最快的一种协议。
十四、作为网络浏览服务器的电脑由于病毒、配置低运行慢以及死机等原因导致网络上的计算机列表得不到更新,使得某些机器有时候在网上邻居中找不到。
解决办法:最简单的办法是重启各种网络设备和电脑,或者关闭个别有上述问题的电脑上的网络浏览服务器功能,方法如下: win2000/XP下禁用Computer Browser服务
十五、给系统打上补丁。WinXP访问网上邻居的速度较慢,这是WinXP的一个Bug,当我们打开网上邻居时,操作系统首先会从计划任务中进行查找,因此就大大影响了访问的速度,除非您已经安装了SP1补丁才不会存在这个问题。
可以手工解
决
这,一这问
题里
。有
从
注一
册个
表
名中
找 为“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerRemoteComputerNameSpace”“{D6277990-4C6A-11CF-8D87-00AA0060F5BF}”的子键,该子键指向“计划任务(ScheduledTasks)”,将它直接删除即可。
十六、先卸载网卡驱动,重启再重装;
十七、硬件问题,检查网卡、网线、集线器、路由器等,在检查之前,最好先重启一下网络设备(集线器、交换机、路由器)看能否解决;
十八、病毒(木马)原因。升级病毒库安全模式下全盘杀毒。
自学内容
彻底解决XP网上邻居共享
导致Windows XP网络邻居不能正确浏览或浏览列表不全的因素很多,解决问题需要对症下药,而诊断过程分两个步骤:测试基本连接、解决文件共享问题。
一、解决基本连接问题。
1、检查计算机之间的物理连接。
网卡是网络连接的基本设备,在桌面计算机中,每个网卡后面的指示灯应该是亮的,这表示连接是正常的。如果不亮,请检查集线器或交换机是打开的,而且每个客户端连接的指示灯都是亮的,这表示链接是正常的。接下来检查网线的水晶头是否接触良好。
2、确保所有计算机上都安装了 TCP/IP,并且工作正常。
在Windows XP 中默认安装了 TCP/IP。但是,如果出了网络问题想卸载后重新安装 TCP/IP 就不容易了:在“本地连接”属性中显示的此连接使用下列项目列表中单击 Internet 协议(TCP/IP)项,您将发现卸载按钮不可用(被禁用)。
这是因为传输控制协议/Internet 协议(TCP/IP)堆栈是 Microsoft XP/ 2003 的核心组件,不能删除。在这种情况下,如果需要重新安装 TCP/IP 以使 TCP/IP 堆栈恢复为原始状态。可以使用 NetShell 实用程序重置 TCP/IP 堆栈,使其恢复到初次安装操作系统时的状态。方法是:在命令提示符后键入以下命令,然后按 ENTER 键:netsh int ip reset c:resetlog.txt,其中,Resetlog.txt记录命令结果的日志文件,一定要指定,这里指定了 Resetlog.txt 日志文件及完整路径。运行此命令的结果与删除并重新安装 TCP/IP 协议的效果相同。
另外,不会还有人用95吧,WIN95默认情况下不自动安装TCP/IP协议。
3、检查IP地址
有几种情况:
查看不同的计算机的IP是否在同一范围内,方法是在MSDOS方式下输入IPCONFIG/ALL。如果一台计算机收到的地址在 192.168.0.x 范围内,而另一台收到的地址在 169.254.x.y 范围内,需要根据网络拓扑确定哪一个是正确的地址。然后,集中解决地址错误的那台计算机的问题。
关于169.254.x.y类IP地址
在不存在 Internet 连接的情况中,或者,每台计算机都有一个单独的 Internet 连接(拨号连接或宽带连接)。在这种配置中,计算机通常给自己分配 169.254.x.y 范围内的 IP 地址(其中 x 和 y 是 1 到 254 之间的数字)。而将 ISP 提供的地址用于 Internet 连接。
关于192.168.0.X类IP地址
一台计算机通过使用 Internet 连接共享连接到共享的Internet。该连接可以是拨号连接或宽带连接(一般是 xDSL 或电缆调制解调器)。该计算机也被称为代理服务器,常见的代理有SYGATE、WINGATE、NAT、ISA、*****ROXY等。通常是由代理服务器负责为家庭网络中的其他计算机分配 IP 地址。共享连接的计算机应该为连接到家庭网络的网卡配置 IP 地址 192.168.0.1。网络上其他计算机的地址应在 192.168.0.x 范围内(其中 x 是 2 到 254 之间的数字)。当然,可以在成功共享后修改IP地址,如10.X.Y.Z等。
计算机连接到集线器,并且集线器通过宽带连接与 Internet 连接。这种配置也称为无边界网络。在这种配置中,家庭网络中的每台计算机都有一个 Internet 服务提供商(ISP)提供的 IP 地址。使用的地址因 ISP 而异。无边界网络是一种特殊情况。在这种情况下应使用 ICF,但必须采取其他措施才能在家庭网络启用连接。
4、使用 ping 命令测试网络中两台计算机之间的连接:
ping 其它计算机IP,在命令提示处,键入 ping x.x.x.x(其中 x.x.x.x 是另一台计算机的 IP 地址),然后按 ENTER 键。应该可以看到来自另一台计算机的几个答复,如:
Reply from x.x.x.x:bytes=32 time<1ms TTL=128
如果没有看到这些答复,或者看到“Request timed out”,说明本地计算机可能有问题。如果 ping 命令成功执行,那么您就确定了计算机可以正确连接,可以跳过下一步。如果没有看到这些答复,或者看到“Request timed out”,说明本地计算机可能有问题。PING 本地IP,如果看到“Request timed out”,说明本地计算机可能有问题。
5、使用 ping 命令测试网络中名称解析是否正常
ping computername,其中 computername 是远程计算机的名称。通过 ping 命令用名称测试计算机连接。确定计算机的名称的方法是:在命令提示处,输入SYSTEMINFO。或者在桌面上右击我的电脑-属性,然后单击计算机名称选项卡。如果看到该命令的成功答复,说明您在计算机之间具有基本连接和名称解析。名称解析跟NETBIOS密切相关,看下面的步骤。
6、分析日志
检查“网络安装向导”日志文件中没有成功执行的任何步骤中的错误。打开该日志的方法是依次单击开始、运行,键入 %SystemRoot%nsw.log,然后按 ENTER 键。如果 Nsw.log 文件没有提供有关该问题的信息,请检查系统日志中的错误并查明错误原因。
二、解决文件和打印机共享问题
1、正确安装网络组件
首先右击网上邻居-属性,选择要共享的网卡。把IP设置在局域网的同一个网段上。比如192.168.0.X网段。然后看一下TCP/IP的高级属性中,是否开启NETBIOS。在利用WINNT4.0 构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名,系统是利用WINS服务、信息广播方式及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在内部网络系统中(也就是通常我们所说的局域网中),利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上对一台主机的唯一标识信息是它的FQDN格式的域名(http://www.xiexiebang.com/),在Internet是利用DNS标准来实现将域名解析为相应IP地址,WIN2K支持动态DNS,运行活动目录服务的机器可动态地更新DNS表。WIN2K网络中可以不再需要WINS服务,但是WIN2K仍然支持WINS,这是由于向后兼容的原因。目前,大多数网络是混合网,既有Win98等系统,又有WINXP/WIN2K等系统,因此需要在TCP/IP协议上捆绑NETBIOS解析计算机名。
查看是否选定“文件和打印服务”组件,如果已将其取消选中,“浏览服务”将不绑定到 NetBIOS 接口。成为备份浏览器并且没有启用“文件和打印共享”的基于 Windows 的计算机无法将浏览列表与客户机共享。任何将要包括在浏览列表中的计算机也都必须启用“文件和打印共享”。
2、启动“计算机浏览器”服务
计算机浏览器“服务在网络上维护一个计算机更新列表,并将此列表提供给指定为浏览器的计算机。如果停止了此服务,则既不更新也不维护该列表。
启动”计算机浏览器“服务
单击开始,右击我的电脑,然后单击管理。
在控制台树中,展开”服务和应用程序“。
单击服务。
在右边的详细信息窗格中,检查”计算机浏览器“服务是否已启动,右击计算机浏览器,然后单击启动。
关闭”计算机管理"窗口。
3、查看共享文件夹
请依次单击开始、运行,键入 fsmgmt.msc,然后单击确定。在左窗格中,单击共享。右窗格中随即出现共享文件夹列表。记下每台计算机的相应共享名称。
4、起用Guest(来宾)帐户
Windows XP的Guest帐户允许其他人使用你的电脑,但不允许他们访问特定的文件,也不允许他们安装软件。对 Windows XP Home Edition 计算机或工作组中的 Windows XP Professional 计算机的所有网络访问都使用来宾帐户。使用net user guest确保为网络访问设置了来宾帐户,如果该帐户是活动的,命令输出中会出现一行类似下面这样的内容:Account active Yes;如果该帐户不是活动的,请使用下面的命令授予来宾帐户网络访问:
net user guest /active:yes
5、允许Guest(来宾)帐号从网络上访问。
在运行里输入gpedit.msc,弹出组策略管理器,在„计算机配置-Windows设置-本地策略-用户权利指派‟中,有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机,其中居然有GUEST帐号,谁能访问这台计算机。解决办法是删除拒绝访问中的GUEST帐号。如图
6、设置防火墙允许浏览服务
网络安全重要,所以最好开启网络防火墙,但是防火墙阻断正常的网络浏览服务通讯,结果是别人在网上邻居中看不到你的计算机,有没有两全其美的办法在开启防火墙的前提下允许浏览服务。办法是,如果开启了ICF,打开属性,在服务这栏,选择添加,添加服务的对话框共有四个编辑框,最上边是描述服务名称,以便于记忆,从上到下第二个是应用服务的IP地址或名称,输入127.0.0.1表示本机。下面连个是内外端口号,旁边的tcp/udp标示这个端口是udp连接还是tcp连接。
按照下面的表格输入3个服务
8、设置帐号和密码
由于WinNT内核的操作系统,在访问远程计算机的时候,好像总是首先尝试用本地的当前用户名和密码来尝试,可能造成无法访问,在这里把用户密码添加进去就可以了。
查看计算机IBMZB上有哪些共享文件夹,如D。再输入NET USE Z:IBMZBD将计算机IBM-ZB共享的文件夹D映射为H:盘,在命令提示符下键入“Z:”。你会发现你已经连到IBMZB计算机上了