欢迎来到天天文库
浏览记录
ID:23381045
大小:53.50 KB
页数:6页
时间:2018-11-07
《网际网络安全技术分析和对策》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、网际网络安全技术分析和对策~教育资源库 内部网 目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。 A.局域网安全 事实上,Inter上许多免费的黑客工具,如SATAN、ISS、CAT等等,都把以太网侦听作为其最基本的手段。 当前,
2、局域网安全的解决办法有以下几种: 1.网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。 目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DECMultiSAC地址的访问控制,也就是
3、上述的基于数据链路层的物理分段。 2.以交换式集线器代替共享式集线器 对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TEL到一台主机上,由于TEL程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),
4、都将被明文发送,这就给黑客提供了机会。 因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(BroadcastPacket)和多播包(MulticastPacket)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。 3.VLAN的划分 为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。 目前的VLAN技术主要有三
5、种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。 在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VL
6、AN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。 VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括海关内部普遍采用的DECMultiSD5和美国国家标准局的SHS。在海关系统中广泛使用的Cisco路由器,有两种口令加密方式:EnableSecret和EnablePassD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字典攻击法)。而EnablePassword则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XO
7、R与或运算),目前至少已有两种破解软件。因此,最好不用EnablePassword。12下一页友情提醒:,特别! 2.VPN技术 VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。VPN可以在Inter、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。因此,
8、VPN技术一经推出,便红遍全球。 但应该指出的是,目前VPN技术的许多核心协议,如L2TP、IPSec等,都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此,企业在VPN建网选型时,一定要慎重选择VPN服务提供商和VPN设备。 3.身份认证技术 对于从外部拨号访问总部内部网的用户,由于使用公共网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的
此文档下载收益归作者所有