欢迎来到天天文库
浏览记录
ID:40344556
大小:2.45 MB
页数:39页
时间:2019-07-31
《计算机网络安全 沈鑫剡 第4章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、计算机网络安全第四章第4章安全网络技术以太网安全技术;安全路由;虚拟网络;信息流管制;网络地址转换;容错网络结构。解决网络安全问题的方法主要有三:一是提出解决安全问题的新的机制和算法,如数字签名算法和认证机制。二是增加解决安全问题的新设备,如防火墙和入侵防御系统。三是在传统网络设备和网络设计方法中增加抵御黑客攻击的手段和能力,安全网络技术就是在传统网络设备和网络设计方法中增加的用于抵御黑客攻击和保障网络适用性的技术。4.1以太网安全技术以太网接入控制访问控制列表;安全端口;802.1X接入控制过程。以太网其他安全功能防站表溢出攻击功能;防DHCP欺骗;防ARP欺骗攻击。以太
2、网接入控制黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用户终端的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;交换机端口是用户终端的物理连接处,防止黑客终端接入以太网的关键技术是授权用户终端具有难以伪造的标识符,交换机端口具有识别授权用户终端标识符的能力。允许为交换机每一个端口配置访问控制列表,列表中给出允许接入的终端的MAC地址;配置访问控制列表的端口只允许转发源MAC地址属于列表中MAC地址的MAC帧,因此对于接入端口,只允许物理连接MAC地址属于列表中MAC地址的终端。以太网接入控制访问控制列表安全端口是自动建立访问控制列表的机
3、制;允许为每一个交换机端口设置MAC地址数N,从端口学习到的前N个MAC地址作为访问控制列表的MAC地址;不允许转发源地址是N个地址以外的MAC帧。以太网接入控制安全端口802.1X基于端口认证机制,一旦完成认证过程,端口就处于正常转发状态,这种方式适用于交换机B的认证端口,不适用交换机A的认证端口;802.1X基于MAC地址认证机制是认证和访问控制列表的有机结合,一旦交换机通过对某个用户的身份认证,将该用户终端的MAC地址记录在访问控制列表的中,这种方式下,访问控制列表的中的MAC地址是动态的,随着用户接入增加,随着用户退出减少。以太网接入控制实现802.1X接入控制过程
4、的网络结构认证数据库表明:允许用户名为用户A,具有口令PASSA的用户接入以太网;交换机A将端口7设置为认证端口,意味着必须根据认证数据库指定的认证机制:EAP-CHAP完成用户身份认证的用户终端的MAC地址才能记录在端口7的访问控制列表的中。以太网接入控制用户A向认证服务器证明自己身份:用户名为用户A,具有口令PASSA。用户A终端的MAC地址记录在访问控制列表中。以太网其他安全功能由于站表容量是有限的,当某个黑客终端大量发送源MAC地址伪造的MAC帧时,很容易使站表溢出;一旦站表溢出,正常终端的MAC地址无法进入站表,导致正常终端之间传输的MAC帧以广播方式传输。站表溢
5、出攻击解决方法限制交换机从每一个端口学习到的地址数。伪造的DHCP服务器为终端配置错误的网络信息,导致终端发送的数据都被转发到冒充默认网关的黑客终端。以太网其他安全功能信任端口非信任端口将连接授权DHCP服务器的端口和互连交换机的端口设置为信任端口,其他端口为非信任端口,只允许转发从信任端口接收到的DHCP响应报文。终端B通过发送将终端A的IP地址和自己MAC地址绑定的ARP报文,在其他终端和路由器的ARP缓冲器中增添一项,导致其他终端和路由器将目的IP地址为IPA的IP分组,全部封装成以MACB为目的地址的MAC帧。以太网其他安全功能ARP欺骗攻击过程信
6、任端口解决方法基于终端配置通过DHCP服务器获得;交换机侦听通过信任端口接收到的DHCP响应报文,并将响应报文中作为终端标识符的MAC地址和DHCP分配给终端的IP地址记录在DHCP配置表中;一旦交换机接收到ARP报文,根据ARP报文中给出的IP地址和MAC地址对匹配DHCP配置表,如果找到匹配项,继续转发ARP报文,否则,丢弃ARP报文。4.2安全路由路由器和路由项认证;路由项过滤;单播反向路径验证。这些功能一是确保只有授权路由器之间才能传输路由消息,且路由器只处理传输过程中未被篡改的路由消息;二是防止内部网络结构外泄;三是拒绝黑客终端的源IP地址欺骗攻击。路由器和路由项
7、认证黑客终端伪造和LAN4直接相连的路由项,并通过路由消息将该路由项组播给路由器R1、R2;路由器R1将通往LAN4传输路径的下一跳改为黑客终端;所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客终端。LAN41黑客终端伪造路由项过程路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性;相邻路由器配置共享密钥K,路由消息附带消息认证码(MAC),由于计算MAC需要共享密钥K,因此,一旦接收路由器根据密钥K和路由消息计算MAC的结果和路由消息附带的MAC相同,可以保证发送者具有和自己相同的
此文档下载收益归作者所有