返回
afc网络中vlan技术和其安全性

afc网络中vlan技术和其安全性

ID:5983790

大小:28.00 KB

页数:6页

时间:2017-12-30

afc网络中vlan技术和其安全性_第1页
afc网络中vlan技术和其安全性_第2页
afc网络中vlan技术和其安全性_第3页
afc网络中vlan技术和其安全性_第4页
afc网络中vlan技术和其安全性_第5页
资源描述:

《afc网络中vlan技术和其安全性》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、AFC网络中VLAN技术和其安全性  【摘要】本文从AFC系统网络的安全性出发,以三号线AFC系统网络结构为例,分析VLAN技术在AFC系统网络中起到的重要性作用,提出两种局域网中比较经典的第二层网络攻击,分析产生攻击的依存环境条件、攻击方法及可能产生的危害,并提出了相应的防范措施,借此以抛砖引玉,旨在提醒更多人提高安全意识,注意安全操作。【关键词】安全;VLAN技术;AFC系统网络;安全隐患;解决方案0.引言6自动售检票(AFC)系统是一个集售票、检票、计费、收费、统计、清分结算和运行管理等于一体的自动化系统[1],其作为轨道交通运营管理重要子系统之一,既承担着减

2、少地铁工作人员的劳动强度,获取城市交通客流信息的一手资料等任务,也负责着票务收入计量,财务信息的汇总分析等重要工作。鉴于AFC系统在轨道交通运营过程中的重要地位,其安全性原则不容忽视。安全性建设意义重大,但完善安全性建设却难以面面俱到。一方面,我们知道安全是AFC系统能否正常运行的关键;另一方面,AFC系统作为内容繁多,结构严密,逻辑清晰的信息联机储存以及管理的系统,其安全性建设是一个系统工程。信息安全理论的木桶原理告诉我们:一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定,也即是说,安全性建设这个系统工程必须重视每一个安全细节。1.三号线网络中

3、的VLAN技术网络作为AFC系统的重要组成部分,其安全性也是AFC系统安全的一部分。三号线的AFC网络规划需要将多个车站的终端组成一个网络,并且由于业务分工的需要,每个车站内部的终端需要组成不同的局域网。若使用传统的局域网加路由的技术,则满足需求的网络方案中必须用到大量的路由,而且对处理网络结构的改变也不够灵活。而VLAN技术的特点却正好有效的解决了以上需求。利用VLAN技术以及VLAN技术上的干道技术,一方面,我们可以有效的分割广播域且不会增加对路由的需求,节约了成本;另一方面,VLAN可以非常灵活的处理终端的重新归网问题。2.安全隐患在了解了VLAN技术之后,我

4、们来看看这种安全技术的两个潜在隐患。第二层攻击类型介绍。6交换机处理的数据属于参考网络模型的第二层,即数据链路层。利用该层数据帧进行的网络攻击我们都称为第二层网络攻击。已知的第二层攻击有以下几种:VLAN跳跃,STP攻击,DHCP欺骗,CAM表溢出等。我们将重点放在VLAN跳跃攻击上。VLAN跳跃攻击有两种方法,分别是交换机欺骗和双重标示。2.1交换机欺骗我们知道,如果一条线路成为干道的话,该线路将可以传递所有VLAN数据帧。一些cisco交换机端口的中继默认设置为auto模式,这使得接入交换机的攻击者主机可以构造DTP帧来打开交换机的中继模式。收到DTP帧的交换机

5、会认为攻击者主机是另一交换机的中继端口,从而打开自己的中继模式,使得交换机将所有的VLAN数据帧传送给攻击者主机。如果车站服务器被入侵,那么当服务器上的入侵者向交换机发送其构造的DTP帧时,中继默认设置为auto模式的交换机便会将该交换机上所有VLAN的数据包发给工作站。此时,服务器上的入侵者得到了该连接到该交换机上所有其他设备的数据包,包括GATE,TVM,BOM,TCM等。这就是VLAN跳跃攻击。2.2双重标记6为了能和不支持VLAN技术的交换机或其他设备通讯,支持VLAN技术的交换机设置了一个默认的本地VLAN。这个VLAN的发出数据帧是不带VLAN标签的。如

6、果一个数据帧含有本地VLAN的标签,那么在发出这个数据帧的时候,该VLAN会被交换机删去。针对这一处理方法,攻击者可以构造一个双重标记的数据帧,达到访问本不能访问的VLAN网络的目的。如右图所示,假设下图的工作站A和终端A分别属于VLAN2和VLAN3,在一般情况下工作站A不能访问终端A。然而,当工作站A向交换机A发送一个双重标记的数据帧时,这个数据帧就可以到达终端A,进而达到访问终端A的目的。3.防范措施3.1针对交换机欺骗的防范措施交换机欺骗的危害虽大,但其预防措施却并不复杂。事实上,交换机欺骗攻击之所以说是一个安全隐患是因为大多数的交换机默认就将端口设置aut

7、o模式。三号线采用的交换机CiscoCatalyst3550,其端口的默认设置便是这种形式。为了防范交换机欺骗攻击,我们可以修改非干道端口上默认打开的auto模式,将其改成接入模式。以CiscoCatalyst3550交换机为例,我们可以用下面的命令消除交换机欺骗攻击隐患:Switch(config)#interfacegigabitethernet0/1Switch(config-if)#switchportmodeaccess6C3550交换机是地铁三号线车站计算机系统中的站台设备接入交换机,数目较多,这就加大该隐患的危险性。以上改变端口默认设置的命令应该在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。