局域网安全(上)

原创 2001年03月30日 12:36:00
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。

  事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。

  当前,局域网安全的解决办法有以下几种:

  1.网络分段

  网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。

  目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。

  2.以交换式集线器代替共享式集线器

  对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。

  因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。

  3.VLAN的划分

  为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。

  目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。

  在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。

  VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括海关内部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。

  无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。

技术点详解——局域网安全

技术点详解——局域网安全 什么是网络安全 提到网络安全,大家觉得就和搞情报工作的特务似的黑客,和自己遥不可及。应该说网络安全属于情报工作的一部分,但情报工作涉及到社会的方方面面,网...
  • qq_35904259
  • qq_35904259
  • 2017年03月10日 13:12
  • 249

大型企业局域网安全解决方案

第一章 总则 本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他...
  • jj97007
  • jj97007
  • 2004年10月14日 11:52
  • 2192

局域网安全

什么是网络安全 提到网络安全,大家觉得就和搞情报工作的特务似的黑客,和自己遥不可及。应该说网络安全属于情报工作的一部分,但情报工作涉及到社会的方方面面,网络安全也时时刻刻在我们身边,我们离不开网络,...
  • dolphin98629
  • dolphin98629
  • 2015年08月27日 09:27
  • 363

无法连接局域网中的sqlserver数据库

在SQL Server配置工具---SQL Server配置管理器中,配置tcp/ip商品为1344(?未验证是否一定要) 以下详细见:http://blog.csdn.net/zongzh...
  • HU110110
  • HU110110
  • 2016年12月30日 00:17
  • 726

局域网中mysql连接失败

这几天一直在搭建服务器,装Ubuntu,配置svn,mysql,设置
  • liujihaozhy
  • liujihaozhy
  • 2014年08月26日 10:29
  • 1419

解决局域网调用服务器文件执行时出现的安全警告窗口

批处理解决方案 @ECHO OFF REG Add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations /v ...
  • zm2714
  • zm2714
  • 2012年09月10日 10:56
  • 1997

大型企业局域网安全解决方案

前言: 这是我为某大型企业写一份局域网安全解决方案建议书。本来这是不应该公开的,但是由于种种原因未能被采纳,所以也没什么大碍,现在拿出来给大家当作是一份参考资料,写的不好多多指教。文章是让大家参考...
  • itkbase
  • itkbase
  • 2008年03月11日 15:15
  • 189

局域网共享与安全

 一. 局域网内的邻居网络的基本作用是实现资源共享,而作为最小网络分布结构的局域网(Local Area Network,LAN)更是把这个概念淋漓尽致的发展起来,那么,局域网内的共享是怎么实现的呢?...
  • sanshao27
  • sanshao27
  • 2007年01月16日 20:28
  • 533

局域网安全(下)

广域网安全  由于广域网大多采用公网来进行数据传输,信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制,只要使用Internet上免费下载的“包检测”工具软件...
  • e_lion
  • e_lion
  • 2001年03月30日 12:37
  • 605

大型企业局域网安全解决方案

前言: 这是我为某大型企业写一份局域网安全解决方案建议书。本来这是不应该公开的,但是由于种种原因未能被采纳,所以也没什么大碍,现在拿出来给大家当作是一份参考资料,写的不好多多指教。文章是让大家参考的,...
  • ecitnet
  • ecitnet
  • 2007年09月21日 13:17
  • 470
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:局域网安全(上)
举报原因:
原因补充:

(最多只允许输入30个字)