ICG技术专栏---局域网安全ARP

转载 2013年12月06日 11:57:23

什么是网络安全

提到网络安全,大家觉得就和搞情报工作的特务似的黑客,和自己遥不可及。应该说网络安全属于情报工作的一部分,但情报工作涉及到社会的方方面面,网络安全也时时刻刻在我们身边,我们离不开网络,对网络安全的讨论和思考也无法逃避,而是要勇敢面对。

网络安全包含5大目标或者特征,说明了网络安全要实现什么指标

1.       机密性,对使用者进行授权,未经授权不得使用或无法使用就叫保密性,保密性建立在授权的基础上,授权说白了就是身份确认

2.       完整性,保证数据无法被篡改、伪造,实际生活中我们常用签名和身份确认的方式保证信函的真实性,网络世界中也采用类似的数字签名实现完整性,而且完整性也是基于身份确认的

3.       可用性,在合适的时机能够对服务请求进行响应,如网络、服务器在规定时间都保持可访问状态

4.       可控性,能够控制信息的发送或接收,这取决于对信息的甄别,如发现危害信息能够立即采取措施禁止继续传播

5.       可审查性,对网络行为进行记录,便于网络安全措施的改进,同时为网络故障定位提供线索

围绕这5大目标,如何进行实现,这就是网络安全的4个层次

1.       物理安全,即保证网络环境如机房、线路、办公网络设备被物理上损坏,比如线路被剪断或窃听,机房无权限控制,闲杂人等都可以随意进出,又如面对自然灾害,如何保证网络服务不中断,重要数据不丢失等。物理安全的文章主要在管理条例上,严格的管理和松散的管理对物理安全的作用是天壤之别,同时一旦网络出现物理安全故障,其损失无疑是巨大的。

2.       安全控制,对网络使用人员的控制,如通过用户名和口令核实身份,对不同身份用户开通不同的网络权限,同时对网络行为进行审计,安全控制不止是用于人员,还包括对网络设备身份的确认,如一些开放协议OSPF,就可以使用鉴权的手段避免和错误的设备建立连接,避免路由信息外泄。

3.       安全服务,对网络行为的安全保证,即实现信息的机密性、完整性和可用性。

4.       安全机制,安全服务的实现措施称为机制,如为了实现信息的机密性开发数字加密算法,为了实现信息完整性开发数字签名算法,为了提高服务可用性开发防火墙、IDS、IPS、UTM等。

上面提的网络安全都是一些名词,并没有提到如何安全,因为任何安全都分绝对安全和相对安全,一般而言绝对意义上的安全是无法实现的,比如面对自然灾害,我们的网络往往就会中断。在实际安全实施过程中考虑的是安全投资和安全程度的平衡,也就是相对安全,安全程度越高,需要的投资越高,对管理要求也越高,就好比是买保险,买方和卖方都要计算保费和意外概率,得出自己的心理价位,再通过谈判达成一致的价格。

从中也可以发现网络安全涉及的不止是技术,很多很管用的手段都是管理手段,很多安全隐患都可以通过加强对网络使用的管理避免,而这往往是被很多网络管理员忽视。

局域网的网络安全

网络因为范围的关系被分为广域网和局域网,局域网速率高且成本低,广域网速率低且成本高,广域网和局域网都属于用户内部网络,用户外部网络就是互联网,。随着互联网的蓬勃发展,网络安全的战场已经从互联网蔓延到用户内部网络,特别是局域网,因为重要的应用服务器都是放置在局域网,如果局域网受到冲击,给用户带来的损失无疑是巨大的。

局域网安全问题最大威胁就是ARP(Address Resolution Protocol地址解析协议)类问题,从ARP问题的本质可以把ARP问题分成两类:

1.       ARP欺骗,使整个网络的ARP紊乱,严重时所有内部PC无法上网

2.       ARP洪水,通过短时间内发送大量ARP请求,使所有PC和网络设备的利用率上升,上网缓慢

ARP是做什么用的?为何ARP问题会这么严重。ARP的作用和工作原理在专栏第三期《访问互联网和LAN通信》中已有介绍,这里着重介绍一下ARP协议的缺陷。ARP在局域网特别是以太网中的作用就是查询IP地址和MAC地址的映射,ARP协议是个很古老的协议,当时的网络带宽小,很多协议都设计得特别经济,甚至忽略了必要的结果验证,希望以此减少发送量来节约带宽,由此也带来了漏洞,为现今日益猖獗的ARP欺骗埋下了隐患。下面是ARP欺骗的图示原理

欺骗步骤一:主动请求所有IP地址和MAC的映射关系

欺骗步骤二:欺骗者收集到所有IP和MAC的正确映射,这属于ARP主动学习

欺骗步骤三:欺骗者开始伪造ARP应答欺骗网关,网关被动学习ARP

欺骗步骤四:网关收到伪造ARP应答后生成错误ARP表项,转发失败

欺骗步骤无:欺骗者开始伪造ARP应答欺骗各个PC,PC被动学习ARP

欺骗步骤六:PC收到伪造ARP应答后生成错误ARP表项,无法连接网关

从上面的图示可以发现ARP欺骗存在如下特点:

1.       ARP欺骗的根源在于ARP应答处理机制,在ARP协议中规定,对于任何ARP应答都给予信任,没有主动被动确认机制(主动ARP指的是在主动发送ARP请求后在指定时间内收到ARP应答,在请求指定时间外学习的ARP应答都是被动的),因此为伪造ARP应答提供了可乘之机。欺骗者通过轮询各IP地址和MAC地址对应关系并无违规之处,协议规定了对于ARP请求要给予应答。

2.       PC和网关被欺骗的直接根源在于被动学习了伪造的ARP应答,如何避免学习伪造ARP应答称为防止ARP欺骗的核心内容。

3.       欺骗是分别针对网关和PC的,因为上网是双向流量,网关被欺骗下行数据无法发给PC,PC被欺骗上行数据无法发给网关,所以都会上不了网,上只有同时解决网关被欺骗和PC被欺骗,上网才能正常,有不少人误以为只在网关上防止就可以了,这是错误的。还很多时候有人采取重启网关的方式恢复上网,这是因为断电重启后PC、网关都要重新主动学习一次,主动学习是可以学习到正确的映射关系的,所以重启后上网恢复正常,但很有可能过了一段时间后又无法上网了,将网关断电并不是好解决方案。

商务领航网关防止网关被ARP欺骗的方法和优劣关系:

1.       授权ARP,授权ARP的原理是摒弃ARP,而是通过DHCP方式来学习各个IP地址和MAC地址的映射关系,端口启动授权ARP后,ARP学习功能自动关闭。其优点是部署方便,只要网关LAN口启动DHCP服务和授权ARP即可,缺点是所有内网PC必须采用DHCP方式获取地址,否则无法上网,对于地址静态设置的内部服务器就不方便了。

2.       静态ARP,先通过主动请求或者手动检查每一台PC的IP、MAC地址的映射,即获得一份正确的映射列表,然后通过命令在网关中逐一添加表项,如果收集完整可以在LAN口中关闭ARP学习功能,达到更好效果。优点是可以支持内部PC手工配置地址如内部服务器,缺点也是很明显的,收集工作比较繁杂(华三网关支持自主扫描功能可以简化该工作),PC地址修改后表项失效(因此无法支持DHCP模式),新增加PC后需要添加新的表项。

3.       上述两种都是如何防止网关被欺骗,那么PC如何防止被欺骗呢,也很简单,PC的任务是访问一些常用地址,如网关,内部服务器,那么PC上也配置这些常用地址的静态ARR就能防止平常上网服务中断,PC有一个缺点是配置静态ARP后无法保存,重启后需要重新配置。注:window PC通过命令行中arp –s 192.168.1.1 00-01-00-01-00-01方式进行静态绑定。

总体而言可以使用授权ARP和静态ARP相结合的方法,如在LAN启用授权ARP(启用授权ARP后自动关闭ARP学习功能),将DHCP地址池把内部静态地址排除,同时针对这些内部静态地址添加静态ARP表项,这样就能够掌握所有PC正确的IP-MAC映射关系。

上面介绍了如何防止ARP欺骗,那么对于ARP洪水是否有解决方案呢?答案是ARP限速,即在所有LAN限制ARP学习的速率,当然如果关闭了ARP学习功能这个问题也就不存在了。

当网络进化到IPv6后,ARP协议也到了寿终正寝的一天,在IPv6中通过ND(Neighbor Discovery邻居发现)协议取代了ARP,ND协议很好地处理了被动学习功能,ND规定被动学习到的IPv6-MAC映射关系要接受应用程序的检验,如果应用程序根据已有IPv6-MAC映射发送IPv6包后一段时间没有收到回应,则认为该映射关系是不可信的,需要主动学习,很好地解决了被动学习到伪造映射的漏洞。

无线局域网的嗅探攻击和防御——ettercap+driftnet

该文章为本人所写关于无线局域网下对其他PC的嗅探攻击和防御文档,但并非自我设计,乃是看取其他大神的博客总结而来。...
  • zc19930620
  • zc19930620
  • 2017年03月12日 21:10
  • 4958

Android 通过读取本地Arp表获取当前局域网内其他设备信息

目的:获取当前局域网内其他连接设备的IP 和MAC信息。 步骤: 1. 获取本机wifi ip信息; 2. 根据ip 去发送ARP请求 3. 读取本地ARP 表; 1. 获...
  • github_30662571
  • github_30662571
  • 2017年07月13日 17:59
  • 2082

信息安全领域相关术语介绍

信息安全领域相关术语介绍!
  • fengbingchun
  • fengbingchun
  • 2014年11月16日 15:32
  • 4296

ICG技术专栏---局域网访问隔离

局域网为什么需要访问隔离 1.         在如上图中,企业网络可以为根据使用者获得的授权不同,把LAN划分为不同的虚拟区域(我们称为VLAN),以方便进行VLAN之间的访问控制,每个VLA...
  • Sun_Rise2011
  • Sun_Rise2011
  • 2013年12月07日 10:21
  • 576

ICG技术专栏---双链路智能切换

在上一期中,我们介绍了非常给力的双链路网吧解决方案,但在实际使用过程中,仍然有很多网吧老板抱怨。 一、     网吧老板的抱怨 这位淡定的网吧老板是这样反馈问题的: 1.      为了...
  • Sun_Rise2011
  • Sun_Rise2011
  • 2013年12月12日 17:41
  • 681

ICG技术专栏---IPSec穿越NAT

IPSec在NAT环境中的部署是VPN的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续VPN部署方案做下铺垫。 IPSec VPN穿越NAT会遇到哪些问题 IPSec VPN穿越NAT遇到...
  • Sun_Rise2011
  • Sun_Rise2011
  • 2013年12月09日 21:45
  • 614

ICG技术专栏---访问互联网和LAN通信

在每个参考点中设计多项技术,这些技术在原理上相互独立,在通信过程中却相互配合,共同完成网络通信,习惯上我们把技术按照网络技术层次进行划分,通信过程中是对等通信,比如有线接入PC的ARP只能和企业网关的...
  • Sun_Rise2011
  • Sun_Rise2011
  • 2013年12月06日 11:17
  • 602

ICG技术专栏---互联网应用如何穿越NAT

什么是穿越NAT   在上图中,ICG网关后面有两台主机分别是有线主机192.168.1.2和无线主机192.168.1.3,现在这两台主机都要访问网站www.tektalk.cn(弯曲评论,域名...
  • Sun_Rise2011
  • Sun_Rise2011
  • 2013年12月08日 21:02
  • 615

ICG技术专栏---信息通信网关部署

http://www.h3c.com.cn/Service/Channel_Service/Operational_Service/ICG_Technology/200905/654634_30005...
  • Sun_Rise2011
  • Sun_Rise2011
  • 2013年12月06日 10:08
  • 806

ICG技术专栏---IPSec VPN基本原理

IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。 IPSec VPN应用场景 IPSec VPN的...
  • Sun_Rise2011
  • Sun_Rise2011
  • 2013年12月09日 12:32
  • 676
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:ICG技术专栏---局域网安全ARP
举报原因:
原因补充:

(最多只允许输入30个字)