关闭

ICG技术专栏---局域网安全ARP

669人阅读 评论(0) 收藏 举报
分类:

什么是网络安全

提到网络安全,大家觉得就和搞情报工作的特务似的黑客,和自己遥不可及。应该说网络安全属于情报工作的一部分,但情报工作涉及到社会的方方面面,网络安全也时时刻刻在我们身边,我们离不开网络,对网络安全的讨论和思考也无法逃避,而是要勇敢面对。

网络安全包含5大目标或者特征,说明了网络安全要实现什么指标

1.       机密性,对使用者进行授权,未经授权不得使用或无法使用就叫保密性,保密性建立在授权的基础上,授权说白了就是身份确认

2.       完整性,保证数据无法被篡改、伪造,实际生活中我们常用签名和身份确认的方式保证信函的真实性,网络世界中也采用类似的数字签名实现完整性,而且完整性也是基于身份确认的

3.       可用性,在合适的时机能够对服务请求进行响应,如网络、服务器在规定时间都保持可访问状态

4.       可控性,能够控制信息的发送或接收,这取决于对信息的甄别,如发现危害信息能够立即采取措施禁止继续传播

5.       可审查性,对网络行为进行记录,便于网络安全措施的改进,同时为网络故障定位提供线索

围绕这5大目标,如何进行实现,这就是网络安全的4个层次

1.       物理安全,即保证网络环境如机房、线路、办公网络设备被物理上损坏,比如线路被剪断或窃听,机房无权限控制,闲杂人等都可以随意进出,又如面对自然灾害,如何保证网络服务不中断,重要数据不丢失等。物理安全的文章主要在管理条例上,严格的管理和松散的管理对物理安全的作用是天壤之别,同时一旦网络出现物理安全故障,其损失无疑是巨大的。

2.       安全控制,对网络使用人员的控制,如通过用户名和口令核实身份,对不同身份用户开通不同的网络权限,同时对网络行为进行审计,安全控制不止是用于人员,还包括对网络设备身份的确认,如一些开放协议OSPF,就可以使用鉴权的手段避免和错误的设备建立连接,避免路由信息外泄。

3.       安全服务,对网络行为的安全保证,即实现信息的机密性、完整性和可用性。

4.       安全机制,安全服务的实现措施称为机制,如为了实现信息的机密性开发数字加密算法,为了实现信息完整性开发数字签名算法,为了提高服务可用性开发防火墙、IDS、IPS、UTM等。

上面提的网络安全都是一些名词,并没有提到如何安全,因为任何安全都分绝对安全和相对安全,一般而言绝对意义上的安全是无法实现的,比如面对自然灾害,我们的网络往往就会中断。在实际安全实施过程中考虑的是安全投资和安全程度的平衡,也就是相对安全,安全程度越高,需要的投资越高,对管理要求也越高,就好比是买保险,买方和卖方都要计算保费和意外概率,得出自己的心理价位,再通过谈判达成一致的价格。

从中也可以发现网络安全涉及的不止是技术,很多很管用的手段都是管理手段,很多安全隐患都可以通过加强对网络使用的管理避免,而这往往是被很多网络管理员忽视。

局域网的网络安全

网络因为范围的关系被分为广域网和局域网,局域网速率高且成本低,广域网速率低且成本高,广域网和局域网都属于用户内部网络,用户外部网络就是互联网,。随着互联网的蓬勃发展,网络安全的战场已经从互联网蔓延到用户内部网络,特别是局域网,因为重要的应用服务器都是放置在局域网,如果局域网受到冲击,给用户带来的损失无疑是巨大的。

局域网安全问题最大威胁就是ARP(Address Resolution Protocol地址解析协议)类问题,从ARP问题的本质可以把ARP问题分成两类:

1.       ARP欺骗,使整个网络的ARP紊乱,严重时所有内部PC无法上网

2.       ARP洪水,通过短时间内发送大量ARP请求,使所有PC和网络设备的利用率上升,上网缓慢

ARP是做什么用的?为何ARP问题会这么严重。ARP的作用和工作原理在专栏第三期《访问互联网和LAN通信》中已有介绍,这里着重介绍一下ARP协议的缺陷。ARP在局域网特别是以太网中的作用就是查询IP地址和MAC地址的映射,ARP协议是个很古老的协议,当时的网络带宽小,很多协议都设计得特别经济,甚至忽略了必要的结果验证,希望以此减少发送量来节约带宽,由此也带来了漏洞,为现今日益猖獗的ARP欺骗埋下了隐患。下面是ARP欺骗的图示原理

欺骗步骤一:主动请求所有IP地址和MAC的映射关系

欺骗步骤二:欺骗者收集到所有IP和MAC的正确映射,这属于ARP主动学习

欺骗步骤三:欺骗者开始伪造ARP应答欺骗网关,网关被动学习ARP

欺骗步骤四:网关收到伪造ARP应答后生成错误ARP表项,转发失败

欺骗步骤无:欺骗者开始伪造ARP应答欺骗各个PC,PC被动学习ARP

欺骗步骤六:PC收到伪造ARP应答后生成错误ARP表项,无法连接网关

从上面的图示可以发现ARP欺骗存在如下特点:

1.       ARP欺骗的根源在于ARP应答处理机制,在ARP协议中规定,对于任何ARP应答都给予信任,没有主动被动确认机制(主动ARP指的是在主动发送ARP请求后在指定时间内收到ARP应答,在请求指定时间外学习的ARP应答都是被动的),因此为伪造ARP应答提供了可乘之机。欺骗者通过轮询各IP地址和MAC地址对应关系并无违规之处,协议规定了对于ARP请求要给予应答。

2.       PC和网关被欺骗的直接根源在于被动学习了伪造的ARP应答,如何避免学习伪造ARP应答称为防止ARP欺骗的核心内容。

3.       欺骗是分别针对网关和PC的,因为上网是双向流量,网关被欺骗下行数据无法发给PC,PC被欺骗上行数据无法发给网关,所以都会上不了网,上只有同时解决网关被欺骗和PC被欺骗,上网才能正常,有不少人误以为只在网关上防止就可以了,这是错误的。还很多时候有人采取重启网关的方式恢复上网,这是因为断电重启后PC、网关都要重新主动学习一次,主动学习是可以学习到正确的映射关系的,所以重启后上网恢复正常,但很有可能过了一段时间后又无法上网了,将网关断电并不是好解决方案。

商务领航网关防止网关被ARP欺骗的方法和优劣关系:

1.       授权ARP,授权ARP的原理是摒弃ARP,而是通过DHCP方式来学习各个IP地址和MAC地址的映射关系,端口启动授权ARP后,ARP学习功能自动关闭。其优点是部署方便,只要网关LAN口启动DHCP服务和授权ARP即可,缺点是所有内网PC必须采用DHCP方式获取地址,否则无法上网,对于地址静态设置的内部服务器就不方便了。

2.       静态ARP,先通过主动请求或者手动检查每一台PC的IP、MAC地址的映射,即获得一份正确的映射列表,然后通过命令在网关中逐一添加表项,如果收集完整可以在LAN口中关闭ARP学习功能,达到更好效果。优点是可以支持内部PC手工配置地址如内部服务器,缺点也是很明显的,收集工作比较繁杂(华三网关支持自主扫描功能可以简化该工作),PC地址修改后表项失效(因此无法支持DHCP模式),新增加PC后需要添加新的表项。

3.       上述两种都是如何防止网关被欺骗,那么PC如何防止被欺骗呢,也很简单,PC的任务是访问一些常用地址,如网关,内部服务器,那么PC上也配置这些常用地址的静态ARR就能防止平常上网服务中断,PC有一个缺点是配置静态ARP后无法保存,重启后需要重新配置。注:window PC通过命令行中arp –s 192.168.1.1 00-01-00-01-00-01方式进行静态绑定。

总体而言可以使用授权ARP和静态ARP相结合的方法,如在LAN启用授权ARP(启用授权ARP后自动关闭ARP学习功能),将DHCP地址池把内部静态地址排除,同时针对这些内部静态地址添加静态ARP表项,这样就能够掌握所有PC正确的IP-MAC映射关系。

上面介绍了如何防止ARP欺骗,那么对于ARP洪水是否有解决方案呢?答案是ARP限速,即在所有LAN限制ARP学习的速率,当然如果关闭了ARP学习功能这个问题也就不存在了。

当网络进化到IPv6后,ARP协议也到了寿终正寝的一天,在IPv6中通过ND(Neighbor Discovery邻居发现)协议取代了ARP,ND协议很好地处理了被动学习功能,ND规定被动学习到的IPv6-MAC映射关系要接受应用程序的检验,如果应用程序根据已有IPv6-MAC映射发送IPv6包后一段时间没有收到回应,则认为该映射关系是不可信的,需要主动学习,很好地解决了被动学习到伪造映射的漏洞。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:157116次
    • 积分:2251
    • 等级:
    • 排名:第17292名
    • 原创:58篇
    • 转载:53篇
    • 译文:0篇
    • 评论:37条
    最新评论