LAN安全及概念

最新推荐文章于 2024-11-06 20:27:04 发布
最新推荐文章于 2024-11-06 20:27:04 发布
阅读量1.4k 收藏 18
点赞数 19
分类专栏: 路由与交换技术 文章标签: 网络 LAN安全 概念总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_78039953/article/details/135918352
版权

实验大纲

一、终端安全

1.当前比较流行的网络攻击

2.常见的网络安全设备

3.终端受到攻击的主要途径

4.传统的基于主机的安全防护手段

二、访问控制

1.本地口令验证

2.AAA组成

3.身份验证

4.记账

5. 802.1X

三、第2层安全威胁

交换机攻击分类

四、MAC地址表

MAC地址表泛洪

五、LAN攻击

1.LAN跳跃攻击

2.VLAN双层标签攻击

3.DHCP耗尽攻击

4.DHCP攻击

5.ARP攻击

6.地址欺骗攻击

7.STP攻击

8.CDP侦查

一、终端安全

1.当前比较流行的网络攻击

分布式拒绝服务(DDos)- 来自称为僵尸的协同攻击
​
数据泄露 - 攻击数据服务器或主机以窃取机密信息
​
恶意软件 - 主机感染了导致各种问题的恶意软件

2.常见的网络安全设备

虚拟专用网(VPN) - 通过公用网络向企业网络中的远程用户提供安全连接。VPN服务可以集成到防火墙中。
​
下一代防火墙(NGFW)- 提供状态数据包检查,应用程序可见性和控制,下一代入侵防御系统(NGIPS),高级恶意软件保护(AMP)和URL过滤。
​
网络访问控制(NAC)- 包括身份验证,授权和计费(AAA)服务。在大型企业中,可以将这些服务合并到管理各种用户和设备类型的访问策略的设备中。

3.终端受到攻击的主要途径

Email
Web浏览

4.传统的基于主机的安全防护手段

防病毒/恶意软件
基于主机的防火墙和基于主机的入侵防御系统(HIPS)

5.Cisco Email Security Appliance(ESA)

Cisco ESA 设备监视 SMTP 。
​
Cisco Talos 的实时源不断更新 Cisco ESA 。
​
Cisco ESA 每三到五分钟提取一次威胁情报数据。
​
Cisco ESA 的主要功能:
.阻止已知威胁
.躲避隐身恶意软件
.丢弃链接错误的电子邮件
.阻止访问新感染的站点。
.加密电子邮件内容
思科 WSA 是针对 Web 威胁的防护技术。
​
思科 WSA 对用户访问互联网提供了完全控制。根据组织的要求,可以允许某些功能和应用程序,例如聊天,消息传递,视频和音频,限制或阻止使用的时间或带宽。
​
思科 WSA 可以执行 URL 黑名单、 URL 过滤、恶意软件扫描、 URL 分类、 Web 应用程序过滤以及 Web 流量的加密和解密。

二、访问控制

1.本地口令验证

R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
​
R1(config)#username Admin secret cisco
R1(config)#line vty 0 4
R1(config-line)#login local

2.AAA组成

Authentication      验证
Authorization       授权
Accounting          记账

3.身份验证

a.建立与路由器的连接
b.提示用户输入用户名和密码
c.路由器使用本地数据库进行身份验证

4.记账

a.认证之后,AAA计费处理生成开始消息以开始计费处理
b.当用户完成时,记录一个停止信息,结束计费过程

5. 802.1X

IEEE802.1X标准是基于端口的网络接入控制。
​
使用基于802.1X端口的身份验证,网络中的设备具有特定角色:
.客户端(请求方)
运行兼容802.1X客户端软件的设备,可以是有线或无线设备。
.交换机( Authenticator )
交换机充当客户端和身份验证服务器之间的中介。
.验证服务器
服务器验证客户端的身份并通知交换机或无线访问点客户端是否已被授权访问。

三、第2层安全威胁

交换机攻击分类

四、MAC地址表

MAC地址表泛洪

使用伪造条目泛洪CAM表
交换机现在充当集线器
​
Catalyst6500交换机 MAC 地址表可以存储132000个地址。
​
" macof "这样的攻击工具能产生8000个/秒伪造帧,所以几十秒就可以充满 MAC 地址表。
​
MA 地址表溢出后,会产生大量的泛洪流量,上一级网络设备将受到冲击。
​
为防止 MAC 地址表泛洪攻击,管理员必须启用端口安全。

五、LAN攻击

1.LAN跳跃攻击

通过两种途径可以实施 VLAN hopping 攻击:
a.攻击主机使用欺骗的 DTP 信息使交换机进入 trunk 模式。
b.使用非法交换机和上联交换机协商为 trunk 模式。

2.VLAN双层标签攻击

VLAN 双重标签攻击是单向的
​
攻击者所在的 VLAN 必须和 trunk 端口的 Native VLAN 一致才能实施攻击
​
目地:和禁止外界访问的 VLAN 主机进行通信
​
VLAN 攻击的防护:
.在所有 access 端口禁用 trunk 。
.必须手工启用 trunk ,禁用自动协商。
.确保 Native VLAN 只在 trunk 链路上使用。

3.DHCP耗尽攻击

4.DHCP攻击

5.ARP攻击

6.地址欺骗攻击

7.STP攻击

8.CDP侦查

思科发现协议( CDP )
.专有第2层链路发现协议。
.在所有思科设备上默认启用。
.帮助配置和排除网络设备故障。
. CDP 信息以周期性的、未加密的、未经身份验证的广播方式从启用 CDP 的端口发送出去。
. CDP 信息包括设备的 IP 地址, IOS 软件版本,平台,功能和本机 VLAN 。
因为安全原因,在连接到不受信任设备端口上需禁用 CDP 。
​
全局禁用 CDP 
· no cdp run
​
端口禁用 CDP 
· no cdp enable 
​
注意:链路层发现协议( LLDP )也容易受到侦察攻击。如不需要也必须禁用该协议。

配置无线 LAN 接入
qq_45328821的博客
06-08 2480
实验目的 (1)了解无线接入点的原理和SSID 服务标识集的意义 (2)掌握无认证无加密方式接入的无线接入点(AP)基本配置 二、实验内容 (1)配置 Linksys Setup(设置)选项卡中的选项 (2)配置 Linksys Wireless(无线)选项卡中的选项 (3)配置 Linksys Administration(管理)选项卡中的选项 (4)配置 Linksys Security(安全)选项卡中的选项 (5)创建到 PC 的无线连接 (6)测试连通性 三、实验仪器设备 (1)
容灾备份概念及实现方式
Mr_kuangrq的博客
09-16 2170
一、容灾与备份的概念 1、容灾 容灾主要是针对火灾、地震等灾难发生时,在保证生产系统的数据尽量少丢失的情况下,保持生存系统的业务不间断地运行。容灾系统不仅保护数据,更重要的目的在于保证业务的连续性。 2、备份 备份是指为防止系统出现操作失误或系统故障导致数据丢失,而将全系统或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。备份是数据高可用的最后一道防线,其目的是为了系统数据崩溃时能够恢复数据。 3、容灾不能替代备份 容灾系统会完整地把生产系统的任何变化复制到容灾端去,包括不想让它复
无线LAN安全
云飞扬专栏
11-29 606
       对于任何使用或管理网络的人来说,安全都是首先要考虑的问题。有线网络安全是个难题,无线网络安全更是难上加难。接入点覆盖范围内、持有相关凭证的任何人都可以访问WLAN。只需要一块无线网卡和破解技术的知识,攻击者甚至无需实际进入工作场所即可访问WLAN。     在维护企业网络时,这些安全问题尤为重要,因为企业信息的安全直接关系到企业的生存。安全漏洞对企业的影响很大,倘若企业维护的
TARA-汽车安全概念
qq_24925595的博客
03-13 5956
安全防护指导原则 (1) 不要带主观意识; (2) 重视隐私:包括对代码进行硬件保护 (3) 不信任第三方系统:使用经过认证过的加密库,尽可能不要用自己实现的加密算法; (4) 多因子认证; (5) 最小权限; (6) 多层防护; (7) 简化系统设计:不需要或不安全的功能需要disable,如release后的产品调试功能,但简化系统设计并不意味着使用相同的密钥,功能等,如我们禁止在不同的功能...
小迪学习笔记(内网安全)(常见概念和信息收集)
weixin_63560942的博客
03-25 2791
本文主要讲解内网常见名词概念和信息收集的方式方法,为接下来的内网渗透做前提准备,一个好的信息收集可以让渗透事半功倍。
网络安全技术】——VPN技术及应用
flyingbike的博客
09-18 1851
另外,与PPTP不同的是,在L2TP的控制报文中,对封装后的UDP数据报使用IPSec ESP进行了加密处理,同时对使用IPSec ESP对加密后的数据进行了认证。被动式隧道的工作过程类似于如上图所示的结构。MPLS(Multiprotocol Label Switch,多协议标签交换)VPN是基于MPLS协议构建的一种站点到站点的VPN技术,它继承了MPLS网络的优势,具有扩展性强、易于实现服务质量、服务等级和流量工程等特点,目前在电信网络中得到了广泛应用,同时在大型企业等园区网络中的应用也非常普及。
信息安全技术-网络安全
2301_76819732的博客
03-26 1298
由互联网任务组IETF(Internet Task Force)提供的用于保障安全通信的一些列规范。数字证书:具有对用户身份识别的唯一性,解决Internet”我是谁“的问题。IPSec是一组开放协议的总称,它包括网络安全协议和密钥协商协议两部分。利用网络的物理链路层和专用的安全隧道协议,实现逻辑上网络安全连接。基于数字证书的信任链传递关系:“赵大哥信得过你,我也不必多说。VPN的网络连接类型(Client-LANLAN-LAN)IP协议簇(RIP、OSPF、SNMP、ICMP)证书持有者唯一标识符。
5G LAN标准及现状
weixin_51894735的博客
08-26 1560
此外,R18 5G LAN还支持实时性能监控和告警,以及高级的日志分析和故障排除功能,这些功能可以提高网络的可靠性和稳定性。从最初的5G LAN基本场景,到R17的5G LAN计费和R18的5G LAN组跨SMF、组播优化、组管理/组通信扩展等,5G LAN的能力得到了极大提升。R18版本的5G LAN网络拓扑结构、组管理、通信、跨SMF通信、组播、能力开放、监控和状态上报等方面进行了改进和优化,从而更好地满足不同业务场景的需求,为5G网络的发展和应用提供了更加坚实的基础。
大数据安全相关概念(上)
wenbuer_的博客
11-17 4091
大数据安全 特征:多样化、海量化、快速化、价值密度低、复杂 云计算 基于互联网的计算新方式,通过互联网上异构、自治的服务为个人和企业用户提供按需即取的计算、软件和信息 云计算特征 资源共享、按需分配、弹性调度、服务可扩展、普通接入、系统安全、地理分布 云计算架构 按服务方式:自下而上的基础设施为基础设施即服务层(IaaS)、平台即服务层(PaaS)、软件即服务层(SaaS),三者没有必然联系,也不...
局域网交换机安全LAN Switch Security
11-16
由于这本书“局域网交换机安全方方面面都有说明”,我们可以合理推断书中涵盖了从基础的网络概念、到具体的安全策略和措施、再到最新的安全技术和行业最佳实践。 根据“交换机 安全 cisco”这几个标签,我们可以...
lan
03-20
了解这些基本概念后,对于一个IT专业人士来说,深入学习网络协议(如TCP/IP、DNS、DHCP)、操作系统命令行工具以及脚本语言是至关重要的。这样不仅可以更好地理解如何利用提供的脚本来管理和维护局域网,还能为将...
lan.zip_java 局域网_lan_传输文件_界面端传输
09-22
在IT行业中,局域网(LAN)文件传输是常见的需求,尤其在开发过程中,快速分享数据和代码至关重要。...总体而言,这个项目提供了一个基础的局域网文件传输框架,可以帮助开发者理解和实践网络编程中的文件传输概念
LAN.rar_lan目的字
09-19
标题中的“LAN.rar_lan目的字”暗示了我们讨论的主题是局域网(Local Area Network,简称LAN)的通信技术,特别是与“目的字”相关的概念。在IT领域,"目的字"通常指的是网络通信中目标地址的一部分,比如IP地址或...
电信设备-无线LAN通信系统、无线LAN通信方法及程序.zip
09-19
《电信设备-无线LAN通信系统、无线LAN通信方法及程序》这一资料主要涵盖了无线局域网(Wireless Local Area Network,简称WLAN)的...通过学习,读者可以掌握无线LAN的关键概念,提升在实际项目中的设计和实施能力。
嵌入式学习-网络高级-Day01
最新发布
Xiaomo1536的博客
11-06 1025
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
tcp三次握手和四次挥手
qq_25096749的博客
11-06 598
三次握手与四次挥手
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
11-05 1174
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
第六章传输层协议、ACL
2401_86349554的博客
11-05 853
第六章传输层协议、ACL
CCNA考试答案解析:理解WAN、LAN网络安全
这篇文档是关于CCNA认证考试的部分试题及答案,主要涵盖了网络基础知识,特别是与思科网络技术相关的知识。CCNA(Cisco Certified Network Associate)是思科认证的入门级网络工程师证书,旨在验证考生在网络基础、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值