特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學習啦 > 學習電腦 > 網(wǎng)絡知識 > 局域網(wǎng)知識 > 關于局域網(wǎng)環(huán)境下若干安全問題及對策的介紹

關于局域網(wǎng)環(huán)境下若干安全問題及對策的介紹

時間: 曉斌668 分享

關于局域網(wǎng)環(huán)境下若干安全問題及對策的介紹

  今天學習啦小編就要跟大家講解下局域網(wǎng)環(huán)境下若干安全問題及對策有哪些,那么對此感興趣的網(wǎng)友可以多來了解了解下。下面就是具體內(nèi)容!!!

  局域網(wǎng)環(huán)境下若干安全問題及對策

  1.當前局域網(wǎng)安全形勢

  1.1 計算機網(wǎng)絡的定義

  計算機網(wǎng)絡,就是利用通信設備和線路將地理位置不同的、功能獨立的多個計算機系統(tǒng)互連起來,以功能完善的網(wǎng)絡軟件(即網(wǎng)絡通信協(xié)議、信息交換方式和網(wǎng)絡操作系統(tǒng)等)實現(xiàn)網(wǎng)絡中資源共享和信息傳遞的系統(tǒng)。[①]

  計算機網(wǎng)絡由通信子網(wǎng)和資源子網(wǎng)兩部分構成。通信子網(wǎng)是計算機網(wǎng)絡中負責數(shù)據(jù)通信的部分;資源子網(wǎng)是計算機網(wǎng)絡中面向用戶的部分,負責全網(wǎng)絡面向應用的數(shù)據(jù)處理工作。就局域網(wǎng)而言,通信子網(wǎng)由網(wǎng)卡、線纜、集線器、中繼器、網(wǎng)橋、路由器、交換機等設備和相關軟件組成。資源子網(wǎng)由連網(wǎng)的服務器、工作站、共享的打印機和其它設備及相關軟件所組成。

  1.2 網(wǎng)絡安全定義

  網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。[②]

  1.3 局域網(wǎng)安全

  局域網(wǎng)的安全主要包括物理安全與邏輯安全。物理安全主要指網(wǎng)絡硬件的維護、使用及管理等;邏輯安全是從軟件的角度提出的,主要指數(shù)據(jù)的保密性、完整性、可用性等。

  1.3.1 來自互聯(lián)網(wǎng)的安全威脅

  局域網(wǎng)是與Inernet互連的。由于Internet的開放性、國際性與自由性,局域網(wǎng)將面臨更加嚴重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡間沒有采取一定的安全防護措施,很容易遭到來自Internet 黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞,如網(wǎng)絡I P 地址、應用操作系統(tǒng)的類型、開放的T C P 端口號、系統(tǒng)用來保存用戶名和口令等安全信息的關鍵文件等,并通過相應攻擊程序進行攻擊。他們還可以通過網(wǎng)絡監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息,進而假冒內(nèi)部合法身份進行非法登錄,竊取內(nèi)部網(wǎng)絡中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡服務器進行攻擊,使得服務器超負荷工作導致拒絕服務,甚至使系統(tǒng)癱瘓。

  1.3.2 來自局域網(wǎng)內(nèi)部的安全威脅

  內(nèi)部管理人員把內(nèi)部網(wǎng)絡結構、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏;內(nèi)部職工有的可能熟悉服務器、小程序、腳本和系統(tǒng)的弱點,利用網(wǎng)絡開些小玩笑,甚至搞破壞。如,泄漏至關重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等,這些都將給網(wǎng)絡造成極大的安全威脅。

  1.4 局域網(wǎng)當前形勢及面臨的問題

  隨著局域網(wǎng)絡技術的發(fā)展和社會信息化進程的加快,現(xiàn)在人們的生活、工作、學習、娛樂和交往都已離不開計算機網(wǎng)絡?,F(xiàn)今,全球網(wǎng)民數(shù)量已接近7億,網(wǎng)絡已經(jīng)成為生活離不開的工具, 經(jīng)濟 、文化、軍事和社會活動都強烈地依賴于網(wǎng)絡。網(wǎng)絡環(huán)境的復雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性,決定了網(wǎng)絡安全威脅的客觀存在。盡管計算機網(wǎng)絡為人們提供了巨大的方便,但是受技術和社會因素的各種影響,計算機網(wǎng)絡一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷,實施攻擊和入侵,給計算機網(wǎng)絡造成極大的損害網(wǎng)絡攻擊、病毒傳播、垃圾郵件等迅速增長,利用網(wǎng)絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升,嚴重影響了網(wǎng)絡的正常秩序,嚴重損害了網(wǎng)民的利益;網(wǎng)上色情、暴力等不良和有害信息的傳播,嚴重危害了青少年的身心健康。網(wǎng)絡系統(tǒng)的安全性和可靠性正在成為世界各國共同關注的焦點。

  根據(jù) 中國 互聯(lián)網(wǎng)信息中心2006年初發(fā)布的統(tǒng)計報告顯示:我國互聯(lián)網(wǎng)網(wǎng)站近百萬家,上網(wǎng)用戶1億多,網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時,網(wǎng)絡安全風險也無處不在,各種網(wǎng)絡安全漏洞大量存在和不斷被發(fā)現(xiàn),計算機系統(tǒng)遭受病毒感染和破壞的情況相當嚴重,計算機病毒呈現(xiàn)出異?;钴S的態(tài)勢。面對網(wǎng)絡安全的嚴峻形勢,我國的網(wǎng)絡安全保障工作尚處于起步階段,基礎薄弱,水平不高,網(wǎng)絡安全系統(tǒng)在預測、反應、防范和恢復能力方面存在許多薄弱環(huán)節(jié),安全防護能力不僅大大低于美國、俄羅斯和以色列等信息安全強國,而且排在印度、韓國之后。在監(jiān)督管理方面缺乏依據(jù)和標準,監(jiān)管措施不到位,監(jiān)管體系尚待完善,網(wǎng)絡信息安全保障制度不健全、責任不落實、管理不到位。網(wǎng)絡信息安全 法律 法規(guī)不夠完善,關鍵技術和產(chǎn)品受制于人,網(wǎng)絡信息安全服務機構專業(yè)化程度不高,行為不規(guī)范,網(wǎng)絡安全技術與管理人才缺乏。

  面對網(wǎng)絡安全的嚴峻形勢,如何建設高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡成為通信行業(yè)乃至整個社會發(fā)展所要面臨和解決的重大課題。

  2.常用局域網(wǎng)的攻擊方法

  2.1 ARP欺騙

  2.1.1 ARP協(xié)議

  ARP(Address Resolution Protocol)是地址解析協(xié)議,是一種將IP地址轉化成物理地址的協(xié)議。ARP具體說來就是將網(wǎng)絡層(IP層,也就是相當于OSI的第三層)地址解析為數(shù)據(jù)連接層(MAC層,也就是相當于OSI的第二層)的MAC地址。

  ARP原理:某機器A要向主機B發(fā)送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址后,就會進行數(shù)據(jù)傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址IA——物理地址PA),請求IP地址為IB的主機B回答物理地址PB。網(wǎng)上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答后,就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網(wǎng)絡流通的基礎,而且這個緩存是動態(tài)的。

  假如我們有兩個網(wǎng)段、三臺主機、兩個網(wǎng)關、分別是:

  主機名 IP地址 MAC地址

  網(wǎng)關1 192.168.1.1 01-01-01-01-01-01

  主機A 192.168.1.2 02-02-02-02-02-02

  主機B 192.168.1.3 03-03-03-03-03-03

  網(wǎng)關2 10.1.1.1 04-04-04-04-04-04

  主機C 10.1.1.2 05-05-05-05-05-05

  假如主機A要與主機B通訊,它首先會通過網(wǎng)絡掩碼比對,確認出主機B是否在自己同一網(wǎng)段內(nèi),如果在它就會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應的MAC地址,如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包,即目的MAC地址是全1的廣播詢問幀,0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果B存在的話,必須作出應答,回答“B的MAC地址是…”的單播應答幀,02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3;A收到應答幀后,把“192.168.1.3 03-03-03-03-03-03 動態(tài)”寫入ARP表。這樣的話主機A就得到了主機B的MAC地址,并且它會把這個對應的關系存在自己的ARP緩存表中。之后主機A與主機B之間的通訊就依靠兩者緩存表里的MAC地址來通訊了,直到通訊停止后兩分鐘,這個對應關系才會被從表中刪除。

  如果是非局域網(wǎng)內(nèi)部的通訊過程,假如主機A需要和主機C進行通訊,它首先會通過比對掩碼發(fā)現(xiàn)這個主機C的IP地址并不是自己同一個網(wǎng)段內(nèi)的,因此需要通過網(wǎng)關來轉發(fā),這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關1(192.168.1.1)對應的MAC地址,如果沒有就通過ARP請求獲得,如果有就直接與網(wǎng)關通訊,然后再由網(wǎng)關1通過路由將數(shù)據(jù)包送到網(wǎng)關2,網(wǎng)關2收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機C(10.1.1.2)的,它就會檢查自己的ARP緩存(沒錯,網(wǎng)關一樣有自己的ARP緩存),看看里面是否有10.1.1.2對應的MAC地址,如果沒有就使用ARP協(xié)議獲得,如果有就是用該MAC地址將數(shù)據(jù)轉發(fā)給主機C。

  2.1.2 ARP欺騙原理

  在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址,IP地址與MAC對應的關系依靠ARP表,每臺主機(包括網(wǎng)關)都有一個ARP緩存表。在正常情況下這個緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚σ恍?,也就是說主機A與主機C之間的通訊只通過網(wǎng)關1和網(wǎng)關2,像主機B之類的是無法截獲A與C之間的通訊信息的。但是在ARP緩存表的實現(xiàn)機制中存在一個不完善的地方,當主機收到一個ARP的應答包后,它并不會去驗證自己是否發(fā)送過這個ARP請求,而是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP緩存表里的相應信息。

  這就導致主機B截取主機A與主機C之間的數(shù)據(jù)通信成為可能。首先主機B向主機A發(fā)送一個ARP應答包說192.168.1.1的MAC地址是03-03-03-03-03-03,主機A收到這個包后并沒有去驗證包的真實性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成03-03-03-03-03-03,同時主機B向網(wǎng)關1發(fā)送一個ARP響應包說192.168.1.2的MAC是03-03-03-03-03-03,同樣網(wǎng)關1也沒有去驗證這個包的真實性就把自己ARP表中的192.168.1.2的MAC地址替換成03-03-03-03-03-03。當主機A想要與主機C通訊時,它直接把應該發(fā)送給網(wǎng)關1(192.168.1.1)的數(shù)據(jù)包發(fā)送到03-03-03-03-03-03這個MAC地址,也就是發(fā)給了主機B,主機B在收到這個包后經(jīng)過修改再轉發(fā)給真正的網(wǎng)關1,當從主機C返回的數(shù)據(jù)包到達網(wǎng)關1后,網(wǎng)關1也使用自己ARP表中的MAC,將發(fā)往192.168.1.2這個IP地址的數(shù)據(jù)發(fā)往03-03-03-03-03-03這個MAC地址也就是主機B,主機B在收到這個包后再轉發(fā)給主機A完成一次完整的數(shù)據(jù)通訊,這樣就成功的實現(xiàn)了一次ARP欺騙攻擊。因此簡單點說ARP欺騙的目的就是為了實現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽與篡改。也就是說欺騙者必須同時對網(wǎng)關和主機進行欺騙。

  2.1.3 ARP病毒清除

  感染病毒后,需要立即斷開網(wǎng)絡,以免影響其他電腦使用。重新啟動到DOS模式下,用殺毒軟件進行全面殺毒。

  臨時處理對策:

  步驟一、能上網(wǎng)情況下,輸入命令arp –a,查看網(wǎng)關IP對應的正確MAC地址,將其記錄下來。如果已經(jīng)不能上網(wǎng),則運行一次命令arp –d將arp緩存中的內(nèi)容刪空,計算機可暫時恢復上網(wǎng)(攻擊如果不停止的話),一旦能上網(wǎng)就立即將網(wǎng)絡斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線),再運行arp –a。

  步驟二、如果已經(jīng)有網(wǎng)關的正確MAC地址,在不能上網(wǎng)時,手工將網(wǎng)關IP和正確MAC綁定,可確保計算機不再被攻擊影響。輸入命令:arp –s,網(wǎng)關IP 網(wǎng)關MAC手工綁定在計算機關機重開機后就會失效,需要再綁定??梢园言撁罘旁赼utoexec.bat中,每次開機即自動運行。

  2.2 網(wǎng)絡監(jiān)聽

  2.2.1 網(wǎng)絡監(jiān)聽的定義

  眾所周知,電話可以進行監(jiān)聽,無線電通訊可以監(jiān)聽,而計算機網(wǎng)絡使用的數(shù)字信號在線路上傳輸時,同樣也可以監(jiān)聽。網(wǎng)絡監(jiān)聽也叫嗅探器,其 英文 名是Sniffer,即將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)捕獲并進行分析的行為。[③]

  網(wǎng)絡監(jiān)聽,在網(wǎng)絡安全上一直是一個比較敏感的話題,作為一種發(fā)展比較成熟的技術,監(jiān)聽在協(xié)助網(wǎng)絡管理員監(jiān)測網(wǎng)絡傳輸數(shù)據(jù),排除網(wǎng)絡故障等方面具有不可替代的作用,因而一直備受網(wǎng)絡管理員的青睞。然而,在另一方面網(wǎng)絡監(jiān)聽也給網(wǎng)絡安全帶來了極大的隱患,許多的網(wǎng)絡入侵往往都伴隨著網(wǎng)絡監(jiān)聽行為,從而造成口令失竊,敏感數(shù)據(jù)被截獲等連鎖性安全事件。

  2.2.2 網(wǎng)絡監(jiān)聽的基本原理

  局域網(wǎng)中的數(shù)據(jù)是以廣播方式發(fā)送的,局域網(wǎng)中的每臺主機都時刻在監(jiān)聽網(wǎng)絡中傳輸?shù)臄?shù)據(jù),主機中的網(wǎng)卡將監(jiān)聽到的數(shù)據(jù)幀中的MAC地址與自己的MAC地址進行比較,如果兩者相同就接收該幀,否則就丟掉該幀。如果把對網(wǎng)卡進行適當?shù)脑O置和修改,將它設置為混雜模式,在這種狀態(tài)下它就能接收網(wǎng)絡中的每一個信息包。網(wǎng)絡監(jiān)聽就是依據(jù)這種原理來監(jiān)測網(wǎng)絡中流動的數(shù)據(jù)。

  2.2.3 網(wǎng)絡監(jiān)聽的檢測

  2.2.3.1 在本地計算機上進行檢測

  (1)檢查網(wǎng)卡是否處于混雜模式。可以利用一些現(xiàn)成的工具軟件來發(fā)現(xiàn),例如:AntiSniff,ARP 探測技術。也可以編寫一些程序來實現(xiàn)。在Linux 下,有現(xiàn)成的函數(shù),比較容易實現(xiàn),而在Windows平臺上,并沒有現(xiàn)成的函數(shù)來實現(xiàn)這個功能,要自己編寫程序來實現(xiàn)??梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn),例如:AntiSniff,ARP探測技術。也可以編寫一些程序來實現(xiàn)。在Linux下,有現(xiàn)成的函數(shù),比較容易實現(xiàn),而在Windows 平臺上,并沒有現(xiàn)成的函數(shù)來實現(xiàn)這個功能,要自己編寫程序來實現(xiàn)。

  (2)搜索法。在本地主機上搜索所有運行的進程,就可以知道是否有人在進行網(wǎng)絡監(jiān)聽。在Windows系統(tǒng)下,按下Ctrl+Alt+Del可以得到任務列表,查看是否有監(jiān)聽程序在運行。如果有不熟悉的進程,或者通過跟另外一臺機器比較,看哪些進程是有可能是監(jiān)聽進程。

  2.2.3.2 在其它計算機上進行檢測

  (1)觀察法。如果某臺電腦沒有監(jiān)聽的話,無論是信息的傳送還是電腦對信息的響應時間等方面都是正常的,如果被監(jiān)聽的話,就會出現(xiàn)異常情況。我們可以通過觀察一些異常情況來判斷電腦是否有被監(jiān)聽。

  網(wǎng)絡通訊掉包率是否反常地高。例如ping命令會顯示掉了百分幾的信息包。如果網(wǎng)絡中有人在監(jiān)聽,就會攔截每個信息包,從而導致信息包丟包率提高。

  網(wǎng)絡帶寬是否出現(xiàn)反常。如果某臺計算機長時間的占用了較大的帶寬,對外界的響應很慢,這臺計算機就有可能被監(jiān)聽。

  機器性能是否下降。向網(wǎng)上發(fā)大量不存在的物理地址的包,而監(jiān)聽程序往往就會將這些包進行處理,這樣就會導致機器性能下降,可以用icmp echo delay 來判斷和比較它。

  (2)PING 法。這種檢測原理基于以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP 網(wǎng)絡層的實現(xiàn),是一種非常有效的測試方法。

  ping法的原理:如果一個以太網(wǎng)的數(shù)據(jù)包的目的MAC 地址不屬于本機,該包會在以太網(wǎng)的數(shù)據(jù)鏈路層上被拋棄,無法進入TCP/IP 網(wǎng)絡層;進入TCP/IP 網(wǎng)絡層的數(shù)據(jù)包,如果解析該包后,發(fā)現(xiàn)這是一個包含本機ICMP 回應請示的TCP 包(PING 包),則網(wǎng)絡層向該包的發(fā)送主機發(fā)送ICMP 回應。

  我們可以構造一個PING 包,包含正確的IP 地址和錯誤的MAC 地址,其中IP 地址是可疑主機的IP地址,MAC 地址是偽造的,這樣如果可疑主機的網(wǎng)卡工作在正常模式,則該包將在可疑主機的以太網(wǎng)的數(shù)據(jù)鏈路層上被丟棄,TCP/IP 網(wǎng)絡層接收不到數(shù)據(jù)因而也不會有什么反應。如果可疑主機的網(wǎng)卡工作在混雜模式,它就能接收錯誤的MAC 地址,該非法包會被數(shù)據(jù)鏈路層接收而進入上層的TCP/IP 網(wǎng)絡層,TCP/IP 網(wǎng)絡層將對這個非法的PING 包產(chǎn)生回應,從而暴露其工作模式。

  使用 PING 方法的具體步驟及結論如下:

 ?、?假設可疑主機的IP 地址為192.168.10.11,MAC 地址是00-E0-4C-3A-4B-A5,檢測者和可疑主機位于同一網(wǎng)段。

 ?、?稍微修改可疑主機的MAC 地址,假設改成00-E0-4C-3A-4B-A4。

 ?、?向可疑主機發(fā)送一個PING 包,包含它的IP 和改動后的MAC 地址。

  ④ 沒有被監(jiān)聽的主機不能夠看到發(fā)送的數(shù)據(jù)包,因為正常的主機檢查這個數(shù)據(jù)包,比較數(shù)據(jù)包的MAC 地址與自己的MAC 地址不相符,則丟棄這個數(shù)據(jù)包,不產(chǎn)生回應。

 ?、?如果看到回應,說明數(shù)據(jù)包沒有被丟棄,也就是說,可疑主機被監(jiān)聽了。

  (3)ARP 法。除了使用PING 進行監(jiān)測外,還可以利用ARP 方式進行監(jiān)測的。這種模式使用ARP數(shù)據(jù)包替代了上述的ICMP 數(shù)據(jù)包。向局域網(wǎng)內(nèi)的主機發(fā)送非廣播方式的ARP 包,如果局域網(wǎng)內(nèi)的某個主機以自己的IP 地址響應了這個ARP 請求,那么就可以判斷它很可能就處于網(wǎng)絡監(jiān)聽模式了。

  (4)響應時間測試法。這種檢測已被證明是最有效的。它能夠發(fā)現(xiàn)網(wǎng)絡中處于監(jiān)聽模式的機器,而不管其操作系統(tǒng)是什么。非監(jiān)聽模式的機器的響應時間變化量會很小,而監(jiān)聽模式的機器的響應時間變化量則通常會較大。

  2.2.4 網(wǎng)絡監(jiān)聽的防范措施

  為了防止網(wǎng)絡上的主機被監(jiān)聽,有多種技術手段,可以歸納為以下三類。

  第一種是預防,監(jiān)聽行為要想發(fā)生,一個重要的前提條件就是網(wǎng)絡內(nèi)部的一臺有漏洞的主機被攻破,只有利用被攻破的主機,才能進行監(jiān)聽,從而收集以網(wǎng)絡內(nèi)重要的數(shù)據(jù)。因此,要預防網(wǎng)絡中的主機被攻破。這就要求我們養(yǎng)成良好的使用計算機的習慣,不隨意下載和使用來歷不明的軟件,及時給計算機打上補丁程序,安裝防火墻等措施,涉及到國家安全的部門還應該有防電輻射技術,干擾技術等等,防止數(shù)據(jù)被監(jiān)聽。

  二是被動防御,主要是采取數(shù)據(jù)加密技術,數(shù)據(jù)加密是對付監(jiān)聽的最有效的辦法。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸,容易辨認。一旦口令被截獲,入侵者就可以非常容易地登錄到另一臺主機。對在網(wǎng)絡上傳輸?shù)男畔⑦M行加密后,監(jiān)聽器依然可以捕獲傳送的信息,但顯示的是亂碼。使用加密技術,不但可以防止非授權用戶的搭線竊聽和入網(wǎng),而且也是對付惡意軟件的有效方法之一,但是它的缺點是速度問題。幾乎所有的加密技術都將導致網(wǎng)絡的延遲,加密技術越強,網(wǎng)絡速度就越慢。只有很重要的信息才采用加密技術進行保護。

  三是主動防御,主要是使用安全的拓撲結構和利用交換機劃分VLAN,這也是限制網(wǎng)絡監(jiān)聽的有效方法,這樣的監(jiān)聽行為只能發(fā)生在一個虛擬網(wǎng)中,最大限度地降低了監(jiān)聽的危害,但需要增加硬件設備的開支,實現(xiàn)起來要花費不少的錢。

  3.無線局域網(wǎng)安全威脅

  3.1 非授權訪問

  無線網(wǎng)絡中每個AP覆蓋的范圍都形成了通向網(wǎng)絡的一個新的入口。所以,未授權實體可以從外部或內(nèi)部進入網(wǎng)絡,瀏覽存放在網(wǎng)絡上的信息;另外,也可以利用該網(wǎng)絡作為攻擊第三方的出發(fā)點,對移動終端發(fā)動攻擊。而且,IEEE 802.11標準采用單向認證機制,只要求STA向AP進行認證,不要求AP向STA進行認證。入侵者可以通過這種協(xié)議上的缺陷對AP進行認證進行攻擊,向AP發(fā)送大量的認證請求幀,從而導致AP拒絕服務。

  3.2 敏感信息泄露

  WLAN物理層的信號是無線、全方位的空中傳播,開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實際需求,只要在信號覆蓋范圍內(nèi)入侵者就可以利用無線監(jiān)聽技術捕獲無線網(wǎng)絡的數(shù)據(jù)包,對網(wǎng)絡通信進行分析,從而獲取有用信息。目前竊聽已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。

  3.3 WEB缺陷威脅

  有線等效保密WEP是IEEE 802.11無線局域網(wǎng)標準的一部分,它的主要作用是為無線網(wǎng)絡上的信息提供和有線網(wǎng)絡同一等級的機密性。IEEE選擇在數(shù)據(jù)鏈路層用RC4算法加密來防止對網(wǎng)絡進行竊聽。WEP在每一個數(shù)據(jù)包中使用完整性校驗字段來保證數(shù)據(jù)在傳輸過程中不被竄改,它使用了CRC-32校驗。在WEP中明文通過和密鑰流進行異或產(chǎn)生密文,為了加密,WEP要求所有無線網(wǎng)絡連接共享一個密鑰。實際上,網(wǎng)絡只使用一個或幾個密鑰,也很少更換。WEP算法根據(jù)密鑰和初始化向量IV產(chǎn)生密鑰流,確保后續(xù)的數(shù)據(jù)包用不同的密鑰流加密。但IV在一個相當短的時間內(nèi)重用,使用24位的IV并不能滿足要求。一個24位的字段包含16777216個可能值, 假設網(wǎng)絡流量是11M, 傳輸2000字節(jié)的包,在7個小時左右, IV 就會重用。CRC-32不是一個很適合WEP的完整性校驗, 即使部分數(shù)據(jù)以及CRC-32校驗碼同時被修改也無法校驗出來。

  3.4 無線局域網(wǎng)的安全措施

  3.4.1 阻止非法用戶的接入

  (1)基于服務設置標識符(SSID)防止非法用戶接入

  服務設置標識符SSID是用來標識一個網(wǎng)絡的名稱,以此來區(qū)分不同的網(wǎng)絡,最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網(wǎng)絡。無線工作站必須提供正確的SSID與無線訪問點AP的SSID相同,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務區(qū)上網(wǎng)。因此可以認為SSID是一個簡單的口令,從而提供口令認證機制,阻止非法用戶的接入,保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來,例如通過windows XP自帶的掃描功能可以查看當前區(qū)域內(nèi)的SSID。出于安全考慮,可禁止AP廣播其SSID號,這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯(lián)。

  (2)基于無線網(wǎng)卡物理地址過濾防止非法用戶接入

  由于每個無線工作站的網(wǎng)卡都有惟一的物理地址,利用MAC地址阻止未經(jīng)授權的無限工作站接入。為AP 設置基于MAC 地址的Access Control(訪問控制表),確保只有經(jīng)過注冊的設備才能進入網(wǎng)絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作。如果用戶增加,則擴展能力很差,因此只適合于小型網(wǎng)絡規(guī)模。

  3.4.2 實行動態(tài)加密

  動態(tài)加密技術是基于對稱加密和非對稱加密的結合,能有效地保證網(wǎng)絡傳輸?shù)陌踩?。動態(tài)加密著眼于無線網(wǎng)絡架構中通信雙方本身,認為每個通信方都應承擔起會話中網(wǎng)絡信息傳輸?shù)陌踩熑?。會話建立階段,身份驗證的安全需要非對稱加密以及對PKI的改進來防止非授權訪問,同時完成初始密鑰的動態(tài)部署和管理工作,會話建立后,大量的數(shù)據(jù)安全傳輸必須通過對稱加密方式,但該系統(tǒng)通過一種動態(tài)加密的模式,摒棄了現(xiàn)有機制下靜態(tài)加密的若干缺陷,從而使通信雙方的每次“通信回合”都有安全保證。在一個通信回合中,雙方將使用相同的對稱加密密鑰,是每個通信方經(jīng)過共同了解的信息計算而得到的,在通信回合之間,所使用的密鑰將實時改變,雖然與上次回合的密鑰有一定聯(lián)系,但外界無法推算出來。

  3.4.3 數(shù)據(jù)的訪問控制

  訪問控制的目標是防止任何資源(如計算資源、通信資源或信息資源)進行非授權的訪問,所謂非授權訪問包括未經(jīng)授權的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認證,只是完成了接入無線局域網(wǎng)的第一步,還要獲得授權,才能開始訪問權限范圍內(nèi)的網(wǎng)絡資源,授權主要是通過訪問控制機制來實現(xiàn)。訪問控制也是一種安全機制,它通過訪問BSSID、MAC 地址過濾、控制列表ACL等技術實現(xiàn)對用戶訪問網(wǎng)絡資源的限制。訪問控制可以基于下列屬性進行:源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。

  

372686