今天學習啦小編就要跟大家講解下局域網環境下若干安全問題及對策有哪些,那麼對此感興趣的網友可以多來了解了解下。下面就是具體內容!!!
局域網環境下若干安全問題及對策
1.當前局域網安全形勢
1.1 計算機網絡的定義
計算機網絡,就是利用通信設備和線路將地理位置不同的、功能獨立的多個計算機系統互連起來,以功能完善的網絡軟件(即網絡通信協議、信息交換方式和網絡操作系統等)實現網絡中資源共享和信息傳遞的系統。[①]
計算機網絡由通信子網和資源子網兩部分構成。通信子網是計算機網絡中負責數據通信的部分;資源子網是計算機網絡中面向用戶的部分,負責全網絡面向應用的數據處理工作。就局域網而言,通信子網由網卡、線纜、集線器、中繼器、網橋、路由器、交換機等設備和相關軟件組成。資源子網由連網的服務器、工作站、共享的打印機和其它設備及相關軟件所組成。
1.2 網絡安全定義
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、洩露,系統連續可靠正常地運行,網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。[②]
1.3 局域網安全
局域網的安全主要包括物理安全與邏輯安全。物理安全主要指網絡硬件的維護、使用及管理等;邏輯安全是從軟件的角度提出的,主要指數據的保密性、完整性、可用性等。
1.3.1 來自互聯網的安全威脅
局域網是與Inernet互連的。由於Internet的開放性、國際性與自由性,局域網將面臨更加嚴重的安全威脅。如果局域網與外部網絡間沒有采取一定的安全防護措施,很容易遭到來自Internet 黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網絡及操作系統存在的安全漏洞,如網絡I P 地址、應用操作系統的類型、開放的T C P 端口號、系統用來保存用戶名和口令等安全信息的關鍵文件等,並通過相應攻擊程序進行攻擊。他們還可以通過網絡監聽等手段獲得內部網用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網絡中重要信息。還能通過發送大量數據包對網絡服務器進行攻擊,使得服務器超負荷工作導致拒絕服務,甚至使系統癱瘓。
1.3.2 來自局域網內部的安全威脅
內部管理人員把內部網絡結構、管理員口令以及系統的一些重要信息傳播給外人帶來信息洩漏;內部職工有的可能熟悉服務器、小程序、腳本和系統的弱點,利用網絡開些小玩笑,甚至搞破壞。如,洩漏至關重要的信息、錯誤地進入數據庫、刪除數據等,這些都將給網絡造成極大的安全威脅。
1.4 局域網當前形勢及面臨的問題
隨著局域網絡技術的發展和社會信息化進程的加快,現在人們的生活、工作、學習、娛樂和交往都已離不開計算機網絡。現今,全球網民數量已接近7億,網絡已經成為生活離不開的工具, 經濟 、文化、軍事和社會活動都強烈地依賴於網絡。網絡環境的復雜性、多變性以及信息系統的脆弱性、開放性和易受攻擊性,決定了網絡安全威脅的客觀存在。盡管計算機網絡為人們提供了巨大的方便,但是受技術和社會因素的各種影響,計算機網絡一直存在著多種安全缺陷。攻擊者經常利用這些缺陷,實施攻擊和入侵,給計算機網絡造成極大的損害網絡攻擊、病毒傳播、垃圾郵件等迅速增長,利用網絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升,嚴重影響了網絡的正常秩序,嚴重損害了網民的利益;網上色情、暴力等不良和有害信息的傳播,嚴重危害了青少年的身心健康。網絡系統的安全性和可靠性正在成為世界各國共同關注的焦點。
根據 中國 互聯網信息中心2006年初發布的統計報告顯示:我國互聯網網站近百萬家,上網用戶1億多,網民數和寬帶上網人數均居全球第二。同時,網絡安全風險也無處不在,各種網絡安全漏洞大量存在和不斷被發現,計算機系統遭受病毒感染和破壞的情況相當嚴重,計算機病毒呈現出異常活躍的態勢。面對網絡安全的嚴峻形勢,我國的網絡安全保障工作尚處於起步階段,基礎薄弱,水平不高,網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節,安全防護能力不僅大大低於美國、俄羅斯和以色列等信息安全強國,而且排在印度、韓國之後。在監督管理方面缺乏依據和標准,監管措施不到位,監管體系尚待完善,網絡信息安全保障制度不健全、責任不落實、管理不到位。網絡信息安全 法律 法規不夠完善,關鍵技術和產品受制於人,網絡信息安全服務機構專業化程度不高,行為不規范,網絡安全技術與管理人才缺乏。
面對網絡安全的嚴峻形勢,如何建設高質量、高穩定性、高可靠性的安全網絡成為通信行業乃至整個社會發展所要面臨和解決的重大課題。
2.常用局域網的攻擊方法
2.1 ARP欺騙
2.1.1 ARP協議
ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。ARP具體說來就是將網絡層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址IA——物理地址PA),請求IP地址為IB的主機B回答物理地址PB。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的。
假如我們有兩個網段、三台主機、兩個網關、分別是:
主機名 IP地址 MAC地址
網關1 192.168.1.1 01-01-01-01-01-01
主機A 192.168.1.2 02-02-02-02-02-02
主機B 192.168.1.3 03-03-03-03-03-03
網關2 10.1.1.1 04-04-04-04-04-04
主機C 10.1.1.2 05-05-05-05-05-05
假如主機A要與主機B通訊,它首先會通過網絡掩碼比對,確認出主機B是否在自己同一網段內,如果在它就會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應的MAC地址,如果沒有它就會向局域網的廣播地址發送ARP請求包,即目的MAC地址是全1的廣播詢問幀,0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果B存在的話,必須作出應答,回答“B的MAC地址是…”的單播應答幀,02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3;A收到應答幀後,把“192.168.1.3 03-03-03-03-03-03 動態”寫入ARP表。這樣的話主機A就得到了主機B的MAC地址,並且它會把這個對應的關系存在自己的ARP緩存表中。之後主機A與主機B之間的通訊就依靠兩者緩存表裡的MAC地址來通訊了,直到通訊停止後兩分鐘,這個對應關系才會被從表中刪除。
如果是非局域網內部的通訊過程,假如主機A需要和主機C進行通訊,它首先會通過比對掩碼發現這個主機C的IP地址並不是自己同一個網段內的,因此需要通過網關來轉發,這樣的話它會檢查自己的ARP緩存表裡是否有網關1(192.168.1.1)對應的MAC地址,如果沒有就通過ARP請求獲得,如果有就直接與網關通訊,然後再由網關1通過路由將數據包送到網關2,網關2收到這個數據包後發現是送給主機C(10.1.1.2)的,它就會檢查自己的ARP緩存(沒錯,網關一樣有自己的ARP緩存),看看裡面是否有10.1.1.2對應的MAC地址,如果沒有就使用ARP協議獲得,如果有就是用該MAC地址將數據轉發給主機C。
2.1.2 ARP欺騙原理
在以太局域網內數據包傳輸依靠的是MAC地址,IP地址與MAC對應的關系依靠ARP表,每台主機(包括網關)都有一個ARP緩存表。在正常情況下這個緩存表能夠有效的保證數據傳輸的一對一性,也就是說主機A與主機C之間的通訊只通過網關1和網關2,像主機B之類的是無法截獲A與C之間的通訊信息的。但是在ARP緩存表的實現機制中存在一個不完善的地方,當主機收到一個ARP的應答包後,它並不會去驗證自己是否發送過這個ARP請求,而是直接將應答包裡的MAC地址與IP對應的關系替換掉原有的ARP緩存表裡的相應信息。
這就導致主機B截取主機A與主機C之間的數據通信成為可能。首先主機B向主機A發送一個ARP應答包說192.168.1.1的MAC地址是03-03-03-03-03-03,主機A收到這個包後並沒有去驗證包的真實性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成03-03-03-03-03-03,同時主機B向網關1發送一個ARP響應包說192.168.1.2的MAC是03-03-03-03-03-03,同樣網關1也沒有去驗證這個包的真實性就把自己ARP表中的192.168.1.2的MAC地址替換成03-03-03-03-03-03。當主機A想要與主機C通訊時,它直接把應該發送給網關1(192.168.1.1)的數據包發送到03-03-03-03-03-03這個MAC地址,也就是發給了主機B,主機B在收到這個包後經過修改再轉發給真正的網關1,當從主機C返回的數據包到達網關1後,網關1也使用自己ARP表中的MAC,將發往192.168.1.2這個IP地址的數據發往03-03-03-03-03-03這個MAC地址也就是主機B,主機B在收到這個包後再轉發給主機A完成一次完整的數據通訊,這樣就成功的實現了一次ARP欺騙攻擊。因此簡單點說ARP欺騙的目的就是為了實現全交換環境下的數據監聽與篡改。也就是說欺騙者必須同時對網關和主機進行欺騙。
2.1.3 ARP病毒清除
感染病毒後,需要立即斷開網絡,以免影響其他電腦使用。重新啟動到DOS模式下,用殺毒軟件進行全面殺毒。
臨時處理對策:
步驟一、能上網情況下,輸入命令arp –a,查看網關IP對應的正確MAC地址,將其記錄下來。如果已經不能上網,則運行一次命令arp –d將arp緩存中的內容刪空,計算機可暫時恢復上網(攻擊如果不停止的話),一旦能上網就立即將網絡斷掉(禁用網卡或拔掉網線),再運行arp –a。
步驟二、如果已經有網關的正確MAC地址,在不能上網時,手工將網關IP和正確MAC綁定,可確保計算機不再被攻擊影響。輸入命令:arp –s,網關IP 網關MAC手工綁定在計算機關機重開機後就會失效,需要再綁定。可以把該命令放在autoexec.bat中,每次開機即自動運行。
2.2 網絡監聽
2.2.1 網絡監聽的定義
眾所周知,電話可以進行監聽,無線電通訊可以監聽,而計算機網絡使用的數字信號在線路上傳輸時,同樣也可以監聽。網絡監聽也叫嗅探器,其 英文 名是Sniffer,即將網絡上傳輸的數據捕獲並進行分析的行為。[③]
網絡監聽,在網絡安全上一直是一個比較敏感的話題,作為一種發展比較成熟的技術,監聽在協助網絡管理員監測網絡傳輸數據,排除網絡故障等方面具有不可替代的作用,因而一直備受網絡管理員的青睐。然而,在另一方面網絡監聽也給網絡安全帶來了極大的隱患,許多的網絡入侵往往都伴隨著網絡監聽行為,從而造成口令失竊,敏感數據被截獲等連鎖性安全事件。
2.2.2 網絡監聽的基本原理
局域網中的數據是以廣播方式發送的,局域網中的每台主機都時刻在監聽網絡中傳輸的數據,主機中的網卡將監聽到的數據幀中的MAC地址與自己的MAC地址進行比較,如果兩者相同就接收該幀,否則就丟掉該幀。如果把對網卡進行適當的設置和修改,將它設置為混雜模式,在這種狀態下它就能接收網絡中的每一個信息包。網絡監聽就是依據這種原理來監測網絡中流動的數據。
2.2.3 網絡監聽的檢測
2.2.3.1 在本地計算機上進行檢測
(1)檢查網卡是否處於混雜模式。可以利用一些現成的工具軟件來發現,例如:AntiSniff,ARP 探測技術。也可以編寫一些程序來實現。在Linux 下,有現成的函數,比較容易實現,而在Windows平台上,並沒有現成的函數來實現這個功能,要自己編寫程序來實現。可以利用一些現成的工具軟件來發現,例如:AntiSniff,ARP探測技術。也可以編寫一些程序來實現。在Linux下,有現成的函數,比較容易實現,而在Windows 平台上,並沒有現成的函數來實現這個功能,要自己編寫程序來實現。
(2)搜索法。在本地主機上搜索所有運行的進程,就可以知道是否有人在進行網絡監聽。在Windows系統下,按下Ctrl+Alt+Del可以得到任務列表,查看是否有監聽程序在運行。如果有不熟悉的進程,或者通過跟另外一台機器比較,看哪些進程是有可能是監聽進程。
2.2.3.2 在其它計算機上進行檢測
(1)觀察法。如果某台電腦沒有監聽的話,無論是信息的傳送還是電腦對信息的響應時間等方面都是正常的,如果被監聽的話,就會出現異常情況。我們可以通過觀察一些異常情況來判斷電腦是否有被監聽。
網絡通訊掉包率是否反常地高。例如ping命令會顯示掉了百分幾的信息包。如果網絡中有人在監聽,就會攔截每個信息包,從而導致信息包丟包率提高。
網絡帶寬是否出現反常。如果某台計算機長時間的占用了較大的帶寬,對外界的響應很慢,這台計算機就有可能被監聽。
機器性能是否下降。向網上發大量不存在的物理地址的包,而監聽程序往往就會將這些包進行處理,這樣就會導致機器性能下降,可以用icmp echo delay 來判斷和比較它。
(2)PING 法。這種檢測原理基於以太網的數據鏈路層和TCP/IP 網絡層的實現,是一種非常有效的測試方法。
ping法的原理:如果一個以太網的數據包的目的MAC 地址不屬於本機,該包會在以太網的數據鏈路層上被拋棄,無法進入TCP/IP 網絡層;進入TCP/IP 網絡層的數據包,如果解析該包後,發現這是一個包含本機ICMP 回應請示的TCP 包(PING 包),則網絡層向該包的發送主機發送ICMP 回應。
我們可以構造一個PING 包,包含正確的IP 地址和錯誤的MAC 地址,其中IP 地址是可疑主機的IP地址,MAC 地址是偽造的,這樣如果可疑主機的網卡工作在正常模式,則該包將在可疑主機的以太網的數據鏈路層上被丟棄,TCP/IP 網絡層接收不到數據因而也不會有什麼反應。如果可疑主機的網卡工作在混雜模式,它就能接收錯誤的MAC 地址,該非法包會被數據鏈路層接收而進入上層的TCP/IP 網絡層,TCP/IP 網絡層將對這個非法的PING 包產生回應,從而暴露其工作模式。
使用 PING 方法的具體步驟及結論如下:
① 假設可疑主機的IP 地址為192.168.10.11,MAC 地址是00-E0-4C-3A-4B-A5,檢測者和可疑主機位於同一網段。
② 稍微修改可疑主機的MAC 地址,假設改成00-E0-4C-3A-4B-A4。
③ 向可疑主機發送一個PING 包,包含它的IP 和改動後的MAC 地址。
④ 沒有被監聽的主機不能夠看到發送的數據包,因為正常的主機檢查這個數據包,比較數據包的MAC 地址與自己的MAC 地址不相符,則丟棄這個數據包,不產生回應。
⑤ 如果看到回應,說明數據包沒有被丟棄,也就是說,可疑主機被監聽了。
(3)ARP 法。除了使用PING 進行監測外,還可以利用ARP 方式進行監測的。這種模式使用ARP數據包替代了上述的ICMP 數據包。向局域網內的主機發送非廣播方式的ARP 包,如果局域網內的某個主機以自己的IP 地址響應了這個ARP 請求,那麼就可以判斷它很可能就處於網絡監聽模式了。
(4)響應時間測試法。這種檢測已被證明是最有效的。它能夠發現網絡中處於監聽模式的機器,而不管其操作系統是什麼。非監聽模式的機器的響應時間變化量會很小,而監聽模式的機器的響應時間變化量則通常會較大。
2.2.4 網絡監聽的防范措施
為了防止網絡上的主機被監聽,有多種技術手段,可以歸納為以下三類。
第一種是預防,監聽行為要想發生,一個重要的前提條件就是網絡內部的一台有漏洞的主機被攻破,只有利用被攻破的主機,才能進行監聽,從而收集以網絡內重要的數據。因此,要預防網絡中的主機被攻破。這就要求我們養成良好的使用計算機的習慣,不隨意下載和使用來歷不明的軟件,及時給計算機打上補丁程序,安裝防火牆等措施,涉及到國家安全的部門還應該有防電輻射技術,干擾技術等等,防止數據被監聽。
二是被動防御,主要是采取數據加密技術,數據加密是對付監聽的最有效的辦法。網上的信息絕大多數都是以明文的形式傳輸,容易辨認。一旦口令被截獲,入侵者就可以非常容易地登錄到另一台主機。對在網絡上傳輸的信息進行加密後,監聽器依然可以捕獲傳送的信息,但顯示的是亂碼。使用加密技術,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一,但是它的缺點是速度問題。幾乎所有的加密技術都將導致網絡的延遲,加密技術越強,網絡速度就越慢。只有很重要的信息才采用加密技術進行保護。
三是主動防御,主要是使用安全的拓撲結構和利用交換機劃分VLAN,這也是限制網絡監聽的有效方法,這樣的監聽行為只能發生在一個虛擬網中,最大限度地降低了監聽的危害,但需要增加硬件設備的開支,實現起來要花費不少的錢。
3.無線局域網安全威脅
3.1 非授權訪問
無線網絡中每個AP覆蓋的范圍都形成了通向網絡的一個新的入口。所以,未授權實體可以從外部或內部進入網絡,浏覽存放在網絡上的信息;另外,也可以利用該網絡作為攻擊第三方的出發點,對移動終端發動攻擊。而且,IEEE 802.11標准采用單向認證機制,只要求STA向AP進行認證,不要求AP向STA進行認證。入侵者可以通過這種協議上的缺陷對AP進行認證進行攻擊,向AP發送大量的認證請求幀,從而導致AP拒絕服務。
3.2 敏感信息洩露
WLAN物理層的信號是無線、全方位的空中傳播,開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實際需求,只要在信號覆蓋范圍內入侵者就可以利用無線監聽技術捕獲無線網絡的數據包,對網絡通信進行分析,從而獲取有用信息。目前竊聽已經成為無線局域網面臨的最大問題之一。
3.3 WEB缺陷威脅
有線等效保密WEP是IEEE 802.11無線局域網標准的一部分,它的主要作用是為無線網絡上的信息提供和有線網絡同一等級的機密性。IEEE選擇在數據鏈路層用RC4算法加密來防止對網絡進行竊聽。WEP在每一個數據包中使用完整性校驗字段來保證數據在傳輸過程中不被竄改,它使用了CRC-32校驗。在WEP中明文通過和密鑰流進行異或產生密文,為了加密,WEP要求所有無線網絡連接共享一個密鑰。實際上,網絡只使用一個或幾個密鑰,也很少更換。WEP算法根據密鑰和初始化向量IV產生密鑰流,確保後續的數據包用不同的密鑰流加密。但IV在一個相當短的時間內重用,使用24位的IV並不能滿足要求。一個24位的字段包含16777216個可能值, 假設網絡流量是11M, 傳輸2000字節的包,在7個小時左右, IV 就會重用。CRC-32不是一個很適合WEP的完整性校驗, 即使部分數據以及CRC-32校驗碼同時被修改也無法校驗出來。
3.4 無線局域網的安全措施
3.4.1 阻止非法用戶的接入
(1)基於服務設置標識符(SSID)防止非法用戶接入
服務設置標識符SSID是用來標識一個網絡的名稱,以此來區分不同的網絡,最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網絡。無線工作站必須提供正確的SSID與無線訪問點AP的SSID相同,才能訪問AP;如果出示的SSID與AP的SSID不同,那麼AP將拒絕它通過本服務區上網。因此可以認為SSID是一個簡單的口令,從而提供口令認證機制,阻止非法用戶的接入,保障無線局域網的安全。SSID通常由AP廣播出來,例如通過windows XP自帶的掃描功能可以查看當前區域內的SSID。出於安全考慮,可禁止AP廣播其SSID號,這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯。
(2)基於無線網卡物理地址過濾防止非法用戶接入
由於每個無線工作站的網卡都有惟一的物理地址,利用MAC地址阻止未經授權的無限工作站接入。為AP 設置基於MAC 地址的Access Control(訪問控制表),確保只有經過注冊的設備才能進入網絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。但是MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。物理地址過濾屬於硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作。如果用戶增加,則擴展能力很差,因此只適合於小型網絡規模。
3.4.2 實行動態加密
動態加密技術是基於對稱加密和非對稱加密的結合,能有效地保證網絡傳輸的安全。動態加密著眼於無線網絡架構中通信雙方本身,認為每個通信方都應承擔起會話中網絡信息傳輸的安全責任。會話建立階段,身份驗證的安全需要非對稱加密以及對PKI的改進來防止非授權訪問,同時完成初始密鑰的動態部署和管理工作,會話建立後,大量的數據安全傳輸必須通過對稱加密方式,但該系統通過一種動態加密的模式,摒棄了現有機制下靜態加密的若干缺陷,從而使通信雙方的每次“通信回合”都有安全保證。在一個通信回合中,雙方將使用相同的對稱加密密鑰,是每個通信方經過共同了解的信息計算而得到的,在通信回合之間,所使用的密鑰將實時改變,雖然與上次回合的密鑰有一定聯系,但外界無法推算出來。
3.4.3 數據的訪問控制
訪問控制的目標是防止任何資源(如計算資源、通信資源或信息資源)進行非授權的訪問,所謂非授權訪問包括未經授權的使用、洩露、修改、銷毀以及發布指令等。用戶通過認證,只是完成了接入無線局域網的第一步,還要獲得授權,才能開始訪問權限范圍內的網絡資源,授權主要是通過訪問控制機制來實現。訪問控制也是一種安全機制,它通過訪問BSSID、MAC 地址過濾、控制列表ACL等技術實現對用戶訪問網絡資源的限制。訪問控制可以基於下列屬性進行:源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、協議類型、用戶ID、用戶時長等。