还剩6页未读,继续阅读
文本内容:
课程设计任务书题目网络安全技术分析与安全方案设计指导老师:院系:班级:姓名:小组成员:姓名:刘锡淼学号540907040127负责内容统筹协作和运输层安全分析与解决方案姓名杨大为学号540907040144负责内容应用层安全分析与解决方案姓名:余飞学号540907040145负责内容网络层安全分析与解决方案姓名:周恺学号540907040156负责内容物理层安全分析与解决方案姓名赵伟学号540907040153负责内容数据链路层安全分析与解决方案基本要求:匕设计网络安全技术实现方案选择合适的安全协议、安全技术、安全设备,设计安全组网方案按人摆布组合成一个小组,集中讨论,提出各小组的实现方案,5总结并写出报告设计目的匕分析网络各种安全技术和安全设备设计网络安全的方案计算机网络安全技术内容密性安全的设计访问控制网络安全分析类别物理层安全分析及解决方案数据链路层安全分析及解决方案网络层安全分析及解决方案运输层安全分析及解决方案应用层安全分析及解决方案设计内容数据链路层与网络安全通信的每一层中都有自己独特的安全问题数据链路层第二协议层的通信连接就安全而言,是较为薄弱的环节网络安全的问题应该在多个协议层针对不同的弱点进行解决在本部份中,我将集中讨论与有线局域网相关的安全问题在第二协议层的通信中,交换机是关键的部件,它们也用于第三协议层的通信对于相同的第三协议层的许多攻击和许多独特的网络攻击,它们和路由器都会很敏感,这些攻击包括内容寻址存储器表格淹没交换机中的表格包含了诸如在指定交换机CAM CAM的物理端口所提供的地址和相关的参数之类的信息一个典型的网络MAC VLAN侵入者会向该交换机提供大量的无效源地址,直到表格被添满当这种MAC CAM情况发生的时候,交换机会将传输进来的信息向所有的端口发送,因为这时交换机不能够从表格中查找出特定的地址的端口号表格淹没只会导致CAM MAC CAM交换机在本地范围内到处发送信息,所以侵入者只能够看到自己所连接到的VLAN本地中的信息VLAN中继中继是一种网络攻击,由一终端系统发出以位于不同上VLAN VLAN VLAN的系统为目标地址的数据包,而该系统不可以采用常规的方法被连接该信息被附加之不同于该终端系统所属网络的标签或者发出攻击的系统伪装成交换VLAN ID机并对中继进行处理,以便于攻击者能够收发其它之间的通信VLAN控制生成树协议生成树协议可用于交换网络中以防止在以太网拓朴结构中产生桥接循环通过攻击生成树协议,网络攻击者希翼将自己的系统伪装成该拓朴结构中的根网桥要达到此目的,网络攻击者需要向外广播生成树协议配置/拓朴结构改变网桥协议数据单元企图迫使生成树进行重新计算网络攻击者系统发出BPDU,的声称发出攻击的网桥优先权较低如果获得成功,该网络攻击者能够获得BPDU各种各样的数据帧媒体存取控制地址欺骗在进行欺骗攻击的过程中,已知某其它主机MAC MAC的地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧MAC通过发送带有该主机以太网源地址的单个数据帧的办法,网络攻击者改写了CAM表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络攻击者除非该主机向外发送信息,否则它不会收到任何信息当该主机向外发送信息的时候,表中对应的条目会被再次改写,以便它能恢复到原始的端口CAM地址解析协议攻击协议的作用是在处于同一个子网中的主机所构成的ARP ARP局域网部份中将地址映射到地址当有人在未获得授权时就企图更改IP MAC MAC和地址的表格中的信息时,就发生了攻击通过这种方式,黑客们IP ARP ARP可以伪造或者地址,以便实施如下的两种攻击:服务拒绝和中间人攻击MAC IP专用专用通过限制中能够与同中其它端口进行通信的VLAN VLAN VLANVLAN端口的方式进行工作中的孤立端口只能和混合端口进行通信混合端口能VLAN够和任何端口进行通信能够绕过专用安全措施的攻击的实现要使用绕过专VLAN用访问限制的代理VLAN耗竭耗竭的攻击通过利用伪造的地址来广播请求的方DHCP DHCPMAC DHCP式来进行利用诸如之类的攻击工具就可以很容易地造成这种情况如果gobbler所发出的请求足够多的话,网络攻击者就可以在一段时间内耗竭向服务器所DHCP提供的地址空间这是一种比较简单的资源耗竭的攻击手段,就像泛滥一样SYN然后网络攻击者可以在自己的系统中建立起虚假的服务器来对网络上客户发DHCP出的新请求作出反应降低局域网安全风险DHCP在交换机上配置端口安全选项可以防止表淹没攻击该选择项要末可以CAM提供特定交换机端口的地址说明,要末可以提供一个交换机端口可以习得的MAC地址的数目方面的说明当无效的地址在该端口被检测出来之后,该交MACMAC换机要末可以阻挠所提供的地址,要末可以关闭该端口MAC对的设置稍作几处改动就可以防止中继攻击这其中最大的要点VLANVLAN在于所有中继端口上都要使用专门的同时也要禁用所有使用不到的交换VLAN IDo机端口并将它们安排在使用不到的中通过明确的办法,关闭掉所实用户端VLAN口上的这样就可以将所有端口设置成非中继模式DTP,要防止控制生成树协议的攻击,需要使用根目录保护和保护加强命令来BPDU保持网络中主网桥的位置不发生改变,同时也可以强化生成树协议的域边界根目录保护功能可提供保持主网桥位置不变的方法生成树协议保护使得网BPDU络设计者能够保持有源网络拓朴结构的可预测性尽管保护也许看起来是没BPDU有必要的,因为管理员可以将网络优先权调至但仍然不能保证它将被选做主网桥,0,因为可能存在一个优先权为但却更低的网桥使用在面向用户的端口中,ID BPDU保护能够发挥出最佳的用途,能够防止攻击者利用伪造交换机进行网络扩展使用端口安全命令可以防止欺骗攻击端口安全命令能够提供指定系统MAC地址连接到特定端口的功能该命令在端口的安全遭到破坏时,还能够提供MAC指定需要采取何种措施的能力然而,如同防止表淹没攻击一样,在每一个CAM端口上都要指定一个地址是一种难办的解决方案在界面设置菜单中选择计MAC时的功能,并设定一个条目在缓存中可以持续的时长,能够达到防止欺ARP ARP骗的目的对路由器端口访问控制列表()进行设置可以防止专用攻击虚拟ACL VLAN的还可以用于消除专用攻击的影响ACL VLAN通过限制交换机端口的地址的数目,防止表淹没的技术也可以防止MACCAM耗竭随着消息验证的执行,耗竭攻击将会变得越DHCP RFC3118,DHCP DHCP来越艰难止匕外,还能够在数据链路层对基本的网络访问进行监测,它本身IEEE
802.1X是一种在有线网络和无线网络中传送可扩展验证协议()架构的标准在未完EAP成验证的情况下就拒绝对网络的访问,进而可以防止对网络基础设备实施
801.1X的,并依赖基本连接的多种攻击的初始编写目标是用于拔号连接和远IP
802.1X程访问网络中的点对点协议()它现在支持在局域网的环境中使用包括PPP,EAP,无线局域网针对欺骗攻击的防范方法ARP缓存表中的记录既可以是动态的,也可以是静态的如果缓存表中的记ARP ARP录是动态的,则可以通过老化机制减少缓存表的长度并加快查询速度;静态ARP缓存表中的记录是永久性的,用户可以使用工具来创建和修改,如ARP TCP/IP操作系统自带的工具对于计算机来说,可以通过绑定网关等重要Windows ARP设备的与地址记录来防止欺骗攻击在交换机上防范欺骗攻击IP MACARP ARP的方法与在计算机上基本相同,可以将下连设备的地址与交换机端口进行绑MAC定,并通过端口安全功能对违背规则的主机Port Securityfeature攻击者进行相应的处理通过交换机可以在绑定表的基Cisco DHCP Snooping础上,使用技术来检测请求,拦截非法的DAI DynamicARP InspectionARPARP报文,具体配置如下定义检测的范Switchconfig#ip arpinspection vlan20-30,100-110,315ARP VLAN围,该范围根据表做判断DHCP snoopingbinding限制端口每秒转发报文的数量Switchconfig-if#ip arpinspection limitrate30ARP为30针对欺骗攻击的防范方法DHCP对于欺骗攻击的防洪可以采用两种方法DHCP采用过滤来自网络中非法服务器或者其他设备的非信1DHCPSnooping DHCP任响应报文在交换机上,当某一端口设置为非信任端口时,可以限制客DHCP户端特定的地址、地址或者等报文通过为此,可以使用IP MACVSNID DHCP特性中的可信任端口来防止用户私置服务器或者代理一SnoopingDHCPDHCP
[4]o旦将交换机的某一端口设置为指向正确服务器的接入端口,则交换机会自动DHCP丢失从其他端口上接收到的响应报文例如,在交换机上通过以下命DHCP Cis8令将指定端口设置为信任端口定义该端口为信任端口Switchconfig-if#ip dhcpsnooping trustDHCP启用功能Switchconfig#ip dhcpsnooping DHCP snooping定义Switchconfig#ip dhcpsnooping vlan20-30,100-110,315DHCPsnooping作用的VLAN通过服务器如基于操作系统的服务器绑2DHCP Windows2003/2022DHCP定与地址,实现对指定计算机地址的安全分配IP MACIP针对生成树协议攻击的防范方法对于攻击可以采取环路保护机制来防范为了防止客户端交换机偶然成STP STP为根网桥,在交换机中可以使用特性来避免这种现象的发生Cisco Root Guard⑼如图所示,如果偶然选择出客户端交换机(交换机)成为根网桥,即交2STP D换机与交换机相连接的端口成为根端口()则特性自动C D Root Port,RootGuard将交换机与交换机相连接的端口设置为状态(根阻塞状态),C Droot-inconsistent以防止客户端交换机成为根网桥一旦在交换机中配置了特性,其DRootGuard将对所有的都有效VLAN总结针对数据链路层的安全隐患,利用、、、、等协议ARP DHCPSTP DTPVTP的网络攻击,提出了相应的防范对策以交换式以太网技术为基础,分析数据链路层的不安全因素,有针对性地给出了相应的解决方法和思路在参考模型中,局域网仅涉及到物理层和数据链路层,以上各层的功能由OSI局域网操作系统来完成在网络体系结构中,越是低层的安全问题所产生的影响也越大,而且越不容易彻底解决正因为如此,当、、、等主要ARP DHCPVLAN STP针对数据链路层协议的攻击浮现时,普通借助于对交换机等数据链路层设备的安全管理来解决针对局域网应用和管理实际,本文仅对数据链路层的主要安全问题进行了分析参考文献杨佩璐著.《网络信息安全与防护》
[1]著.《网络安全技术与解决方案(修订版)》
[2]Yusufbhaiji著.《用进行网际互连第一卷》第五版谢希P]Douglas E.Comer TCP/IP
[4]仁著.《计算机网络》.第五版。