硅谷杂志:关于计算机网络安全的思考 |
| 2012-08-22 10:05 作者:陈金文 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网8月22日消息 《硅谷》杂志2012年第14期刊文称,当今,网络技术比起以前有长足的发展,网络已经逐渐与人们的工作、生活相结合,同时网络安全问题也变得日益突出。为应付当前出现的各种网络安全问题,网络安全技术及软硬件设备层出不穷。
安全技术覆盖了计算机网络的方方面面。安全技术变得纷繁复杂起来,这对网络安全技术的应用来说带来了挑战。对于网络安全我们所看重的往往是单个应用点,这就容易忽略某些层次的安全问题。企业内网络接入层安全问题就是在这种环境下日益显现出来的[1]。网络安全技术从应用方面来看,主要分为面向终端系统的网络安全技术和面向网络基础架构的安全技术。
1企业网络分层模型
当前企业网络的基本结构主要以分层模型为基础,典型的企业网络结构主要分为以下三层:核心层、汇聚层、接入层。
核心层从字面上理解是网络的核心部分,是网络中的高速数据转发骨干。核心层的目标是尽量使数据交换所消耗的延迟最小化。在核心层中,不存在对数据进行过滤的策略。一般情况下,在核心层中使用的物理设备为三层交换机。总而言之,核心层的特点是:高速转发、链路冗余。
汇聚层是介于核心层与接入层之间的分水岭。它既可以帮助区分核心层又可以对网络边界进行定义。汇聚层的主要功能是提供路由、数据过滤和广域网接入。汇聚层需要确定服务于用户请求的最快途径。除此之外,对数据报文的过滤和策略处理也是在这一层完成。
接入层是用户主机接入企业网络的位置。接入层在一定程度上可以使用如访控列表及过滤策略等方式来实现某些数据转发的筛选。在这个层次上,二层以太网交换机起到了非常重要的作用。因为二层交换机部署在网络的边界上,二层交换机在接入层中又被称为边缘设备或接入交换机。任何针对远程网络的数据访问都将由汇聚层进行处理[2]。
2计算机网络应用安全问题分析
计算机网络物理介质的不安全因素主要有电磁泄漏及干扰,网络介质在接口、某些特定线缆都有可能出现因屏蔽不严而导致的信号泄漏。目前大多数计算机网络系统的屏蔽措施都不是很健全,这对网络安全构成了一定威胁。系统软件及应用程序的安全问题主要是因为网络软件的安全功能不完善,或系统中存在各种恶意代码,如后门程序、病毒程序等。这样会导致信息泄漏、资源非法使用或数据损毁等后果。操作系统和应用程序在功能上变得越来越丰富,在用户使用网络更加方便的同时,也存在很多容易受到攻击的地方。人员安全问题主要是由于工作人员的保密观念不强导致。其中操作失误导致的信息泄漏或损毁也是导致安全问题的一个重要因素。工作人员利用自己对系统的熟悉了解,为达非法目的对系统数据进行篡改、破坏也会对网络系统造成严重后果。环境安全问题主要是由于地震、火灾、雷电等自然灾害或掉电、温度湿度、空气洁净度等环境因素所导致的安全问题。ARP欺骗攻击存在三种表现形式,分别为:伪装网关、伪装主机、ARP洪泛。只有完全防御这三种ARP欺骗攻击方式,才能真正杜绝ARP欺骗攻击的危害。下面对三种ARP攻击方式进行分析:
2.1伪装网关
接入层的攻击主机,通过构造非法ARP报文,对来自本网段的网关ARP查询进行回应。直接导致其他接入层主机的ARP表中出现不正确的IP地址MAC地址的对应关系[11],其他主机将攻击主机误认为是网关,大量的数据报文就会发送给攻击主机。这将会产生两个结果:第一,由于攻击主机不是真正的网关,数据无法出网,其他主机无法正常上网。第二,攻击主机可以将其他主机发来的信息进行解封装,从而窥探其中的隐私信息。
2.2伪装主机
伪装主机攻击是把网关作为欺骗目标的一种攻击方式,同样会造成隐私泄露和上网异常。这种攻击方式是前面第一种的变体,会对网关向主机返回的数据流量造成负面影响,让主机无法正常接收网关传来的数据。
2.3ARP洪泛
在ARP协议中有一种特殊的报文,叫做免费ARP(gratuitousARP)。它是主机用来查找自己IP地址对应的MAC地址的方式。攻击主机往往利用免费ARP这个特性来对网段实施ARP攻击。比如攻击主机构建一个伪造的免费ARP报文,IP地址填入网关的IP地址,MAC地址填入伪造的地址。然后向本地交换设备进行洪泛。所有本网段的其它主机,收到这个免费ARP报文之后立刻用里面的虚假地址对自己的ARP表进行更新,结果导致形成错误的IP与MAC地址对应关系。
三种安全威胁产生的原因主要是企业内网接入设备数量大、部署分散、配置环境复杂等问题,给企业内网管理员带来了极大的挑战。同时因为用户主机的攻击行为频繁发生,用户的上网体验大大降低。传统的网络管理方式,针对企业内网常见网络攻击行为无法达到实时防护。所以根据这些情况,对在线运行的接入交换设备进行统一的管理监控,根据接入交换设备的运行状态,实时分析定位网络攻击源头,并对网络攻击源进行迅速隔离,防止少量攻击源影响正常上网用户。
3计算机网络应用安全的防护措施
3.1ARP伪装网关攻击的防护策略
攻击主机伪造网关的ARP查询回应,在其中填入虚假的MAC地址。导致上网主机的ARP缓存表出现错误条目。对于这种攻击行为,系统通过向接入设备下发第二层链路访问控制列表来截断那些由接入层主机发出,但内部填入了网关MAC地址的ARP查询回应报文。不合法的ARP报文,一进入接入交换机,立即被丢弃。例如,报文送至接入交换机中,根据系统下发的链路防控列表,该数据包匹配相关协议条目,条目的执行操作为DENY。非法的ARP回应数据包就会被丢弃[3]。
3.2ARP伪装主机攻击的防护策略
首先,使用一个单独的网关日志分析程序对网关的日志进行收集。因为网关在发现多个主机给出对同一个地址的ARP回应之后,会认为本地网段内某个IP地址存在冲突现象。这个反映可以在网关的系统日志中发现。网关日志分析程序会接受网关发来的日志通告,并对其中的内容进行分析,如果某个IP地址的冲突次数达到了一定阀值,便是ARP伪装主机攻击发生,其中冲突次数最多的即为ARP伪装主机攻击的攻击主机。系统通过设备控制模块对交换设备发出指令,查询冲突次数最多的MAC地址所在交换设备的端口,然后对交换设备发出指令将攻击主机MAC地址加入二层链路访问控制列表进行隔离。最后,在系统的隔离主机列表中显示出来。
3.3ARP洪泛的防护策略
本系统处理ARP洪泛攻击使用两种方式相结合的方法。当网关查询某IP的MAC地址时,正常的主机会发送一个ARP应答,攻击主机也会发送一个伪造应答。这样网关就会将ARP冲突记录在日志系统中。通过对冲突次数的记录,可以准确的定位攻击主机位置,并将其MAC地址隔离。对于攻击主机发出的大量免费ARP报文,系统则向接入设备下发对应于本地网关的自定义防控列表条目,将ARP应答报文中的IP地址和MAC地址进行精确匹配,凡是不符合规则的虚假ARP应答报文予以丢弃。
3.4通过网络备份
如果计算机是联网的,可以利用网络进行备份,将数据在局域网的另一台计算机上保留一份,或者在服务器上专设备份目录。一般来说,服务器的稳定性和可靠性都要优于个人计算机,因此在可能的情况下,尽量在服务器上备份。对敏感和重要的数据,还是应该使用移动存储介质备份.并且备份数据最好不要跟源数据放置在同一个地方。1)从某种程度来说,计算机个人数据凝聚了用户的大量心血,是用户大部分工作和科研成果的体现,是至关重要的内容。保护个人数据也就是保护用户自己的劳动成果和历史资料丢失,损失难以估计。2)数据保护是每天都要注意的问题.也是每个用户都可做到的事情。数据备份是首选技术,虽然当数据量太大时.备份的成本过高,但是重要数据必须备份,这应成为一条铁规。数据管理既是数据保护的重要技术,也是提高工作效率的必要手段。虽然看起来要多花一些时间,实际上却是节约了很多时问,比如重装系统时减少了顾虑,选择文件时不需查找,使用数据时提供了方便。
4结论
计算机接入层安全在当前网络建设与维护过程中是一个重视程度不够的环节。人们往往认为网络的攻击行为来自外网。对于内网攻击行为,人们认为只要管好主机安全就可以了。但殊不知,主机安全问题是单个点上的问题,而内网安全问题确是层次与面上的问题。针对计算机网络接入层安全防护这个薄弱环节,本文分析计算机网络应用安全问题的防护措施。(原文载于《硅谷》杂志2012年第14期,硅谷网及《硅谷》杂志版权所有,未经允许禁止转载) |
|
|
|
【对“硅谷杂志:关于计算机网络安全的思考”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
