學(xué)校宿舍網(wǎng)絡(luò)安全探究_第1頁(yè)
學(xué)校宿舍網(wǎng)絡(luò)安全探究_第2頁(yè)
學(xué)校宿舍網(wǎng)絡(luò)安全探究_第3頁(yè)
學(xué)校宿舍網(wǎng)絡(luò)安全探究_第4頁(yè)
學(xué)校宿舍網(wǎng)絡(luò)安全探究_第5頁(yè)
已閱讀5頁(yè),還剩5頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

0.前言

如今,校園宿舍網(wǎng)呈現(xiàn)用戶多且密度大、網(wǎng)絡(luò)節(jié)點(diǎn)多、難以管理的特點(diǎn)。宿舍網(wǎng)的用戶相對(duì)其他網(wǎng)絡(luò)的用戶分布要密集很多,而眾多用戶與不同宿舍樓之間的網(wǎng)絡(luò)連接結(jié)構(gòu)相似,但節(jié)點(diǎn)甚至比辦公大樓、實(shí)驗(yàn)室等其他區(qū)域的網(wǎng)絡(luò)節(jié)點(diǎn)還要多,管理起來(lái)工作量大。同時(shí),不容忽視的是,學(xué)校擁有一大批活躍、求知欲強(qiáng)的學(xué)生用戶,因此IP地址盜用等現(xiàn)象頻頻發(fā)生。在傳統(tǒng)的IP和MAC地址綁定、流量計(jì)費(fèi)的運(yùn)營(yíng)管理模式下,為了防止IP地址盜用現(xiàn)象,將大量IP和MAC地址綁定,不僅加大了服務(wù)中心工作人員的工作量,甚至造成了超負(fù)荷工作,工作人員對(duì)此有很大意見;同時(shí),用戶對(duì)不能正常使用網(wǎng)絡(luò)的抱怨也時(shí)有發(fā)生。各種原因交織在一起最終導(dǎo)致了管理難的問題。因此,我們一直在尋找由難到易的宿舍網(wǎng)運(yùn)營(yíng)計(jì)費(fèi)認(rèn)證管理辦法,需要它營(yíng)造出一種方便、實(shí)用、快捷、易于管理的網(wǎng)絡(luò)環(huán)境。

同時(shí),由于宿舍區(qū)網(wǎng)絡(luò)使用者知識(shí)能力等所限,被病毒、木馬等威脅的實(shí)例也層出不窮,例如:局域網(wǎng)爆發(fā)ARP病毒,具體表現(xiàn)為局域網(wǎng)內(nèi)一些正在上網(wǎng)的電腦主機(jī)頻繁掉線或是斷線。這是因?yàn)榫钟蚓W(wǎng)內(nèi)有電腦運(yùn)行ARP欺騙程序(比如:傳奇、QQ盜號(hào)的軟件等)發(fā)送ARP數(shù)據(jù)包,致使被攻擊的電腦不能上網(wǎng)。為了有效防范宿舍區(qū)內(nèi)病毒等的發(fā)生與蔓延,有必要認(rèn)真研究解決對(duì)策。

1.宿舍網(wǎng)絡(luò)安全簡(jiǎn)介

隨著網(wǎng)絡(luò)的快速發(fā)展和上網(wǎng)用戶的急劇增多,網(wǎng)絡(luò)中的不安全因素日益暴露無(wú)遺,主要表現(xiàn)在:

1)由于IP和MAC地址的可變性而導(dǎo)致的冒用合法用戶入網(wǎng)問題。非法用戶只要連接網(wǎng)線,對(duì)電腦進(jìn)簡(jiǎn)單的網(wǎng)絡(luò)配置就可以上網(wǎng)。由于IP和MAC盜用會(huì)導(dǎo)致合法用戶不能上網(wǎng),甚至非法入網(wǎng)者會(huì)以合法用戶的名義從事非法勾當(dāng),對(duì)網(wǎng)絡(luò)的安全管理造成很大的威脅;

2)操作系統(tǒng)和應(yīng)用軟件存在大量漏洞,這是造成網(wǎng)絡(luò)安全問題的嚴(yán)峻的一個(gè)主要原因。國(guó)際權(quán)威應(yīng)急組織CERT/CC統(tǒng)計(jì),截至2004年以來(lái)漏洞公布總數(shù)16726個(gè),并且利用漏洞發(fā)動(dòng)攻擊的速度也越來(lái)越快;

3)校園網(wǎng)用戶安全意識(shí)不強(qiáng)及計(jì)算機(jī)水平有限。大部分學(xué)校普遍都存在重技術(shù)、輕安全、輕管理的傾向,常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個(gè)防火墻就萬(wàn)事大吉,甚至有些學(xué)校直接連接互聯(lián)網(wǎng),嚴(yán)重缺乏防范黑客攻擊的意識(shí)。

學(xué)生宿舍網(wǎng)作為服務(wù)于教育、科研和行政管理的計(jì)算機(jī)網(wǎng)絡(luò),實(shí)現(xiàn)了校園內(nèi)連網(wǎng)、信息共享,并與Internet互聯(lián)。宿舍網(wǎng)連接的校內(nèi)學(xué)生機(jī),存在許多安全隱患,主要表現(xiàn)有:

1)宿舍網(wǎng)與Internet相連,面臨著外網(wǎng)攻擊的風(fēng)險(xiǎn)。

2)來(lái)自內(nèi)部的安全威脅。

3)接入宿舍網(wǎng)的節(jié)點(diǎn)數(shù)日益增多,這些節(jié)點(diǎn)會(huì)面臨病毒泛濫、信息丟失、數(shù)據(jù)損壞等安全問題。

通過對(duì)宿舍網(wǎng)的安全設(shè)計(jì),在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全,保障宿舍網(wǎng)絡(luò)安全,一個(gè)整體一致的內(nèi)網(wǎng)安全體系,應(yīng)該包括身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計(jì)四個(gè)方面,并且,這四個(gè)方面應(yīng)該是緊密結(jié)合、相互聯(lián)動(dòng)的統(tǒng)一平臺(tái),才能達(dá)到構(gòu)建可信、可控和可管理的安全內(nèi)網(wǎng)的效果。

身份認(rèn)證是內(nèi)網(wǎng)安全管理的基礎(chǔ),不確認(rèn)實(shí)體的身份,進(jìn)一步制定各種安全管理策略也就無(wú)從談起。內(nèi)網(wǎng)的身份認(rèn)證,必須全面考慮所有參與實(shí)體的身份確認(rèn),包括服務(wù)器、客戶端、用戶和主要設(shè)備等。其中,客戶端和用戶的身份認(rèn)證尤其要重點(diǎn)關(guān)注,因?yàn)樗麄兙哂袛?shù)量大、環(huán)境不安全和變化頻繁的特點(diǎn)。

授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的,其主要對(duì)內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán),確定誰(shuí)能夠在那些計(jì)算機(jī)終端或者服務(wù)器使用什么樣的資源和權(quán)限。授權(quán)管理的信息資源應(yīng)該盡可能全面,應(yīng)該包括終端使用權(quán)、外設(shè)資源、網(wǎng)絡(luò)資源、文件資源、服務(wù)器資源和存儲(chǔ)設(shè)備資源等。

數(shù)據(jù)保密是內(nèi)網(wǎng)信息安全的核心,其實(shí)質(zhì)是要對(duì)內(nèi)網(wǎng)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理,構(gòu)建信息和數(shù)據(jù)安全可控的使用、存儲(chǔ)和交換環(huán)境,從而實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識(shí)產(chǎn)權(quán)的保護(hù)。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣,所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無(wú)關(guān)性。

監(jiān)控審計(jì)是宿舍網(wǎng)絡(luò)安全不可缺少的輔助部分,可以實(shí)現(xiàn)對(duì)宿舍網(wǎng)絡(luò)安全狀態(tài)的實(shí)時(shí)監(jiān)控,提供宿舍網(wǎng)絡(luò)安全狀態(tài)的評(píng)估報(bào)告,并在發(fā)生宿舍網(wǎng)絡(luò)安全事件后實(shí)現(xiàn)有效的取證。

宿舍網(wǎng)絡(luò)安全已經(jīng)成為信息安全的新熱點(diǎn),其技術(shù)和標(biāo)準(zhǔn)也在成熟和演進(jìn)過程中,我們有理由相信,隨著同學(xué)們對(duì)宿舍網(wǎng)絡(luò)安全認(rèn)識(shí)的加深,用戶宿舍網(wǎng)絡(luò)安全管理制度的完善,整體一致的宿舍網(wǎng)安全解決方案和體系建設(shè)將成為宿舍網(wǎng)安全的主要發(fā)展趨勢(shì)。

宿舍內(nèi)部網(wǎng)絡(luò)安全經(jīng)常會(huì)發(fā)生IP盜用現(xiàn)象,惡意修改MAC地址,嚴(yán)重危害了正常的上網(wǎng)秩序,下面我們先從網(wǎng)卡開始探討網(wǎng)絡(luò)的安全問題。

2.網(wǎng)卡

2.1網(wǎng)卡的基本構(gòu)造

網(wǎng)卡包括硬件和固件程式(只讀存儲(chǔ)器中的軟件例程),該固件程式實(shí)現(xiàn)邏輯鏈路控制和媒體訪問控制的功能,還記錄唯一的硬件地址即MAC地址。網(wǎng)卡上一般有緩存。網(wǎng)卡須分配中斷IRQ及基本I/O端口地址,同時(shí)還須配置基本內(nèi)存地址(basememoryaddress)和收發(fā)器(transceiver),主要由網(wǎng)卡的控制芯片、晶體震蕩器、BOOT插槽、EPROM、內(nèi)接式轉(zhuǎn)換器、RJ-45和BNC接頭、信號(hào)指示燈等部分。

網(wǎng)卡的控制芯片是網(wǎng)卡中最重要元件,是網(wǎng)卡的控制中央,有如電腦的CPU控制著整個(gè)網(wǎng)卡的工作,負(fù)責(zé)數(shù)據(jù)的的傳送和連接時(shí)的信號(hào)偵測(cè)。早期的10/100m的雙速網(wǎng)卡會(huì)采用兩個(gè)控制芯片(單元)分別用來(lái)控制兩個(gè)不同速率環(huán)境下的運(yùn)算,而現(xiàn)在較先進(jìn)的產(chǎn)品通常只有一個(gè)芯片控制兩種速度。

內(nèi)接式轉(zhuǎn)換器只要有BNC接頭的網(wǎng)卡都會(huì)有這個(gè)芯片,并緊鄰在BNC接頭旁,它的功能是在網(wǎng)卡和BNC接頭之間進(jìn)行數(shù)據(jù)轉(zhuǎn)換,讓網(wǎng)卡能通過它從BNC接頭送出或接收資料。

信號(hào)指示燈在網(wǎng)卡后方會(huì)有二到三個(gè)不等的信號(hào)燈,其作用是顯示現(xiàn)在網(wǎng)絡(luò)的連線狀態(tài),通常具備TX和RX兩個(gè)信息。TX代表正在送出資料,RX代表正在接收資料,若看到兩個(gè)燈同時(shí)亮則代表現(xiàn)在是處于全雙工的運(yùn)作狀態(tài),也可由此來(lái)辨別全雙工的網(wǎng)卡是否處于全雙工的網(wǎng)絡(luò)環(huán)境中部分。

2.2網(wǎng)卡的工作原理

網(wǎng)卡的主要工作原理是整理計(jì)算機(jī)上發(fā)往網(wǎng)線上的數(shù)據(jù),并將數(shù)據(jù)分解為適當(dāng)大小的數(shù)據(jù)包之后向網(wǎng)絡(luò)上發(fā)送出去。對(duì)于網(wǎng)卡而言,每塊網(wǎng)卡都有一個(gè)唯一的網(wǎng)絡(luò)節(jié)點(diǎn)地址,它是網(wǎng)卡生產(chǎn)廠家在生產(chǎn)時(shí)燒入ROM(只讀存儲(chǔ)芯片)中的,我們把它叫做MAC地址(物理地址),且保證絕對(duì)不會(huì)重復(fù)。發(fā)送數(shù)據(jù)時(shí),網(wǎng)卡首先偵聽介質(zhì)上是否有載波(載波由電壓指示),如果有,則認(rèn)為其他站點(diǎn)正在傳送信息,繼續(xù)偵聽介質(zhì)。一旦通信介質(zhì)在一定時(shí)間段內(nèi)(稱為幀間縫隙IFG=9.6微秒)是安靜的,即沒有被其他站點(diǎn)占用,則開始進(jìn)行幀數(shù)據(jù)發(fā)送,同時(shí)繼續(xù)偵聽通信介質(zhì),以檢測(cè)沖突。在發(fā)送數(shù)據(jù)期間,如果檢測(cè)到?jīng)_突,則立即停止該次發(fā)送,并向介質(zhì)發(fā)送一個(gè)阻塞信號(hào),告知其他站點(diǎn)已經(jīng)發(fā)生沖突,從而丟棄那些可能一直在接收的受到損壞的幀數(shù)據(jù),并等待一段隨機(jī)時(shí)間(CSMA/CD確定等待時(shí)間的算法是二進(jìn)制指數(shù)退避算法)。在等待一段隨機(jī)時(shí)間后,再進(jìn)行新的發(fā)送。接收時(shí),網(wǎng)卡瀏覽介質(zhì)上傳輸?shù)拿總€(gè)幀,如果其長(zhǎng)度小于64字節(jié),則認(rèn)為是沖突碎片。如果接收到的幀不是沖突碎片且目的地址是本地地址,則對(duì)幀進(jìn)行完整性校驗(yàn),如果幀長(zhǎng)度大于1518字節(jié)(稱為超長(zhǎng)幀,可能由錯(cuò)誤的LAN驅(qū)動(dòng)程序或干擾造成)或未能通過CRC校驗(yàn),則認(rèn)為該幀發(fā)生了畸變。通過校驗(yàn)的幀被認(rèn)為是有效的,網(wǎng)卡將它接收下來(lái)進(jìn)行本地處理。

2.3網(wǎng)卡的工作模式及功能

1.工作模式分為以下四種:

1)廣播模式(BroadCastModel):它的物理地址(MAC)地址是0Xffffff的幀為廣播幀,工作在廣播模式的網(wǎng)卡接收廣播幀。

2)多播傳送(MultiCastModel):多播傳送地址作為目的物理地址的幀可以被組內(nèi)的其它主機(jī)同時(shí)接收,而組外主機(jī)卻接收不到。但是,如果將網(wǎng)卡設(shè)置為多播傳送模式,它可以接收所有的多播傳送幀,交換機(jī)根據(jù)以太網(wǎng)幀中的源MAC地址來(lái)更新地址表。當(dāng)一臺(tái)計(jì)算機(jī)打開電源后,安裝在該系統(tǒng)中的網(wǎng)卡會(huì)定期發(fā)出空閑包或信號(hào),交換機(jī)即可據(jù)此得知它的存在以及其MAC地址。由于交換機(jī)能夠自動(dòng)根據(jù)收到的以太網(wǎng)幀中的源MAC地址更新地址表的內(nèi)容,所以交換機(jī)使用的時(shí)間越長(zhǎng),學(xué)到的MAC地址就越多,未知的MAC地址就越少,因而廣播的包就越少,速度就越快。由于交換機(jī)中的內(nèi)存畢竟有限,能夠記憶的MAC地址數(shù)量也是有限的。既然不能無(wú)休止地記憶所有的MAC地址,那么就必須賦予其相應(yīng)的忘卻機(jī)制。事實(shí)上,為交換機(jī)設(shè)定了一個(gè)自動(dòng)老化時(shí)間(Auto-aging),若某MAC地址在一定時(shí)間內(nèi)(默認(rèn)為300秒)不再出現(xiàn),那么,交換機(jī)將自動(dòng)把該MAC地址從地址表中清除。當(dāng)下一次該MAC地址重新出現(xiàn)時(shí),將會(huì)被當(dāng)作新地址處理。

3.4可網(wǎng)管交換機(jī)VLAN技術(shù)VLAN即虛擬局域網(wǎng)(VirtualLocalAreaNetwork的縮寫),是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組技術(shù)。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。

先來(lái)了解一下交換機(jī)是如何使用VLAN分割廣播域的首先,在一臺(tái)未設(shè)置任何VLAN的二層交換機(jī)上,任何廣播幀都會(huì)被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口(Flooding)。例如,計(jì)算機(jī)A發(fā)送廣播信息后,會(huì)被轉(zhuǎn)發(fā)給端口2、3、4。

交換機(jī)收到廣播幀后,轉(zhuǎn)發(fā)到除接收端口外的其他所有端口。這時(shí),如果在交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN;同時(shí)設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。再?gòu)腁發(fā)出廣播幀的話,交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口也就是同屬于紅色VLAN的端口2,不會(huì)再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。同樣,C發(fā)送廣播信息時(shí),只會(huì)被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLAN的端口,不會(huì)被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。

如果要更為直觀地描述VLAN的話,我們可以把它理解為將一臺(tái)交換機(jī)在邏輯上分割成了數(shù)臺(tái)交換機(jī)。在一臺(tái)交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN,也可以看作是將一臺(tái)交換機(jī)換做一紅一藍(lán)兩臺(tái)虛擬的交換機(jī)(如上圖)。

3.5MAC和交換機(jī)端口的綁定在了解了交換機(jī)的基本知識(shí)之后,我們來(lái)在交換機(jī)上尋求一種防止盜號(hào)上網(wǎng)的方法將網(wǎng)卡的MAC地址與交換機(jī)的端口綁定,從在交換機(jī)上遏制盜號(hào)上網(wǎng)的現(xiàn)象。我們以思科的交換機(jī)為例。

switch#configt//進(jìn)入到全局配置模式switch(config)#intf0/1//進(jìn)入到0/1號(hào)端口switch(config-if)#switchportmodeaccess//設(shè)置交換機(jī)的端口模式為access模式,注意缺省是dynamic//dynamic模式下是不能使用Port-security功能switch(config-if)#switchportport-security//打開port-security功能switch(config-if)#switchportport-securityMAC-addressxxxx.xxxx.xxxx//xxxx.xxxx.xxxx就是你要關(guān)聯(lián)的MAC地址。

隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營(yíng)等應(yīng)用的大規(guī)模發(fā)展,服務(wù)提供者需要對(duì)用戶的接入進(jìn)行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展,有必要對(duì)端口加以控制以實(shí)現(xiàn)用戶級(jí)的接入控制,802.lx就是IEEE為了解決基于端口的接入控制(Port-BasedNetworkAccessContro1)而定義的一個(gè)標(biāo)準(zhǔn)。

4.802.1x認(rèn)證技術(shù)簡(jiǎn)介

4.1引言802.1x協(xié)議起源于802.11協(xié)議,后者是IEEE的無(wú)線局域網(wǎng)協(xié)議,制訂802.1x協(xié)議的初衷是為了解決無(wú)線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證,只要用戶能接入局域網(wǎng)控制設(shè)備(如LANSwitch),就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。

4.2802.1x協(xié)議簡(jiǎn)介802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口;認(rèn)證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。它具有完備的用戶認(rèn)證、管理功能,可以很好地支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營(yíng)和管理要求,對(duì)寬帶IP城域網(wǎng)等電信級(jí)網(wǎng)絡(luò)的運(yùn)營(yíng)和管理具有優(yōu)勢(shì)。IEEE802.1x協(xié)議對(duì)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化,解決了傳統(tǒng)PPPOE和WEB/PORTAL認(rèn)證方式帶來(lái)的問題,更加適合在寬帶以太網(wǎng)中的使用。

網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE(端口訪問實(shí)體)。在訪問控制流程中,端口訪問實(shí)體包含3部分:認(rèn)證者--對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口;請(qǐng)求者--被認(rèn)證的用戶/設(shè)備;認(rèn)證服務(wù)器--根據(jù)認(rèn)證者的信息,對(duì)請(qǐng)求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。

4.3802.1x認(rèn)證體系802.1x是一種基于端口的認(rèn)證協(xié)議,是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略。端口可以是一個(gè)物理端口,也可以是一個(gè)邏輯端口(如VLAN)。對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō),一個(gè)端口就是一個(gè)信道。802.1x認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口,如果認(rèn)證成功那么就打開這個(gè)端口,允許所有的報(bào)文通過;如果認(rèn)證不成功就使這個(gè)端口保關(guān)閉,即只允許802.1x的認(rèn)證協(xié)議報(bào)文通過。

802.1x認(rèn)證體系分為請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分:

(1)請(qǐng)求者系統(tǒng)請(qǐng)求者是位于局域網(wǎng)鏈路一端的實(shí)體,由連接到該鏈路另一端的認(rèn)證系統(tǒng)對(duì)其進(jìn)行認(rèn)證。請(qǐng)求者通常是支持802.1x認(rèn)證的用戶終端設(shè)備,用戶通過啟動(dòng)客戶端軟件發(fā)起802.lx認(rèn)證,后文的認(rèn)證請(qǐng)求者和客戶端二者表達(dá)相同含義。

(2)認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)對(duì)連接到鏈路對(duì)端的認(rèn)證請(qǐng)求者進(jìn)行認(rèn)證。認(rèn)證系統(tǒng)通常為支持802.lx協(xié)議的網(wǎng)絡(luò)設(shè)備,它為請(qǐng)求者提供服務(wù)端口,該端口可以是物理端口也可以是邏輯端口,一般在用戶接入設(shè)備(如LANSwitch和AP)上實(shí)現(xiàn)802.1x認(rèn)證。后文的認(rèn)證系統(tǒng)、認(rèn)證點(diǎn)和接入設(shè)備三者表達(dá)相同含義。

(3)認(rèn)證服務(wù)器系統(tǒng)認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體,建議使用RADIUS服務(wù)器來(lái)實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。請(qǐng)求者和認(rèn)證系統(tǒng)之間運(yùn)行802.1x定義的EAPO(ExtensibleAuthenticationProtocoloverLAN)協(xié)議。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時(shí),認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP協(xié)議,EAP幀中封裝認(rèn)證數(shù)據(jù),將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS),以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器;當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時(shí),認(rèn)證系統(tǒng)終結(jié)EAPoL消息,并轉(zhuǎn)換為其它認(rèn)證協(xié)議(如RADIUS),傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng)。

認(rèn)證系統(tǒng)每個(gè)物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài),主要用來(lái)傳遞EAPoL協(xié)議幀,可隨時(shí)保證接收認(rèn)證請(qǐng)求者發(fā)出的EAPoL認(rèn)證報(bào)文;受控端口只有在認(rèn)證通過的狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù)。

4.4802.1x認(rèn)證特點(diǎn)基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn):IEEE802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,對(duì)設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本;借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議),可以提供良好的擴(kuò)展性和適應(yīng)性,實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容;802.1x的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能,從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離,由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制,業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換,通過認(rèn)證之后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包;可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本,并有豐富的業(yè)務(wù)支持;可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN;可以使交換端口和無(wú)線LAN具有安全的認(rèn)證接入功能。

4.5802.1x認(rèn)證流程基于802.1x的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息,認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送認(rèn)證信息。由于EAP協(xié)議的可擴(kuò)展性,基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等認(rèn)證方法。

以EAP-MD5為例,描述802.1x的認(rèn)證流程。EAP-MD5是一種單向認(rèn)證機(jī)制,可以完成網(wǎng)絡(luò)對(duì)用戶的認(rèn)證,但認(rèn)證過程不支持加密密鑰的生成。

(1)客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文,開始802.1x認(rèn)證接入;(2)接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文,要求客戶端將用戶名送上來(lái);(3)客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求,其中包括用戶名;(4)接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUSAccess-Request報(bào)文中,發(fā)送給認(rèn)證服務(wù)器;(5)認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge,通過接入設(shè)備將RADIUSAccess-Challenge報(bào)文發(fā)送給客戶端,其中包含有EAP-Request/MD5-Challenge;(6)接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端,要求客戶端進(jìn)行認(rèn)證;(7)客戶端收到EAP-Request/MD5-Challenge報(bào)文后,將密碼和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備;(8)接入設(shè)備將Challenge,ChallengedPassword和用戶名一起送到RADIUS服務(wù)器,由RADIUS服務(wù)器進(jìn)行認(rèn)證;(9)RADIUS服務(wù)器根據(jù)用戶信息,做MD5算法,判斷用戶是否合法,然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。如果成功,攜帶協(xié)商參數(shù),以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗,則流程到此結(jié)束;(10)如果認(rèn)證通過,用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCPRelay),通過接入設(shè)備獲取規(guī)劃的IP地址;(11)如果認(rèn)證通過,接入設(shè)備發(fā)起計(jì)費(fèi)開始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器;(12)RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請(qǐng)求報(bào)文。用戶上線完畢。

4.6802.1x配置先配置switch到radiusserver的通訊全局啟用802.1x身份驗(yàn)證功能Switch#configureterminalSwitch(config)#aaanew-modelSwitch(config)#aaaauthenticationdot1x{default}method1[method2...]

指定radius服務(wù)器和密鑰switch(config)#radius-serverhostIP_addkeystring2、在port上起用802.1xSwitch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#dot1xport-controlautoSwitch(config-if)#end配置關(guān)鍵點(diǎn):

1、要保證在交換機(jī)上設(shè)置的認(rèn)證和計(jì)費(fèi)端口號(hào)和RADIUS服務(wù)器一致;2、要保證在交換機(jī)上設(shè)置的認(rèn)證和計(jì)費(fèi)加密密碼與RADIUS服務(wù)器一致;3、要是RADIUS服務(wù)器非直連,那么要保證RADIUS服務(wù)器與交換機(jī)是路由可達(dá)的。

有些時(shí)候,即使我們做了一系列的防范工作,還會(huì)有一些病毒和木馬對(duì)我們的網(wǎng)絡(luò)安全工作帶來(lái)威脅。這就需要我們了解病毒等的基本知識(shí),運(yùn)用一些防火墻或殺毒軟件阻止和消滅它們。

5.病毒、木馬、防火墻5.1計(jì)算機(jī)病毒及特點(diǎn)計(jì)算機(jī)病毒是一種人為編寫的程序。是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。其過程可分為:程序設(shè)計(jì)--傳播--潛伏--觸發(fā)、運(yùn)行--實(shí)行攻擊。計(jì)算機(jī)病毒的特點(diǎn)有傳染性、隱蔽性、潛伏性、破壞性。

5.2計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的傳播途徑主要有:

通過文件系統(tǒng)傳播;通過電子郵件傳播;通過局域網(wǎng)傳播;通過互聯(lián)網(wǎng)上即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播;利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳利用系統(tǒng)配置缺陷傳播,如弱口令、完全共享等;利用欺騙等社會(huì)工程的方法傳播。

5.3防火墻與查殺軟件防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過濾掉一些攻擊,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來(lái)自特殊站點(diǎn)的訪問,從而防止來(lái)自不明入侵者的所有通信。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。

防火墻有不同類型。一個(gè)防火墻可以是硬件自身的一部分,你可以將因特網(wǎng)連接和計(jì)算機(jī)都插入其中。防火墻也可以在一個(gè)獨(dú)立的機(jī)器上運(yùn)行,該機(jī)器作為它背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的代理和防火墻。最后,直接連在因特網(wǎng)的機(jī)器可以使用個(gè)人防火墻殺毒軟件是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除和自動(dòng)升級(jí)等功能,有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能。后兩者同時(shí)具有黑客入侵,網(wǎng)絡(luò)流量控制等功能。國(guó)內(nèi)常用的殺毒軟件有瑞星、金山、江民、趨勢(shì)、東方微點(diǎn)和費(fèi)爾斯特。

5.4病毒的清除

1.如果所使用的操作系統(tǒng)的文件已經(jīng)感染病毒,那么每次啟動(dòng)系統(tǒng)時(shí),病毒也會(huì)隨之運(yùn)行。系統(tǒng)啟動(dòng)完成后,病毒也被激活,駐留在內(nèi)存中,監(jiān)視系統(tǒng)的運(yùn)行,并伺機(jī)進(jìn)一步感染或者發(fā)作破壞。此時(shí),不能在這種帶毒系統(tǒng)下進(jìn)行病毒清除工作,必須使用磁盤版的殺毒軟件啟動(dòng)計(jì)算機(jī)系統(tǒng),或者使用無(wú)毒的系統(tǒng)軟盤啟動(dòng)機(jī)器,然后運(yùn)行殺毒軟件進(jìn)行病毒清除工作。

2.蠕蟲/黑客程序侵入系統(tǒng)時(shí),一般要修改注冊(cè)表,并將自身拷貝在硬盤中,或者用自身的程序替換操作系統(tǒng)中的一些核心文件。

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論