论文关键词:计算机网络 网络安全 局域网安全广域网
论文摘要:随着计算机网络和互联网的发展,局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此,局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通,研究局域网的安全以及防范措施已迫在眉睫。
1.当前局域网安全形势
1.1计算机网络的定义
计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。[①]
计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分,负责全网络面向应用的数据处理工作。就局域网而言,通信子网由网卡、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设备及相关软件所组成。
1.2网络安全定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。[②]
1.3局域网安全
局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的,主要指数据的保密性、完整性、可用性等。
1.3.1来自互联网的安全威胁
局域网是与Inernet互连的。由于Internet的开放性、国际性与自由性,局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施,很容易遭到来自Internet黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放的TCP端口号、系统用来保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网络中重要信息。还能通过发送大量数据包对网络服务器进行攻击,使得服务器超负荷工作导致拒绝服务,甚至使系统瘫痪。
1.3.2来自局域网内部的安全威胁
内部管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏;内部职工有的可能熟悉服务器、小程序、脚本和系统的弱点,利用网络开些小玩笑,甚至搞破坏。如,泄漏至关重要的信息、错误地进入数据库、删除数据等,这些都将给网络造成极大的安全威胁。
1.4局域网当前形势及面临的问题
随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便,但是受技术和社会因素的各种影响,计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷,实施攻击和入侵,给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,严重损害了网民的利益;网上色情、暴力等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。
根据中国互联网信息中心2006年初发布的统计报告显示:我国互联网网站近百万家,上网用户1亿多,网民数和宽带上网人数均居全球第二。同时,网络安全风险也无处不在,各种网络安全漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势,我国的网络安全保障工作尚处于起步阶段,基础薄弱,水平不高,网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节,安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。在监督管理方面缺乏依据和标准,监管措施不到位,监管体系尚待完善,网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善,关键技术和产品受制于人,网络信息安全服务机构专业化程度不高,行为不规范,网络安全技术与管理人才缺乏。
面对网络安全的严峻形势,如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。
2.常用局域网的攻击方法
2.1ARP欺骗
2.1.1ARP协议
ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址IA——物理地址PA),请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
假如我们有两个网段、三台主机、两个网关、分别是:
主机名IP地址MAC地址
网关1192.168.1.101-01-01-01-01-01
主机A192.168.1.202-02-02-02-02-02
主机B192.168.1.303-03-03-03-03-03
网关210.1.1.104-04-04-04-04-04
主机C10.1.1.205-05-05-05-05-05
假如主机A要与主机B通讯,它首先会通过网络掩码比对,确认出主机B是否在自己同一网段内,如果在它就会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,即目的MAC地址是全1的广播询问帧,0xffffffffffffH02-02-02-02-02-02192.168.1.3192.168.1.2;如果B存在的话,必须作出应答,回答“B的MAC地址是…”的单播应答帧,02-02-02-02-02-0203-03-03-03-03-03192.168.1.2192.168.1.3;A收到应答帧后,把“192.168.1.303-03-03-03-03-03动态”写入ARP表。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了,直到通讯停止后两分钟,这个对应关系才会被从表中删除。
如果是非局域网内部的通讯过程,假如主机A需要和主机C进行通讯,它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关1(192.168.1.1)对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通讯,然后再由网关1通过路由将数据包送到网关2,网关2收到这个数据包后发现是送给主机C(10.1.1.2)的,它就会检查自己的ARP缓存(没错,网关一样有自己的ARP缓存),看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址将数据转发给主机C。
2.1.2ARP欺骗原理
在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性,也就是说主机A与主机C之间的通讯只通过网关1和网关2,像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03,同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03,同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时,它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址,也就是发给了主机B,主机B在收到这个包后经过修改再转发给真正的网关1,当从主机C返回的数据包到达网关1后,网关1也使用自己ARP表中的MAC,将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B,主机B在收到这个包后再转发给主机A完成一次完整的数据通讯,这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。
2.1.3ARP病毒清除
感染病毒后,需要立即断开网络,以免影响其他电脑使用。重新启动到DOS模式下,用杀毒软件进行全面杀毒。
临时处理对策:
步骤一、能上网情况下,输入命令arp–a,查看网关IP对应的正确MAC地址,将其记录下来。如果已经不能上网,则运行一次命令arp–d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp–a。
步骤二、如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。输入命令:arp–s,网关IP网关MAC手工绑定在计算机关机重开机后就会失效,需要再绑定。可以把该命令放在autoexec.bat中,每次开机即自动运行。
2.2网络监听
2.2.1网络监听的定义
众所周知,电话可以进行监听,无线电通讯可以监听,而计算机网络使用的数字信号在线路上传输时,同样也可以监听。网络监听也叫嗅探器,其英文名是Sniffer,即将网络上传输的数据捕获并进行分析的行为。[③]
网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直备受网络管理员的青睐。然而,在另一方面网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。
2.2.2网络监听的基本原理
局域网中的数据是以广播方式发送的,局域网中的每台主机都时刻在监听网络中传输的数据,主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较,如果两者相同就接收该帧,否则就丢掉该帧。如果把对网卡进行适当的设置和修改,将它设置为混杂模式,在这种状态下它就能接收网络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。
2.2.3网络监听的检测
2.2.3.1在本地计算机上进行检测
(1)检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP探测技术。也可以编写一些程序来实现。在Linux下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP探测技术。也可以编写一些程序来实现。在Linux下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。
(2)搜索法。在本地主机上搜索所有运行的进程,就可以知道是否有人在进行网络监听。在Windows系统下,按下Ctrl+Alt+Del可以得到任务列表,查看是否有监听程序在运行。如果有不熟悉的进程,或者通过跟另外一台机器比较,看哪些进程是有可能是监听进程。
2.2.3.2在其它计算机上进行检测
(1)观察法。如果某台电脑没有监听的话,无论是信息的传送还是电脑对信息的响应时间等方面都是正常的,如果被监听的话,就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。
网络通讯掉包率是否反常地高。例如ping命令会显示掉了百分几的信息包。如果网络中有人在监听,就会拦截每个信息包,从而导致信息包丢包率提高。
网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽,对外界的响应很慢,这台计算机就有可能被监听。
机器性能是否下降。向网上发大量不存在的物理地址的包,而监听程序往往就会将这些包进行处理,这样就会导致机器性能下降,可以用icmpechodelay来判断和比较它。
(2)PING法。这种检测原理基于以太网的数据链路层和TCP/IP网络层的实现,是一种非常有效的测试方法。
ping法的原理:如果一个以太网的数据包的目的MAC地址不属于本机,该包会在以太网的数据链路层上被抛弃,无法进入TCP/IP网络层;进入TCP/IP网络层的数据包,如果解析该包后,发现这是一个包含本机ICMP回应请示的TCP包(PING包),则网络层向该包的发送主机发送ICMP回应。
我们可以构造一个PING包,包含正确的IP地址和错误的MAC地址,其中IP地址是可疑主机的IP地址,MAC地址是伪造的,这样如果可疑主机的网卡工作在正常模式,则该包将在可疑主机的以太网的数据链路层上被丢弃,TCP/IP网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式,它就能接收错误的MAC地址,该非法包会被数据链路层接收而进入上层的TCP/IP网络层,TCP/IP网络层将对这个非法的PING包产生回应,从而暴露其工作模式。
使用PING方法的具体步骤及结论如下:
①假设可疑主机的IP地址为192.168.10.11,MAC地址是00-E0-4C-3A-4B-A5,检测者和可疑主机位于同一网段。
②稍微修改可疑主机的MAC地址,假设改成00-E0-4C-3A-4B-A4。
③向可疑主机发送一个PING包,包含它的IP和改动后的MAC地址。
④没有被监听的主机不能够看到发送的数据包,因为正常的主机检查这个数据包,比较数据包的MAC地址与自己的MAC地址不相符,则丢弃这个数据包,不产生回应。
⑤如果看到回应,说明数据包没有被丢弃,也就是说,可疑主机被监听了。
(3)ARP法。除了使用PING进行监测外,还可以利用ARP方式进行监测的。这种模式使用ARP数据包替代了上述的ICMP数据包。向局域网内的主机发送非广播方式的ARP包,如果局域网内的某个主机以自己的IP地址响应了这个ARP请求,那么就可以判断它很可能就处于网络监听模式了。
(4)响应时间测试法。这种检测已被证明是最有效的。它能够发现网络中处于监听模式的机器,而不管其操作系统是什么。非监听模式的机器的响应时间变化量会很小,而监听模式的机器的响应时间变化量则通常会较大。
2.2.4网络监听的防范措施
为了防止网络上的主机被监听,有多种技术手段,可以归纳为以下三类。
第一种是预防,监听行为要想发生,一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破,只有利用被攻破的主机,才能进行监听,从而收集以网络内重要的数据。因此,要预防网络中的主机被攻破。这就要求我们养成良好的使用计算机的习惯,不随意下载和使用来历不明的软件,及时给计算机打上补丁程序,安装防火墙等措施,涉及到国家安全的部门还应该有防电辐射技术,干扰技术等等,防止数据被监听。
二是被动防御,主要是采取数据加密技术,数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输,容易辨认。一旦口令被截获,入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后,监听器依然可以捕获传送的信息,但显示的是乱码。使用加密技术,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一,但是它的缺点是速度问题。几乎所有的加密技术都将导致网络的延迟,加密技术越强,网络速度就越慢。只有很重要的信息才采用加密技术进行保护。
三是主动防御,主要是使用安全的拓扑结构和利用交换机划分VLAN,这也是限制网络监听的有效方法,这样的监听行为只能发生在一个虚拟网中,最大限度地降低了监听的危害,但需要增加硬件设备的开支,实现起来要花费不少的钱。
3.无线局域网安全威胁
3.1非授权访问
无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。所以,未授权实体可以从外部或内部进入网络,浏览存放在网络上的信息;另外,也可以利用该网络作为攻击第三方的出发点,对移动终端发动攻击。而且,IEEE802.11标准采用单向认证机制,只要求STA向AP进行认证,不要求AP向STA进行认证。入侵者可以通过这种协议上的缺陷对AP进行认证进行攻击,向AP发送大量的认证请求帧,从而导致AP拒绝服务。
3.2敏感信息泄露
WLAN物理层的信号是无线、全方位的空中传播,开放传输使得其物理层的保密性无法保证。WLAN无线信号的覆盖范围一般都会超过实际需求,只要在信号覆盖范围内入侵者就可以利用无线监听技术捕获无线网络的数据包,对网络通信进行分析,从而获取有用信息。目前窃听已经成为无线局域网面临的最大问题之一。
3.3WEB缺陷威胁
有线等效保密WEP是IEEE802.11无线局域网标准的一部分,它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。IEEE选择在数据链路层用RC4算法加密来防止对网络进行窃听。WEP在每一个数据包中使用完整性校验字段来保证数据在传输过程中不被窜改,它使用了CRC-32校验。在WEP中明文通过和密钥流进行异或产生密文,为了加密,WEP要求所有无线网络连接共享一个密钥。实际上,网络只使用一个或几个密钥,也很少更换。WEP算法根据密钥和初始化向量IV产生密钥流,确保后续的数据包用不同的密钥流加密。但IV在一个相当短的时间内重用,使用24位的IV并不能满足要求。一个24位的字段包含16777216个可能值,假设网络流量是11M,传输2000字节的包,在7个小时左右,IV就会重用。CRC-32不是一个很适合WEP的完整性校验,即使部分数据以及CRC-32校验码同时被修改也无法校验出来。
3.4无线局域网的安全措施
3.4.1阻止非法用户的接入
(1)基于服务设置标识符(SSID)防止非法用户接入
服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windowsXP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
(2)基于无线网卡物理地址过滤防止非法用户接入
由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的AccessControl(访问控制表),确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
3.4.2实行动态加密
动态加密技术是基于对称加密和非对称加密的结合,能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身,认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段,身份验证的安全需要非对称加密以及对PKI的改进来防止非授权访问,同时完成初始密钥的动态部署和管理工作,会话建立后,大量的数据安全传输必须通过对称加密方式,但该系统通过一种动态加密的模式,摒弃了现有机制下静态加密的若干缺陷,从而使通信双方的每次“通信回合”都有安全保证。在一个通信回合中,双方将使用相同的对称加密密钥,是每个通信方经过共同了解的信息计算而得到的,在通信回合之间,所使用的密钥将实时改变,虽然与上次回合的密钥有一定联系,但外界无法推算出来。
3.4.3数据的访问控制
访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。访问控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
4.计算机局域网病毒及防治
虽然局域网采用的是专网形式,但因管理及使用方面等多种原因,计算机病毒也开始在局域网出现并迅速泛滥,给网络工程安全带来一定的隐患,对数据安全造成极大威胁,妨碍了机器的正常运行,影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全己成为当前面临的一个重要且紧迫的任务。
4.1局域网病毒
局域网病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点:传播方式和途径多样化;病毒的欺骗性日益增强病毒的传播速度极快;病毒的制作成本降低;病毒变种增多;病毒难以控制和根治;病毒传播更具有不确定性和跳跃性;病毒版本自动在线升级和自我保护能力;病毒编制采用了集成方式等。局域网病毒的传播速度快,传播范围广,危害也大。局域网病毒还特别难以清除,只要有一台工作站的病毒未被彻底清除,整个网络就有可能重新感染。
当计算机感染上病毒出现异常时,人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天,病毒的种类和数量以及所造成的损失不是逐年减少,反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具,已显露出重大缺陷----对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键。
4.2计算机局域网病毒的防治措施
计算机局域网中最主要的软硬件就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外要加强各级人员的管理教育及各项制度的督促落实。
(1)基于工作站的防治技术。局域网中的每个工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一、是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。二、是在工作站上插防病毒卡,防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三、是在网络接口卡上安装防病病毒芯片它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
(2)基于服务器的防治技术。服务器是网络的核心,是网络的支柱,服务器一旦被病毒感染,便无法启动,整个网络都将陷入瘫痪状态,造成的损失是灾难性的。难以挽回和无法估量的,目前市场上基于服务器的病毒防治采用NLM方法,它以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒的能力,从而保证服务器不被病毒感染,消除了病毒传播的路径,从根本上杜绝了病毒在网络上的蔓延。
(3)加强计算机网络的管理。计算机局域网病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,才有可能从根本上保护网络系统的安全运行。一、从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,不损人,不犯法,规范工作程序和操作规程,严惩从事非法活动的集体和个人。二、加强各级网络管理人员的专业技能学习,提高工作能力,并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况,做到及时发现问题解决问题,同时在网络工作站上经常做好病毒检测的工作,把好网络的第一道大门。
4.3清除网络病毒
一旦在局域网上发现病毒,应尽快加以清除,以防网络病毒的扩散给整个系统造成更大的损失,具体过程为:
(1)立即停止使用受感染的电脑,并停止电脑与网络的联接,因为病毒会随时发作,继续使用受感染的电脑,只会加速该病毒的扩散,用broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器。
(2)用干净的系统盘启动系统管理员工作站,并立即清除本机工作站中含有的病毒。
(3)用干净的系统盘启动文件服务器,系统管理员登录后,使用disablelongin禁止其他用户登录。
(4)用防病毒软件扫描服务器上所有卷的文件,恢复或删除被感染的文件,重新安装被删除的文件。
(5)若没有最新的备份文件,可尝试使用杀毒软件把病毒清除,对在已染毒网络上存取过的软盘进行消毒。
(6)确信网络病毒已全部彻底清除后,重新启动网络及各工作站。
5.局域网安全防范系统
5.1防火墙系统
5.1.1防火墙概述
防火墙是一种用来增强内部网络安全性的系统,它将网络隔离为内部网和外部网,从某种程度上来说,防火墙是位于内部网和外部网之间的桥梁和检查站,它一般由一台和多台计算机构成,它对内部网和外部网的数据流量进行分析、检测、管理和控制,通过对数据的筛选和过滤,来防止未授权的访问进出内部计算机网,从而达到保护内部网资源和信息的目的。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
5.1.2防火墙的体系结构
5.1.2.1双重宿主主机体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。
5.1.2.2被屏蔽主机体系结构
双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图4所示。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接(什么是"可允许连接"将由你的站点的特殊的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:
(1)允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由数据包过滤的服务);
(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
5.1.2.3被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。
5.1.3防火墙的功能
5.1.3.1数据包过滤技术
数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口,而其余数据包则从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络,用这种方法可以阻塞某些主机和网络连入内部网络,也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流中阻挡丢弃。
5.1.3.2网络地址转换技术
网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址[7]。在内部网络通过安全网卡访
问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问7]。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
5.1.3.3代理技术
代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。
代理侦听网络内部客户的服务请求,当一个连接到来时,首先进行身份验证,并根据安全策略决定是否中转连接。当决定转发时,代理服务器上的客户进程向真正的服务器发出请求,服务器返回代理服务器转发客户机的数据。
另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。若为合法用户,则把该请求转发给真正的某个内部网络的主机。而在整个服务过程中,应用代理一直监控着用户的操作,一旦用户进行非法操作,就可以进行干涉,并对每一个操作进行记录。若为不合法用语,则拒绝访问。
5.1.3.4全状态检测技术
全状态检测防火墙在包过滤的同时,检测数据包之间的关联性,数据包中动态变化的状态码。它有一个检测引擎,在网关上执行网络安全策略。监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测,抽取状态信息,并动态地保存起来,作为以后执行安全策略的参考。当用户访问请求到达网关是操作系统前,状态监测器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。
5.2入侵检测系统
5.2.1入侵检测系统概述
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统
5.2.2入侵检测原理
入侵检测跟其他检测技术有同样的原理。从一组数据中,检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹,这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹,并给出相关的提示和警告。
入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
第二步是信息分析,收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
第三步是结果处理,控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
5.2.3局域网入侵检测系统的构建方法
根据CIDF规范,从功能上将IDS划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。具体实现起来,一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现,称之为数据采集分析中心;将控制台子系统在WindowsNT或2000上实现,数据库管理子系统基于Access或其他功能更强大的数据库如SQL等,多跟控制台子系统结合在一起,称之为控制管理中心。构建一个基本的IDS,具体需考虑以下几个方面的内容。
首先,数据采集机制是实现IDS的基础,数据采集子系统位于IDS的最底层,其主要目的是从网络环境中获取事件,并向其他部分提供事件。这就需要使用网络监听来实现审计数据的获取,可以通过对网卡工作模式的设置为“混杂”模式实现对某一段网络上所有数据包的捕获。然后,需要构建并配置探测器,实现数据采集功能。应根据自己网络的具体情况,选用合适的软件及硬件设备,如果网络数据流量很小,用一般的PC机安装Linux即可,如果所监控的网络流量非常大,则需要用一台性能较高的机器;在服务器上开出一个日志分区,用于采集数据的存储;接着应进行有关软件的安装与配置,至此系统已经能够收集到网络数据流了。
其次,应建立数据分析模块。数据分析模块相当于IDS的大脑,它必须具备高度的“智慧”和“判断能力”,所以,在设计此模块之前,需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入地研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。设计数据分析模块的工作量浩大,需要不断地更新、升级、完善。在这里需要特别注意3个问题。应优化检测模型和算法的设计,确保系统的执行效率;安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性;报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意制订消息格式的不规范做法。
第三,需要构建控制台子系统。控制台子系统负责向网络管理员汇报各种网络违规行为,并由管理员对一些恶意行为采取行动(如阻断、跟踪等)。控制台子系统的主要任务有:管理数据采集分析中心,以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息;根据安全策略进行一系列的响应动作,以阻止非法行为,确保网络的安全。控制台子系统的设计重点是:警报信息查询、探测器管理、规则管理及用户管理。
第四,需要构建数据库管理子系统。一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起,用Access或其他数据库存储警报信息和其他数据。
第五,完成综合调试。以上几步完成之后,一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来,还需要保持各个部分之间安全、顺畅地通信和交互,这就是综合调试工作所要解决的问题,主要包括要实现数据采集分析中心和控制管理中心之间的双向通信及保证通信的安全性,最好对通信数据流进行加密操作,以防止被窃听或篡改。同时,控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作,如警报信息查询、网络事件重建等。经过综合调试后,一个基本的IDS就构建完成了,但是此时还不能放松警惕,因为在以后的应用中要不断地对它进行维护,特别是其检测能力的提高;同时还要注意与防火墙等其它系统安全方面的软件相配合,以期从整体性能上提高局域网的安全能力。
6.局域网安全防范策略
一个网络的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
6.1划分VLAN防止网络侦听
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
6.2网络分段
局域网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。所以网络分段是保证局域网安全的一项重要措施。
6.3以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(BroadcastPacket)和多播包(MulticastPacket)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
6.4实施IP/MAC绑定
很多网关软件实施流量过滤时都是基于IP或MAC地址,对控制普通用户起到了很好的效果,但对于高级用户就显得无能为力了,因为不管是IP或是MAC地址都可以随意修改。要实施基于IP或MAC地址过滤的访问控制,就必须进行IP/MAC地址的绑定,禁止用户对IP或MAC的修改。首先通过交换机实施用户与交换机端口的MAC绑定,再通过服务器网络管理实施IP/MAC绑定,这样用户既不能改网卡的MAC地址,也不能改IP地址。通过IP/MAC绑定后,再实施流量过滤就显得有效多了。
7.总结
网络安全技术和病毒防护是一个涉及多方面的系统工程,在实际工作中既需要综合运用以上方法,还要将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此,局域网安全不是一个单纯的技术问题,它涉及整个网络安全系统,包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁,不断健全网络的相关法规,提高网络安全防范的技术是否被授权,从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平,才能有力地保障网络安全。
[①].高传善,钱松荣.专注.数据通信与计算机网络[M].高等教育出版社,2001:8-9
[②].邓亚平.计算机网络安全[M].人民邮电出版社,2004:1-10.
[③].李成大,张京.计算机信息安全[M].人民邮电出版社,2004:72-117
点此咨询学术顾问 快人一步得到答案