关于局域网环境下若干安全问题及对策的介绍

关于局域网环境下若干安全问题及对策的介绍

　　今天学习啦小编就要跟大家讲解下局域网环境下若干安全问题及对策有哪些，那么对此感兴趣的网友可以多来了解了解下。下面就是具体内容!!!

　　局域网环境下若干安全问题及对策

　　1.当前局域网安全形势

　　1.1 计算机网络的定义

　　计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。[①]

　　计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分，负责全网络面向应用的数据处理工作。就局域网而言，通信子网由网卡、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设备及相关软件所组成。

　　1.2 网络安全定义

　　网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。[②]

　　1.3 局域网安全

　　局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的，主要指数据的保密性、完整性、可用性等。

　　1.3.1 来自互联网的安全威胁

　　局域网是与Inernet互连的。由于Internet的开放性、国际性与自由性，局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施，很容易遭到来自Internet 黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞，如网络I P 地址、应用操作系统的类型、开放的T C P 端口号、系统用来保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网络中重要信息。还能通过发送大量数据包对网络服务器进行攻击，使得服务器超负荷工作导致拒绝服务，甚至使系统瘫痪。

　　1.3.2 来自局域网内部的安全威胁

　　内部管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏;内部职工有的可能熟悉服务器、小程序、脚本和系统的弱点，利用网络开些小玩笑，甚至搞破坏。如，泄漏至关重要的信息、错误地进入数据库、删除数据等，这些都将给网络造成极大的安全威胁。

　　1.4 局域网当前形势及面临的问题

　　随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今，全球网民数量已接近7亿，网络已经成为生活离不开的工具， 经济 、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便，但是受技术和社会因素的各种影响，计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷，实施攻击和入侵，给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序，严重损害了网民的利益;网上色情、暴力等不良和有害信息的传播，严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。

　　根据 中国 互联网信息中心2006年初发布的统计报告显示：我国互联网网站近百万家，上网用户1亿多，网民数和宽带上网人数均居全球第二。同时，网络安全风险也无处不在，各种网络安全漏洞大量存在和不断被发现，计算机系统遭受病毒感染和破坏的情况相当严重，计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势，我国的网络安全保障工作尚处于起步阶段，基础薄弱，水平不高，网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节，安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。在监督管理方面缺乏依据和标准，监管措施不到位，监管体系尚待完善，网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全 法律 法规不够完善，关键技术和产品受制于人，网络信息安全服务机构专业化程度不高，行为不规范，网络安全技术与管理人才缺乏。

　　面对网络安全的严峻形势，如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。

　　2.常用局域网的攻击方法

　　2.1 ARP欺骗

　　2.1.1 ARP协议

　　ARP(Address Resolution Protocol)是地址解析协议，是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层(IP层，也就是相当于OSI的第三层)地址解析为数据连接层(MAC层，也就是相当于OSI的第二层)的MAC地址。

　　ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文(携带主机A的IP地址IA——物理地址PA)，请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

　　假如我们有两个网段、三台主机、两个网关、分别是：

　　主机名 IP地址 MAC地址

　　网关1 192.168.1.1 01-01-01-01-01-01

　　主机A 192.168.1.2 02-02-02-02-02-02

　　主机B 192.168.1.3 03-03-03-03-03-03

　　网关2 10.1.1.1 04-04-04-04-04-04

　　主机C 10.1.1.2 05-05-05-05-05-05

　　假如主机A要与主机B通讯，它首先会通过网络掩码比对，确认出主机B是否在自己同一网段内，如果在它就会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，即目的MAC地址是全1的广播询问帧，0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果B存在的话，必须作出应答，回答“B的MAC地址是…”的单播应答帧，02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3;A收到应答帧后，把“192.168.1.3 03-03-03-03-03-03 动态”写入ARP表。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了，直到通讯停止后两分钟，这个对应关系才会被从表中删除。

　　如果是非局域网内部的通讯过程，假如主机A需要和主机C进行通讯，它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关1(192.168.1.1)对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关1通过路由将数据包送到网关2，网关2收到这个数据包后发现是送给主机C(10.1.1.2)的，它就会检查自己的ARP缓存(没错，网关一样有自己的ARP缓存)，看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址将数据转发给主机C。

　　2.1.2 ARP欺骗原理

　　在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性，也就是说主机A与主机C之间的通讯只通过网关1和网关2，像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。

　　这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03，同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03，同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时，它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关1，当从主机C返回的数据包到达网关1后，网关1也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通讯，这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。

　　2.1.3 ARP病毒清除

　　感染病毒后，需要立即断开网络，以免影响其他电脑使用。重新启动到DOS模式下，用杀毒软件进行全面杀毒。

　　临时处理对策：

　　步骤一、能上网情况下，输入命令arp –a，查看网关IP对应的正确MAC地址，将其记录下来。如果已经不能上网，则运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网(攻击如果不停止的话)，一旦能上网就立即将网络断掉(禁用网卡或拔掉网线)，再运行arp –a。

　　步骤二、如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。输入命令：arp –s，网关IP 网关MAC手工绑定在计算机关机重开机后就会失效，需要再绑定。可以把该命令放在autoexec.bat中，每次开机即自动运行。

　　2.2 网络监听

　　2.2.1 网络监听的定义

　　众所周知，电话可以进行监听，无线电通讯可以监听，而计算机网络使用的数字信号在线路上传输时，同样也可以监听。网络监听也叫嗅探器，其 英文 名是Sniffer，即将网络上传输的数据捕获并进行分析的行为。[③]

　　网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直备受网络管理员的青睐。然而，在另一方面网络监听也给网络安全带来了极大的隐患，许多的网络入侵往往都伴随着网络监听行为，从而造成口令失窃，敏感数据被截获等连锁性安全事件。

　　2.2.2 网络监听的基本原理

　　局域网中的数据是以广播方式发送的，局域网中的每台主机都时刻在监听网络中传输的数据，主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较，如果两者相同就接收该帧，否则就丢掉该帧。如果把对网卡进行适当的设置和修改，将它设置为混杂模式，在这种状态下它就能接收网络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。

　　2.2.3 网络监听的检测

　　2.2.3.1 在本地计算机上进行检测

　　(1)检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现，例如：AntiSniff，ARP 探测技术。也可以编写一些程序来实现。在Linux 下，有现成的函数，比较容易实现，而在Windows平台上，并没有现成的函数来实现这个功能，要自己编写程序来实现。可以利用一些现成的工具软件来发现，例如：AntiSniff，ARP探测技术。也可以编写一些程序来实现。在Linux下，有现成的函数，比较容易实现，而在Windows 平台上，并没有现成的函数来实现这个功能，要自己编写程序来实现。

　　(2)搜索法。在本地主机上搜索所有运行的进程，就可以知道是否有人在进行网络监听。在Windows系统下，按下Ctrl+Alt+Del可以得到任务列表，查看是否有监听程序在运行。如果有不熟悉的进程，或者通过跟另外一台机器比较，看哪些进程是有可能是监听进程。

　　2.2.3.2 在其它计算机上进行检测

　　(1)观察法。如果某台电脑没有监听的话，无论是信息的传送还是电脑对信息的响应时间等方面都是正常的，如果被监听的话，就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。

　　网络通讯掉包率是否反常地高。例如ping命令会显示掉了百分几的信息包。如果网络中有人在监听，就会拦截每个信息包，从而导致信息包丢包率提高。

　　网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽，对外界的响应很慢，这台计算机就有可能被监听。

　　机器性能是否下降。向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，可以用icmp echo delay 来判断和比较它。

　　(2)PING 法。这种检测原理基于以太网的数据链路层和TCP/IP 网络层的实现，是一种非常有效的测试方法。

　　ping法的原理：如果一个以太网的数据包的目的MAC 地址不属于本机，该包会在以太网的数据链路层上被抛弃，无法进入TCP/IP 网络层;进入TCP/IP 网络层的数据包，如果解析该包后，发现这是一个包含本机ICMP 回应请示的TCP 包(PING 包)，则网络层向该包的发送主机发送ICMP 回应。

　　我们可以构造一个PING 包，包含正确的IP 地址和错误的MAC 地址，其中IP 地址是可疑主机的IP地址，MAC 地址是伪造的，这样如果可疑主机的网卡工作在正常模式，则该包将在可疑主机的以太网的数据链路层上被丢弃，TCP/IP 网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式，它就能接收错误的MAC 地址，该非法包会被数据链路层接收而进入上层的TCP/IP 网络层，TCP/IP 网络层将对这个非法的PING 包产生回应，从而暴露其工作模式。

　　使用 PING 方法的具体步骤及结论如下：

　　① 假设可疑主机的IP 地址为192.168.10.11，MAC 地址是00-E0-4C-3A-4B-A5，检测者和可疑主机位于同一网段。

　　② 稍微修改可疑主机的MAC 地址，假设改成00-E0-4C-3A-4B-A4。

　　③ 向可疑主机发送一个PING 包，包含它的IP 和改动后的MAC 地址。

　　④ 没有被监听的主机不能够看到发送的数据包，因为正常的主机检查这个数据包，比较数据包的MAC 地址与自己的MAC 地址不相符，则丢弃这个数据包，不产生回应。

　　⑤ 如果看到回应，说明数据包没有被丢弃，也就是说，可疑主机被监听了。

　　(3)ARP 法。除了使用PING 进行监测外，还可以利用ARP 方式进行监测的。这种模式使用ARP数据包替代了上述的ICMP 数据包。向局域网内的主机发送非广播方式的ARP 包，如果局域网内的某个主机以自己的IP 地址响应了这个ARP 请求，那么就可以判断它很可能就处于网络监听模式了。

　　(4)响应时间测试法。这种检测已被证明是最有效的。它能够发现网络中处于监听模式的机器，而不管其操作系统是什么。非监听模式的机器的响应时间变化量会很小，而监听模式的机器的响应时间变化量则通常会较大。

　　2.2.4 网络监听的防范措施

　　为了防止网络上的主机被监听，有多种技术手段，可以归纳为以下三类。

　　第一种是预防，监听行为要想发生，一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行监听，从而收集以网络内重要的数据。因此，要预防网络中的主机被攻破。这就要求我们养成良好的使用计算机的习惯，不随意下载和使用来历不明的软件，及时给计算机打上补丁程序，安装防火墙等措施，涉及到国家安全的部门还应该有防电辐射技术，干扰技术等等，防止数据被监听。

　　二是被动防御，主要是采取数据加密技术，数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输，容易辨认。一旦口令被截获，入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后，监听器依然可以捕获传送的信息，但显示的是乱码。使用加密技术，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一，但是它的缺点是速度问题。几乎所有的加密技术都将导致网络的延迟，加密技术越强，网络速度就越慢。只有很重要的信息才采用加密技术进行保护。

　　三是主动防御，主要是使用安全的拓扑结构和利用交换机划分VLAN，这也是限制网络监听的有效方法，这样的监听行为只能发生在一个虚拟网中，最大限度地降低了监听的危害，但需要增加硬件设备的开支，实现起来要花费不少的钱。

　　3.无线局域网安全威胁

　　3.1 非授权访问

　　无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。所以，未授权实体可以从外部或内部进入网络，浏览存放在网络上的信息;另外，也可以利用该网络作为攻击第三方的出发点，对移动终端发动攻击。而且，IEEE 802.11标准采用单向认证机制，只要求STA向AP进行认证，不要求AP向STA进行认证。入侵者可以通过这种协议上的缺陷对AP进行认证进行攻击，向AP发送大量的认证请求帧，从而导致AP拒绝服务。

　　3.2 敏感信息泄露

　　WLAN物理层的信号是无线、全方位的空中传播，开放传输使得其物理层的保密性无法保证。WLAN无线信号的覆盖范围一般都会超过实际需求，只要在信号覆盖范围内入侵者就可以利用无线监听技术捕获无线网络的数据包，对网络通信进行分析，从而获取有用信息。目前窃听已经成为无线局域网面临的最大问题之一。

　　3.3 WEB缺陷威胁

　　有线等效保密WEP是IEEE 802.11无线局域网标准的一部分，它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。IEEE选择在数据链路层用RC4算法加密来防止对网络进行窃听。WEP在每一个数据包中使用完整性校验字段来保证数据在传输过程中不被窜改，它使用了CRC-32校验。在WEP中明文通过和密钥流进行异或产生密文，为了加密，WEP要求所有无线网络连接共享一个密钥。实际上，网络只使用一个或几个密钥，也很少更换。WEP算法根据密钥和初始化向量IV产生密钥流，确保后续的数据包用不同的密钥流加密。但IV在一个相当短的时间内重用，使用24位的IV并不能满足要求。一个24位的字段包含16777216个可能值, 假设网络流量是11M, 传输2000字节的包，在7个小时左右, IV 就会重用。CRC-32不是一个很适合WEP的完整性校验, 即使部分数据以及CRC-32校验码同时被修改也无法校验出来。

　　3.4 无线局域网的安全措施

　　3.4.1 阻止非法用户的接入

　　(1)基于服务设置标识符(SSID)防止非法用户接入

　　服务设置标识符SSID是用来标识一个网络的名称，以此来区分不同的网络，最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID与无线访问点AP的SSID相同，才能访问AP;如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，阻止非法用户的接入，保障无线局域网的安全。SSID通常由AP广播出来，例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑，可禁止AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。

　　(2)基于无线网卡物理地址过滤防止非法用户接入

　　由于每个无线工作站的网卡都有惟一的物理地址，利用MAC地址阻止未经授权的无限工作站接入。为AP 设置基于MAC 地址的Access Control(访问控制表)，确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。但是MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。

　　3.4.2 实行动态加密

　　动态加密技术是基于对称加密和非对称加密的结合，能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身，认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段，身份验证的安全需要非对称加密以及对PKI的改进来防止非授权访问，同时完成初始密钥的动态部署和管理工作，会话建立后，大量的数据安全传输必须通过对称加密方式，但该系统通过一种动态加密的模式，摒弃了现有机制下静态加密的若干缺陷，从而使通信双方的每次“通信回合”都有安全保证。在一个通信回合中，双方将使用相同的对称加密密钥，是每个通信方经过共同了解的信息计算而得到的，在通信回合之间，所使用的密钥将实时改变，虽然与上次回合的密钥有一定联系，但外界无法推算出来。

　　3.4.3 数据的访问控制

　　访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。访问控制也是一种安全机制，它通过访问BSSID、MAC 地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行：源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。