arp
位於網絡層
作用:基於目標ip地址來找到目標mac的一種方案
arp綁定
優點:1.避免廣播
2.實現安全的一種機制
ARP欺騙的防禦措施
靜態綁定
原理:arp不安全的根本原因是採用了沒有檢驗機制的動態學習,那麼幹脆不要它,直接使用靜態設置的方式就行。
對arp欺騙的檢測與控制
1.抓包分析
使用抓包工具在局域網內抓取arp的應答包,並對應答的部分進行分析,若mac地址不是米的真實mac地址,就說明有arp欺騙存在,這個mac地址很可能就是進行arp欺騙的主機的mac地址。
2.三次層交換機上查詢arp緩存表
登陸局域網上連上三層交換機並查看arp緩存表,如果表中存在一個mac地址對應多個ip地址的狀況,表明存在arp欺騙***,這個mac地址就是***者的mac地址。這個方法的優點是可以遠程操作,並且可以用相應腳本自動分析,缺點是需要管理權限賣不適合普通用戶。
控制方法
端口隔離
通過端口隔離,用戶可以將需要進行控制的端口加入到一個隔離組中,實現隔離組中的端口之間二層、三層數據的隔離,既增強了網絡的安全性,也爲用戶提供了靈活的組網方案。
vlan安全
端口隔離是爲了實現報文之間的二層隔離,可以將不同的端口加入不同的VLAN,但會浪費有限的VLAN資源。採用端口隔離特性,可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能爲用戶提供了更安全、更靈活的組網方案。
目前有些設備只支持一個隔離組(以下簡稱單隔離組),由系統自動創建隔離組1,用戶不可刪除該隔離組或創建其它的隔離組。有些設備支持多個隔離組(以下簡稱多隔離組),用戶可以手工配置。不同設備支持的隔離組數不同,請以設備實際情況爲準。
隔離組內可以加入的端口數量沒有限制。
端口隔離特性與端口所屬的VLAN無關。對於屬於不同VLAN的端口,只有同一個隔離組的普通端口到上行端口的二層報文可以單向通過,其它情況的端口二層數據是相互隔離的。對於屬於同一VLAN的端口,隔離組內、外端口的二層數據互通的情況,又可以分爲以下兩種:
1.支持上行端口的設備。
2.不支持上行端口的設備,隔離組內的端口和隔離組外端口二層流量雙向互通
dot1x認證
dot1x,即ieee 802.1x,基於端口的訪問控制協議(port based network accesscontrol protocol),它對認證方式和認證體系結構進行了優化,解決了傳統pppoe和web/portal 認證方式帶來的問題,更適合在寬帶以太網中使用。
ieee 802.1x 協議的體系結構包括三個重要的部分:客戶端(supplicant system)、認證系統(authenticator system)和認證服務器(authentication server system)。
1. 客戶端系統一般爲一個用戶終端系統,該終端系統通常要安裝一個客戶端軟件,用戶通過啓動這個客戶端軟件發起ieee802.1x 協議的認證過程。爲支持基於端口的接入控制,客戶端系統需支持擴展認證協議(eapol:extensible authentication protocol over lan)。
2. 認證系統通常爲支持ieee802.1x 協議的網絡設備,如交換機。該設備對應於不同用戶的端口(可以是物理端口,也可以是用戶設備的mac 地址、vlan、ip 等)有兩個邏輯端口:受控(controlled port)端口和不受控端口(uncontrolled port)
(1) 不受控端口始終處於雙向連通狀態,主要用來傳遞eapol 協議幀,可保證客戶端始終可以發出或接受認證。
(2) 受控端口只有在認證通過的狀態下才打開,用於傳遞網絡資源和服務。受控端口可配置爲雙向受控、僅輸入受控兩種方式,以適應不同的應用環境。如果用戶未通過認證,則受控端口處於未認證狀態,則用戶無法訪問認證系統提供的服務。
ieee 802.1x 協議中的“可控端口”與“非可控端口”是邏輯上的理解,設備內部並不存在這樣的物理開關。對於每個用戶而言,ieee 802.1x 協議均爲其建立一條邏輯的認證通道,該邏輯通道其他用戶無法使用,不存在端口打開後被其他用戶利用的問題。
3. 認證服務器通常爲radius 服務器,該服務器可以存儲有關用戶的信息,比如用戶所屬的vlan、car 參數、優先級、用戶的訪問控制列表等等。當用戶通過認證後,認證服務器會把用戶的相關信息傳遞給認證系統,由認證系統構建動態的訪問控制列表,用戶的後續流量就將接受上述參數的監管。認證服務器和radius 服務器之間通過radius 協議進行通信。
802.1X 基於端口的訪問控制
爲了阻止非法用戶對局域網的接入,保障網絡的安全性,基於端口的訪問控制協議802.1X無論在有線LAN或WLAN中都得到了廣泛應用。例如華碩最新的GigaX2024/2048等新一代交換機產品不僅僅支持802.1X 的Local、RADIUS 驗證方式,而且支持802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基礎上,持有某用戶賬號的用戶無論在網絡內的何處接入,都會超越原有802.1Q 下基於端口VLAN 的限制,始終接入與此賬號指定的VLAN組內,這一功能不僅爲網絡內的移動用戶對資源的應用提供了靈活便利,同時又保障了網絡資源應用的安全性;另外,GigaX2024/2048 交換機還支持802.1X的Guest VLAN功能,即在802.1X的應用中,如果端口指定了Guest VLAN項,此端口下的接入用戶如果認證失敗或根本無用戶賬號的話,會成爲Guest VLAN 組的成員,可以享用此組內的相應網絡資源,這一種功能同樣可爲網絡應用的某一些羣體開放最低限度的資源,併爲整個網絡提供了一個最外圍的接入安全。
ipsec
IPsec有兩種模式 —— 傳輸模式和隧道模式。傳輸模式只對IP分組應用IPsec協議,對IP報頭不進行任何修改,它只能應用於主機對主機的IPsec虛擬專用網***中。隧道模式中IPsec將原有的IP分組封裝成帶有新的IP報頭的IPsec分組,這樣原有的IP分組就被有效地隱藏起來了。
IPsec協議中有兩點是我們所關心的:鑑定報頭AH(Authentication Header)和封裝安全載荷ESP(Encapsulation Security Payload)。
鑑定報頭AH可與很多各不相同的安全認證算法一起工作。它要校驗源地址和目的地址這些標明發送設備的字段是否在路由過程中被改變過,如果校驗沒通過,分組就會被拋棄。通過這種方式AH就爲數據的完整性和原始性提供了鑑定,對IP報文提供鑑別信息和強大的完整性保護。如果鑑別算法以及密鑰採用非對稱密碼體制如RSA,則還可提供無法否認的數字簽名。AH通過對IP報文增加鑑別信息來提供完整性保護,此鑑別信息是通過計算整個IP報文,包括IP報頭、其他報頭和用戶數據中的所有信息而得到的,AH鑑別信息通常總是出現在IP報頭之後。
封裝安全載荷(ESP)包頭提供數據載荷的完整性和IP數據的可靠性。數據載荷的完整性保證了用戶數據沒有被惡意網客破壞,可靠性保證使用密碼技術的安全。對IPv4和IPv6,ESP包頭都列在其它IP包頭後面。ESP編碼只有在不被任何IP包頭擾亂的情況下才能正確發送包。ESP協議非常靈活,可以在多種加密算法下工作,可選擇算法包括Triple-DES、AES、RC5、IDEA、CAST、BLOWFISH和RC4。
ESP是通過對數據進行加密來提供數據的私密性和完整性保護的,從而避免數據在傳輸過程中的泄密和非法篡改。根據用戶的安全需求,ESP機制可用於只對用戶數據加密或對整個IP報文進行加密。
IP層的安全機制需要密鑰管理協議。有幾種密鑰管理系統可用於IPSec的安全機制AH和ESP中,包括人工密鑰分配、自動密鑰分配。IETF已經開發出Internet標準密鑰管理協議(ISAKMP:Internet Security Association and Key Management Protocol),實現Internet網上安全的自動密鑰分配。
訪問控制列表acl
ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。