论文题目:宿舍网络安全探究
专 业:电子信息技术工程 准考证号: 学生姓名:宫野 指导教师:秦贵和
2012 年 3月 7
日宿舍网络安全探究
摘 要
Internet是一个开放的、互操作的通信系统,其基础协议是TCP/IP。Internet协议地址(简称IP地址)是TCP/IP网络中可寻址设施的唯一逻辑标识,它是一个32位的二进制无符号数。对于Internet上的任一主机,它都必须有一个唯一的IP地址。IP地址由InterNIC及其下级授权机构分配,没有分配到自己的IP地址的主机不能够直接连接到Internet。
随着Internet的迅速发展,IP地址的消耗非常快,据权威机构预测,现行IPv4版本的IP只够用到2007年。现在,企业、机构、个人要申请到足够的IP地址都非常困难,作为一种稀缺资源,IP地址的盗用就成为很常见的问题。特别是在按IP流量计费的CERNET网络,由于费用是按IP地址进行统计的,许多用户为了逃避网络计费,用IP地址盗用的办法,将网络流量计费转嫁到他人身上。另外,一些用户因为一些不可告人的目的,采用IP地址盗用的方式来逃避追踪,隐藏自己的身份。
IP地址盗用侵害了Internet网络的正常用户的权利,并且给网络计费、网络安全和网络运行带来了巨大的负面影响,因此解决IP地址盗用问题成为当前一个迫切的课题。
IP地址的盗用方法多种多样,其常用方法有很多种,例如静态修改IP地址、成对修改IP-MAC地址等等,针对IP盗用问题,我们将从网卡交换机以及802.1X协议方面详细讲解防止IP地址的盗用的方法。
关键词:通信系统 IP地址盗用
Dormitory network security explored
Pick to
Internet is an open, interoperable communications system, its basic agreement is TCP/IP. Internet protocol address (hereinafter referred to as the IP address) is TCP/IP network addressable facilities of the only logical logo, it is a 32-bit binary unsigned number. For the Internet of any one of the host, it must have a unique IP address. IP address and its authorized organization by InterNIC at a lower level distribution, not assigned to own the IP address of host can't directly connected to the Internet. With the rapid development of Internet, the consumption of IP address is very fast, according to authorities forecast, the current IPv4 version of the IP only enough to 2007.
Now, enterprises, institutions and individuals who want to apply for to enough IP address is very difficult, as a scarce resource, the IP address for theft will become very common problem. Especially in the IP flow of billing CERNET network, because of cost is according to the IP address of the statistics, many users in order to escape network billing, with IP address to the theft, network flow billing passed on to others. In addition, some users because some ulterior purpose, USES the IP address of the theft way to
avoid tracking, to hide their identity.
IP address infringement of Internet network theft of normal user rights, and to the network billing, network security and network operation brings huge negative effects, therefore solve the IP address theft problem currently become a pressing issue. The IP address for theft various ways, the commonly used method has a lot of kinds, such as static IP address changes in pairs, modify IP-MAC address and so on, in view of the IP theft problem, we will from nic switches and 802.1 X agreement explained to
prevent the IP address for the method of theft. Keywords: communication system IP address theft
目 录
0.前言1
1.宿舍网络安全简介2 2.网卡4
2.1网卡的基本构造4 2.2网卡的工作原理4 2.3网卡的工作模式及功能5 2.4 MAC地址的简介5 2.5 IP与MAC的绑定6 3.交换机8
3.1 什么是交换机8 3.2 交换机的种类8 3.3 交换机的工作原理8 3.4 可网管交换机VLAN技术9 3.5 MAC和交换机端口的绑定10 4.802.1x认证技术简介11
4.1 引言11
4.2 802.1x协议简介12 4.3 802.1x认证体系12 4.4 802.1x认证特点13 4.5 802.1x认证流程13 4.6 802.1x配置14 5.病毒、木马、防火墙15
5.1 计算机病毒及特点15 5.2 计算机病毒的传播15 5.3 防火墙与查杀软件16 5.4 病毒的清除16 6. 结束语17
6.1论文总结17 6.2工作展望17 参考文献、资料索引18 致 谢19
0.前言
如今,校园宿舍网呈现用户多且密度大、网络节点多、难以管理的特点。宿舍网的用户相对其他网络的用户分布要密集很多,而众多用户与不同宿舍楼之间的网络连接结构相似,但节点甚至比办公大楼、实验室等其他区域的网络节点还要多,管理起来工作量大。同时,不容忽视的是,学校拥有一大批活跃、求知欲强的学生用户,因此IP地址盗用等现象频频发生。在传统的IP和MAC地址绑定、流量计费的运营管理模式下,为了防止IP地址盗用现象,将大量IP和MAC地址绑定,不仅加大了服务中心工作人员的工作量,甚至造成了超负荷工作,工作人员对此有很大意见;同时,用户对不能正常使用网络的抱怨也时有发生。各种原因交织在一起最终导致了管理难的问题。因此,我们一直在寻找由难到易的宿舍网运营计费认证管理办法,需要它营造出一种方便、实用、快捷、易于管理的网络环境。
同时,由于宿舍区网络使用者知识能力等所限,被病毒、木马等威胁的实例也层出不穷,例如:局域网爆发ARP病毒,具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。这是因为局域网内有电脑运行ARP欺骗程序(比如:传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。为了有效防范宿舍区内病毒等的发生与蔓延,有必要认真研究解决对策。
1.宿舍网络安全简介
随着网络的快速发展和上网用户的急剧增多,网络中的不安全因素日益暴露无遗,主要表现在:
1)由于IP和MAC地址的可变性而导致的冒用合法用户入网问题。非法用户只要连接网线,对电脑进简单的网络配置就可以上网。由于IP和MAC盗用会导致合法用户不能上网,甚至非法入网者会以合法用户的名义从事非法勾当,对网络的安全管理造成很大的威胁;
2)操作系统和应用软件存在大量漏洞,这是造成网络安全问题的严峻的一个主要原因。国际权威应急组织CERT/CC统计,截至2004年以来漏洞公布总数16726个,并且利用漏洞发动攻击的速度也越来越快;
3)校园网用户安全意识不强及计算机水平有限。大部分学校普遍都存在重技术、轻安全、轻管理的倾向,常常只是在内部网与互联网之间放一个防火墙就万事大吉,甚至有些学校直接连接互联网,严重缺乏防范黑客攻击的意识。
学生宿舍网作为服务于教育、科研和行政管理的计算机网络,实现了校园内连网、信息共享,并与 Internet 互联。宿舍网连接的校内学生机,存在许多安全隐患,主要表现有: 1)宿舍网与 Internet 相连,面临着外网攻击的风险。 2)来自内部的安全威胁。
3)接入宿舍网的节点数日益增多,这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。
通过对宿舍网的安全设计,在不改变原有网络结构的基础上实现多种信息安全,保障宿舍网络安全 ,一个整体一致的内网安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全内网的效果。
身份认证是内网安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。内网的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。
授权管理是以身份认证为基础的,其主要对内部信息网络各种信息资源的使用进行授权,确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和权限”。授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。
数据保密是内网信息安全的核心,其实质是要对内网信息流和数据流进行全生命周期的有效管理,构建信息和数据安全可控的使用、存储和交换环境,从而实现对内网核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。
监控审计是宿舍网络安全不可缺少的辅助部分,可以实现对宿舍网络安全状态的实时监控,提供宿舍网络安全状态的评估报告,并在发生宿舍网络安全事件后实现有效的取证。 宿舍网络安全已经成为信息安全的新热点,其技术和标准也在成熟和演进过程中,我们有理由相信,随着同学们对宿舍网络安全认识的加深,用户宿舍网络安全管理制度的完善,整体一致的宿舍网安全解决方案和体系建设将成为宿舍网安全的主要发展趋势。
宿舍内部网络安全经常会发生IP盗用现象,恶意修改MAC地址,严重危害了正常的上网秩序,下面我们先从网卡开始探讨网络的安全问题。
2.网卡
2.1网卡的基本构造
网卡包括硬件和固件程式(只读存储器中的软件例程),该固件程式实现逻辑链路控制和媒体访问控制的功能,还记录唯一的硬件地址即MAC地址。网卡上一般有缓存。网卡须分配中断IRQ及基本I/O端口地址,同时还须配置基本内存地址(base memory address)和收发器(transceiver),主要由网卡的控制芯片、晶体震荡器、BOOT插槽、EPROM、内接式转换器、RJ-45和BNC接头、信号指示灯等部分。
网卡的控制芯片是网卡中最重要元件,是网卡的控制中央,有如电脑的CPU控制着整个网卡的工作,负责数据的的传送和连接时的信号侦测。早期的10/100m的双速网卡会采用两个控制芯片(单元)分别用来控制两个不同速率环境下的运算,而现在较先进的产品通常只有一个芯片控制两种速度。
内接式转换器只要有BNC接头的网卡都会有这个芯片,并紧邻在BNC接头旁,它的功能是在网卡和BNC接头之间进行数据转换,让网卡能通过它从BNC接头送出或接收资料。
信号指示灯在网卡后方会有二到三个不等的信号灯,其作用是显示现在网络的连线状态,通常具备TX和RX两个信息。TX代表正在送出资料,RX代表正在接收资料,若看到两个灯同时亮则代表现在是处于全双工的运作状态,也可由此来辨别全双工的网卡是否处于全双工的网络环境中部分。
2.2网卡的工作原理
网卡的主要工作原理是整理计算机上发往网线上的数据,并将数据分解为适当大小的数据包之后向网络上发送出去。对于网卡而言,每块网卡都有一个唯一的网络节点地址,它是网卡生产厂家在生产时烧入ROM(只读存储芯片)中的,我们把它叫做MAC地址(物理地址),且保证绝对不会重复。
发送数据时,网卡首先侦听介质上是否有载波(载波由电压指示),如果有,则认为其他站点正在传送信息,继续侦听介质。一旦通信介质在一定时间段内(称为帧间缝隙IFG=9.6微秒)是安静的,即没有被其他站点占用,则开始进行帧数据发送,同时继续侦听通信介质,以检测冲突。在发送数据期间,如果检测到冲突,则立即停止该次发送,并向介质发送一个“阻塞”信号,告知其他站点已经发生冲突,从而丢弃那些可能一直在接收的受到损坏的帧数据,并等待一段随机时间(CSMA/CD确定等待时间的算法是二进制指数退避算法)。在等待一段随机时间后,再进行新的发送。接收时,网卡浏览介质上传输的每个帧,如果其长度小于64字节,则认为是冲突碎片。如果接收到的帧不是冲突碎片且目的地址是
本地地址,则对帧进行完整性校验,如果帧长度大于1518字节(称为超长帧,可能由错误的LAN驱动程序或干扰造成)或未能通过CRC校验,则认为该帧发生了畸变。通过校验的帧被认为是有效的,网卡将它接收下来进行本地处理。
2.3网卡的工作模式及功能
1.工作模式分为以下四种:
1) 广播模式(Broad Cast Model):它的物理地址(MAC)地址是 0Xffffff 的帧为
广
播
帧
,
工
作
在
广
播
模
式
的
网
卡
接
收
广
播
帧
。
2)多播传送(MultiCast Model):多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收,而组外主机却接收不到。但是,如果将网卡设置为多播传送模式,它可以接收所有的多播传送帧,而不论它是不是组内成员。 3)直接模式(Direct Model):工作在直接模式下的网卡只接收目地址是自己 MAC地址
的
帧
。
4)混杂模式(Promiscuous Model):工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。如果采用混杂模式,一个站点的网卡将接受同一网络内所有站点所发送的数据包这样就可以到达对于网络信息监视捕获的目的。
比如,可以实施远程扫描来确定一块网卡是否工作在混杂模式。象AntiSniff这样的
程序使用三种主要的方法来检测网卡是否工作于混杂模式:
1.检测网卡电子方面的变化来确定网卡的工作模式。
2.发送各种包(ARP请求,ICMP包,DNS请求,TCP SYN floods,等等)。如果从某
台主机返回的包等待了一段不正常的时间,而且没有被主机处理过的迹象,则程序便推断出该主机的网卡可能出于混杂模式。
3.将错误的ICMP请求包含在无效的以太网地址头中。所有没有工作在混杂模式的系
统将忽略这些请求,而那些回复错误的ICMP请求的主机将有可能出于混杂模式。
像AntiSniff这样的程序通过推论来判断网卡是否工作在混杂模式。由于这些程序只
是根据有限的数据来下结论,所以容易出现误报。通常明智的做法是定时进行混杂模式检测的扫描。例如,L0pht包含其自身的调度。使用WindwosNT Scheduler或UNIX的cron程序,你可以自动实施所有扫描。L0pht还提供的UNIX版本的AntiSniff。然而你需要编译它,并且只能运行在FreeBSD和Solaris操作系统下。
2.4 MAC地址的简介
1.什么是MAC地址
网卡的身份证号—MAC地址,也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。他是识别网卡身份的标志!MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。
2.MAC地址的应用
MAC地址主要用于与网络服务商提供的IP地址、端口以及用户提供的信息等绑定,
防止其他人盗用.学校里面的校园网就是这样的!但是MAC是可以改变的!
3.查看MAC地址
在输入“cmd”(引号里面部分)进入命令提示符状态然后输入“IPconfig /all”
其中Physical Address就是计算机的MAC地址。
4.更改MAC地址
一般MAC地址在网卡中是固定的,当然也有网络高手会想办法去修改自己的MAC地
址。修改自己的MAC地址有两种方法,一种是硬件修改,另外一种是软件修改。硬件的方法就是直接对网卡进行操作,修改保存在网卡的EPROM里面的MAC地址,通过网卡生产厂家提供的修改程序可以更改存储器里的地址。当然软件修改的方法就相对来说要简单得多了,在Windows中,网卡的MAC保存在注册表中,实际使用也是从注册表中提取的,所以只要修改注册表就可以改变MAC。
2.5 IP与MAC的绑定
例如局域网某一用户的IP地址为:192.168.1.11,MAC地址为:00-11-2F-3F-96-88在命令提示符下输入“IPconfig /all”显示如下信息:
Physical Address. . . . . . . . . : 00-11-2F-3F-96-88 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.11 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.1.1 DNS Servers . . . . . . . . . . . : 61.177.7.1 Primary WINS Server . . . . . . . : 192.168.1.254 图2-1 查看MAC、IP地址
以上信息就是你现在计算机的IP地址及MAC地址!
在命令行下输入:arp -s 192.168.1.11 00-11-2F-3F-96-88回车就绑定了。 查看是否绑定:在命令行下输入arp -a 192.168.1.11回车,会得到如下提示:
Internet Address Physical Address Type 192.168.1.30 00-11-2f-3f-96-88 static
就是成功完成了。
ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,如果采用Modem拨号上网或是动态IP地址就不起作用。
不过,只是简单地绑定IP和MAC地址是不能完全的解决IP盗用问题的。设计一个好的网络,我们有责任为用户解决好这些问题之的后,才交给用户使用,而不是把安全问题交给用户来解决。不应该让用户来承担一些不必要盗用的损失。所以在网络安全方面,最常用也是最有效的解决方法就是在IP、MAC绑定的基础上,再把端口绑定进去,即IP-MAC-PORT三者绑定在一起,端口(PORT)指的是交换机的端口。下面我们将针对此问题对交换机展开研究。
3.交换机
3.1 什么是交换机
交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。
3.2 交换机的种类
按照不同的分类方法,交换机有很多种分类。如按工作方式可分为二层交换机,三层交换机,多层交换机;从广义上来看,交换机分为两种:广域网交换机和局域网交换机。广域网交换机主要应用于电信领域,提供通信用的基础平台。而局域网交换机则应用于局域网络,用于连接终端设备,如PC机及网络打印机等。
3.3 交换机的工作原理
1、“共享”与“交换”数据传输技术
要明白交换机的优点我们首先就必须明白交换机的基本工作原理,而交换机的工作原理其实最根本的是要理解“共享”(Share)和“交换”(Switch)这两个概念。集线器是采用共享方式进行数据传输的,而我们在这里要讲的交换机工作原理则是采用“交换”方式进行数据传输的。在交换机技术上把这种“独享”道宽(网络上称之为“带宽”)情况称之为“交换”,这种网络环境称为“交换式网络”,交换式网络必须采用交换机(Switch)来实现。交换式网络可以是“全双工”(Full Duplex)状态,即可以同时接收和发送数据,数据流是双向的。而集线器的“共享”方式的网络就称之为“共享式网络”,共享式网络采用集线器(集线器)作为网络连接设备。显然,共享网络的效率非常低,在任一时刻只能有一个方向的数据流,即处于“半双工”(Half Duplex)模式,也称为“单工”模式。 2、数据传递的方式
对于交换机而言,它能够“认识”连接到自己身上的每一台电脑,凭什么认识呢?就是凭每块网卡物理地址,俗称“MAC地址”。交换机还具有MAC地址学习功能,它会把连接到自己身上的MAC地址记住,形成一个节点与MAC地址对应表。凭这样一张表,它就不必再进行广播了,从一个端口发过来的数据,其中会含有目的地的MAC地址,交换机在保存在自己缓存中的MAC地址表里寻找与这个数据包中包含的目的MAC地址对应的节点,找到以后,便在这两个节点间架起了一条临时性的专用数据传输通道,这两个节点便可以不受干扰地进行通信了。
3、交换机的数据传递工作原理
可以简单地这样来说明:当交换机从某一节点收到一个以太网帧后,将立即在其内存中的地址表(端口号-MAC地址)进行查找,以确认该目的MAC的网卡连接在哪一个节点上,然后将该帧转发至该节点。如果在地址表中没有找到该MAC地址,也就是说,该目的MAC地址是首次出现,交换机就将数据包广播到所有节点。拥有该MAC地址的网卡在接收到该广播帧后,将立即做出应答,从而使交换机将其节点的“MAC地址”添加到MAC地址表中。换言之,当交换机从某一节点收到一个帧时(广播帧除外),将对地址表执行两个动作,一是检查该帧的源MAC地址是否已在地址表中,如果没有,则将该MAC地址加到地址表中,这样以后就知道该MAC地址在哪一个节点;二是检查该帧的目的MAC地址是否已在地址表中,如果该MAC地址已在地址表中,则将该帧发送到对应的节点即可,而不必像集线器那样将该帧发送到所有节点,只须将该帧发送到对应的节点,从而使那些既非源节点又非目的节点的节点间仍然可以进行相互间的通信,从而提供了比集线器更高的传输速率。如果该MAC地址不在地址表中,则将该帧发送到所有其它节点(源节点除外),相当于该帧是一个广播帧。
交换机根据以太网帧中的源MAC地址来更新地址表。当一台计算机打开电源后,安装在该系统中的网卡会定期发出空闲包或信号,交换机即可据此得知它的存在以及其MAC地址。由于交换机能够自动根据收到的以太网帧中的源MAC地址更新地址表的内容,所以交换机使用的时间越长,学到的MAC地址就越多,未知的MAC地址就越少,因而广播的包就越少,速度就越快。由于交换机中的内存毕竟有限,能够记忆的MAC地址数量也是有限的。既然不能无休止地记忆所有的MAC地址,那么就必须赋予其相应的忘却机制。事实上,为交换机设定了一个自动老化时间(Auto-aging),若某MAC地址在一定时间内(默认为300秒)不再出现,那么,交换机将自动把该MAC地址从地址表中清除。当下一次该MAC地址重新出现时,将会被当作新地址处理。
3.4 可网管交换机VLAN技术
VLAN即虚拟局域网(Virtual Local Area Network的缩写),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组技术。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
先来了解一下交换机是如何使用VLAN分割广播域的首先,在一台未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口(Flooding)。例如,计算机
A
发送广播信息后,会被转发给端口
2、3、4。
交换机收到广播帧后,转发到除接收端口外的其他所有端口。这时,如果在交换机上生
成红、蓝两个VLAN;同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。再从A发出广播帧的话,交换机就只会把它转发给同属于一个VLAN的其他端口——也就是同属于红色VLAN的端口2,不会再转发给属于蓝色VLAN的端口。同样,C发送广播信息时,只会被转发给其他属于蓝色VLAN的端口,不会被转发给属于红色VLAN的端口(如左图)。
图3-2 VLAN划分示意图
如果要更为直观地描述VLAN的话,我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个VLAN,也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机(如上图)。
3.5 MAC和交换机端口的绑定
在了解了交换机的基本知识之后,我们来在交换机上寻求一种防止盗号上网的方法——将网卡的MAC地址与交换机的端口绑定,从在交换机上遏制盗号上网的现象。
我们以思科的交换机为例。 switch#config t //
进
入
到
全
局
配
置
模
式
switch(config)#int f0/1
//进入到0/1号端口switch(config-if)#switchport mode access //设置交换机的端口模式为access模式,注意缺省是dynamic
//dynamic
switch
//模
式(
打下
是
不
能)
使
用
Port-security
功
能
config-if
开
#switchport port-security
port-security 功
能
switch(config-if)#switchport port-security MAC-address xxxx.xxxx.xxxx //xxxx.xxxx.xxxx就是你要关联的MAC地址。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控
制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
4.802.1x认证技术简介
4.1 引言
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供
接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
4.2 802.1x协议简介
802.1x协议是基于Client/Server的访问控制和认证协议。可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。它具有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网中的使用。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
4.3 802.1x认证体系
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保“关闭”,即只允许
802.1x
的认证协议报文通过。
802.1x认证体系分为请求者系统、认证系统和认证服务器系统三部分: (1)请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。 (2)认证系统
认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx
协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。 (3)认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证
服务器的认证和授权功能。请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
4.4 802.1x认证特点
基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了\"可控端口\"和\"不可控端口\"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
4.5 802.1x认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法。 以EAP-MD5为例,描述802.1x的认证流程。EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1x认证系统功能实体协议栈如图2所示。基于EAP-MD5的802.1x认证流程如图3所示,认证流程包括以下步骤:
图4-1 基于EAP-MD5的802.1x认证系统功能实体协议栈
(1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;(9) RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;(12) RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。
4.6 802.1x配置
先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥
switch(config)#radius-server host IP_add key string
2、在port上起用802.1x Switch# configure terminal
Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 配
置
关
键
点
:
1、要保证在交换机上设置的认证和计费端口号和RADIUS服务器一致; 2、要保证在交换机上设置的认证和计费加密密码与RADIUS服务器一致; 3、要是RADIUS服务器非直连,那么要保证RADIUS服务器与交换机是路由可达的。
有些时候,即使我们做了一系列的防范工作,还会有一些病毒和木马对我们的网络安全工作带来威胁。这就需要我们了解病毒等的基本知识,运用一些防火墙或杀毒软件阻止和消灭它们。
5.病毒、木马、防火墙
5.1 计算机病毒及特点
计算机病毒是一种人为编写的程序。是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用并能自我复制的一组计算机指令或者程序代码。其过程可分为:程序设计--传播--潜伏--触发、运行--实行攻击。计算机病毒的特点有传染性、隐蔽性、潜伏性、破坏性。
5.2 计算机病毒的传播
计算机病毒的传播途径主要有:通过文件系统传播;通过电子邮件传播;通过局域网传播;通过互联网上即时通讯软件和点对点软件等常用工具传播;利用系统、应用软件的漏洞进行传利用系统配置缺陷传播,如弱口令、完全共享等;利用欺骗等社会工程的方法传播。
5.3 防火墙与查杀软件
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙
杀毒软件是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能。 后两者同时具有黑客入侵,网络流量控制等功能。国内常用的杀毒软件有瑞星、金山、江民、趋势、东方微点和费尔斯特。
5.4 病毒的清除
1. 如果所使用的操作系统的文件已经感染病毒,那么每次启动系统时,病毒也会随之运行。系统启动完成后,病毒也被激活,驻留在内存中,监视系统的运行,并伺机进一步感染或者发作破坏。此时,不能在这种带毒系统下进行病毒清除工作,必须使用磁盘版的杀毒软件启动计算机系统,或者使用无毒的系统软盘启动机器,然后运行杀毒软件进行病毒清除工作。
2. 蠕虫/黑客程序侵入系统时,一般要修改注册表,并将自身拷贝在硬盘中,或者用自身的程序替换操作系统中的一些核心文件。这样,每次系统启动,蠕虫/黑客程序也将被激活运行,伺机进行破坏。要清除这些有害程序,必须用DOS启动系统,这样可以保证蠕虫/黑客程序处于静态,然后使用杀毒软件进行清除,也可采用手工方法,删除系统的蠕虫/黑客程序,恢复被修改的注册表。但是,对于采用替换操作系统文件方式侵入系统的蠕虫/黑客程序,只有用同样的系统文件将蠕虫/黑客程序覆盖即可。
3. 若系统感染了宏病毒,可在当前系统下直接运行杀毒软件进行检测、清除。
6. 结束语
6.1论文总结
在这次设计中我们有喜悦也有辛酸,高兴的是我们能够在老师的指导与期望中完成本次设计,并从中学到了不少知识,在设计过程中我们虽然跌倒过无数次,但是我们还是努力的爬起,勇敢的与困难做斗争,最终将困难一个个攻破,最终感受到了成功的喜悦!在这次设计中使我深深感受到“只要努力什么都有可能”,在以后的工作和学习生活中我们一定要努力发扬这种精神,对每一件事都抱着认真负责的态度努力去完成,俗话说的好“失败乃成功之母”,在这次设计中我们通过自己的努力对每次的失败都做了认真的总结,将自己的不足之处弥补了起来,在这个过程中也使我们慢慢成长起来,相信以我们现在的这种热情与负责一定会在以后的生活中立于不败之地,我们相信只要努力了就一定能够得到回报,同时我们也深信我们的未来不是梦,在以后的生活中我们也一定会像本次设计一样最终尝到成功的喜悦!展望未来我们知道我们还有很长的一段路要走,一定会有很多挫折和困难等着我们但是我们不会因为困难就停止不前,因为通过本次设计就可以看出我们是生活的主宰者我们一定会为自己的明天努力打拼的。
6.2工作展望
本次设计使我意识到社会对人才的需求变得日益强烈起来,能否在以后的社会发展当中
立于不败之地,怎样在激励的竞争当中获得一席之地似乎已经成为了一个值得我们深思的问题!我们都知道要想在当今日趋激烈的社会竞争中赢得成功,拥有强大的知识做后盾是必不可少的,但光这些是不够的我们还要不断的在各方面努力提高自己的各项技能,努力学好书本上的知识并运用所学的知识为社会贡献自己的力量,因此我们必须从现在开始努力掌握各项技能,并将其熟练掌握,才不会被社会所淘汰。
作为一名即将踏入社会的计算机专业的大学生,我所拥有的是年轻和知识,使我不畏困难,善于思考,但年轻也意味着阅历浅,更需要虚心好学。同时,我也深知,毕业只是求学的一小步,社会才是一所真正的大学。我今天的求知也正是希望得到一个更好的学习机会,从而能以更好的工作成绩为国家和单位贡献力量,同时去实现人生价值。
参考文献、资料索引
文献、资料名称 编著者 出版单位 《网络组件与应用》 《信息网络安全概论》 《信息安全技术教程》 《信息安全管理教程》 孙印杰 主编 周良洪 编著 荆继武 庞南 电子工业出版社 群众出版社 中国人民公安大学出版社 中国人民公安大学出版社 致 谢
首先衷心地感谢我的导师xx老师。本文从选题到完成,从理论上的探讨到实际问题的解决,无处不饱含着王老师的心血。王老师的悉心指导和建议给了我极大的帮助和支持,使我受益匪浅,在此论文完成之际,谨向xx老师致以深深的谢意和崇高的敬意。
从开始写论文到论文的完成,王老师给了我很多的帮助和意见,使我受益匪浅。当然,我的伙伴们也给了我精神和实际上的帮助、支持和鼓励,我很感谢大家,没有你们我的论文也不会这么顺利的完成,谢谢大家。
向王老师及合作的伙伴们致以深深的谢意和崇高的敬意,向王老师说一声您辛苦了,向同组伙伴们表达最美好的祝福。
感谢答辩委员会老师,在答辩时给我们提出的宝贵意见,使我的论文更完善,实用性更高,向他们致以深深的谢意和崇高的敬意。
因篇幅问题不能全部显示,请点此查看更多更全内容