文档介绍:关于互联网第二层协议的安全
关于互联网第二层协议的安全
学习报告
2012211313班 梁霄 2012211479
引言
在网络安全领加密。与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。
同链路加密一样,节点加密也有一些固有的缺点,一是某些信息(如报头和路由信息)必须以明文形式传输;二是因为所有节点都必须有密钥,密钥分发和管理变得困难。因此数据传输加密通常采用更安全的表示层上的端到端加密。
VLAN的原理及保护
解决交换机在进行局域网互连时无法限制广播的问题,把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内。
但是交换机的设计者们在把这种隔离功能加入到产品之中时,优先考虑的并不是安全问题。常见的VLAN攻击有标记攻击、VLAN跳跃攻击及VTP攻击。
如果将交换机端口配置成 DTP auto ,用于接收伪造 DTP分组,那么,它将成为干道端口,并有可能接收通往任何 VLAN 的流量。由此,恶意用户可以通过受控制的端口与其它 VLAN 通信。这就是标记攻击。
跳跃攻击(hopping attack) 就是一类针对VLAN的攻击,指的是恶意设备通过为攻击流量打上特定的VLAN ID(VID)标,或者协商Trunk链路试图访问或者接收与其配置不同的VLAN的流量。
VLAN中继协议(VTP)是一种管理协议,它可以减少交换环境中的配置数量。黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机都与黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去。这样他就可以进入其他每个用户所在的同一个VLAN上。
VLAN攻击的防御方法:明确指定Access和Trunk端口,不使用的端口设置为Access,放入一个不承载任何数据的VLAN,并将其设置为Shutdown状态;Native VLAN不与任何数据VLAN相同;使用Trunk allowed限制流量;链路汇聚协议(DTP)设置为On或者Nonegotiate;通过私有VLAN(PVLAN)过滤相同VLAN的流量。
WLAN保护方案
WLAN是以开放式的大气作为传输介质进行网络通信的,它的安全性相对有线网络来说,显得更加严峻。在WLAN网络中,基于链路层的加密技术或标准主要有:SSID、MAC、WEP、WPA和IEEE 。
WLAN SSID安全技术
SSID(服务设置标识符)是一个类似于有线网络中的工作组名称,最多可以有32个字符,配备无线网卡、无线访问点(AP)及无线路由器时都必须
配置它,而且无线网卡上配置的SSID一定要与AP或无线路由器配置的SSID相同。如果配置的SSID与AP或无线路由器的SSID不同,那么AP或无线路由器将拒绝他通过本服务区/工作组上网。