©2006工程兵工程学院计算机教研室计算机网络安全第四章安全网络技术计算机网络安全第4章安全网络技术以太网安全技术;安全路由;虚拟网络;信息流管制;网络地址转换;容错网络结构。解决网络安全问题的方法主要有三:一是提出解决安全问题的新的机制和算法,如数字签名算法和认证机制。二是增加解决安全问题的新设备,如防火墙和入侵防御系统。三是在传统网络设备和网络设计方法中增加抵御黑客攻击的手段和能力,安全网络技术就是在传统网络设备和网络设计方法中增加的用于抵御黑客攻击和保障网络适用性的技术。安全网络技术计算机网络安全4.1以太网安全技术以太网接入控制访问控制列表;安全端口;802.1X接入控制过程。以太网其他安全功能防站表溢出攻击功能;防DHCP欺骗;防ARP欺骗攻击。安全网络技术计算机网络安全以太网接入控制黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用户终端的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;交换机端口是用户终端的物理连接处,防止黑客终端接入以太网的关键技术是授权用户终端具有难以伪造的标识符,交换机端口具有识别授权用户终端标识符的能力。安全网络技术计算机网络安全00-46-78-11-22-33终端A允许为交换机每一个端口配置访问控制列表,列表中给出允许接入的终端的MAC地址;配置访问控制列表的端口只允许转发源MAC地址属于列表中MAC地址的MAC帧,因此对于接入端口,只允许物理连接MAC地址属于列表中MAC地址的终端。以太网接入控制00-46-78-11-22-33访问控制列表00-46-78-37-22-73终端B访问控制列表安全网络技术计算机网络安全安全端口是自动建立访问控制列表的机制;允许为每一个交换机端口设置MAC地址数N,从端口学习到的前N个MAC地址作为访问控制列表的MAC地址;不允许转发源地址是N个地址以外的MAC帧。以太网接入控制00-46-78-11-22-33访问控制列表00-46-78-11-22-33终端A安全端口安全网络技术计算机网络安全802.1X基于端口认证机制,一旦完成认证过程,端口就处于正常转发状态,这种方式适用于交换机B的认证端口,不适用交换机A的认证端口;802.1X基于MAC地址认证机制是认证和访问控制列表的有机结合,一旦交换机通过对某个用户的身份认证,将该用户终端的MAC地址记录在访问控制列表的中,这种方式下,访问控制列表的中的MAC地址是动态的,随着用户接入增加,随着用户退出减少。以太网接入控制IP网络终端B认证服务器交换机A交换机B用户名认证机制口令用户AEAP-CHAPPASSA用户BEAP-CHAPPASSB认证数据库认证端口认证端口认证端口实现802.1X接入控制过程的网络结构终端A00-46-78-11-22-33安全网络技术计算机网络安全认证数据库表明:允许用户名为用户A,具有口令PASSA的用户接入以太网;交换机A将端口7设置为认证端口,意味着必须根据认证数据库指定的认证机制:EAP-CHAP完成用户身份认证的用户终端的MAC地址才能记录在端口7的访问控制列表的中。以太网接入控制挑战接入(EAP请求(CHAP))请求接入(EAP响应(CHAP))用户A交换机A(认证者)EAP请求(身份)EAP响应(身份)EAP请求(CHAP)EAP响应(CHAP)认证服务器EAP成功请求接入(EAP响应(身份))允许接入用户名认证机制口令用户AEAP-CHAPPASSA用户BEAP-CHAPPASSB认证数据库00-46-78-11-22-33访问控制列表用户A向认证服务器证明自己身份:用户名为用户A,具有口令PASSA。用户A终端的MAC地址记录在访问控制列表中。安全网络技术计算机网络安全以太网其他安全功能由于站表容量是有限的,当某个黑客终端大量发送源MAC地址伪造的MAC帧时,很容易使站表溢出;一旦站表溢出,正常终端的MAC地址无法进入站表,导致正常终端之间传输的MAC帧以广播方式传输。GHE终端AMACA终端BMACB终端CMACCFA→BB→A8MACD8MACE8MACF8MACG8MACH8MACIDI端口MAC地址站表站表溢出攻击解决方法限制交换机从每一个端口学习到的地址数。安全网络技术计算机网络安全伪造的DHCP服务器为终端配置错误的网络信息,导致终端发送的数据都被转发到冒充默认网关的黑客终端。以太网其他安全功能终端A终端BDHCP服务器交换机A交换机B伪造的DHCP服务器以太网①DHCP服务器终端A伪造的DHCP服务器①①②③④⑤①:终端A发送的发现报文②:伪造的DHCP服务器发送的应答报文③:DHCP服务器发送的应答报文④:终端A发送的请求报文⑤:伪造的DHCP服务器发送的确认报文信任端口非信任端口将连接授权DHCP服务器的端口和互连交换机的端口设置为信任端口,其他端口为非信任端口,只允许转发从信任端口接收到的DHCP响应报文。安全网络技术计算机网络安全终端B通过发送将终端A的IP地址和自己MAC地址绑定的ARP报文,在其他终端和路由器的ARP缓冲器中增添一项IPAMACB,导致其他终端和路由器将目的IP地址为IPA的IP分组,全部封装成以MACB为目的地址的MAC帧。以太网其他安全功能交换机A交换机B终端AMACAIPA终端BMACBIPBDHCP服务器终端CMACCIPCARP报文终端CIPAMACBARPCacheIPAMACB终端A终端B以太网ARPCacheIPAMACBARP欺骗攻击过程信任端口端口MAC地址IP地址F0/1MACCIPCF0/7MACAIPAF0/7MACBIPBDHCP配置表端口MAC地址IP地址F0/1MACAIPAF0/4MACBIPBF0/7MACCIPCDHCP配置表•解决方法基于终端配置通过DHCP服务器获得;•交换机侦听通过信任端口接收到的DHCP响应报文,并将响应报文中作为终端标识符的MAC地址和DHCP分配给终端的IP地址记录在DHCP配置表中;•一旦交换机接收到ARP报文,根据ARP报文中给出的IP地址和MAC地址对匹配DHCP配置表,如果找到匹配项,继续转发ARP报文,否则,丢弃ARP报文。安全网络技术计算机网络安全4.2安全路由路由器和路由项认证;路由项过滤;单播反向路径验证。这些功能一是确保只有授权路由器之间才能传输路由消息,且路由器只处理传输过程中未被篡改的路由消息;二是防止内部网络结构外泄;三是拒绝黑客终端的源IP地址欺骗攻击。安全网络技术计算机网络安全路由器和路由项认证黑客终端伪造和LAN4直接相连的路由项,并通过路由消息将该路由项组播给路由器R1、R2;路由器R1将通往LAN4传输路径的下一跳改为黑客终端;所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客终端。R2LAN1LAN2LAN3LAN4R1R3IPRIPH黑客终端终端AIPA终端BIPB子网距离下一跳LAN11直接LAN21直接LAN32IPRLAN43IPR路由器R1正确路由表LAN41子网距离下一跳LAN11直接LAN21直接LAN32IPRLAN42IPH路由器R1错误路由表黑客终端伪造路由项过程安全网络技术计算机网络安全路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性;相邻路由器配置共享密钥K,路由消息附带消息认证码(MAC),由于计算MAC需要共享密钥K,因此,一旦接收路由器根据密钥K和路由消息计算MAC的结果和路由消息附带的MAC相同,可以保证发送者具有和自己相同的密钥K(授权路由器),路由消息传输过程中未被篡改。发送路由器接收路由器路由消息HMAC(P)Y路由消息HMAC-MD5K相等,处理路由消息不相等,丢弃路由消息HMAC-MD5HMAC(P)Y路由消息K路由器和路由项认证安全网络技术计算机网络安全路由项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由器的透明性。192.168.1.0/24192.168.2.0/24193.7.1.0/24InternetR1R2目的网络距离下一跳192.168.1.0/241直接192.168.2.0/241直接193.7.1.0/241直接R1路由表192.168.0.0/22过滤目的网络距离下一跳193.7.1.0/242R1R2路由表R1224.0.0.9193.7.1.0/241三个网络,其中两个是内部网络。过滤器中的目的网络包含两个内部网络。路由消息中不包含被过滤器屏蔽掉的两个内部网络。安全网络技术计算机网络安全单播反向路径验证单播反向路径验证的目的是丢弃伪造源IP地址的IP分组;路由器通过检测接收IP分组的端口和通往源终端的端口是否相同确定源IP地址是否伪造。R3193.1.1.0/24193.1.3.0/24193.1.2.0/24R1R2123目的网络距离输出端口193.1.1.0/2421193.1.2.0/2422193.1.3.0/2413R3路由表黑客终端193.1.1.7终端A193.1.1.5服务器193.1.1.5193.1.1.7193.1.1.5安全网络技术计算机网络安全4.3虚拟网络虚拟局域网;虚拟路由器;虚拟专用网络。这里的虚拟是指逻辑上等同于独立局域网、独立路由器或者专用网络,物理上且和其他虚拟局域网、虚拟路由器或者虚拟专用网络共享同一物理网络或物理路由器的一种技术。安全网络技术计算机网络安全虚拟局域网同一个以太网是一个广播域,以太网内广播是不可避免的,但广播一是浪费带宽,二是产生安全问题;同一以太网两个终端之间通信不需要经过路由器,而路由器具有比交换机更强的信息传输控制能力;一些黑客攻击手段,如伪造DHCP服务器,ARP欺骗攻击等,都是针对同一以太网的终端的。VLAN1VLAN2VLAN3同一物理以太网三个功能上完全独立的以太网安全网络技术计算机网络安全一般用户终端和服务器不在同一个VLAN,用户终端访问服务器必须经过路由器,可以用路由器的信息传输控制功能对用户终端访问服务器过程进行控制;配置网络设备的终端A和网络设备内嵌的Web服务器处于同一个VLAN,且和其他VLAN没有任何逻辑联系,是一个孤立的网络,避免其他网络终端配置网络设备。虚拟局域网4终端A终端B终端C终端D服务器A服务器BS3S4S5S6S712123221213412SiSiS1S2112192.1.2.0/24192.1.3.0/24192.1.1.0/24终端B终端C终端D服务器A服务器B192.1.2.254192.1.3.254目的网络距离IP接口192.1.2.0/241VLAN2192.1.3.0/241VLAN3路由表Web接口终端A物理网络由物理网络划分成的三个虚拟局域网安全网络技术计算机网络安全虚拟路由器基于安全的原因,有些单位要求连接内部网络资源的办公网络和用于访问外部网络资源的网络相互独立;但办公终端和用于访问外部网络资源的终端不是一成不变的,需要经常调整,当然,这种调整最好不要改变网络的物理结构。虚拟路由器就用于实现将单一物理网络划分为多个独立的逻辑网络的功能。VLAN1VLAN2VRVRVLAN3VLAN4VRVR物理网络两个独立的互连网安全网络技术计算机网络安全将一个物理互连网划分为两个独立的互连网;一个物理路由器成为两个独立的逻辑路由器,路由器的每一个接口可以成为逻辑路由器的接口;每一个逻辑路由器具有路由器全部功能:连接不同的网络、运行路由协议、建立路由表、转发IP分组;在本例中,进入接口的IP分组根据封装该IP分组的MAC帧的VLANID确定用于转发该IP分组的逻辑路由器;任何逻辑路由器只在它所连接的VLAN间转发IP分组。虚拟路由器VR1.2VLAN2VLAN5终端B终端EVLAN6VR2.2Web服务器InternetVLAN8终端FVLAN7FTP服务器R3VLAN11终