基于宽带接入局域网安全问题分析.docVIP

基于宽带接入局域网安全问题分析 　　摘 要:随着宽带接入网络的技术发展迅速,在接入网环境下,用户、接入设备和网络都面临着各种威胁,特别是来自用户侧的威胁。文章就宽带接入的局域网过程中常出现的问题,结合实际生活中用户的实际要求和已有的解决方案进行归纳和总结,重点针对用户端口定位技术方案做了介绍和分析。 　　关键词:宽带接入 安全 网络攻击 接入节点 VBAS 　　中图分类号:TP39文献标识码:A 文章编号:1007-3973 (2010) 03-046-02 　　1引言 　　宽带接入网络在全球不断蓬勃发展,越来越多的个人用户和企业用户通过宽带接入到Internet上。用户对网络性能的要求不再满足于高带宽接入能力,而对服务质量提出了更高要求。在服务质量(QOS)中,一个重要的指标就是安全保证,用户局域网内部的不安全因素远比外部危害更恐怖。归纳起来,接入网络中主要有下面的安全问题:非法用户的接入;非法报文和恶意报文发送;通过媒体访问控制(MAC)/IP地址欺骗,如冒用MAC地址或者IP地址,偷取他人的业务服务或者造成DOS攻击;非法业务,如开展非法的IP语音(VoIP)业务、私拉乱接用户等。作为网络安全防范的源头,如何阻止非法用户接入网络、限制用户的安全行为、加强内部用户的网络接入控制已成为各个部门建立信息网络安全防御体系必须重点考虑的问题。 　　2入侵层次的划分及其对策 　　2.1敏感层的划分 　　使用敏感层的概念来划分标志攻击技术所引起的危险程度: 　　(1)邮件炸弹攻击(emailbomb)(layer1) 　　(2)简单服务拒绝攻击(denial of service)(layer1+) 　　(3)本地用户获得非授权读访问(layer2) 　　(4)本地用户获得他们非授权的文件写权限(layer3) 　　(5)远程用户获得非授权的账号(layer3+) 　　(6)远程用户获得了特权文件的读权限(layer4) 　　(7)远程用户获得了特权文件的写权限(layer5) 　　(8)远程用户拥有了根(root)权限(黑客已攻克系统)(layer6) 　　2.2不同层次的相应对策 　　根据遭受的攻击的不同层次,应采取不同的对策:第一层:处于第一层的攻击基本上应互不相干,第一层的攻击包括服务拒绝攻击和邮件炸弹攻击。邮件炸弹的攻击还包括登记列表攻击。对付此类攻击的最好的方法是对源地址进行分析,把攻击者使用的主机(网络)信息加入inetd.sec的拒绝列表中,使攻击者网络中所有的主机都不能对自己的网络进行访问外。此类型的攻击只会带来相对小的危害,但具备有限的经验和专业知识就能进行此类型的攻击,发生的频率很高。 　　第二层和第三层:这两层的攻击的严重程度取决于那些文件的读或写权限被非法获得。对于isp来说,最安全的办法是将所有的shell账户都集中到某一台(或几台)主机上,只有它们才能接受登录,这样可以使得管理日志,控制访问,协议配置和相关的安全措施实施变得更加简单。另外,还应该把存贮用户编写的cgi程序的机器和系统中的其它机器相隔离。 　　第四层:该层攻击涉及到远程用户如何获取访问内部文件的权利。其起因大多是服务器的配置不当,cgi程序的漏洞和溢出问题。 　　第五层和第六层:只有利用那些不该出现却出现的漏洞,才可能出现这种致命的攻击。 　　出现第三、四、五层的攻击表明网络已经处于不安全状态之中,安全管理员应该立即采取有效措施, 保护重要数据, 进行日志记录和汇报,同时争取能够定位攻击发起地点: 　　(1)将遭受攻击的网段分离出来,将此攻击范围限制在小的范围内; 　　(2)记录当前时间,备份系统日志,检查记录损失范围和程度; 　　(3)分析是否需要中断网络连接; 　　(4)让攻击行为继续进行; 　　(5)如果可能,对系统做0级备份; 　　(6)将入侵的详细情况逐级向主管领导和有关主管部门汇报,如果系统受到严重破坏,影响网络业务功能,立即调用备件恢复系统; 　　(7) 对此攻击行为进行大量的日志工作; 　　(8) (在另一个网段上)竭尽全力地判断寻找攻击源。 　　3宽带接入的安全性问题分析 　　针对宽带接入的安全性问题人们已经提出了许多相关的解决方案,如:端口定位、媒体访问控制(MAC)地址防欺骗、非法业务监测等技术。 　　3.1非法用户的接入 　　用户识别与认证技术已经非常的成熟,基于以太网的点到点协议(PPPoE)、DHCP+Web和802.1X协议等被普遍使用,必须考虑对用户端口(也称为用户线路)的识别。在零售模式下,每个用户在接入节点处都有一个逻辑端口,有线环境下是硬端口,无线环境下是一个软端口。如果认证服务器只是通过用户名来识别用户,那么用户可以把自己的用户名和