局域网组建20-保护局域网终端设备安全（1）.ppt

----- 人民邮电出版社 ----- ----- 人民邮电出版社 ----- * 项目八 保护局域网终端安全 《局域网组建》 项目背景 浙江嘉兴技师学院兼并附近的一所职业中专学校，二所学校虽然合并，实现了两所学校的互联互通。 但合并后的校园网，经常出现了断网现象，经过网络监测发现，合并后学校的初期由于缺乏统一管理，造成了校园网病毒控制减弱，校园网中经常出现ARP病毒攻击，以及其他等病毒攻击和感染现象发生。 因此需要在合并后的校园网统一安全规划，保护校园网终端设备安全。 ? 任务一：防范ARP攻击安全 任务二：防范终端设备的病毒安全 任务三：使用ACL技术，保护区域网络安全 项目组成 项目分解 任务一：防范ARP攻击安全 任务1描述 浙江嘉兴技师学院兼并附近的一所职业中专学校，二所学校虽然合并后，由于缺乏管理，造成了校园网病毒控制减弱，校园网中经常出现ARP病毒攻击。 为了防范校园网中ARP病毒的攻击，需要在配置和管理网络互联设备，保护终端设备安全。 任务1分析 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。 ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 知识准备 8.1.1 什么ARP协议 ARP即地址解析协议，通过IP地址得知其物理地址。在TCP/IP网络中，每台主机都分配了一个32位的IP地址。为了让数据包在物理网路上传送，还必须知道对方目的主机物理地址，这样就存在把IP地址变换成物理地址的地址转换问题。 在以太网环境中，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。所谓地址解析（address resolution）就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 知识准备 8.1.2 ARP协议的基本功能 以太网协议规定，同一局域网中一台主机要和另一台主机直接通信，要知道目标主机MAC地址。而在TCP/IP协议中，网络层和传输层只关心目标主机IP地址。这就导致在以太网中使用IP协议时，数据链路层的数据上传到上层IP协议中，只包含目的主机的IP地址。 于是需要一种方法，根据目的主机的IP地址，获得其MAC地址，这就是ARP协议要做的事情。 知识准备 8.1.3 ARP病毒攻击原理 在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。 所谓“地址解析”就是主机在发送帧前,将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是,通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 知识准备 8.1.4 ARP病毒攻击故障现象 当局域网内某台主机，运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网，现在转由通过病毒主机上网，切换的时候，用户会断一次线。切换到病毒主机上网后，如果用户已经登陆服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号。 由于ARP欺骗的木马程序发作的时候，会发出大量的数据包，导致局域网通讯拥塞，以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中，用户会再断一次线。 知识准备 8.1.5 使用地址捆绑技术防范ARP攻击 大部分的网络攻击行为都采用欺骗源IP或源MAC地址的方法，对网络的核心设备进行连续的数据包的攻击，从而耗尽网络核心设备系统资源目的，如典型的ARP攻击、MAC攻击、DHCP攻击等。 这些针对交换机的端口产生的攻击行为，可以启用交换机的端口安全功能特性来防范。通过在交换机的某个端口上配置限制访问的MAC地址以及IP（可选），可以控制该端口上的数据安全输入。 知识准备 8.1.5 使用地址捆绑技术防范ARP攻击 当交换机端口上所连接的安全地址的数目达到允许的最大个数，交换机将产生一个安全违例通知。当安全违例产生后，可以设置交换机，针对不同的的网络安全需求，采用不同的安全违例的处理模式： Protect 当所连接的端口通过的安全地址，达到最大的安全地址个数后，安全端口将丢弃其余的未知名地址（不是该端口的安全地址中的任何一个）的数据包。 RestrictTrap 当安全端口产生违例事件后，将发送一个Trap通知，等候处理。 Shutdown 当安全端口产生违例事件后，将关闭端口同时还发送一个Trap通知。 知