前言:想要寫出一篇引人入勝的文章?我們特意為您整理了提高數(shù)據(jù)通信網(wǎng)絡(luò)安全的對(duì)策范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
1重視網(wǎng)絡(luò)安全,提高數(shù)據(jù)通信網(wǎng)絡(luò)的管理水平
定期開展網(wǎng)絡(luò)安全的檢查與維修活動(dòng),以及時(shí)確保數(shù)據(jù)信息的可靠性與真實(shí)性得到有效的安全確認(rèn),避免服務(wù)器的終端設(shè)備以及信息網(wǎng)中的硬件設(shè)備和軟件設(shè)備受到惡意破壞,防止系統(tǒng)網(wǎng)絡(luò)受到不法分子的嚴(yán)重攻擊,達(dá)到對(duì)數(shù)據(jù)庫內(nèi)部的信息進(jìn)行保密的目的。所以這就要求專業(yè)化的技術(shù)人員需以對(duì)網(wǎng)絡(luò)安全性的有效評(píng)估為前提,全面仔細(xì)存在的隱形的安全威脅,積極設(shè)置高效的網(wǎng)管設(shè)置等形式,不斷優(yōu)化系統(tǒng)漏洞,拒絕一切不法分析用戶的對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵和攻擊,降低安全風(fēng)險(xiǎn)的發(fā)生。
2路由器與交換機(jī)漏洞的發(fā)現(xiàn)和防護(hù)
作為通過遠(yuǎn)程連接的方式實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享是大部分用戶均會(huì)使用到的,不管這樣的連接方式是利用何種方式進(jìn)行連接,都難以避開負(fù)載路由器以及交換機(jī)的系統(tǒng)網(wǎng)絡(luò),這是這樣,這些設(shè)備存在著某些漏洞極容易成為黑客的攻擊的突破口。從路由器與交換機(jī)存在漏洞致因看,路由與交換的過程就是于網(wǎng)絡(luò)中對(duì)數(shù)據(jù)包進(jìn)行移動(dòng)。在這個(gè)轉(zhuǎn)移的過程中,它們常常被認(rèn)為是作為某種單一化的傳遞設(shè)備而存在,那么這就需要注意,假如某個(gè)黑客竊取到主導(dǎo)路由器或者是交換機(jī)的相關(guān)權(quán)限之后,則會(huì)引發(fā)損失慘重的破壞??v觀路由與交換市場(chǎng),擁有最多市場(chǎng)占有率的是思科公司,并且被網(wǎng)絡(luò)領(lǐng)域人員視為重要的行業(yè)標(biāo)準(zhǔn),也正因?yàn)樵摴镜漠a(chǎn)品普及應(yīng)用程度較高,所以更加容易受到黑客攻擊的目標(biāo)。比如,在某些操作系統(tǒng)中,設(shè)置有相應(yīng)的用于思科設(shè)備完整工具,主要是方便管理員對(duì)漏洞進(jìn)行定期的檢查,然而這些工具也被攻擊者注意到并利用工具相關(guān)功能查找出設(shè)備的漏洞所在,就像密碼漏洞主要利用JohntheRipper進(jìn)行攻擊。所以針對(duì)這類型的漏洞防護(hù)最基本的防護(hù)方法是開展定期的審計(jì)活動(dòng),為避免這種攻擊,充分使用平臺(tái)帶有相應(yīng)的多樣化的檢查工具,并在需要時(shí)進(jìn)行定期更新,并保障設(shè)備出廠的默認(rèn)密碼已經(jīng)得到徹底清除;而針對(duì)BGP漏洞的防護(hù),最理想的辦法是于ISP級(jí)別層面處理和解決相關(guān)的問題,假如是網(wǎng)絡(luò)層面,最理想的辦法是對(duì)攜帶數(shù)據(jù)包入站的路由給予嚴(yán)密的監(jiān)視,并時(shí)刻搜索內(nèi)在發(fā)生的所有異?,F(xiàn)象。
3交換機(jī)常見的攻擊類型
3.1MAC表洪水攻擊
交換機(jī)基本運(yùn)行形勢(shì)為:當(dāng)幀經(jīng)過交換機(jī)的過程會(huì)記下MAC源地址,該地址同幀經(jīng)過的端口存在某種聯(lián)系,此后向該地址發(fā)送的信息流只會(huì)經(jīng)過該端口,這樣有助于節(jié)約帶寬資源。通常情況下,MAC地址主要儲(chǔ)存于能夠追蹤和查詢的CAM中,以方便快捷查找。假如黑客通過往CAM傳輸大量的數(shù)據(jù)包,則會(huì)促使交換機(jī)往不同的連接方向輸送大量的數(shù)據(jù)流,最終導(dǎo)致該交換機(jī)處在防止服務(wù)攻擊環(huán)節(jié)時(shí)因過度負(fù)載而崩潰。
3.2ARP攻擊
這是在會(huì)話劫持攻擊環(huán)節(jié)頻發(fā)的手段之一,它是獲取物理地址的一個(gè)TCP/IP協(xié)議。某節(jié)點(diǎn)的IP地址的ARP請(qǐng)求被廣播到網(wǎng)絡(luò)上后,這個(gè)節(jié)點(diǎn)會(huì)收到確認(rèn)其物理地址的應(yīng)答,這樣的數(shù)據(jù)包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。
3.3VTP攻擊
以VTP角度看,探究的是交換機(jī)被視為VTP客戶端或者是VTP服務(wù)器時(shí)的情況。當(dāng)用戶對(duì)某個(gè)在VTP服務(wù)器模式下工作的交換機(jī)的配置實(shí)施操作時(shí),VTP上所配置的版本號(hào)均會(huì)增多1,當(dāng)用戶觀察到所配置的版本號(hào)明顯高于當(dāng)前的版本號(hào)時(shí),則可判斷和VTP服務(wù)器實(shí)現(xiàn)同步。當(dāng)黑客想要入侵用戶的電腦時(shí),那他就可以利用VTP為自己服務(wù)。黑客只要成功與交換機(jī)進(jìn)行連接,然后再本臺(tái)計(jì)算機(jī)與其構(gòu)建一條有效的中繼通道,然后就能夠利用VTP。當(dāng)黑客將VTP信息發(fā)送至配置的版本號(hào)較高且高于目前的VTP服務(wù)器,那么就會(huì)致使全部的交換機(jī)同黑客那臺(tái)計(jì)算機(jī)實(shí)現(xiàn)同步,最終將全部除非默認(rèn)的VLAN移出VLAN數(shù)據(jù)庫的范圍。
4安全防范VLAN攻擊的對(duì)策
4.1保障TRUNK接口的穩(wěn)定與安全
通常情況下,交換機(jī)所有的端口大致呈現(xiàn)出Access狀態(tài)以及Turnk狀態(tài)這兩種,前者是指用戶接入設(shè)備時(shí)必備的端口狀態(tài),后置是指在跨交換時(shí)一致性的VLAN-ID兩者間的通訊。對(duì)Turnk進(jìn)行配置時(shí),能夠避免開展任何的命令式操作行為,也同樣能夠?qū)崿F(xiàn)于跨交換狀態(tài)下一致性的VLAN-ID兩者間的通訊。正是設(shè)備接口的配置處于自適應(yīng)的自然狀態(tài),為各項(xiàng)攻擊的發(fā)生埋下隱患,可通過如下的方式防止安全隱患的發(fā)生。首先,把交換機(jī)設(shè)備上全部的接口狀態(tài)認(rèn)為設(shè)置成Access狀態(tài),這樣設(shè)置的目的是為了防止黑客將自己設(shè)備的接口設(shè)置成Desibarle狀態(tài)后,不管以怎樣的方式進(jìn)行協(xié)商其最終結(jié)果均是Accese狀態(tài),致使黑客難以將交換機(jī)設(shè)備上的空閑接口作為攻擊突破口,并欺騙為Turnk端口以實(shí)現(xiàn)在局域網(wǎng)的攻擊。其次是把交換機(jī)設(shè)備上全部的接口狀態(tài)認(rèn)為設(shè)置成Turnk狀態(tài)。不管黑客企圖通過設(shè)置什么樣的端口狀態(tài)進(jìn)行攻擊,這邊的接口狀態(tài)始終為Turnk狀態(tài),這樣有助于顯著提高設(shè)備的可控性。最后對(duì)Turnk端口中關(guān)于能夠允許進(jìn)出的VLAN命令進(jìn)行有效配置,對(duì)出入Turnk端口的VLAN報(bào)文給予有效控制。只有經(jīng)過允許的系類VLAN報(bào)文才能出入Turnk端口,這樣就能夠有效抑制黑客企圖通過發(fā)送錯(cuò)誤報(bào)文而進(jìn)行攻擊,保障數(shù)據(jù)傳送的安全性。
4.2保障VTP協(xié)議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN干道協(xié)議)是用來使VLAN配置信息在交換網(wǎng)內(nèi)其它交換機(jī)上進(jìn)行動(dòng)態(tài)注冊(cè)的一種二層協(xié)議,它主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除以及重命名。在一臺(tái)VTPServer上配置一個(gè)新的VLAN時(shí),該VLAN的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī),這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息,使其VLAN的配置與VTPServer保持一致,從而減少在多臺(tái)設(shè)備上配置同一個(gè)VLAN信息的工作量,而且保持了VLAN配置的統(tǒng)一性。處于VTP模式下,黑客容易通過VTP實(shí)現(xiàn)初步入侵和攻擊,并通過獲取相應(yīng)的權(quán)限,以隨意更改入侵的局域網(wǎng)絡(luò)內(nèi)部架構(gòu),導(dǎo)致網(wǎng)絡(luò)阻塞和混亂。所以對(duì)VTP協(xié)議進(jìn)行操作時(shí),僅保存一臺(tái)設(shè)置為VTP的服務(wù)器模式,其余為VTP的客戶端模式。最后基于保障VTP域的穩(wěn)定與安全的目的,應(yīng)將VTP域全部的交換機(jī)設(shè)置為相同的密碼,以保證只有符合密碼相同的情況才能正常運(yùn)作VTP,保障網(wǎng)絡(luò)的安全。
5結(jié)語
處于全球信息以及計(jì)算機(jī)等科學(xué)技術(shù)的不斷改善和向前發(fā)展的社會(huì)環(huán)境中,數(shù)據(jù)通信網(wǎng)絡(luò)的發(fā)展內(nèi)容得到了多樣化的豐富和充實(shí),數(shù)據(jù)通信已發(fā)展成當(dāng)今社會(huì)通信的的主要方式。所以不斷是從基礎(chǔ)研究理論或是實(shí)際應(yīng)用活動(dòng)中,如何保障網(wǎng)絡(luò)安全應(yīng)當(dāng)成為今后數(shù)據(jù)網(wǎng)絡(luò)發(fā)展中的重大課題,研究人員應(yīng)當(dāng)致力于探索多樣化和創(chuàng)新化的方式和渠道,以全面保障數(shù)據(jù)通信網(wǎng)絡(luò)的安全和穩(wěn)定,為廣大社會(huì)用戶創(chuàng)造高效放心的通信環(huán)境。
作者:關(guān)建華 單位:鐵通赤峰分公司