当前课程知识点:网络技术与应用 > 第9讲 网络安全 > 9.4 以太网安全技术 > 9.4-1 以太网安全技术
不同的传输网络都根据自身的特点研究出相应的安全技术
下面就来学习以太网的安全技术
首先看一下以太网的接入控制技术
然后看一下以太网的防欺骗攻击技术
以太网是最常见的局域网
许多的终端都是通过以太网接入到网络中
黑客也利用以太网开发出许多攻击技术
但是黑客终端要进行攻击的话 首先要接入以太网当中
因此允许授权终端接入以太网
是抵御黑客攻击的关键步骤
我们来看一下以太网怎么样进行接入控制
首先终端接入到以太网当中
是要通过如双绞线连接到交换机的某个端口中
才能接入到以太网当中
第一步是要接入到交换机上
第二步要确定终端和用户的标识符
终端的标识符在以太网中是用MAC地址标识
用户标识符可以用用户名 口令等标识
第三步对终端或用户进行身份鉴别
我们来看一下身份鉴别的方法
首先用静态配置的方法配置访问控制列表
配置可以在以太网中的交换机的每个端口
单独配置访问控制列表
访问控制列表当中列出允许接入端口的终端MAC地址
如这个交换机当中的端口1
它的访问控制列表当中有这样一个MAC地址
PC1这样一个终端的MAC地址正好是访问控制列表
当中的MAC地址
那么它接入到交换机的端口1当中并且发送信息的话
就能发送成功
如果是另外一台终端PC2
它的MAC地址不是访问控制列表中的MAC地址
那么它连接到端口1并发送数据的话就不能通过
访问控制列表当中可以有多个MAC地址
对于交换机端口1来说
接收到像PC2发送的MAC帧
因为PC2的MAC地址不在访问控制列表当中
因此被拦截了
这种情况下 端口就必须重启
可以用这样两个命令进行重启
这是静态配置访问控制列表的思路
具体的在PT软件中可以通过这样一些命令实现
首先选择一个端口
用interface的命令选择一个端口
然后设置安全功能的端口可以是Access和Trunk模式
可以是共享端口也可以是接入端口
然后对这个端口启动安全功能
使用switchport port-security命令
设置端口启动安全功能
然后再来设置访问控制列表当中MAC地址的数量
MAC地址的数量可是是多项
但是需要设定一个数量
比如设定数量是1
然后把某个MAC地址加入到访问控制列表当中
比如这条命令就是把00D0.5861.D045 MAC地址
加入到这个访问控制列表当中
配置完后 可以用exit命令退出安全功能配置状态
手工配置是比较麻烦的事情
看一下第二种方法 安全端口的方法
安全端口的方法就是自动生成访问控制列表
怎么自动生成呢
首先设置访问控制列表的MAC地址的数量
MAC地址有几项
然后最先接入端口当中的终端的MAC地址
就写入访问控制列表当中
假定MAC地址数量是2
现在PC1接入到端口1当中
就把PC1的MAC地址写入访问控制列表当中
PC2又接入到端口1当中了
PC2的MAC地址就写入访问控制列表当中
因为设置的访问控制列表的数量是2
因此后面接入端口的终端的MAC地址
一定是要在访问控制列表中的MAC地址
才能够通过这个端口传输数据
比如PC3连接到这个端口1并且传输数据的话
因为它的MAC地址不在访问控制列表当中
因此它的数据就被拦住了
这是安全端口的方法
第三种方法是802.1x接入控制过程
这个接入控制过程是什么意思呢
以用户名和口令标识合法的用户终端
只有提供有效用户名和口令的终端的MAC地址
才能写入访问控制列表
通常这样的话 交换机有个鉴别数据库
鉴别数据库当中列出了用户名 鉴别机制 口令
通过鉴别 才能把MAC地址写入访问控制列表中
怎么鉴别呢
比如终端A发起一个启动鉴别帧
交换机要求终端A输入一个用户名
终端A输入用户名 用户A
然后交换机给用户终端发送一个随机数
终端用随机数和它的口令串接在一起计算一个报文摘要
发送给交换机以后
交换机根据用户名查找鉴别数据库
同样用鉴别数据库当中的口令和它发送的随机数
串接在一起计算一个报文摘要
如果这个报文摘要和用户终端A发送的报文摘要相同的话
说明终端A拥有相应的口令
因此终端A的MAC地址就可以写入访问控制列表中
这是它的接入控制过程
当终端离开端口或者在设定的时间内
终端一直没有通过端口发送MAC帧
这个终端的MAC地址就会自动从访问控制列表中删除
下面看一下以太网的防欺骗攻击技术
首先看一下防DHCP欺骗和DHCP侦听信息库的建立
首先看一下DHCP的攻击过程
这是前面讲过的
比如这是一个终端A
它需要从网络中获取相应的IP地址信息
伪造的DHCP服务器接收到请求后把自己的IP地址信息
分配给终端A
真实的DHCP也响应终端A
但是因为终端无法辨认这两个服务器的真实性
往往是先向接收到响应的DHCP服务器发送一个请求MAC帧
然后DHCP服务器就给它提供相应的地址信息
这是前面讲过的攻击过程
怎么样防御DHCP的攻击过程呢
比如这是一个交换机A
连接着一个伪造的DHCP服务器
同时也连接着一个真实的DHCP服务器
这个DHCP服务器需要给连接在交换机B上的终端
分配相应的IP地址信息
我们可以这样做
把交换机上连接真实的DHCP服务器端口
和连接交换机之间的端口
设置为信任端口
其它的端口都是非信任端口
只有来自于信任端口的配置信息才能通过
比如现在终端发起一个需要分配IP地址的请求
真实的DHCP服务器接收到请求以后
它就给终端分配相应的IP地址信息
因为这个端口是个信任端口
所以这些信息就能通过
但是如果是伪造的DHCP服务器
接收到这个请求帧后要发送IP地址信息的话
因为这个端口是非信任端口
因此就把这个信息阻挡了
由此就防住了DHCP的欺骗攻击
这是防DHCP欺骗攻击
黑客实施DHCP攻击的前提是能够将伪造的DHCP服务器
接入到以太网网络中
并为选择自动配置方式的终端提供配置服务
现在的防御原理的关键是禁止一切伪造的DHCP服务器
配置IP地址信息的服务
通过非信任端口达到了这样一个目的
DHCP服务器在配置IP地址信息过程当中
交换机往往建立一个DHCP侦听信息库
这个信息库可以为防止其他欺骗攻击所使用
侦听信息库是这样的
比如终端C要求分配一个IP地址信息
分配到了以后
交换机就记录下相应的端口 MAC地址 IP的对应关系
如终端A 终端B等分配的信息都记录在DHCP侦听信息库中
同样交换机B也有一个DHCP侦听信息库
后面讲到的ARP欺骗攻击就可以利用DHCP侦听信息库
ARP欺骗怎么防
首先看一下它的欺骗攻击过程
比如这是一起欺骗终端
它冒充其它终端如IP A 用自己的MAC B
发送一个ARP请求报文
当路由器和其它终端接收到这个报文以后
它把IP A和MAC B的对应关系记录在缓存器里
然后实施这样的攻击
现在来看怎么防这种攻击
当交换机通过非信任端口接收到ARP报文以后
用ARP报文中给出的MAC地址和IP地址
去匹配交换机当中的DHCP侦听信息库
如果匹配成功
那么继续转发ARP报文
否则就丢弃ARP报文
比如这个网络结构
交换机A和交换机B都有各自的DHCP侦听信息库
现在假定
终端B冒充终端A的IP地址和自己MAC地址的对应关系
发送ARP请求
交换机B接收到这个ARP请求以后
就去查找它的DHCP侦听信息库
查对后马上就发现了
IP A对应的MAC地址是MAC A 不是MAC B
因此就丢弃这个请求报文
从而防止了ARP欺骗攻击
最后对刚才的内容做下简单的小结
以太网是直接连接终端和服务器的网络
可以通过以太网实现终端的接入控制
可以通过以太网防止伪造的服务器接入
-课程先导语
--先导语
-1.1 网络内涵
--网络内涵
-1.2 互联网发展过程
--互联网发展过程
-1.2 互联网发展过程--作业
-1.3 交换方式
--电路交换
-- 虚电路交换
--数据报交换
--三种交换方式比较
--html
-1.3 交换方式--作业
-1.4 计算机网络体系结构和协议
--分层结构
--OSI体系结构
-1.4 计算机网络体系结构和协议--作业
-第一讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-2.1 数据传输系统
-2.1 数据传输系统--作业
-2.2 信号
--2.2 信号
-2.2 信号--作业
-2.3 编码和调制
--2.3-1 编码
--2.3-2 调制
-2.3 编码和调制--作业
-2.4 差错控制
-2.4 差错控制--作业
-2.5 传输媒体
--2.5 传输媒体
-2.5 传输媒体--作业
-2.6 Packet Tracer6.2使用说明
-第二讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-以太网发展过程与内容简介
-以太网发展过程与内容简介--作业
-3.1 总线形以太网
-3.1 总线形以太网--作业
-3.2 网桥与冲突域分割
-3.2 网桥与冲突域分割--作业
-3.3 交换式以太网与VLAN
-3.3 交换式以太网与VLAN--作业
-3.4 以太网标准
-3.4 以太网标准--作业
-第三讲内容的启示
--html
-例题分析
--例题分析
-案例设计
--案例设计
-测验--作业
-本讲内容简介
--无线局域网
-4.1 无线局域网概述
-4.1 无线局域网概述--作业
-4.2 无线局域网应用方式
-4.2 无线局域网应用方式--作业
-4.3 无线局域网MAC层
-4.3 无线局域网MAC层--作业
-4.4 终端接入无线局域网过程
-4.4 终端接入无线局域网过程--作业
-4.5 无线局域网设计和分析
-第四讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- IP与网络互连
-5.1 网络互连机制
-5.1 网络互连机制--作业
-5.2 网际协议
-5.2 网际协议--作业
-5.3 IP分组传输过程
-5.3 IP分组传输过程--作业
-5.4 路由表建立过程
-5.4 路由表建立过程--作业
-5.5 IP over以太网
-5.5 IP over以太网--作业
-5.6 三层交换机与VLAN间通信过程
-5.7 Internet控制报文协议
-5.7 Internet控制报文协议--作业
-第五讲内容启示
--html
-案例设计
--案例设计
-例题分析
-测验--作业
-本讲内容简介
--本讲内容简介
-6.1 Internet接入控制机制
-6.1 Internet接入控制机制--作业
-6.2 以太网和ADSL接入技术
-6.2 以太网和ADSL接入技术--作业
-6.3 家庭局域网接入方式与无线路由器
-6.3 家庭局域网接入方式与无线路由器--作业
-6.4 接入综合演示实验
-6.4 接入综合演示实验--作业
-第六讲内容的启示
--html
-例题分析
--第六讲 例题分析
-测验--作业
-本讲内容简介
--传输层
-7.1 传输层服务特性
--传输层服务特性
-7.1 传输层服务特性--作业
-7.2 端口号
--端口号
-7.3 用户数据报协议UDP
-7.3 用户数据报协议UDP--作业
-7.4 传输控制协议TCP
--TCP特点和格式
-- TCP的几点说明
-7.4 传输控制协议TCP--作业
-第七讲内容启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- 应用层
-8.1 应用结构
--应用结构
-8.1 应用结构--作业
-8.2 域名解析
-8.2 域名解析--作业
-8.3 动态主机配置协议
-8.3 动态主机配置协议--作业
-8.4 万维网
-- 万维网
-8.4 万维网--作业
-8.5 电子邮件
--html
-8.6 文件传输协议
--html
-例题分析
--例题分析
-案例设计
--CH8 案例设计
-应用层启示
--html
-测验--作业
-本讲内容简介
-9.1 网络安全概述
-9.1 网络安全概述--作业
-9.2 网络安全基础
-9.2 网络安全基础--作业
-9.3 病毒检测与防御技术
-9.3 病毒检测与防御技术--作业
-9.4 以太网安全技术
-9.4 以太网安全技术--作业
-9.5 无线局域网安全技术
-9.5 无线局域网安全技术--作业
-9.6 防火墙
-9.6 防火墙--作业
-9.7 安全协议
--9.7 安全协议
-9.7 安全协议--作业
-例题分析
--例题分析
-防火墙演示实验
-- 防火墙演示实验
-案例设计
--案例设计
-网络安全的启示
--html
-测验--作业
-附录1:综合应用分析
--综合应用分析
-附录2:Cisco实际设备网络构建与配置
-期末考试--考试试题
