论文部分内容阅读
【摘 要】随着互联网技术的不断演变,互联网应用已经从起初的科研领域逐渐延伸到当代社会生活的方方面面,越来越多基于网络的关键业务蓬勃兴起。互联网的技术基础——IP网络,在天然上存在着诸如安全、服务质量、运营模式等问题,本文就目前IP网络设备的安全威胁等问题进行剖析,并提出合理的解决方案。
【关键词】IP;网络;安全;管理;互联网
随着互联网技术的不断演进、规模的爆炸性发展,互联网应用已经从起初的科研领域逐渐延伸到当代社会生活的方方面面,越来越多基于网络的关键业务蓬勃兴起,网络成为人类提高生产力、提升生活质量的新的推动力。然而,互联网的技术基础,即IP网络,却在天然上存在着诸如安全、服务质量、运营模式等问题。其中,IP网络的安全问题是其中非常重要的一个方面,由于IP网络的开放性,又使得它的安全问题变得十分复杂。
IP网络的简单和开放在促成互联网迅猛发展的同时,也造成了IP网络容易引入安全漏洞的弱点。同时,随着技术的发展、信息传递的迅捷,针对IP网络安全攻击技术的难度越来越小,攻击工具自动化程度则越来越高,攻击技术趋向平民化。网络攻击事件数量每年都在大幅增加,造成的损失日益巨大,影响范围不再仅限于少数公司,甚至波及国家信息安全。网络安全威胁给网络世界进一步的发展蒙上了阴影。
下面我们定义一下网络安全的概念,所谓的网络安全威胁,既是通过特定技术或工具,对在网络、服务器和桌面上存储和传输的数据未经授权进行访问,甚至破坏或者修改这些数据,是当今网络安全中面临的基本威胁。IP网络的安全威胁分为两个方面:一是主机(包括用户主机和应用服务器等)的安全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是windows系统)的攻击,诸如病毒、木马。网络设备主要面对的是基于TCP/IP协议的攻击。本文主要讨论网络自身,即网络设备的安全问题。
网络设备的功能可以分为以下几个层面:网络数据传送、网络控制指令、网络设备管理。相应地,网络设备的安全威胁既是针对于这几个层面展开的。下面针对这三个层面分别阐述。
网络数据传送层面的功能是负责处理进入设备的数据流。它有可能受到基于流量的攻击,如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间,造成正常的数据流量无法得到处理,使设备的可用性降低。由于网络数据传送层面负责用户数据的转发,因此也会受到针对用户数据的攻击,主要是对用户数据的恶意窃取、修改、删除等,使用户数据的机密性和完整性受到破坏。
网络控制信令层面的主要功能是维护各层网络协议的运行,以控制数据流的路由和交换。这一层面受到的最主要的威胁来自对路由信息的窃取,对IP地址的伪造等,这会造成网络路由信息的泄露或滥用。
网络设备管理层面提供了对设备的远程管理功能。威胁来自于两个方面,一个是系统管理所使用的协议(如Telnet协议、HTTP协议等)的漏洞,另一个是不严密的管理,如设备管理账号的泄露等。
企業网络中常见的攻击广式主要体现在以下几种:
地址扫描攻击:是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,网络设备会给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可能引起网络中断。
DoS攻击:即拒绝服务攻击(DoS,Denial of Service),是指向设备发送大量的连接请求,占用设备本身的资源,严重的情况会造成设备瘫机,一般情况下也会使设备的功能无法正常运行。因为主要是针对服务器的,目的是使服务器拒绝合法用户的请求,所以叫拒绝服务攻击。
ARP攻击:ARP协议没有任何验证方式,而ARP在数据转发中又是至关重要的,攻击者常伪造攻击者采用某个或者某几个固定的攻击源,向设备发送大量的ARP报文进行攻击时。
设备管理方面应对企业网络中设备的登录用户采取分级机制,对待不同的管理用户划分不同的管理权限,以保证设备数据的安全性。同时,对于登录用户密码采用加密算法进行保存,并限制连接登录不成功的次数来防止口令被穷举得到,目前的大部分厂商均支持SSH协议进行设备管理,建设部署SSH协议,保证远程管理的安全性。
目前的IP网络仍然面临着许多安全问题,新的攻击手段和技术层出不穷,在这种形势下,迫切需要网络设备,尤其是路由器设备支持完善的安全功能。
【关键词】IP;网络;安全;管理;互联网
随着互联网技术的不断演进、规模的爆炸性发展,互联网应用已经从起初的科研领域逐渐延伸到当代社会生活的方方面面,越来越多基于网络的关键业务蓬勃兴起,网络成为人类提高生产力、提升生活质量的新的推动力。然而,互联网的技术基础,即IP网络,却在天然上存在着诸如安全、服务质量、运营模式等问题。其中,IP网络的安全问题是其中非常重要的一个方面,由于IP网络的开放性,又使得它的安全问题变得十分复杂。
IP网络的简单和开放在促成互联网迅猛发展的同时,也造成了IP网络容易引入安全漏洞的弱点。同时,随着技术的发展、信息传递的迅捷,针对IP网络安全攻击技术的难度越来越小,攻击工具自动化程度则越来越高,攻击技术趋向平民化。网络攻击事件数量每年都在大幅增加,造成的损失日益巨大,影响范围不再仅限于少数公司,甚至波及国家信息安全。网络安全威胁给网络世界进一步的发展蒙上了阴影。
下面我们定义一下网络安全的概念,所谓的网络安全威胁,既是通过特定技术或工具,对在网络、服务器和桌面上存储和传输的数据未经授权进行访问,甚至破坏或者修改这些数据,是当今网络安全中面临的基本威胁。IP网络的安全威胁分为两个方面:一是主机(包括用户主机和应用服务器等)的安全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是windows系统)的攻击,诸如病毒、木马。网络设备主要面对的是基于TCP/IP协议的攻击。本文主要讨论网络自身,即网络设备的安全问题。
网络设备的功能可以分为以下几个层面:网络数据传送、网络控制指令、网络设备管理。相应地,网络设备的安全威胁既是针对于这几个层面展开的。下面针对这三个层面分别阐述。
网络数据传送层面的功能是负责处理进入设备的数据流。它有可能受到基于流量的攻击,如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间,造成正常的数据流量无法得到处理,使设备的可用性降低。由于网络数据传送层面负责用户数据的转发,因此也会受到针对用户数据的攻击,主要是对用户数据的恶意窃取、修改、删除等,使用户数据的机密性和完整性受到破坏。
网络控制信令层面的主要功能是维护各层网络协议的运行,以控制数据流的路由和交换。这一层面受到的最主要的威胁来自对路由信息的窃取,对IP地址的伪造等,这会造成网络路由信息的泄露或滥用。
网络设备管理层面提供了对设备的远程管理功能。威胁来自于两个方面,一个是系统管理所使用的协议(如Telnet协议、HTTP协议等)的漏洞,另一个是不严密的管理,如设备管理账号的泄露等。
企業网络中常见的攻击广式主要体现在以下几种:
地址扫描攻击:是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,网络设备会给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可能引起网络中断。
DoS攻击:即拒绝服务攻击(DoS,Denial of Service),是指向设备发送大量的连接请求,占用设备本身的资源,严重的情况会造成设备瘫机,一般情况下也会使设备的功能无法正常运行。因为主要是针对服务器的,目的是使服务器拒绝合法用户的请求,所以叫拒绝服务攻击。
ARP攻击:ARP协议没有任何验证方式,而ARP在数据转发中又是至关重要的,攻击者常伪造攻击者采用某个或者某几个固定的攻击源,向设备发送大量的ARP报文进行攻击时。
设备管理方面应对企业网络中设备的登录用户采取分级机制,对待不同的管理用户划分不同的管理权限,以保证设备数据的安全性。同时,对于登录用户密码采用加密算法进行保存,并限制连接登录不成功的次数来防止口令被穷举得到,目前的大部分厂商均支持SSH协议进行设备管理,建设部署SSH协议,保证远程管理的安全性。
目前的IP网络仍然面临着许多安全问题,新的攻击手段和技术层出不穷,在这种形势下,迫切需要网络设备,尤其是路由器设备支持完善的安全功能。