1重視網路安全,提高資料通訊網路的管理水平
1.1加大對安全性的評估力度
有效保障資料通訊網路的穩定性和安全性,就必須充分發揮技術人力資源的作用,積極構建起健全完善的資料通訊平臺,並積極對系統平臺的安全性進行科學的全面的評估。作為一名合格具備專業化技術的人員,應按照相關制度要求和標準流程,設定科學的評估方式,對整個網路環境進行系統的評估,並適時給予安全調整,準確分析潛在的使用者群體以及資訊源,並對他們進行安全評估和識別,充分了解資料通訊網路的發展實際,以此為出發點開展系統安全性的分析活動。
1.2及時排查隱存的安全威脅
定期開展網路安全的檢查與維修活動,以及時確保資料資訊的可靠性與真實性得到有效的安全確認,避免伺服器的終端裝置以及資訊網中的硬體裝置和軟體裝置受到惡意破壞,防止系統網路受到不法分子的嚴重攻擊,達到對資料庫內部的資訊進行保密的目的。所以這就要求專業化的技術人員需以對網路安全性的有效評估為前提,全面仔細存在的隱形的安全威脅,積極設定高效的網管設定等形式,不斷優化系統漏洞,拒絕一切不法分析使用者的對網路系統的入侵和攻擊,降低安全風險的發生。
2路由器與交換機漏洞的發現和防護
作為通過遠端連線的方式實現網路資源的共享是大部分使用者均會使用到的,不管這樣的連線方式是利用何種方式進行連線,都難以避開負載路由器以及交換機的系統網路,這是這樣,這些裝置存在著某些漏洞極容易成為程式設計師的攻擊的突破口。從路由器與交換機存在漏洞致因看,路由與交換的過程就是於網路中對資料包進行移動。在這個轉移的過程中,它們常常被認為是作為某種單一化的傳遞裝置而存在,那麼這就需要注意,假如某個程式設計師竊取到主導路由器或者是交換機的相關許可權之後,則會引發損失慘重的破壞。縱觀路由與交換市場,擁有最多市場佔有率的是思科公司,並且被網路領域人員視為重要的行業標準,也正因為該公司的產品普及應用程度較高,所以更加容易受到程式設計師攻擊的目標。比如,在某些作業系統中,設定有相應的用於思科裝置完整工具,主要是方便管理員對漏洞進行定期的檢查,然而這些工具也被攻擊者注意到並利用工具相關功能查找出裝置的漏洞所在,就像密碼漏洞主要利用JohntheRipper進行攻擊。所以針對這型別的漏洞防護最基本的防護方法是開展定期的審計活動,為避免這種攻擊,充分使用平臺帶有相應的多樣化的檢查工具,並在需要時進行定期更新,並保障裝置出廠的預設密碼已經得到徹底清除;而針對BGP漏洞的防護,最理想的辦法是於ISP級別層面處理和解決相關的問題,假如是網路層面,最理想的辦法是對攜帶資料包入站的`路由給予嚴密的監視,並時刻搜尋內在發生的所有異常現象。
3交換機常見的攻擊型別
3.1MAC表洪水攻擊
交換機基本執行形勢為:當幀經過交換機的過程會記下MAC源地址,該地址同幀經過的埠存在某種聯絡,此後向該地址傳送的資訊流只會經過該埠,這樣有助於節約頻寬資源。通常情況下,MAC地址主要儲存於能夠追蹤和查詢的CAM中,以方便快捷查詢。假如程式設計師通過往CAM傳輸大量的資料包,則會促使交換機往不同的連線方向輸送大量的資料流,最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰。
3.2ARP攻擊
這是在會話劫持攻擊環節頻發的手段之一,它是獲取實體地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網路上後,這個節點會收到確認其實體地址的應答,這樣的資料包才能被傳送出去。程式設計師可通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通訊量使網路阻塞,ARP欺騙過程如圖1所示。
3.3VTP攻擊
以VTP角度看,探究的是交換機被視為VTP客戶端或者是VTP伺服器時的情況。當用戶對某個在VTP伺服器模式下工作的交換機的配置實施操作時,VTP上所配置的版本號均會增多1,當用戶觀察到所配置的版本號明顯高於當前的版本號時,則可判斷和VTP伺服器實現同步。當程式設計師想要入侵使用者的電腦時,那他就可以利用VTP為自己服務。程式設計師只要成功與交換機進行連線,然後再本臺計算機與其構建一條有效的中繼通道,然後就能夠利用VTP。當程式設計師將VTP資訊傳送至配置的版本號較高且高於目前的VTP伺服器,那麼就會致使全部的交換機同程式設計師那臺計算機實現同步,最終將全部除非預設的VLAN移出VLAN資料庫的範圍。
4安全防範VLAN攻擊的對策
4.1保障TRUNK介面的穩定與安全
通常情況下,交換機所有的埠大致呈現出Access狀態以及Turnk狀態這兩種,前者是指使用者接入裝置時必備的埠狀態,後置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時,能夠避免開展任何的命令式操作行為,也同樣能夠實現於跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是裝置介面的配置處於自適應的自然狀態,為各項攻擊的發生埋下隱患,可通過如下的方式防止安全隱患的發生。首先,把交換機裝置上全部的介面狀態認為設定成Access狀態,這樣設定的目的是為了防止程式設計師將自己裝置的介面設定成Desibarle狀態後,不管以怎樣的方式進行協商其最終結果均是Accese狀態,致使程式設計師難以將交換機裝置上的空閒介面作為攻擊突破口,並欺騙為Turnk埠以實現在區域網的攻擊。其次是把交換機裝置上全部的介面狀態認為設定成Turnk狀態。不管程式設計師企圖通過設定什麼樣的埠狀態進行攻擊,這邊的介面狀態始終為Turnk狀態,這樣有助於顯著提高裝置的可控性[3]。最後對Turnk埠中關於能夠允許進出的VLAN命令進行有效配置,對出入Turnk埠的VLAN報文給予有效控制。只有經過允許的系類VLAN報文才能出入Turnk埠,這樣就能夠有效抑制程式設計師企圖通過傳送錯誤報文而進行攻擊,保障資料傳送的安全性。
4.2保障VTP協議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN幹道協議)是用來使VLAN配置資訊在交換網內其它交換機上進行動態註冊的一種二層協議,它主要用於管理在同一個域的網路範圍內VLANs的建立、刪除以及重新命名。在一臺VTPServer上配置一個新的VLAN時,該VLAN的配置資訊將自動傳播到本域內的其他所有交換機,這些交換機會自動地接收這些配置資訊,使其VLAN的配置與VTPServer保持一致,從而減少在多臺裝置上配置同一個VLAN資訊的工作量,而且保持了VLAN配置的統一性。處於VTP模式下,程式設計師容易通過VTP實現初步入侵和攻擊,並通過獲取相應的許可權,以隨意更改入侵的區域網絡內部架構,導致網路阻塞和混亂。所以對VTP協議進行操作時,僅儲存一臺設定為VTP的伺服器模式,其餘為VTP的客戶端模式。最後基於保障VTP域的穩定與安全的目的,應將VTP域全部的交換機設定為相同的密碼,以保證只有符合密碼相同的情況才能正常運作VTP,保障網路的安全。
5結語
處於全球資訊以及計算機等科學技術的不斷改善和向前發展的社會環境中,資料通訊網路的發展內容得到了多樣化的豐富和充實,資料通訊已發展成當今社會通訊的主要方式。所以不斷是從基礎研究理論或是實際應用活動中,如何保障網路安全應當成為今後資料網路發展中的重大課題,研究人員應當致力於探索多樣化和創新化的方式和渠道,以全面保障資料通訊網路的安全和穩定,為廣大社會使用者創造高效放心的通訊環境。