技术背景:通常网络中使用vlan进行二层隔离,但在大型企业网中,业务需求种类繁杂,如果只通过vlan进行二层隔离,这会导致有限的vlan资源极大的浪费。端口隔离技术可以使同vlan中的终端二层隔离但保持三层互通,也可以将三层都隔离。
安全风险:企业中通常会为外来设备部署访客网络,由于访客设备的不确定性,其所安装的程序、使用的操作系统都不在企业管控之中,会导致企业无法对其进行有效控制。二层的互通会导致大量的广播泛洪,带来潜在的网络安全风险。一般来说访客接入网络后的需求是访问服务器和公网,并不需要与企业网络内的其他设备通信,使能端口安全功能后可以实现访客间的隔离以及访客与企业内网的隔离。
具体实现:创建端口隔离组,将接口加入组,即可让组内的端口隔离。默认模式为l2,表示二层隔离三层互通。更改模式为all,表示二层三层都隔离。
端口隔离属于物理层(本地)命令,组信息只在本设备有效。特殊情况下可以配置单向隔离,当前接口与指定接口单向隔离。
技术背景:交换机的mac地址表通过接口学习泛洪报文中的源mac地址产生的,如果接口下学习到的mac地址过多会导致mac地址表被占满,影响设备性能。
安全风险:攻击者可以采用发送大量的泛洪流量让接口学习到大量的mac地址从而让设备的mac地址表被占满,即mac地址表溢出攻击。攻击者还会伪装成与本地mac地址相同的地址接入网络,造成网络中的mac地址**。
具体实现:mac地址表项有3种类型:动态、静态和黑洞。
动态mac地址表项,交换机默认通过报文中的源mac地址自动学习到的,300秒老化,设备复位后丢失重新学习。
静态mac地址表项,由用户手工配置的,没有老化时间,系统复位后不会丢失。接口和mac地址静态绑定后,其他接口收到源mac地址是该地址的报文会被丢弃。
黑洞mac地址,由用户手动配置,没有老化时间。配置黑洞mac地址后,源mac和目的mac为该地址的报文都会被丢弃。可以将mac地址冲突的地址配置为黑洞。
动态mac地址老化时间,合理设置动态mac地址的老化时间,防止mac地址表**式增长。
禁止mac地址学习功能,限制非信任用户接入,防止mac地址攻击,只**已经学习到的mac地址的数据。对于在有控制层面的vxlan场景中,禁止mac地址学习,使用bgp路由传递mac地址信息即可。禁止学习时可以采用不同的动作,继续**(默认)或只**已知的mac报文,丢弃 未知的mac报文。
限制mac地址学习数量,防止设备学习过多的地址,同时也可以防止攻击者变换mac地址进行攻击。
技术背景:企业要求接入层交换机的每个端口上只能接入一台pc,如果私自接入傻瓜交换机或集线器扩展上网接口,那么这种行为应该被发现或禁止,并且产生告警信息。杜绝重要接入设备上的非法接入,控制接入用户的数量,在风险发生时及时发现并处理。
安全风险:私接交换机扩展上网接口的行为会导致接入终端数量超过了预期数量,过多的预期外接入设备会导致网络管理和控制变得更加困难。私接设备的不可控也可能带来环路风险,一些家庭网关设备可能导致dhcp服务混乱。严重影响网络的稳定性和带来潜在的网络安全风险。
具体实现:安全动态mac地址,配置端口安全后的默认类型。设备复位后会丢失,需要重新学习,默认没有老化时间,可以配置老化时间。
安全静态mac地址,由用户手工配置的,没有老化时间,系统复位后不会丢失。
安全sticky mac地址,自动学习mac地址,和接口绑定后没有老化时间,设备复位后不会丢失,默认学习mac地址的最大数量为1。通常可以将连接服务器、打印机、ap等mac地址较为固定设备的端口配置为sticky类型,但要保证该接口首次接入时的mac地址是合法地址。由于sticky类型端口的特性,通常建议配置后在拓扑图或文档中标注出来,以便日后遗忘或更换管理员时知悉已配置该功能。
配置端口安全时可以配置保护动作:1,默认动作丢弃非法mac地址报文且告警。2,丢弃非法mac地址报文但不告警。3,收到非法mac地址报文后关闭接口且告警。
作为一种防止和检测mac地址漂移的手段,不推荐在论述中作答。
现象概述:交换机上一个vlan内有两个接口学习到同一个mac地址,后学习到的表项覆盖了原先的表项。当一个mac地址在两个接口之间频繁发生迁移,就会产生mac地址漂移现象。
完全风险:正常情况下,网络中不会在短时间内出现大量mac地址漂移的现象,出现这种现象一般意味着网络存在环路或存在攻击行为。
防止方法:配置接口mac地址的优先级,将其中一个接口的学习优先级提高,高优先级学习到的地址会覆盖低优先级学习到的地址表项。也可以配置不允许相同优先级接口mac地址漂移,后学习到mac地址表项不会覆盖原先学习到的表项。
检测方法:可以在vlan或全局中启用mac地址漂移检测功能,配置当漂移现象发生后的接口动作,动作包括告警、阻断接口、阻断mac地址、关闭接口或退出vlan。特殊情况下允许存在相同的mac地址,例如vrrp的虚拟mac地址,可以加入到白名单中。
技术背景:局域网中的数据大多数都是以明文进行传输的,在安全性较高的场景下存在安全隐患,所以需要使用一种技术对数据进行加密。原理与三层中使用的ipsec相同。
安全风险:明文传输的数据很容易被攻击者、黑客监听窃取,造成数据泄露。攻击者可以直接窃取明文数据、修改数据内容或伪装成中间人欺骗窃取数据。
具体实现:macsec定义了基于以太网的数据安全通信的方法,通过逐条设备之间数据加密,保证数据传输安全性,对应的标准为802.1ae
数据传输安全性:
1:完整性检查。接收者接收到的数据必须与发送者发送的数据一致,不能有任何的修改,任何多出的或缺失的数据都不能通过完整性检查。使用哈希hash算法计算保证完整性,哈希算法有不可逆、唯一性、定长等特点。常用哈希算法有md5、sha、sha-256等等。数据发送者对数据进行哈希运算后同时发布计算得出的哈希值,接收者使用同样的哈希算法对数据进行计算,如果得出的哈希值与发送者一致,就表示数据是完整的。
2:私密性。对数据本身进行加密,常用的加密方式有对称加密和非对称加密以及密钥交换算法dh
对称加密:常用对称加密算法有des、3des等,发送方是使用一个密钥key对数据进行加密运算,接收方再使用key解密。高级算法可以保障key不能被推导出来,但由于仍需要使用各种方法预共享key(网络中为明文传输,也可以使用邮件或人员传递),且为了保证安全性需要经常更换key,假设攻击者截获到了传递中的key或者使用暴力破解方式猜出key,仍然可以窃取数据。
非对称加密:典型的加密算法rsa,基本原理是使用公钥加密的数据只能用私钥解密,使用私钥加密的数据只能用公钥解密。每个设备都有公钥和私钥两种key,每个设备都将自己的公钥发布到网络中中,任何人都可以收到,私钥不发布存储在本地。加密时,将数据使用对端的公钥进行加密后传输,对端收到后再使用自己的私钥进行解密。这样,即使攻击者收到了加密后的数据包,由于没有对应的私钥,无法解密数据。非对称方式的缺点是加密速度较慢,加密后的文件体积较大。
两种加密方式的结合:数据仍然使用对称加密(速度快,体积小),对key进行非对称加密预共享(key文件通常很小)。将来需要修改key时再做一次非对称加密即可。
密钥交换算法dh:不用对预共享的key加密也可以安全传输,举例说明:发送者产生key=100,在本地加上一个随机数500=600,将600发送出去,接收者收到后再加上一个随机数800=1400,将1400返回给发送者,发送收到后减去随机数500=900,再将900发送出去,接收者接收到900后减去自己的随机数800,就可以得出key为100了。攻击者截获到的均为无意义的干扰数据,无法推导出真实key值。举例中的加减只是为了简单阐述计算方法,实际中使用更加复杂的计算方式来保证key值不被推导出来。
3:源认证。攻击者作为中间人伪装成通信双方中的一方与另一方通信从而窃取数据。基本原理是,发送者产生一个数字签名(内容:我是a),并且使用自己的私钥进行加密,然后与加密后的数据一起进行哈希运算,然后发送出去。接收者收到后使用发送者a的公钥解密,得到数字签名“我是a”,就可以证明数据是a发出来的,再进行完整性检查,通过后再解密数据。虽然攻击者也能用公钥对数字签名解密(没有意义),但由于a是用自己的私钥对数字签名加密,攻击者没有a的私钥,无法伪装成a作为中间人从接收者处窃取数据。源认证也有不可抵赖性,发送者无法否认是数据的发送方。
技术背景:正常情况下,二层网络设备对收到的广播、未知单播和组播报文采用泛洪的方式处理,这些报文称为bum流量。大量的bum流量会导致二层网络设备性能下降。流量抑制可以配置阈值来限制各种类型报文的速率,防止bum报文产生流量泛洪,阻止已知组播报文和已知单播报文的大流量冲击。
安全风险:攻击者伪造大量的bum流量报文,二层网络设备需要频繁泛洪处理这些流量,从而导致设备性能下降,严重时会导致网络中断。
具体实现:在流量的入方向接口上配置bum报文的百分比阈值进行流量抑制后限速,当入口流量超过阈值后丢弃超额的流量。当有环路存在时会产生广播风暴,配置风暴控制,通过阻塞报文或关闭接口来阻断bum报文。最大值表示超过该值后关闭接口或阻断报文,低于最小值恢复,处于最大到最小期间保持当前状态。
重要!!!论述题中要求答5个,这个必答。
技术背景:dhcp报文中的发现阶段discover报文和请求阶段request报文都是广播,意味着网络中可能存在不止一台dhcp服务器为网络中的设备分配ip地址。也就意味着可能存在非法的dhcp服务器,导致网络中的设备获取到错误的ip地址。在中间设备上部署dhcp snooping技术对dhcp报文监听,通过信任功能的dhcp snooping绑定表实现dhcp网络安全。
安全风险:目前dhcp在网络中的引用非常广泛,就产生了很多针对dhcp的攻击,例如dhcp server仿冒者攻击、dhcp server拒绝服务攻击、仿冒都会从报文攻击等。也存在用户无意中接入其他带有dhcp服务功能的家庭网关型设备,网络中的其他设备获取到错误的ip地址、网关,导致网络中断。
具体实现:在交换机上开启dhcp snooping功能监听dhcp报文,所有接口都成为非信任接口,非信任接口不**主机的discover报文和服务器的offer、ack、nak报文。将连接合法dhcp服务器的接口设置为信任接口,交换机在这个接口上正常**上述报文。
信任接口配置示意,途中绿点。
开启dhcp snooping功能的交换机会产生一张dhcp绑定表,可以看做arp表和mac地址表的结合。
dhcp饿死攻击:
dhcp是根据报文中的chaddr(设备硬件地址,mac地址)字段为设备分配ip地址,攻击者不断伪造源mac地址恶意向服务器申请ip地址,直到ip地址资源池中的地址被耗尽,导致正常用户无法申请到ip地址。可以通过dhcp snooping的mac地址限制最大学习数量来防止攻击者变换mac地址发送大量dhcp请求。
改变chaddr值的dos攻击:
攻击者不改变源mac地址,但伪造不同的chaddr值,以此冒充不同的用户申请ip地址。直到ip地址资源池中的地址被耗尽,导致正常用户无法申请到ip地址。由攻击者并没有改变源mac地址,所以限制mac地址学习数量也无法防止这种攻击手段。dhcp snooping可以检查dhcp报文中的chaddr值是否与源mac地址相同,如果相同就**,不相同丢弃。有效防止了改变chaddr值的攻击。
中间人攻击:
攻击者利用arp机制,向客户端发送带有自己mac地址但ip是服务器的报文,让客户端学习到中间人的mac,达到仿冒服务器的目的。同样的,向服务器发送带有自己mac地址但ip地址是客户端的报文,让服务器学习到中间人的mac,达到仿冒客户端的目的。启用dhcp snooping后会生成dhcp绑定表,绑定表中记录了ip和mac的绑定信息,dhcp snooping检查arp报文,当发现ip/mac的映射关系不能匹配绑定表时丢弃该报文,杜绝了中间人仿冒攻击。
技术背景:攻击者伪造合法ip地址非法接入网络,导致合法用户无法上网,或者信息泄露。ip源保护针对ip地址欺骗提供了一种防御机制,可以有效阻止此类攻击行为。
安全风险:攻击者伪装成合法用户的ip地址接入到网络中,窃取数据资料等信息。
具体实现:ipsg是一种基于二层接口的ip地址过滤技术,可以防止唯一主机伪造合法ip地址来仿冒合法主机,还能确保非授权主机不能通过自己制定ip地址的方式来访问网络或攻击网络。配置:将ip地址、mac地址和vlan关联,在接口上调用或者直接与接口进行绑定。
这种ip源保护可以在小型网络中使用,但最好的方式是使用认证:820.1x
802.1x:用户名+密码接入网络,认证服务器动态分配vlan和ip地址。
基于对抗学习的人工智能安全防御技术综述
随着人工智能的快速发展,其在各个领域的应用也越来越广泛。然而,人工智能系统的安全性问题也日益凸显。恶意攻击者可以通过对抗样本和对抗攻击等手段来欺骗和破坏人工智能系统。为了应对这一挑战,基于对抗学习的人工智能安全防御技术应运而生。本文将对基于对抗学习的人工智能安全防御技术进行综述,包括其原理 方法以及...
网络安全与防护 守护数字世界的安全壁垒
网络安全与防护是一门涉及计算机科学 信息技术 法律等多个领域的交叉学科,主要研究如何保障网络系统的安全,防范网络攻击 病毒 木马等安全威胁。在当今数字化时代,网络安全与防护已经成为了一个重要的领域,广泛应用于 金融 电信 医疗等各个领域。.所属学院 网络安全与防护通常隶属于计算机科学与技术学院或者信...
关于网站安全的一些讨论
互联网的普及和发展为企业和个人提供了巨大的机会,但同时也伴随着网络安全威胁的增加。被攻击是一个常见的问题,可能导致数据泄露 服务中断和声誉受损。在本文中,我们将 与网络安全紧密相关的因素,分析为什么 容易受到攻击,并提供解决 被攻击问题的方法,同时强调cdn 内容分发网络 在提升网络安全方面的关键作...