当前位置:   article > 正文

局域网安全防护技术(内网)_内网安全防护

内网安全防护

局域网安全防护

目前主要使用的2种方式,基于是否有DHCP服务器而言

言下之意就是电脑主机的数量,因为涉及到绑定主机信息的过程(数量问题),由于每个厂商的英文简写不同,我以中文代替说明具体的意义

  1. 源认证+ARP检测(无DHCP)
  2. DHCP探测+源认证+ARP检测(有DHCP)

设想主机需要通信要完成几个过程

  1. 主机接入(IP和MAC)源认证
  2. 主机通讯(ARP)ARP检测
  3. 主机怎么拿到属于自己的IP(使用人或管理员)DHCP探测

源认证

针对源进入接口流量进行报文过滤控制,控制条件可以根据需求决定

IP+MAC+VLAN

  • IP绑定表项
  • MAC绑定表项
  • IP+MAC绑定表项
  • IP+VLAN绑定表项
  • MAC+VLAN绑定表项
  • IP+MAC+VLAN绑定表项

常见都是基于IP+MAC

控制条件实现方式

  • 静态手动绑定
    • 针对的是没有DHCP方式
  • 动态自动绑定
    • 针对有DHCP,因为可以借助DHCP的表项来实现动态绑定

ARP检测

ARP检测属于ARP攻击防御模块的一个功能,针对二层最重要的协议,相对还有很多种防御功能

ARP协议的问题

ARP是主机通讯时第一个需要执行的协议,因为刚开始主机之间是不知道物理的主机位置,IP只是个逻辑地址,通过逻辑地址找到物理真实的主机,才能建立通讯,由于ARP这个协议没有任何的认证机制,从而会被利用攻击

  • 中间人攻击
  • 网关欺骗
  • ARP泛洪

ARP检测能解决的是前2种,ARP泛洪需要参考其他技术解决

实现方式

  • 基于源认证绑定信息
  • 基于DHCP探测生成的表项信息

总结:说白了ARP检测就是人为的给ARP协议进行认证,只有管理员认准的才能通讯

DHCP探测

DHCP的作用

主机获取IP信息可以通过2种方式获取到

  • 手动配置
  • DHCP服务器自动给主机配置

网络中出现DHCP的问题

  • 网络中存在多个DHCP服务器会导致主机获取的IP信息错误,无法实现网络通讯
  • 网络中存在伪造DHCP续约报文
  • DHCP饿死攻击

目前常用都是基于第一种配置使用,可以根据实际需求增加配置功能

配置应用节点

主要三个节点

  • 接口应用
  • VLAN接口应用
  • 全局应用

需要注意ARP检测信息需要基于全局应用的源认证绑定信息,所以往往手动绑定的不是基于全局的,需要配置2个节点一样的信息
vlan或接口+全局

基于2种方案的组个思考

源认证+ARP检测(无DHCP)

1、可以只配置源认证,不配置ARP检测

源认证确实解决了只有信任的主机才能通讯,但是不能解决其中一台机器如果中毒或者不怀好意,就会利用ARP协议攻击其他主机行为(中间人攻击可以窃取数据)

DHCP探测+源认证+ARP检测(有DHCP)

有DHCP情况下,往往需求是基于2者的,一部分需要DHCP获取地址减轻工作量,一部分重要的服务器需要配置具体的IP(或者公用设置,打印机等)

1、不配置没有源认证

因为基于动态绑定可以实现DHCP用户认证通讯,但是无法实现静态绑定,也不能防止恶意静态配置IP行为(提前知道IP信息的情况下)

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/空白诗007/article/detail/949232
推荐阅读
相关标签
  

闽ICP备14008679号