• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    AFC網(wǎng)絡(luò)中VLAN技術(shù)及其安全性

    2013-08-23 09:31:20畢瑩
    關(guān)鍵詞:安全隱患安全解決方案

    畢瑩

    【摘 要】本文從AFC系統(tǒng)網(wǎng)絡(luò)的安全性出發(fā),以三號線AFC系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)為例,分析VLAN技術(shù)在AFC系統(tǒng)網(wǎng)絡(luò)中起到的重要性作用,提出兩種局域網(wǎng)中比較經(jīng)典的第二層網(wǎng)絡(luò)攻擊,分析產(chǎn)生攻擊的依存環(huán)境條件、攻擊方法及可能產(chǎn)生的危害,并提出了相應(yīng)的防范措施,借此以拋磚引玉,旨在提醒更多人提高安全意識,注意安全操作。

    【關(guān)鍵詞】安全;VLAN技術(shù);AFC系統(tǒng)網(wǎng)絡(luò);安全隱患;解決方案

    0.引言

    自動售檢票(AFC)系統(tǒng)是一個集售票、檢票、計費、收費、統(tǒng)計、清分結(jié)算和運行管理等于一體的自動化系統(tǒng)[1],其作為軌道交通運營管理重要子系統(tǒng)之一,既承擔(dān)著減少地鐵工作人員的勞動強度,獲取城市交通客流信息的一手資料等任務(wù),也負(fù)責(zé)著票務(wù)收入計量,財務(wù)信息的匯總分析等重要工作。鑒于AFC系統(tǒng)在軌道交通運營過程中的重要地位,其安全性原則不容忽視。安全性建設(shè)意義重大,但完善安全性建設(shè)卻難以面面俱到。一方面,我們知道安全是AFC系統(tǒng)能否正常運行的關(guān)鍵;另一方面,AFC系統(tǒng)作為內(nèi)容繁多,結(jié)構(gòu)嚴(yán)密,邏輯清晰的信息聯(lián)機儲存以及管理的系統(tǒng),其安全性建設(shè)是一個系統(tǒng)工程。信息安全理論的木桶原理告訴我們:一個組織的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定,也即是說,安全性建設(shè)這個系統(tǒng)工程必須重視每一個安全細(xì)節(jié)。

    1.三號線網(wǎng)絡(luò)中的VLAN技術(shù)

    網(wǎng)絡(luò)作為AFC系統(tǒng)的重要組成部分,其安全性也是AFC系統(tǒng)安全的一部分。

    三號線的AFC網(wǎng)絡(luò)規(guī)劃需要將多個車站的終端組成一個網(wǎng)絡(luò),并且由于業(yè)務(wù)分工的需要,每個車站內(nèi)部的終端需要組成不同的局域網(wǎng)。若使用傳統(tǒng)的局域網(wǎng)加路由的技術(shù),則滿足需求的網(wǎng)絡(luò)方案中必須用到大量的路由,而且對處理網(wǎng)絡(luò)結(jié)構(gòu)的改變也不夠靈活。而VLAN技術(shù)的特點卻正好有效的解決了以上需求。利用VLAN技術(shù)以及VLAN技術(shù)上的干道技術(shù),一方面,我們可以有效的分割廣播域且不會增加對路由的需求,節(jié)約了成本;另一方面,VLAN可以非常靈活的處理終端的重新歸網(wǎng)問題。

    2.安全隱患

    在了解了VLAN技術(shù)之后,我們來看看這種安全技術(shù)的兩個潛在隱患。

    第二層攻擊類型介紹。

    交換機處理的數(shù)據(jù)屬于參考網(wǎng)絡(luò)模型的第二層,即數(shù)據(jù)鏈路層。利用該層數(shù)據(jù)幀進行的網(wǎng)絡(luò)攻擊我們都稱為第二層網(wǎng)絡(luò)攻擊。已知的第二層攻擊有以下幾種:VLAN跳躍,STP攻擊,DHCP欺騙,CAM表溢出等。我們將重點放在VLAN跳躍攻擊上。

    VLAN跳躍攻擊有兩種方法,分別是交換機欺騙和雙重標(biāo)示。

    2.1交換機欺騙

    我們知道,如果一條線路成為干道的話,該線路將可以傳遞所有VLAN數(shù)據(jù)幀。一些cisco交換機端口的中繼默認(rèn)設(shè)置為auto模式,這使得接入交換機的攻擊者主機可以構(gòu)造DTP幀來打開交換機的中繼模式。收到DTP幀的交換機會認(rèn)為攻擊者主機是另一交換機的中繼端口,從而打開自己的中繼模式,使得交換機將所有的VLAN數(shù)據(jù)幀傳送給攻擊者主機。如果車站服務(wù)器被入侵,那么當(dāng)服務(wù)器上的入侵者向交換機發(fā)送其構(gòu)造的DTP幀時,中繼默認(rèn)設(shè)置為auto模式的交換機便會將該交換機上所有VLAN的數(shù)據(jù)包發(fā)給工作站。此時,服務(wù)器上的入侵者得到了該連接到該交換機上所有其他設(shè)備的數(shù)據(jù)包,包括GATE,TVM,BOM,TCM等。這就是VLAN跳躍攻擊。

    2.2雙重標(biāo)記

    為了能和不支持VLAN技術(shù)的交換機或其他設(shè)備通訊,支持VLAN技術(shù)的交換機設(shè)置了一個默認(rèn)的本地VLAN。這個VLAN的發(fā)出數(shù)據(jù)幀是不帶VLAN標(biāo)簽的。如果一個數(shù)據(jù)幀含有本地VLAN的標(biāo)簽,那么在發(fā)出這個數(shù)據(jù)幀的時候,該VLAN會被交換機刪去。針對這一處理方法,攻擊者可以構(gòu)造一個雙重標(biāo)記的數(shù)據(jù)幀,達到訪問本不能訪問的VLAN網(wǎng)絡(luò)的目的。

    如右圖所示,假設(shè)下圖的工作站A和終端A分別屬于VLAN2和VLAN3,在一般情況下工作站A不能訪問終端A。然而,當(dāng)工作站A向交換機A發(fā)送一個雙重標(biāo)記的數(shù)據(jù)幀時,這個數(shù)據(jù)幀就可以到達終端A,進而達到訪問終端A的目的。

    3.防范措施

    3.1針對交換機欺騙的防范措施

    交換機欺騙的危害雖大,但其預(yù)防措施卻并不復(fù)雜。事實上,交換機欺騙攻擊之所以說是一個安全隱患是因為大多數(shù)的交換機默認(rèn)就將端口設(shè)置auto模式。三號線采用的交換機CiscoCatalyst 3550,其端口的默認(rèn)設(shè)置便是這種形式。

    為了防范交換機欺騙攻擊,我們可以修改非干道端口上默認(rèn)打開的auto模式,將其改成接入模式。以CiscoCatalyst 3550交換機為例,我們可以用下面的命令消除交換機欺騙攻擊隱患:

    Switch(config)#interface gigabitethernet 0/1

    Switch(config-if)#switchport mode access

    C3550交換機是地鐵三號線車站計算機系統(tǒng)中的站臺設(shè)備接入交換機,數(shù)目較多,這就加大該隱患的危險性。以上改變端口默認(rèn)設(shè)置的命令應(yīng)該在各個C3550交換機上執(zhí)行,另外,對于線路中的其他交換機,我們也必須確定交換機的端口是否為auto設(shè)置,若是,則按照相應(yīng)交換機的操作命令修改auto設(shè)置。

    3.2針對雙重標(biāo)記的防范措施

    實現(xiàn)雙重標(biāo)記這種攻擊,前提條件是兩臺交換機使用802.1q協(xié)議作為干道的中繼通訊以及兩臺交換機均具有相同標(biāo)號的本地VLAN。大多數(shù)的交換機為了提高兼容性都是使用802.1q協(xié)議作為干道的中繼通訊協(xié)議,并且,交換機默認(rèn)的本地VLAN都為VLAN1,從而,這些默認(rèn)設(shè)置滋生了雙重標(biāo)識這種安全隱患。

    (1)修改以上提及的默認(rèn)設(shè)置,我們便可以防范這個隱患。

    以C3550交換機為例,可以在交換機上利用下列命令將本地VLAN的編號設(shè)置成其他編號:

    Switch(config)#interface gigabitethernet 0/1

    Switch(config-if)#switchport trunk native vlan 123

    (2)選擇思科的專有協(xié)議ISL代替802.1q協(xié)議。這方法只能用在車站交換機全部支持ISL協(xié)議的場合,操作的命令是:

    Switch(config-if)#switchport trunk encapsulation isl

    (3)比較實用的防范方法是在干道端口上標(biāo)記所有本地VLAN流量,命令如下:

    Switch(config-if)#switchport native vlan tag

    通過這條命令,我們可以讓所有的干道端口保留本地VLAN數(shù)據(jù)包的幀標(biāo)記,雙重標(biāo)記攻擊便失效了。

    4.結(jié)語

    通過討論VLAN的兩個較為隱蔽安全隱患及其防范措施,我們填補三號線AFC網(wǎng)絡(luò)的存在的一些安全隱患。安全是一個系統(tǒng)性工程,而安全系統(tǒng)總是取決與最薄弱環(huán)節(jié)的安全程度,因此在日常工作中,我們必須加強安全意識,領(lǐng)會安全性原則,并重視安全性操作,借此提高廣州地鐵的安全性建設(shè)水平,為更好服務(wù)市民做出努力。

    【參考文獻】

    [1]趙時旻.軌道交通自動售檢票系統(tǒng)[M].上海:同濟大學(xué)出版社,2007.

    [2]Dr.Andrew,A.Vladimirov,etc.,HACKING EXPOSED CISCO NETWORKS:CISCO SECURITY SECRETS & SOLUTIONS,New York.

    猜你喜歡
    安全隱患安全解決方案
    解決方案和折中方案
    簡潔又輕松的Soundbar環(huán)繞聲解決方案
    探討手術(shù)室護理安全隱患及防范措施
    今日健康(2016年12期)2016-11-17 13:29:46
    城市燃?xì)夤芫W(wǎng)的安全隱患及應(yīng)對措施
    變電運維安全隱患及其解決方案探析
    高校安全隱患與安全設(shè)施改進研究
    商(2016年27期)2016-10-17 05:02:12
    4G LTE室內(nèi)覆蓋解決方案探討
    Moxa 802.11n WLAN解決方案AWK-1131A系列
    河源市| 建昌县| 库尔勒市| 武鸣县| 富源县| 大厂| 敦煌市| 左权县| 电白县| 桑植县| 蒙自县| 崇义县| 广西| 武陟县| 仙居县| 云南省| 沧源| 樟树市| 沐川县| 关岭| 泸定县| 岳阳市| 陵水| 兴仁县| 宁波市| 临邑县| 石景山区| 湖北省| 海南省| 会同县| 五台县| 梁山县| 阿瓦提县| 邵武市| 黄骅市| 宁蒗| 孟津县| 彭阳县| 梁山县| 筠连县| 云南省|