王陸然
(航空工業(yè)空氣動(dòng)力研究院,遼寧 沈陽 110000)
隨著我國社會(huì)經(jīng)濟(jì)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在我國人民生活中進(jìn)行普及,并且人們對于網(wǎng)路中的安全也越來越重視。特別是政府以及軍區(qū)等涉及到涉密文件的單位,對于這些單位來說,網(wǎng)絡(luò)安全已經(jīng)成為重要問題。交換機(jī)是網(wǎng)絡(luò)中的主要核心設(shè)備,并且交換機(jī)自身的安全性與網(wǎng)絡(luò)整體的安全性有著直接的關(guān)系。所以,為了有效避免因?yàn)榫W(wǎng)絡(luò)關(guān)系所帶來的影響,并有效的幫助涉密網(wǎng)絡(luò)穩(wěn)定使用,需要通過一定的方式來對交換機(jī)的安全技術(shù)以及策略進(jìn)行有效研究,這樣可以有效的增加涉密網(wǎng)絡(luò)的安全性以及穩(wěn)定性。
在交換機(jī)進(jìn)行使用中往往是通過密碼以及驗(yàn)證來進(jìn)行登錄,這樣可以確保使用的權(quán)限以及合法性,并且密碼在交換機(jī)中擁有兩種保存方式,主要分為明文加密以及密文加密方式[1]。明文密碼在進(jìn)行輸入中可以通過查看的配置文件來明確的看出,而不同的是密文密碼是不能通過查看配置文件來進(jìn)行識別的。為了更加有效的保證涉密網(wǎng)絡(luò)的安全性,可以通過對enablesecret 命令的設(shè)置來進(jìn)行特權(quán)模式的密碼設(shè)置。并且在進(jìn)行密碼設(shè)置時(shí)需要采用高強(qiáng)度的密碼來進(jìn)行設(shè)置,可以采用字母和數(shù)字混合密碼,或者是設(shè)置大小寫以及符號的方式來進(jìn)行密碼的設(shè)置。為了更安全的進(jìn)行密碼的使用,也可以通過Servicepassword-encryption命令來對全部的密碼進(jìn)行保密,這樣可以有效的提高密碼的安全性。
在網(wǎng)絡(luò)中的多數(shù)管理人員都會(huì)采用Telnet 命令來對交換機(jī)進(jìn)行遠(yuǎn)程管理。但是,在進(jìn)行Telnet 命令的使用中存在一個(gè)非常危險(xiǎn)的問題,主要是以明文的方式來進(jìn)行用戶名以及口令的輸入[2]。這樣很容易被攻擊者盜取口令,從而導(dǎo)致網(wǎng)絡(luò)受到嚴(yán)重的攻擊。所以,為了更加好全的使用對其進(jìn)行了SSH 協(xié)議,并在進(jìn)行通訊時(shí)對用戶名以及口令設(shè)置了保密情況,這樣可以更加有效的提高了對非法用戶竊取口令的控制,從而為網(wǎng)絡(luò)管理人員提供了更加有效的遠(yuǎn)程管理方式。并且采用遠(yuǎn)程管理方式可以有效的發(fā)現(xiàn)危險(xiǎn),并且對于出現(xiàn)的問題可以及時(shí)有效的進(jìn)行處理,這樣可以更好的避免出現(xiàn)不必要的損失,同時(shí)還可以有效的確保管理人員在進(jìn)行控制中不會(huì)出現(xiàn)突發(fā)情況,并且通過明文的方式可以有效的對口令進(jìn)行保護(hù),這樣可以將損失降到最小。
虛擬局域網(wǎng)被稱為VLAN,VLAN主要是一種通過將區(qū)域網(wǎng)內(nèi)的設(shè)備邏輯進(jìn)行一個(gè)網(wǎng)段的劃分,從而更加有效的實(shí)現(xiàn)了虛擬工作組的新興技術(shù)。因?yàn)閂LAN 具有一定的高強(qiáng)度的靈活性并且不會(huì)受到物理位置的控制,所以用戶和設(shè)備的主要通信是在同一種網(wǎng)絡(luò)中進(jìn)行的。并且在端口中進(jìn)行VLAN 的劃分是作為常見和最有效的VLAN 劃分方法。同時(shí)它是由交換機(jī)中的物理端口進(jìn)行區(qū)分為若干個(gè)組,并且每組都構(gòu)成了一個(gè)虛擬網(wǎng)絡(luò)。
VLAN 在進(jìn)行劃分中可以對廣播的范圍進(jìn)行限制。在相同網(wǎng)段中,VLAN 的內(nèi)部廣播與單播流量在被惡意攻擊時(shí)并不會(huì)向其他VLAN 進(jìn)行轉(zhuǎn)發(fā),這主要是因?yàn)閺V播風(fēng)暴被VLAN 隔開了,并且不相同的VLAN 之間無法進(jìn)行相互的聯(lián)系,如果想要進(jìn)行聯(lián)系需要借助路由器來進(jìn)行聯(lián)系。所以,在涉密網(wǎng)絡(luò)中可以將交換機(jī)不同端口根據(jù)應(yīng)用類型來進(jìn)行訪問特權(quán)的限制,分進(jìn)行VLAN 的分類,這樣可以有效的實(shí)現(xiàn)涉密網(wǎng)絡(luò)的安全保障[3]。
VLAN 中繼協(xié)議簡稱為VTP,VTP 是一種消息協(xié)議,主要是在第2 層的中繼幀來進(jìn)行網(wǎng)絡(luò)中VLAN 管理,并對VLAN 的添加以及刪除和重命名進(jìn)行有效管理,同時(shí)還需要維持整個(gè)網(wǎng)絡(luò)VLAN 設(shè)置的相同性。往往一個(gè)VTP 域是有多臺交換機(jī)進(jìn)行組成,并且在同一個(gè)VTP 域中所有的交換機(jī)可以共享VLAN 信息。交換機(jī)在VTP 域中有三種進(jìn)行工作的方式,被稱為服務(wù)器模式和客戶模式以及透明模式。默認(rèn)服務(wù)模式只有一個(gè)被當(dāng)作VTP 域名被指定或者是在獲知后,所具有的VLAN 信息才能被傳遞到整個(gè)VTP域當(dāng)中。并且在傳遞中往往是間隔5 分鐘或者是因?yàn)閂LAN 配置出現(xiàn)一定變化時(shí),就會(huì)產(chǎn)生VTP 通告,并且在VTP 中包含了VLAN 配置版本,在高版本當(dāng)中所出現(xiàn)的通告VLAN 信息會(huì)比原本具備的信息進(jìn)行更新。攻擊人在向VTP 域中的服務(wù)器模式交換機(jī)發(fā)送配置版本較高的VTP 通告,從而致使所有的交換機(jī)的VLAN 版本所具有的信息都會(huì)與攻擊人的電腦中存在的VLAN 版本信息進(jìn)行同步。這樣攻擊者在進(jìn)行攻擊時(shí)就會(huì)把所有鄙視默認(rèn)VLAN 從VLAN 數(shù)據(jù)中進(jìn)行轉(zhuǎn)移,從而使其他用戶在相同的VLAN 當(dāng)中。為了更加有效的保障VTP 域的安全性,VTP 域在使用之前必須制定密碼[4]。
如果在一個(gè)VLAN 中連接多個(gè)交換機(jī),則必須需要使用繼鏈路(Trunk Link)的方式來進(jìn)行連接。如果中繼鏈路中出現(xiàn)一個(gè)協(xié)議叫作動(dòng)態(tài)鏈路協(xié)議(Dynamic Trunk Protocol)。但是如果在使用中出現(xiàn)不當(dāng)使用時(shí),會(huì)成為攻擊者的目標(biāo)。攻擊者可以采用模擬交換機(jī)軟件來對DTP 協(xié)議進(jìn)行啟動(dòng),同時(shí)還會(huì)與其他交換機(jī)協(xié)商中建立中繼鏈路,從而在其他交換機(jī)的所有VLAN,并與其中任意一個(gè)進(jìn)行聯(lián)系。為了更加有效的保證涉密網(wǎng)絡(luò)中交換機(jī)VLAN 的安全保證,需要將交換機(jī)中所有的中繼段口設(shè)置成只能同過專門的VLAN 進(jìn)行使用,比對沒有使用的端口進(jìn)行關(guān)閉。同時(shí),所有的用戶端口都需要設(shè)置成非鏈路模式并對DTP 協(xié)議進(jìn)行關(guān)閉,這樣可以有效的避免攻擊者利用中繼鏈路進(jìn)行非法的使用。
NS 中最主要的安全功能就是訪問控制。我們可以從兩個(gè)方面來理解訪問控制的內(nèi)涵。一方面是指對用戶端的資源進(jìn)行保護(hù)。目前,這種保護(hù)主要是由防火墻來實(shí)現(xiàn)的。這種防火墻保護(hù)通常會(huì)位于比較靠近資源的部分,和服務(wù)實(shí)體所提供的訪問控制相比,不是特別精細(xì)。另一方面就是通過限制用戶使用的方式來保護(hù)通信資源。這種措施會(huì)位于比較靠近用戶的部位。就目前計(jì)算機(jī)網(wǎng)絡(luò)使用的實(shí)際情況來看,還無法實(shí)現(xiàn)這一。功能,其中最主要的原因就是計(jì)算機(jī)網(wǎng)絡(luò)具有無連接的特點(diǎn),所以無法對用戶濫用信息進(jìn)行有效控制。NS 中的網(wǎng)絡(luò)公共信息服務(wù)是由一類比較特殊的ES 所提供的,和用戶最終的ES 的安全需求具有很大程度的一致性。因?yàn)镋S 提供的信息具有公開性的特點(diǎn),所以只需要保證數(shù)據(jù)能夠被完整傳輸即可,不需要考慮數(shù)據(jù)保密的要求。除了提供安全服務(wù)以外,網(wǎng)絡(luò)實(shí)體也和ES具有同樣的系統(tǒng)完整性需求,確保該實(shí)體的功能和所依賴的數(shù)據(jù)不被非法篡改。網(wǎng)絡(luò)實(shí)體間的對等實(shí)體認(rèn)證也是非常重要的,這些實(shí)體間交換的控制信息的安全對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的正常運(yùn)行至關(guān)重要。與端系統(tǒng)相似,網(wǎng)絡(luò)訪問控制決策、網(wǎng)絡(luò)活動(dòng)的審計(jì)、認(rèn)證、加解密、數(shù)據(jù)完整性所需的密鑰由網(wǎng)絡(luò)中的管理實(shí)體完成。
在對交換機(jī)端口的MAC 地址綁定技術(shù)與保障涉密網(wǎng)絡(luò)內(nèi)部安全的主要保障條件,MAC 的主要原理是將交換機(jī)的端口與允許通過的端口訪問網(wǎng)絡(luò)與MAC 地址相互進(jìn)行綁定,這樣才能對端口的網(wǎng)絡(luò)流量進(jìn)行有效控制與管理。并且在進(jìn)行網(wǎng)路訪問中需要將MAC 地址與交換機(jī)端口綁定的MAC 地址不同,出現(xiàn)這種情況之后交換機(jī)將會(huì)強(qiáng)制關(guān)閉此端口,只有網(wǎng)絡(luò)管理人員對該端口進(jìn)行重新激活之后才能正常使用。這樣可以更加有效的阻止不良用戶試圖通過其他用戶活動(dòng)的網(wǎng)絡(luò)端口來進(jìn)行自己機(jī)器的連接,從而獲得涉密網(wǎng)絡(luò)的使用權(quán)限。
訪問控制列表簡稱為ACL,ACL主要是在交換機(jī)接口上的指令列表。并且這些列表可以幫助交換機(jī)接受哪一種類的分組,或者是不能進(jìn)行哪一種類的分組。接受和拒絕都是屬于常規(guī)的規(guī)范,例如原地址、目標(biāo)地址以及TCP/UDP 端口號等等。訪問控制列表主要可以分為標(biāo)準(zhǔn)訪問控制以及擴(kuò)展訪問控制[5]。標(biāo)準(zhǔn)訪問控制主要是根據(jù)分組中的原地址匹配以及拒絕和允許使用。擴(kuò)展訪問控制主要是根據(jù)協(xié)議類型和原地址以及目的地址以及源端口、目的端口,所建立連接等拒絕操作或者是允許操作。所以,網(wǎng)絡(luò)管理人員可以通過對網(wǎng)絡(luò)進(jìn)行訪問控制列表進(jìn)行控制規(guī)范,對特殊使用人員以及特殊數(shù)據(jù)來進(jìn)行檢測,這樣可以更加有效的保證涉密網(wǎng)絡(luò)的安全使用。
按傳統(tǒng)話來說,沒有規(guī)矩不成方圓。不管是做什么事都要在一定法律條件下進(jìn)行規(guī)范,所以有效保證健全的涉密網(wǎng)絡(luò)保密措施是非常重要的。只要建立有效的安全保密系統(tǒng),這樣才能更好的保證涉密網(wǎng)絡(luò)交換機(jī)的安全,同時(shí)對一些非法侵入保密信息的人員進(jìn)行嚴(yán)厲的懲罰,從而對不法侵入人員給予一定警告。建立涉密網(wǎng)絡(luò)的安全保密制度,需要從一定的法律角度入手,這樣可以有效的對保密工作進(jìn)行有效的管理和分配,并且可以明確不同部門的工作內(nèi)容,可以更加有效的保證涉密網(wǎng)絡(luò)交換機(jī)的安全防護(hù)。同時(shí)還需要對涉密網(wǎng)絡(luò)安全保密制度進(jìn)行不斷的完善,如在完善中發(fā)現(xiàn)一定的問題,需要及時(shí)的進(jìn)行挽救,這樣可以將損失進(jìn)行減少。同時(shí)在進(jìn)行涉密網(wǎng)絡(luò)交換機(jī)安全防護(hù)中還需要提高工作人員對新知識的知識儲(chǔ)備,這樣才能更好的保證工作人員對涉密網(wǎng)絡(luò)交換機(jī)進(jìn)行有效的管理,并且在管理中對于工作不專業(yè)的人員需要進(jìn)行一定的懲罰,這樣才能更加高效的保證涉密網(wǎng)絡(luò)交換機(jī)的安全。
總而言之,涉密網(wǎng)絡(luò)的安全是短時(shí)間不可能有效完成的研究課堂,同時(shí)還是一項(xiàng)較為困難的內(nèi)容,交換機(jī)作為涉密網(wǎng)絡(luò)的主要核心部分,在涉密網(wǎng)絡(luò)中存在較為重要的地位,相同的來存在較多的安全隱患。如果沒有有效對交換機(jī)的安全進(jìn)行防范,交換機(jī)可以會(huì)成為攻擊者主要攻擊涉密網(wǎng)絡(luò)的工具。所以,需要對交換機(jī)進(jìn)行一定的安全控制,從而更加有效的保障整個(gè)的涉密網(wǎng)絡(luò)安全?,F(xiàn)如今,涉密網(wǎng)絡(luò)的安全已經(jīng)成為信息時(shí)代人人關(guān)注的問題,為了更加有效的保證涉密網(wǎng)絡(luò)的安全,主要可以從多方面進(jìn)行入手,本文主要為其他研究人員提供一定的研究依據(jù),從而更好的幫助其進(jìn)行發(fā)展。