局域网的设计方案
找文章到更多原创-(http://C)租用带宽,通过中国石油通信公司为校园局域网提供Internet出口。由核心交换机提供接口,经过路由器、防火墙连接到ISP设备。
整个学校局域网采用核心层和汇聚层两层结构,核心层到汇聚层的网络带宽为千兆,汇聚层到各楼层信息点的网络带宽为百兆。同时核心层及汇聚层网络支持多种千兆以太网接口(千兆多模、千兆电口)以及链路聚合技术,实现主干链路的高速互通。
局域网系统中交换机均支持基于端口的管理、认证,可网管、远程开关交换机端口,并支持SNMP协议,全网支持802.1q,可以做VLANTRUNK,同时两台骨干交换机之间实现负载均衡。
3.2.与Internet的连接
在保留现有的通过集团公司广域网链路进入到互联网的情况下,校园局域网用户可通过Internet服务商进行互联后实现局域网用户对Internet的统一访问,Internet的出口带宽为一个10M连接到互联网服务提供商。以满足校园局域网用户对Internet的访问需求,具体的网络连接示意图如下:
网络连接示意图
点击此处查看全部新闻图片
出口路由器的以太接口连接到ISP的传输设备,实现局域网出口路由器与ISP的网络互联,同时为了增加
局域网内部的网络安全性,在公网和局域网连接处部署了一台防火墙,用于对公网方向的网络攻击和非授权访问进行隔离和控制,同时也保护公网服务器。同时考虑到公网服务器容易受到来自公网的非法攻击,本设计在公网dmz区域部署一台公网入侵检测系统(IDS),以便对来自公网的访问流量进行监控和隔离。
3.3.校园办公网络
校园办公网络(包括综合楼、东西教学楼办公室部分、后勤食堂等场所)主要为在学校工作人员提供局域网基础设施和上网服务。具体需求分为:
1、普通用户:需要一个能够承载内部数据、语音、视频应用的高速局域网,能够高速访问校园网、集团公司网络。并保证网络的安全和独立。
2、VIP用户使用:在普通用户的基础上,需要访问校园广域网和internet。
3、下属的部门:与原设计的其他部门一致,作为校园总部局域网的一部分,按照部门相应的权限访问集团应用,广域网和internet。
同时考虑方案的经济性,并尽量减少对总部局域网络的影响。
因此本次设计网络为:
将现有的网络平行迁移到新的双联核心网络交换机上。
各楼及楼层交换机之间通过千兆光口互连。在隔离防火墙上进行设置,允许普通用户以共享方式访问internet,由此可以满足用户的基本需求。
3.4.公寓及公共网络
公寓各房间网络和公共场所如图书馆、教室等场所网络主要为在学校参加培训和学习的学员提供局域网基础设施和上网服务。具体需求分为:
4、普通学员用户:需要一个能够承载内部数据、语音、视频应用的高速局域网。能够高速访问internet。并保证网络的安全和独立。
同时集团需要将普通学员用户与校园总部局域网络隔离。
5、VIP用户使用:在普通用户的基础上,需要访问校园广域网。
6、下属的部门:与原设计的其他部门一致,作为校园总部局域网的一部分,按照部门相应的权限访问集团应用,广域网和internet。
同时考虑方案的经济性,并尽量减少对总部局域网络的影响。
因此本次设计网络为:
在中心机房增加千兆隔离防火墙一台,双归上联核心交换机。
通过光纤,将现有的各公寓楼的网络接入到公寓B座的会聚交换机上,然后接入核心交换机。
各楼及楼层交换机之间通过千兆光口互连。在隔离防火墙上进行设置,允许普通用户以共享方式访问internet,由此可以满足用户的基本需求。
3.5.与广域网和internet的连接
校园将扩建现有广域网系统,在保留通过与集团公司的2M专线连接外,增加10M与internet直接通过运营商连接的通道,实现校园内部的数据、语音及多媒体信息的传输及共享。本次设计在校园总机房建设1台核心路由器设备,系统配置要求满足未来几年内的与集团公司或其他兄弟公司的接入。核心路由器通过广域网防火墙实现与核心交换机的连接。
3.6.各楼及楼层设备配置
根据各楼的综合布线点数,进行相应的设备配置设计,同时保证校园整体网络的可靠性、安全性。
本次的楼层交换机主要使用现有的设备,对部分有必要和需要扩充的楼及楼层预留部分备用交换机。
四、IP地址规划与设备命名
目前,网格技术的发展非常迅猛。网格试图提供这样一种技术:人们可以把自己的微机插入网格,以后就可以透明地使用网格上的各种计算资源和信息资源,就像今天我们将任何一种家电设备插进墙上的插座,就可以方便地使用电力一样。但是,到现在为止,还有很多拥有PC机的人还没有使用过哪怕一种网格系统,这是为什么呢?
除去用户不需要使用网格的这个原因之外,从网格系统本身还能找出一些原因。一些大型网格主要应用于科研、大容量计算等专业领域,面向的主要用户是一些科研机构而不是一般的“平民”用户。并且,这些大型网格一般都是基于互联网或其专有网络的。
而在这同时,有一些局域网通信软件(如飞鸽传书等),在一些公司、科研机构内部非常流行,从这一现象,可以得到一些启示:
有数量巨大的PC机分布在数量众多的局域网上。
使用便捷的软件更容易得到用户的青睐。
2 解决方案需求分析
在这样一个特定的背景下,提出了这个解决方案。这个解决方案的目标是:使网格技术可以更好地为一般用户服务,从而促进网格技术应用的普及。
根据背景中得到的一些启示,该解决方案被设定为是基于局域网的,因为在局域网上具有数量庞大的潜在用户群。并且,根据该解决方案设计出的系统需要具有最简单的部署过程和最简单的使用方法。
这个系统是一个网格系统,只要一台计算机安装了该系统,并成功地连接进网格,就可以看到网格内所有的可用资源,并可以透明地使用这些资源。当然,这个网格系统是一个平台,它将提供一种框架。根据这个框架,可以为其不断增加新的资源种类,并可以开发运行在这个平台上的各种应用程序。
3 解决方案的实际意义
让我们来设想一下,有这样一个局域网网格系统,当我们要在一个局域网上部署时,不需要进行什么配置,只需要提供一份网格系统程序文件,而用户只需要把这份程序文件复制到自己的PC机上,然后运行即可。在同一个网段上的所有PC机会自适应地组建成一个小网格,而该小网格上的用户可以看到这个小网格上所有可用的资源,并且可以透明地使用这些资源。
而另外通过一些简单的设置,就可以将多个不同网段上的小网格连通,构成一个大的网格。
这个解决方案可以为我们带来一个可以在局域网上广泛使用的开放的网格系统平台。任何一个企业,只要有内部局域网,并把网格系统程序文件复制到局域网上的各台PC机上,不需要再做其他额外的工作,就可以形成一个网格平台。在该平台上,我们可以使用各种企业的应用程序,或者开发出运行于该平台之上的用户应用程序。
这个解决方案可以使网格更加迅速地走进一般企业和PC机用户的视野。
4 自适应组网的局域网网格解决方案
在一个局域网的网段中,每一个运行着网格系统程序的计算机被视为一个节点(Node)。每一个网段中有一个协调者节点(Coordinator),负责收集网格内各节点的资源信息,接受某一个节点上网格应用程序提出的资源分配请求,并根据一定的调度策略处理请求,为网格应用程序分配相应的资源。总的来说,协调者节点的作用就是整合并分配网格资源。网格节点之间的组织方式共有2种:无服务器模式(Non-Server Mode)和有服务器模式(Server Mode)。
4.1 无服务器模式
当不需要将本网段上的小网格和其他网段上的小网格连接时,系统可以工作在无服务器模式下。在该模式下,协调者节点是由各个节点根据一定算法选举产生,并且协调者节点不固定。当协调者节点退出网格(正常退出、关机或崩溃),其他普通节点将重新开始一个选举,并选出一个新的协调者节点。
在这种工作模式下,由于协调者节点不固定,是动态选举产生的,所以这种工作模式灵活性比较强。在任意一个局域网的网段中,只要有一个以上的节点,就可以协商地选举出一个协调者,自适应地组建起一个小网格来。无服务器模式的逻辑结构图如图1所示。
这些节点(包括普通节点和协调者节点)可以是PC机、笔记本或者服务器。它们之间可以使用交换机或集线器进行连接。协调者节点可以是笔记本、PC机或者服务器。
无服务器模式的网络连接示意图如图2所示。
4.2 有服务器模式
当需要将本网段上的小网格和其他网段上的小网格进行连接时,系统将工作在有服务器模式下。在该模式下,协调者节点不是由选举产生的,而是固定在一台特定的机器上。(下面将称这台机器为服务器,这正是这种模式叫做有服务器模式的原因)。对服务器需要进行一些配置,使其以服务器协调者(ServerCoordinator)的身份出现在本网段的网格上,它将担负起协调者的角色。
另外,还需要设置一台中央服务器(Center Server)。在每个服务器协调者上,都需要进行一些配置,使每个服务器协调者都知道中央服务器及其备用服务器的地址。当服务器协调者启动后,它会连接中央服务器,进行注册,并获取已经在中央服务器注册了的其他服务器协调者的地址。之后,通过连接其他网段上的服务器协调者节点,进而将多个网段上的小网格连接成一个大的网格。
当网格工作在有服务器模式下时,网格中的节点除了能访问本网段中的网格资源外,还可以跨网段,访问其他网段中的网格资源。
这种工作模式和无服务器工作模式相比,少了一些灵活性。需要对服务器协调者节点和中央服务器进行一些配置。但是在这种工作模式下,小网格连接成大的网格,系统整体功能大为增强。有服务器模式的逻辑结构图如图3所示。
这些节点(包括普通节点、服务器协调者节点和中央服务器)可以是PC机、笔记本或者服务器。
有服务器模式的网络连接示意图如图4所示。
4.3 两种工作模式的切换
当一个网段上的网格工作在无服务器模式下时,如果该网段上的服务器协调者启动,那么它将抢夺现有协调者的身份,成为新的协调者,而原来的协调者节点将变为普通节点。同时,网格的工作模式也将切换为有服务器模式。
当一个网段上的网格工作在有服务器模式下时,如果该网段上的服务器协调者节点退出网格(正常退出、关机或者崩溃),那么该网段上的网格中的其他节点将开始进行选举,选出一个协调者节点。同时,网格的工作模式也将切换为无服务器模式。
5 小结
根据本文提出的这个局域网网格解决方案,可以在小范围的局域网中迅速构建网格,并进一步开发在这个网格系统平台上的应用程序,以满足应用的需求。这个解决方案适合在有局域网环境的科研机构、公司使用。由于它可以自适应组网的特性,使它具有很强的适应性和灵活性,使用起来非常便捷。
摘要:该文主要介绍了自适应组网的局域网网格方案。首先,简要介绍了提出该解决方案的背景,然后针对这个背景进行了需求分析,并阐述了这个解决方案的实际意义。随后,对这个解决方案进行了详细的解释。阐述了这个解决方案中所使用的两种工作模式以及这两种工作模式的优缺点,并对这两种工作模式之间的切换问题进行了解释。
关键词:网格方案,有服务模式,无服务模式
参考文献
[1]梁俊斌,苏德福.网格中基于角色的协同电子商务研究[J].计算机应用研究,2004(10):250-253.
[2]Foster,Kesselman,Tsudik.The Anatomy of the Grid.International Journal of Supercomputer Applications[J],2001,15(3):200-222.
[3]OGSA结构描述[EB/OL].http://www.gridforum.org.
[4]Sandhu R S,Conync E J,Fcinstcin H L,et al.Role-based Access Control Models[J].IEEE Computer,1996,29(2):38-47.
[5]Ferraiolo D F,Sandhu R,Kuhn D R,et al;Proposed NIST Standard for Role-Based Access Control[M].ACM Transactions on Informa-tion and System Security,2001.
[6]Ferraiolo D F,Barkley J F,Kuhn D R.A role-based access control model and reference implentation within a corporate Intranet[J].ACM Trans on Information and System Security[J],1999,2(1):34-64.
[7]张刚,李晓林,游赣梅,等.基于角色的信息网格访问控制的研究[J].计算机研究与发展,2002,39(8):952-956.
关键词:计算机病毒;预防
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
LAN-based Computer Virus Prevention Programs Design
Chen Hongju
(Bayingolin Vocational and Technical College,Kuerle841002,China)
Abstract:With the increasing popularity of computers and the Internet,increasing the danger of computer viruses in the fight against computer viruses,in order to reduce losses,should be"prevention first,combining prevention with control"approach to implementation.Computer virus prevention program should be designed to ensure its effectiveness.This paper presents a prevention program that can effectively prevent computer viruses,especially worms and ARP virus intrusion.
Keywords:Computer virus;Prevention
一、局域網病毒传播方式
计算机病毒可以通过各种途径进行到网络中的一个站点(包括服务器),然后再通过局域网络中的各种特定环境进行传播。具体的说,我们可以把它的传播方式归纳为以下几种:
(一)局域网资源共享感染病毒
中小型企业组建的局域网很大一部分用处是在共享资源方面,而正是由于共享资源的“数据开放性”,就造成了病毒感染的有效渠道。
(二)服务器数据传播病毒
中小型企业不可能花太大成本构建含“路由器”等高端网络设备的网络环境,很多工作都会丢给一台普通Pc代替的服务器去做,网络中的客户机可以通过服务器来和外界联系,而客户机之间的内部邮件传递也可以通过服务器完成但普通Pc的性能特点,不可避免的在病毒面前具有其脆弱性。一旦服务器传染病毒,所有需要经过服务器的数据也会被顺带感染,进而造成整个感染病毒的情况。
(三)客户机之间的数据传递携带病毒
客户机除了和服务器通讯之外,相互之间也需要进行数据传递,如果其中一台计算机感染病毒在与另一台客户机传递数据时,势必会将病毒带给对方。
二、病毒预防策略方案建立
首先,我们所要建立的这个安全体系必须有如下功能:1.安全准入机制功能。2.静态地址绑定功能。3.终端管理功能。4.与现有网络环境和防病毒软件兼容功能。
安全准入机制功能:凡是连入我网络的计算机,只有符合我们的安全标准才可以登录网络。否则,将提示到特定服务器下载相关的程序、补丁或插件对现有系统或程序升级以满足我们的安全要求。
静态地址绑定功能:动态的MAC地址受到ARP广播包的影响,而手工将网关IP和正确MAC绑定,以确保计算机不再被攻击影响。这样可以有效的控制ARP病毒,但是手工操作繁琐,可以通过软件来全自动执行提高效率。
终端管理功能:将终端信息反馈给特定服务器,不但给安全准入机制提供了辅助功能,还为服务器的信息积累提供了可靠的参数。
与现有网络环境和防病毒软件兼容功能:所建立的防病毒安全体系就必须很好的适应现有情况。使它在特定环境下,以最少的投入换取最大的价值。
设计原理:终端计算机访问外部网络,首先通过防毒墙处的安全准入机制检测,如果没有安装客户端的agent插件,将强行安装agent插件。该插件可以实现部分终端管理功能,主要是实现静态地址绑定功能、ARP欺骗阻止功能、信息回馈功能。然后检测其是否安装了统一要求的查毒软件,由agent插件信息回馈功能实现。如果没安装则指引到服务器防病毒安装界面,自动安装统一要求的杀毒软件。该杀毒软件可以定时统一查杀病毒。然后检测其是否及时更新了微软补丁,由agent插件信息回馈功能实现。如果补丁没有升级到相应版本,则指引到服务器补丁安装界面,提示下载升级相应补丁程序。从根本上防治蠕虫类病毒造成的危害。最后全面检测其是否已经符合安全标准,符合的可以浏览外部网络。不符合的可能是存在未知情况,弹出提示,请用户联系管理员处理。
三、方案测试
(一)蠕虫病毒环境测试
网络环境:在交换机上,划分出独立的1个vlan,网段为192.156.0.0/24,网关为192.156.0.1。
主机环境:在此vlan中,接入10台计算机,操作系统为8台xp和2台2003server。所有计算机均安装MS08-067补丁。其中部分计算机安装更新过的防病毒软件、部分没有安装任何防病毒软件。
病毒环境:在其中1台计算机上激活曾在财政厅发现过的一个十分恶劣的病毒“扫荡波”病毒。
观察测试工具:网络执法官和Ethereal软件。
观察现象:1.病毒在其中一台计算机上激活后,使用网络执法官和Ethereal软件可以看到,测试网络中的数据包增多。交换机cpu和内存的占用率上升。2.不论是否安装防病毒的计算机均没有报错,而且计算机使用正常。
(二)ARP病毒环境测试
网络环境:在交换机上,划分出独立的1个vlan,网段为192.156.0.0/24,网关为192.156.0.1。
主机环境:在此vlan中,接入10台计算机,操作系统为8台xp和2台2003server。没有任何自动或手动的ARP防护措施。所有终端均没有防病毒软件。
病毒环境:在其中1台计算机上激活曾在财政厅发现过的一个ARP病毒。
观察测试工具:网络执法官和Ethereal软件。
观察现象:1.病毒在其中一台计算机上激活后,使用网络执法官和Ethereal软件可以看到,测试网络中的数据包明显逐渐增多,并且该计算机在发送ARP欺骗包,将其他计算机的网关MAC地址均刷新为自己的MAC地址。交换机cpu和内存的占用率上升。2.所有计算机的网关IP和MAC地址均被刷新替换为中毒计算机的MAC地址。3.没有中毒的计算机没有其他异常的变化,只是无法与正常的网关通信。
四、结论
该方案在预防计算机蠕虫病毒和ARP病毒方面的成果显著,但是,仍然不能尽善尽美。究其原因在于,没有做到安全准入与防病毒系统和终端计算机补丁管理系统的完美结合。这正是我们今后要努力的方向。
关于计算机局域网及网站建设的实施方案
一、指导思想
通过建立计算机局域网,构建一套较为完善且可拓展的信息网络体系,在此平台上运行相关的软件,充分利用信息化的手段协助日常管理及运行,加快实现办公信息化,更好地体现“便民、高效、廉洁、规范”的服务宗旨,推进政务公开,建立权力阳光运行机制,提高部门窗口工作效率、工作质量及工作水平,同时为将来形成全市数字城管奠定良好的基础。
二、实施步骤
(一)前期准备工作
1、结合原有网络,完善光纤联网、网络布线等基础工程;
2、进行调查研究,确定各科室接入局域网的计算机配置标准及需求情况,制定印发有关文件及调查情况表到部门,拟订网络设备及软件功能需求方案;
3、邀请专家对局域网建设的网络系统集成、所需硬件配置和软件功能需求方案进行论证;
4、向局领导汇报网络建设有关情况,争取支持。
(二)完成网络硬件设备采购及安装工作
1、拟订采购方案确定采购方式,制作网络设备采购竞争性谈判文件,发布采购信息公告;采用竞争性谈判方式进行网络设备采购工作,确定中标供应商;
2、统计部门窗口计算机配置需 1
求,并进行审核,加强与部门的协调沟通予以确认,委托采购中心统一进行采购;
3、按照竞争性谈判文件规定与硬件设备成交供应商签定供货及服务合同。
4、按照采购合同,系统集成商提供网络设备,并按照设计方案,安装调试网络设备;组织验收,网络设备试运行。
(三)局域网试运行阶段
1、对各部门、各科室人员进行培训,达到能够运用局域网实现办公的信息化;
2、确定局域网的管理制度和管理人员;
3、三、工作措施
局域网建设是一项系统工程,涉及部门及科室的配合协调、资金筹措、采购、合同签订、集成系统及软件的安装、调试、验收、培训及服务等各个方面。因此,要强化配套措施,确保局域网建设如期完成并正常运行。
(一)切实加强组织协调工作。召开有关会议,认真研究制定实施方案,落实工作措施,精心组织实施。加强部门与供应商之间的密切协作、相互配合,使中心网络建设按期顺利完成。
(二)明确分工、落实责任,确保局域网建设顺利实施。各部门及科室负责及时提供网络运行所需的有关资料,包括职能、办理事项、操作流程、承诺时限、政策依据、收费项目及标准等政务公开等资料。配合数字中心研究制订办理事项的网上流程,根据中心的统一要求,负责窗口前台计算机等设备的配置。
数字中心负责局域网构建的规划设计、集成设备的选型配置、软硬件功能需求的分析、科室计算机网络需求情况调研。负责网络设备及软件的验收,协同供应商安装调试软硬件设备。联系协调电信部门,确保网络线路的畅通。协助供应商的培训工作。为各部门各科室提供技术支持等,严格把好网络建设中的技术关。
1:错误提示框为如图1:网络不存在或尚未启动
这是因为你的Workstation服务没有启动,如果这个服务没有启动的话,那么你的工作组将无效,所以解决的方法就是在开始—运行—输入—Services.msc 回车。拉到最下面,把Workstation改为“自动”,然后“启用”,再点应用即可以解决问题。如图所示:
2:错误提示框为如图2:此工作组的服务器列表当前无法使用
这是因为你的Computer Browser服务没有启动。这个服务是不一定要启动的,不过同一工作组内最少要有一台机子启动此服务,主要功能是维护网络上计算机的更新列表。如果出现此错误对话框,解决方法为:开始—运行—输入—Services.msc 回车。找到Computer Browser服务把它设置为“自动”,“启用”。再点应用即可以解决问题。如图所示:
如果没有找到Computer Browser这个服务。说明你的本地连接没有安装“Microsoft 网络客户端”请在网上邻居右键—属性--本地连接—右键属性—添加—客户端--Microsoft 网络客户端。就可以了。如果出现“本地计算机上的Computer Browser服务启动后又停止了.一些服务自动停止,……”这很可能是因为你开了windows防火墙导致的,请你把开始--设置--控制面板--里面的winodws防火墙关闭就可以了,如果不想关闭可以在防火墙设置上把“不允许例外”钩掉就可以了
3:错误提示框为如图3:Windows无法找到网络路径……请与网络管理员联系
这是因为你的Server服务没有启动而造成的,正确的说应该是你没有安装“Microsoft网络中文件和打印机共享”服务造成的。这个服务主要功能就是让你的计算机给网络提供共享服务。解决方法为:开始—运行—输入—Services.msc 回车。找到Server服务把它设置为“自动”,“启用”。再点应用即可以解决问题。如图所示:
如果找不到Server服务,那么就是没有安装“Microsoft网络中文件和打印机共享”,请到网上邻居右键—属性--本地连接—右键属性—添加—服务--Microsoft 网络中文件和打印机共享。就可以了。
4:错误提示框为如图4:登录失败:未授予用户在此计算机上的请求登录类型
这是因为你的计算机拒绝了其它计算机从网络访问你的共享的用户导致的。如XP默认是拒绝来宾--也就是Guest用户登录的。解决方法:开始—运行—输入gpedit.msc回车—计算机配置—windows设置—安全设置—本地策略—用户权利指派—双击“拒绝从网络访问这台计算机”—把里面的guest用户删除,就可以了如图:
如果你是用别的用户共享,那么看看有没有那个用户名,如果有就删除即可解决问题。
5:错误提示框为如图5:拒绝访问
导致这个问题有两个原因:第一:你共享的文件夹访问用户没有权限访问。第二:计算机拒绝SAM账户和共享的匿名枚举。也就是注册表里的RestrictAnonymous子键。
解决方法:
你是仅来宾访问的:那么第一个问题不用考虑。主要解决第二个问题。开始—运行—输入gpedit.msc回车—计算机配置—windows设置—安全设置—本地策略—安全设置—双击“不允许SAM账户和共享的匿名枚举”—改为“已禁用”,如图13:
此设置要“重新启动计算机”才能生效。
如果你是windows经典访问方式的:那就要先看看你共享文件夹所在那个盘是什么格式的,如果是NTFS的。那么可以看看文件夹—右键属性--安全—有没有Everyone和你共享访问的用户如图14。
如果没有请点添加—高级—立即查找—选择Everyone确定。就可以了。再打开文件夹—右键属性—共享—权限—看看有没有Everyone和你共享访问的用户。如果没有按上方法添加并给相应权限。再开始—运行—输入gpedit.msc回车—计算机配置—windows设置—安全设置—本地策略—安全设置—双击“不允许SAM账户和共享的匿名枚举”—改为“已禁用” 此设置也要“重新启动计算机”才能生效。
6:提示框为如图6:弹出密码输入框,并且用户名不能改,默认为“Guest”。
这个情况表示你的共享访问模式为来宾模式。我们有几个解决方法:
(1)把Guest用户启用。如果没有启用GUEST用户,那么是无法访问网络资源的,可以在我的电脑—右键管理—本地用户和组—用户—双击GUEST用户—如图15:
把“账户已停用”钩去掉。并保留上面两项。问题就可以解决。也可以到开始—运行—输入gpedit.msc回车—计算机配置—windows设置—安全设置—本地策略—安全设置—“来宾用户状态”—改为“已启用”。
(2)
如果原来已启用GUEST用户,那么就是GUEST用户密码问题。输入密码即可以访问。如果不想用输入密码访问。那么可以在我的电脑—右键管理—本地用户和组—用户—右击GUEST用户—更改密码—输入原密码,新密码不输入。确定即可。
(3)
改“仅来宾”为“经典”模式。到开始—运行—输入gpedit.msc回车—计算机配置—windows设置—安全设置—本地策略—安全设置—“网络访问:本地用户的共享和安全模式”改为“经典”。这样访问就是经典访问模式了,那么就要去解决经典访问模式的问题了。
7:提示框为如图7:弹出输入用户名和密码输入框
这个情况说明你的当前访问模式为经典访问模式,有几个解决方案:
(1)
输入共享机子上的用户名和密码即可访问。
(2)
如果你不想用输入密码来访问,那请你把客户机当前用户的密码设和共享机子上相同用户名的密码一致。就可以直接访问了。
(3)
如果你不想用输入密码来访问,那请你把客户机换一个用户名登录系统。再访问。那也不需要密码就可以访问了。
(4)
更改访问模式。把“经典”改为“仅来宾”。到开始—运行—输入gpedit.msc回车—计算机配置—windows设置—安全设置—本地策略—安全设置—“网络访问:本地用户的共享和安全模式”改为“仅来宾”如图16
这样也可以解决问题。
8:错误提示框为如图8:用户账户限制,可能的原因包括不允许空密码……
如果出现这个提示说明你的访问模式为“经典”,同时你的共享机子用户名和你访问机子的用户名相同,并且共享机子此用户没有设置密码。解决方法有几个:
(1)
到开始—运行—输入gpedit.msc回车—计算机配置—windows设置—安全设置—本地策略—安全设置—“账户:使用空白密码的本地账户只允许进行控制台登录”—改为“已禁用”。如图17:
即可解决问题。但这样看起来用户没有密码好像不是很安全。建议设置密码。
(2)
更改访问模式。把“经典”改为“仅来宾”。到开始—运行—输入gpedit.msc回车—计算机配置—windows设置—安全设置—本地策略—安全设置—“网络访问:本地用户的共享和安全模式”改为“仅来宾”
(3)
可以更改客户端的当前用户来解决。如新建一个用户用cfanhome,密码为123,用这个用户登录。再在共享机上创建些用户和密码。可以不登录。也就可以解决此问题。
9:我没看到自己或他人:进入工作组,只有自己或是看不到自己,或看不到共享机子
这个情况有几个可能,解决方法:
(1)不同工作组,请把局域网内要共享和访问共享的机子设置在同一工作组内。工作组可以在我的电脑—右键属性—计算机名—更改—里面设置。如图18:
2)你的Microsoft 网络客户端或是共享机子的Microsoft 网络客户端没有安装,请在网上邻居右键—属性--本地连接—右键属性—添加—客户端--Microsoft 网络客户端。就可以了。
10:提示框为如图10:找不到网络路径
出现这个情况说明共享机子上开了防火墙或是禁止了端口。请关闭网络防火墙,包括windows自己的防火墙,要不就在自带防火墙里钩掉“不允许例外”的选择框。问题一般就可以解决。
无线个人网:主要用于个人用户工作空间,典型距离覆盖几米,可以与计算机同步传输文件,访问本地外围设备,如打印机等。目前主要技术包括蓝牙(Bluetooth)和红外(IrDA)。
无线局域网:主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米。目前主要技术为802.11系列。
无线LAN-to-LAN网桥:主要用于大楼之间的联网通讯,典型距离几公里。许多无线网桥采用802.11b技术。
无线城域网和广域网:覆盖城域和广域环境,主要用于Internet/email访问,但提供的带宽比无线局域网技术要低很多。
无线局域网络的益处
无线局域网可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。对比于传统的有线网络,无线局域网的显著特点包括:
移动性:在大楼或园区内,局域网用户不管在任何地方都可以实时的访问信息。
安装的快速性和简单性:安装无线局域网系统即快速又简单,同时消除了穿墙或过天花板布线的繁琐工作。
安装的灵活性:无线技术可以使网络遍及有线所不能到达的地方。
减少投资:尽管无线局域网硬件的初始投资要比有线硬件高,但一方面无线网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网的投资更有回报。
扩展能力:无线局域网可以组成多种拓扑结构,可以十分容易地从少数用户的对等网络模式扩展到上千用户的结构化网络。
典型的无线局域网络应用
典型的无线局域网络应用包括:医院、学校、金融服务、制造业、服务业、公司应用、公共访问等。
无线局域网络产品的兼容性
WECA是无线以太网兼容性联盟,有70多个成员,包括3Com,Symbol,Dell,Cisco等,目的是保证各厂家的所有802.11b产品的互操作性,所有通过认证的产品将颁发Wi-Fi证书,贴Wi-Fi标志。Wi-Fi代表Ethernet for WLAN。目前有40多个厂家的100多个产品通过了Wi-Fi认证,因此它们之间的互操作将得到保证。
3Com无线局域网络解决方案
作为网络市场的先驱,3Com紧跟国际标准,并积极推广各项标准的产品化以及市场工作。目前3Com公司已经可以提供全线的无线局域网络产品。这些产品包括:无线局域网家庭网关,无线局域网工作组网桥,无线局域网中小企业访问点AP6000,大中企业无线访问点AirConnect,公共访问/运营商/大中企业的无线访问点AP8000(即将推出)以及用于PC机/笔记本电脑的无线网卡,
下面介绍中小型企业的无线局域网络解决方案:
中小型企业网络用户数较少,网络投资经费有限,没有IT管理人员,因此要求网络提供高性能的同时,简单易用,简单管理,便于移动办公。3Com无线局域网与有线堆叠系列交换机的组合使用可以充分满足中小型企业的需求。
在中小型企业无线局域网解决方案中,我们采用11Mbps无线访问点AP6000,无线XJACK以及PCI网卡,无线工作组以太网网桥。
无线访问点AP6000采用802.11b技术,提供11Mbps的访问带宽,具有60秒的简易安装能力,支持256个无线网络用户。由于一个AP提供共享11Mbps的访问带宽,因此为了使每个用户都能达到高性能,建议每个AP覆盖用户65个左右,当然实际用户数可按实际情况灵活设计。多个AP6000之间通过SSIII工作组交换机4400互连。
在用户端,采用XJACK笔记本网卡和无线PCI网卡。其中XJACK笔记本网卡更是3Com公司的专利产品,采用可伸缩天线设计,从而保护天线不被折断。
对于原有的以太网计算机或打印机,可以采用无线工作组网桥把它们接入无线网络中。每个无线工作组网桥可以同时接入4个以太网设备。
方案特点:
最优频道选择:AP6000能够自动选择使用最优的RF频道。
以太网供电:为方便AP的摆放(比如挂在天花板上),采用转结盒将以太网信号和电信号同时通过以太网CAT5线缆连到AP6000。
位置评价工具:该软件可以帮助网络管理员检测无线局域网的性能,信号的强弱,吞吐率,包延迟等,帮助最佳摆放AP,也可以帮助计算为了保证带宽需要摆放多少个AP6000。
自动网络连接:采用动态DHCP保证扩展漫游时网络的不间断。
动态速率适应:遵循802.11b标准,根据距离/环境的变化自动进行速率调整:11Mbps, 5.5Mbps, 2Mbps, 1Mbps。
网络安全可靠:除提供WEP 40位(可以同其它Wi-Fi产品互操作)和128位加密机制之外,还提供先进的基于session的动态128位安全链路能力。AP6000还能够提供基于用户的认证,提供基于用户的安全特性。每个AP6000中可以存放256个用户名/口令列表,最多同时允许100多个用户访问网络。AP6000还提供IPSEC隧道加密解决方案,可以与WEP结合使用,也可以独立使用,提供更高层次的网络安全。
可伸缩天线:指XJACK网卡,保护无线网卡天线,是3Com公司的专利技术。
对等组网(ad-hoc)方式:3Com公司的网卡支持对等组网方式。
简单的基于web管理
无线局域网能够使用户真正实现随时、随地、随意地接入网络;易于实施、建设成本小、管理代价低、运行灵活、效率高的特点使其在各个领域都得到了越来越广泛的应用。然而,无线局域网的传输介质是开放的无线电波,这种开放性导致了无线局域网络面临窃听、欺骗、网络接管和篡改等多种安全威胁。为此,IEEE于1997年为WLAN制定了802.11标准,采用基于RC4算法的有线等效保密机制WEP(Wired Equivalent Privacy)[1]来增强其安全性。但是,研究分析发现WEP存在着各种各样的安全漏洞。为了有效地保证数据的机密性和完整性,国内外先后提出了很多认证方案[2,3,4,5]。与目前大多数认证方案不同,本文提出了一种既安全又快速的无线局域网认证方案。在网络接入时实施严格的认证,并在通信过程中实现保密通信,高效地解决了无线局域网的安全问题。
本文的目标是设计一个安全快速的认证方案,同时实现会话密钥的分配。针对无线局域网计算资源方面非对称的结构特点,我们为认证服务器AS配置计算量少的预计算RSA-OAEP加密操作[6]和改进型El Gamal签名操作[7],为移动终端STA配置计算量较大的RAS-OAEP解密操作和改进型El Gamal签名的验证操作,以此达到降低响应时延、提高网络效率的目的。此外,为进一步节省通信带宽,我们将“发送公钥及相应证书”的传统公钥认证过程缩短为“仅发送公钥证书(而不发送公钥)”的精简模式,方法是采用具有消息恢复功能的RAS-PSS-MR签名方案[8]。认证过程结束时,通信双方将同时得到一个共享的会话密钥以确保随后通信的保密性,实现认证功能与密钥分配功能的巧妙结合。
1 无线局域网认证结构
无线局域网的拓扑结构可分为两类:无中心拓扑结构和有中心拓扑结构[1]。本文讨论如图1所示的有中心拓扑结构的无线局域网。
要实现实体间的安全通信,要求移动终端STA在接入网络之前通过接入设备AP与认证服务器AS进行双向的认证。只有通过认证才能继续进行保密通信。在802.1x认证框架[9]中,认证过程主要涉及三个功能实体,即证书中心CA、认证服务器AS和移动终端STA:
(1)证书中心CA负责为STA和AS颁发公钥证书。证书是用消息恢复型RSA-PSS-MR签名方案生成的,以使证书的验证工作量较小。
(2)认证服务器AS负责处理所有STA在任何时刻的接入认证请求,验证STA公钥证书及身份的合法性,并向STA提供AS公钥证书及身份的证明。
(3)移动终端STA在接入网络前须向AS证明其公钥证书及身份的合法性,随后还要验证AS的公钥证书及身份。
STA通常是桌面计算机或笔记本电脑,其计算资源相对充足;而AS虽然计算能力也不弱,但需要负责处理所有STA在任何时刻的接入认证请求,其计算任务相对繁重。为了提高网络的运行效率,减小响应的时延,可以由STA承担认证过程中计算量较大的工作,尽量减少AS的工作量。因此本文提出以下设计原则:
(1)CA发放公钥证书给STA和AS,公钥证书的验证算法应该尽量简单。
(2)STA发送公钥证书给AS证明其合法性时,AS验证工作量应该尽量的小;在验证STA身份时,AS进行随机数加密操作,验证STA的解密能力,该过程计算量也应该尽量的小。
(3)AS向STA证明公钥证书及身份的合法性时,AS发送公钥证书给STA证明其合法性,并发送签名给STA证明其身份,要求签名过程仅进行尽量少的运算。
2 基础密码算法
为了实现认证服务器AS和移动终端STA的双向认证,我们为它们分别配置了不同的签名算法及加密算法,用以适应无线局域网特殊的非对称结构。本节介绍认证方案中采用的密码算法:改进型ElGamal签名算法、预计算RSA-OAEP加密算法、RSA-PSS-MR签名算法和SMS4分组加密算法[10]。
2.1 改进型ElGamal签名算法
2.1.1 参数设置
取p为一个大素数,g是Z*p的一个本原元,x∈RZp-1为私钥,y=gxmod p为公钥,m∈Zp-1是待签名的消息。
2.1.2 签名生成
(1)选取一个随机数r∈Zp-1;
(W,V)作为消息m的签名。
2.1.3 签名验证
收到签名(W,V)后,判断y(m+V)=VgWmodp是否成立。若成立,则确认签名(W,V)有效,否则认定签名无效。
本文采用此改进型ElGamal签名算法是因为签名过程中的模幂运算gr可预先计算,实时进行的只有模加和模乘运算,而无原始ElGamal签名方案[11]中的模逆运算。这样,可以加快AS的运算速度,降低其响应时延。
2.2 预计算RSA-OAEP加密算法
RSA原始算法无法抵抗自适应选择密文攻击。为此,Bellare和Rogaway提出最优非对称加密填充技术OAEP(Optimal Asymmetric Encryption Padding)[6],采用随机化的消息填充技术,引入无碰撞的哈希函数,提供了可证明的安全性。RSA-OAEP加密算法如图2所示。
2.2.1 参数设置
运行密钥产生算法Gen(1k)得到(N=pq,p,q,G,H,n,k00,k11)。选择一个随机整数,满足(e,φ(N))=1,其中φ(N)=(p-1)(q-1)。选择k1=2,k2=3,k3,k4,k5,k6,使得等式e=k1k4k5+k2k3k6成立。其中N=pq,k1,k2,k3,k4,k5,k6,e是公钥;d=e-1modφ(N)是私钥。│N│=k=n+k00+k11;2-k00和2-k11为可忽略的量;H:{0,1}k-k00→{0,1}k00,G:{0,1}k00→{0,1}k-k00是两个哈希函数,n是明文消息m的长度。
2.2.2 加密过程
对消息m∈{0,1}n进行加密,执行下列计算:
2.2.3 解密过程收到密文c后,执行下列计算:
(1)利用私钥d=e-1modφ(N)计算得到明文;
(3)若输出消息m,否则认为密文是无效的。
RSA-OAEP加密机制引入了哈希函数G和H,其计算量相对于模幂和模逆等运算来说几乎可以忽略不计,但我们却能以如此小的代价获得可证明的安全性,详见文献[12]。另外,AS实施RSA-OAEP加密操作时可以进行离线计算部分加密信息和简单的哈希、异或运算,而将相对复杂的求幂次运算留给计算资源相对充裕的STA,符合前述密码算法在认证方案中的配置原则。
2.3 RSA-PSS-MR签名算法
RSA原始签名函数属确定性算法,无法抵抗自适应选择消息攻击。Bellare和Rogaway设计了PSS(Probabilistic Signature Scheme)概率签名机制,并且能够实现消息恢复功能,形成PSS-MR方案。图3给出了RSA-PSS-MR签名方案的原理图,详见文献[8]。
本文利用RSA-PSS-MR签名算法产生的公钥证书,我们配置了1024比特的证书和767比特的公钥,可以在公钥认证过程中只发送1024比特的证书而无须同时发送767比特的公钥——接收方仅利用证书(签名)就可以恢复出公钥消息,大大减少了对通信带宽的要求。而且证书的验证只须做模幂次运算,可进一步减少AS的工作量。此外,计算量几乎可忽略不计的哈希函数的引入同样能提供可证明的安全性。
2.4 SMS4分组加密算法
2006年1月6日,中国国家密码管理局发布第7号公告,将用于我国无线局域网产品的加密标准确定为SMS4算法,这是国内官方公布的第一个商用密码算法。SMS4是一个分组长度为128比特、密钥长度为128比特的分组密码算法,加密算法与密钥扩展算法都采用32轮非线性迭代结构,具体细节可参考文献[10]。
SMS4分组密码算法主要采用了异或、移位、查表等操作,运行速度比公钥密码算法快许多,适用于海量数据的加解密。这里,我们用它来提供会话的保密性,关键问题是如何为通信的双方分配共享的会话密钥。本文设计的认证方案能在成功认证的同时巧妙地实现会话密钥的分配。
3 无线局域网认证方案
根据在第二节提出的设计原则,我们给出了三个认证实体的参数设置及其在认证过程中采用的密码算法,具体参数设置如表1所示;图4给出了我们设计的无线局域网认证方案的交互过程。
我们的认证方案主要包括以下步骤:
(1)STA把公钥证书hSTA发送给AS;
(2)AS利用RSA-PSS-MR验证算法验证STA公钥证书的合法性;若认证成功,AS选择两个随机数R1和R2,计算其哈希函数值H(R1‖R2),再利用RSA-OAEP方案加密R1,R2和H(R1‖R2),将加密结果A发送给STA;
(3)STA利用RAS-OAEP方案对A进行解密,恢复出R1和R2,并检验其哈希值;如果解密成功,STA选择一个随机数R3,以R2为SMS4密钥加密R3和H(R1‖R2),即B=EnR2[R3‖H(R1‖R2),将B发送给AS;
(4)如果AS解密得到了正确的H(R1‖R2),则可相信STA身份的合法性,并同时得到随机数R3;AS利用其私钥xAS和预计算值V=grmodpAS,计算改进型El Gamal签名W=xAS(R1+R3+V)-r(modpAS-1);并以R2为SMS4密钥加密其证书CAS中的hAS、W和V,即C=EnR2[hAS‖W‖V],将C发送给STA;
(5)STA收到AS的加密消息C后,先用R2解密恢复得到CAS中的hAS、W和V;然后,用RSA-PSS-MR算法验证证书的合法性。若证书认证成功,STA再检验AS的改进型El Gamal签名是否正确,即检验yAS(R1+R3+V)=VgWmodpAS是否成立。如果成立,STA就接受AS为合法服务器,双向认证结束。
认证结束后,STA和AS可用R3作为会话密钥加密双方后续的通信,以达到通信保密的目的。
不难分析,我们的认证方案具有如下几个优势:
(1)由于采用消息可恢复的RSA-PSS-MR概率签名作为公钥的证书,在STA向AS证明其公钥证书合法性时只需要发送公钥证书(签名)即可,而不需发送公钥(消息)。在AS向STA证明其公钥证书合法性时,情况类似。通信过程中通信量减少了42.8%(767/(1024+767)),这在很大程度上降低了对传输带宽的要求。
(2)由于AS负责处理所有STA在任何时刻的接入认证请求,其计算任务相对繁重;而STA的计算资源相对充裕,故我们将方案中的认证方式设计成适合这种特点的非对称形式:由STA承担在认证过程中计算量较大的工作,减少AS的工作量,以提高网络的运行效率,减小响应的延时。具体体现在以下二个方面:第一,AS向STA发送挑战用以验证其是否持有公钥证书对应的私钥时,采用了快速的预计算RSA加密方案,可以离线计算部分加密信息;第二,AS向STA实时证明自己身份时,采用改进型El Gamal签名方案,只需做模加和模乘运算。
(3)本方案没有像文献[13]一样直接用Rabin方案,这是因为Rabin函数是确定性算法,即Rabin签名算法输出的签名是由密钥(sk,pk)和m唯一确定的。这种确定性使得选择消息攻击奏效,存在很大的安全隐患。本文采用了具有消息恢复功能的RSA-PSS-MR概率签名机制,虽然引入了两个哈希函数,但相对于公钥密码机制中的模幂和模逆等运算来说,其计算量几乎可以忽略不计。然而,如此小的代价换来的是可证明的安全性。
(4)认证协议运行结束时,通信双方获得了相同的会话密钥R3,即同时实现了密钥分配的功能。
综上所述,我们提出的基于密码学的安全认证方案非常适合无线局域网的通信要求。
4 结束语
本文通过对无线局域网结构的分析,设计了一个基于公钥密码技术的认证方案。该方案充分利用了RSA-PSS-MR签名方案和改进型El Gamal签名方案中签名操作与验证操作的非对称性,实现了认证服务器AS与移动终端STA双向的高效认证及密钥分配,提高了网络的认证接入速度。同时,RSA-PSS-MR签名方案使得公钥认证过程中只须发送证书而无须同时发送公钥,大大降低了对通信带宽的要求。
摘要:基于无线局域网非对称的结构特点,设计了一个基于公钥密码技术的高效身份认证方案,并在成功认证的同时实现会话密钥的分配。该方案充分利用RSA-PSS-MR签名方案和改进型ElGamal签名方案中签名与验证计算量的非对称性,合理地配置认证服务器AS与移动终端STA的操作,使网络的整体响应效率得以极大的提高;同时,RSA-PSS-MR签名方案的消息恢复功能减少了公钥证书认证过程的传输量(仅传输公钥证书而不传输公钥),大大节省了通信带宽。
关键词:局域网; 破坏行为; 解决方案
中图分类号:TP393 文献标识码:A 文章编号:1006-3315(2014)03-171-002
目前有一种网络破坏行为很常见,主要发生在局域网中,这种破坏行为利用了ARP地址解析协议的工作过程,一般是内网某台电脑中了病毒,病毒无规律的自动进行破坏,或者是内网某台电脑的操作者故意发起攻击。
一、攻击原理分析
局域网里每个节点都有自己的IP地址和MAC地址。
如果电脑A需要上网,电脑A就需要将数据包发送给局域网网关路由器,那么电脑A必须知道网关路由器的MAC地址,所以电脑A就会发出询问的广播包,询问网络里网关路由器的MAC地址是多少?
网关路由器收到电脑A的询问广播包后,获知并记录了电脑A的MAC地址,然后回复电脑A(蓝色线条所示),告知电脑A自己的MAC地址是多少?这样电脑A就获知了网关路由器的MAC地址,在相互获知并记录了对方的MAC地址这个基础上,两者才开始正常收发数据包。
电脑A获知网关路由器的MAC地址后,将这样一个信息动态保存在自己的ARP地址表中,可以动态即时更新。另外单位时间内电脑A和网关路由器之间没有传输数据包的话,电脑A和网关路由器都会将保存的相应的ARP表条目删除掉。等到有需要的时候,再次通过上面询问的方式重新获取对方的MAC地址就可以了。
上面这样一个询问对方MAC地址,然后相互发送数据包的过程一直正常运转着。忽然,ARP攻击发生了。
局域网中某台电脑(IP地址为192.168.1.30)发起ARP攻击,它向局域网中发送了一个ARP广播包(红色线条所示),告诉所有的电脑:“现在进行广播,局域网的网关路由器MAC地址已经不是以前的00-00-00-00-00-01了,而是新的MAC地址00-00-00-00-00-30,请各位更新自己的ARP表。”
就这样所有的电脑都被欺骗了,将自己的ARP条目条中对应网关路由器的MAC地址更新为这个假网关的MAC地址,更新过以后,这些电脑凡是发往网关的数据包都不再发向00-00-00-00-00-01这个正确的MAC地址,而是发往了错误的MAC地址00-00-00-00-00-30(绿色线条所示),因为所有电脑都被欺骗并更新了自己的ARP条目。
根据上面的演示,所有本应发送到正确网关路由器MAC地址的数据包,都发往错误的假网关MAC地址了,而一般发往网关路由器的数据包都是去往互联网的,所以发生ARP攻击最常见的现象是:瞬间所有需要上网的电脑都无法上网。这个时候无论是PING网关路由器的IP地址或是尝试登录网关路由器的管理界面,都是失败的,因为所有的数据包都发向了错误的00-00-00-00-00-30,而不是真实的网关路由器的MAC地址。
上面我们简明扼要的分析了ARP攻击发生的过程,既然找到了病因,就可以对症下药了。从上面的分析可以得出,故障出现的原因是每台电脑上记录真实网关路由器MAC地址的ARP表是动态的,是允许被动态更新的。如果在每台电脑上采用固定的ARP表条目,不允许动态更新,这样即使有恶意的ARP欺骗包在网络里面进行广播,因为每台电脑的ARP表中都采用静态绑定的方式,将真实网关的MAC地址固定了下来,这样就可以应对ARP攻击的发生。
二、ARP攻击判断
如何判断网络里面发生了ARP攻击呢?
比如您的网络出口使用的我司宽带路由器作为网关路由器。
登录路由器管理界面“运行状态”页面。
可以看到网关路由器的IP地址和MAC地址分别是多少?如果显示网关路由器的MAC地址是00-0A-EB-B9-5C-CE,那么正常上网的时候,在内网任意一台电脑的DOS界面运行arp–a这个命令,可以看到,任意一台电脑arp–a的回显信息中,都有一条对应网关路由器的IP地址和MAC地址的条目,可以看到其中的Physical Address就是前面在路由器“运行状态”页面看到的LAN口MAC地址00-0a-eb-b9-5c-ce,当发生ARP攻击的时候,这个Physical Address就变为另一个MAC地址了,而不是00-0a-eb-b9-5c-ce。
所以说,判断是否发生ARP攻击的办法就是:
正常情况下,登录网关路由器管理界面并记录网关面向局域网接口(LAN口)的MAC地址。
发生异常情况的时候,在内网发生故障的电脑(/或任意一台电脑)上运行arp–a命令,在回显的信息中查看对应网关IP的MAC地址,还是不是之前记录的网关的MAC地址?如果不是,则说明局域网发生了ARP攻击。
三、基本配置步骤
在上面第一步“攻击原理分析”里,我们从理论上简要描述了ARP攻击的发生过程,以及解决的办法。在第二步“ARP攻击判断”里又引入了实际的参数界面,如何察看参数?看到了正常情况的参数都应该是怎样的?等等。
接下来我们以第二步“ARP攻击判断”里面的参数为例,来说明基本的防护配置方法:
1.电脑端进行ARP条目绑定
下面以Microsoft Windows2000操作系统为例,来说明如何在电脑上绑定静态的ARP条目:
(1)“开始”-“程序”-“附件”-“记事本”,
打开“记事本”以后在里面输入命令,
分别是:“arp”、“–s”、“网关IP地址”和“网关MAC地址”,这四个参数中间以“空格”隔离开。
可以看到“网关IP地址”和“网关MAC地址”这两个参数分别就是路由器的“LAN口IP地址”和“LAN口MAC地址”,也就是说如果您使用我司出品的宽带路由器作为网关路由器使用,那么对于内网所有电脑来说,它们的“网关IP地址”就是路由器的“LAN口IP地址”,“网关MAC地址”就是LAN口的MAC地址。
输入完成后点击记事本菜单栏“文件”-“另存为(A)…”,
选择保存在桌面(或者别的路径也可以)。
“文件名(N)”这一栏需要注意,这里举例取名为“protection.bat”。您可以随便取名为别的文件名*.bat,这里“bat”是文件名后缀,“*”可以输入任意数字或者字母或者两者的组合,但是不能取为“arp”或者“ARP”,也就是不能输入,否则会和系统参数冲突而不能生效:
填入了文件名以后,就可以点击“保存”按钮。
(2)“开始”-“程序”-“启动”,对着“启动”单击鼠标右键,选择“打开”,单击后可以将“启动”文件夹打开,然后将刚才建立的“protection.bat”文件复制进去。
(3)复制完成后,重新启动电脑,上面那个protection.bat文件将会被操作系统自动执行一次,执行的结果就是电脑上记录网关路由器MAC地址的ARP条目成为静态的,不会动态改变,这样就确保了这台电脑不会因为受到ARP欺骗而动态修改自己的ARP表,导致上不了网。在这台电脑DOS界面运行arp –a 可以看到ARP表条目已经由以前的动态(Dynamic)变为静态(Static),
上面的配置只是在一台电脑上进行了ARP绑定,实际上在局域网里,并不仅仅是电脑A和网关路由器之间有一个询问MAC地址的过程,而是任意两台电脑之间通讯之前,都有一个询问对方MAC地址的过程,所以实际上内网所有的电脑都需要进行上面第1步“电脑端进行ARP条目绑定”的操作。有一个简单的办法就是将上面这个protection.bat 文件拷贝到内网每臺电脑上,然后再复制到各自的“启动”文件夹内即可。
2.网关路由器端进行ARP绑定
在上面第1步操作里,对所有电脑的ARP表进行了静态绑定,绑定后确保了电脑上面记录的网关路由器的地址信息正确不会改变,那么也就确保了电脑可以将数据包正常发送到路由器。
实际情况是,网关路由器也有一张ARP表格,用来记录内网某台主机的IP和MAC地址,如果网关路由器受到ARP欺骗,那么网关路由器将不能把数据包发送到正确的主机,而是发送到了错误的假MAC地址去了。
网关路由器为了防止受到ARP欺骗,也需要具备IP和MAC绑定的功能,也就是说在网关路由器上进行配置,将内网每台电脑的IP地址和MAC地址组合体现出来,绑定以后确保了网关路由器知道内网每台电脑正确的IP地址和MAC地址。
在网关路由器上进行绑定后,网关路由器就可将数据包发送到正确的MAC地址,而不会因为受欺骗而将数据包发送到错误的MAC地址去。
经过上面两步,分别在电脑端和网关路由器端进行IP和MAC的绑定,就可以有效防止ARP欺骗的发生。
【局域网的设计方案】推荐阅读:
企业局域网的发展10-14
企业局域网中的员工上网行为管理应用09-26
局域网共享常见问题06-11
局域网组建教学大纲10-19
无线局域网结课论文07-18
如何在局域网中共享远程教育资源09-26
教育城域网建设方案06-26
新余市教育城域网09-16
