基于互连设备自身企业计算机网络安全性分析.docVIP

基于互连设备自身企业计算机网络安全性分析 　　[摘要] 信息安全风险评估是信息系统安全工程的重要组成部分，也是建立信息安全保障体系的基础。本文依据信息安全风险评估的脆弱性分析要求，从企业计算机网络互连设备自身的工作原理分析了设备自身的脆弱性，并结合各种外在因素对该脆弱性可能波及到企业计算机网络的不安全性进行了探讨、分析。 　　[关键词] 信息安全风险评估 网络互连设备 脆弱性分析 　　 　　一、引言 　　 　　随着网络的普及，网络应用不断向深度和广度发展，大量企业网络建成。由于人类对网络的依赖日益增强，所以网络是否安全性已成为企业计算机网络所面临的重大问题。网络安全包括硬件安全和其上的软件的安全。网络硬件主要包括互连设备，比如：交换机、路由器、网关等。现在针对硬件设备主要是进行一些安全方面的配置，例如交换机的VLAN，路由器的ACL配置等等，却忽视了设备本身在工作中存在的脆弱性。本文依据信息安全风险评估步骤的脆弱性和威胁性，通过分析几种比较常用网络互连设备的工作原理发掘其脆弱性。 　　 　　二、交换机脆弱性分析 　　 　　交换机在OSL数据链路层MAC子层工作，它可以连接到单独的结点或整个网段的单个网段的单个端口，在它们之间交换数据。并且为每个端口到端口之间提供全部的局域网介质带宽。 　　1.从设备自身来看 　　交换机在系统安装，启动和灾难恢复时，是处于不安全状态，有一定的脆弱性。其次它同样也存在物理威胁，一些外在因素的影响可能破坏交换机。 　　2.从其工作原理来看 　　交换机接收到一个帧以后，检查MAC帧的目的地址，并和自身内部的交换表进行比较，首先要保证交换表的正确性，否则会导致数据传输错误。如果找到和目的网段相连的端口，然后将该帧发往端口。如果找不到所对应的端口，交换机会向所有的端口发送该帧，并且通过回应帧，建立和端口号相关的MAC地址表，在下次传送数据时就可以查表，不再需要对所有端口进行广播了。这种对不知道目的地址的数据帧采用向所有端口发送数据包的做法，容易出现“溢流”现象。 　　交换机允许广播帧溢流到整个网???，同样会引起其他不法主机的“窃听”，可以采用VLAN。采用不同的交换方式的交换机可能会存在一定的脆弱性，例如直通式交换机，就无法区分数据流量是善意的还是恶意的，它只是实现快速转发。存储转发式交换机可以解决数据安全性问题，但又可能存在数据包丢失的问题。另外，交换机在转发数据帧时，存在输入端口和输出端口在速度上能否匹配的问题，如果缓冲数量少而冲突数据量大的话，数据帧就会丢失。 　　3．从外在因素来看 　　入侵者利用交换机软件或协议的脆弱性进行攻击，比如IP欺骗，TCP连接能被欺骗、截取、操纵，UDP易受IP源路由和拒绝服务的攻击等等，同时也可能存在访问权滥用或者后门等问题。 　　 　　三、路由器脆弱性分析 　　 　　由器工作在OSL模型的网络层，它可以用来连接具有相同网络通信结构的网络，也可以连接不同结构的网络。它为数据包提供最佳路径，并且实现子网隔离和抑制广播风暴。 　　1.从设备自身来看 　　路由器相当于网络层的中继器。路由器不能真正实现即插即用，需要很多配置。配置文件中一般包括路由器接口地址，登录密码，还有路由表的接口状态，ARP表，日志信息。这些信息如果被攻击者获得，后果不堪设想。比如可以将路由器作为对其他站点扫描或侦察攻击平台，或者修改路由配置等。 　　2.从其工作原理来看 　　路由器是在网层上实现多个互连的设备。一个路由器有几个端口，分别可以连接一个网络或一个路由器。其主要任务是接收来自一个网络接口数据包，根据其中所含的目的地址，决定转发到下一个目的地址的端口。由于路由器是一个多端口的设备，因此闲置的并且工作正常的服务器端口很可能被黑客利用，对于不用的端口，应该妥善管理。路由器接收到的数据包以后，首先在转发路由表中查找数据包对应的目的地址，同交换机一样，我们也要求路由表的正确性。虚假的路由信息会使数据发送到错误的地方。若找到了目的地址，就在数据包的帧格式前添加下一个MAC地址，同时IP数据包头的TTL（Time To Live）域也开始减数，并重新计算校验和。当数据包被送到传输端口时，需要按顺序等，以便被传送一输出链路上。如果数据包不是发往直接与路由器相连的网络，该路由器则把这个包转发给另一个离最终目标更近的路由器。 　　现在，路由器还不具备安全和加密的功能，仅仅只有路由的功能，所以对待各种各样的攻击是脆弱的。 　　3.从外在因素来看 　　由于路由器是在网络层实现多个网络互连的设备。因此如果得到路由器的访问控制权的话，任何人都可以通过路由器来对其他的服务器发起拒绝服务攻击，而路由器不会自动生成警报通知用户正受到攻击。并且路由器的访问密码极不安全