第二章 局域网安全技术研究

第一节 局域网安全风险与特征

作为Internet的重要组成结点，局域网的技术发展非常迅速，在各行各业的经营和管理中发挥着无可替代的作用，已经成为现代机构中承载非物质资源的重要基础设施。局域网的安全问题不仅损害局域网及机构本身利益，也不可避免地对Internet产生了影响。

局域网就是局部地域范围内的网络。局域网在计算机数量配置上没有太多的限制，少的可以只有几台，多的可达成千上万台。一般来说，局域网中工作站的数量在几十到上千台，所涉及的地理范围可以是几十米至几千米。局域网一般位于一个建筑物或一个单位内，由一个机构统一管理。

局域网的安全性主要包括三个方面：局域网本身的安全性，如以太网协议固有的问题，TCP/IP协议存在的缺陷；局域网建设不规范带来的安全隐患，来自局域网内部的人为破坏，和局域网所用的媒体和设备所存在的问题；当局域网和Internet连接时，受到来自外界恶意的攻击，局域网对不安全站点的访问控制等。

一、局域网安全风险

任何网络的安全风险都不是单一的，而是立体的，关乎各个系统甚至整个信息网。了解安全风险来自何处，能更好地防御来自各个层面的诸多风险。

1．物理层安全风险

物理层安全风险主要是指物理层的媒体受到破坏，从而造成网络系统的阻断。通常包括诸如设备链路老化、设备被盗或有意无意被毁坏、因电磁辐射造成的信息泄露及各种突发的自然灾害等情况。

2．网络层安全风险

网络层安全风险主要是由于数据传输、网络边界和网络设备等引发的安全风险，主要包括以下几种。

1）数据传输安全风险。数据在传输过程中，经常会出现窃听、恶意篡改或破坏等现象，而对于高校局域网而言，出现最多的是私接网络和假冒MAC、IP地址以取得上网服务。

2）网络边界风险分析。高校局域网由于应用功能，对Internet开放了WWW、E-mail等服务，如果局域网在网络边界没有强有力的控制，在受到非法访问或黑客恶意攻击时，服务器就会受到极大的破坏。

3）网络设备风险分析。庞大的校园局域网运行需要大量设备，这些设备本身的安全也需要考虑，若是其中一些设备配置不当或者配置信息被改动，将会引起信息泄露，甚至整个网络全面瘫痪。

3．应用层安全风险

应用层安全风险主要来自局域网所使用的操作系统和应用系统。局域网操作系统一般使用Windows系列和类UNIX系列，这些系统开发商必然留有“后门”，如不进行相应的安全配置，将会后患无穷。而且随着计算机技术的发展，这些系统本身就会出现漏洞，网络管理人员大都不会经常进行安全漏洞修补。另外，一些用户的不当行为习惯，如浏览黄色或暴力网站、使用带毒闪存盘等，都极容易使服务器感染病毒或者遭受黑客攻击。

4．管理层安全风险

局域网的安全风险也可能来自于责权不明，如管理意识的欠缺、管理机构的不健全、管理制度的不完善和管理技术的不先进等因素。

二、局域网安全特性

目前，局域网一般基于TCP/IP协议结构建设，TCP/IP的四层结构很简单，实现起来比较容易，实用性很强，这是它成功的关键，但是也正是因为这个原因带来了许多安全上的隐患。一般局域网是基于TCP/IP协议的，由于TCP/IP协议本身的不安全性，导致局域网存在如下安全方面的缺陷。

（1）数据容易被窃听和截取

局域网中采用广播方式。当局域网的一台主机发布消息时，在此局域网中任何一台机器都会收到这条消息，收到后检查其目的地址来决定是否接收该消息，不接收的话就自动丢弃，不向上层传递。但是当以太网卡的接收模式是混合型（Promiscuous）的时候，网卡就会接收所有消息，并把消息向上传递。因此，在某个广播域中可以侦听到所有的信息包，攻击者就可以对信息包进行分析，这样本广播域的信息传递都会暴露在攻击者面前，数据信息也就很容易被在线窃听、篡改和伪造。

（2）IP地址欺骗

IP地址欺骗（IP Spoofing）其实就是伪装他人的IP地址以达到攻击其他人的目的。局域网中的每一台主机都有一个IP地址作为其唯一标识，但是主机的IP地址是不定的，因此攻击者可以直接修改主机的IP地址来冒充某个可信结点的IP地址进行攻击。

（3）缺乏足够的安全策略

局域网上的许多配置扩大了访问权限，忽视了被攻击者滥用的可能性，使得攻击者从中获得有用信息进行恶意攻击。

（4）局域网配置的复杂性

局域网配置较为复杂，容易发生错误，从而被攻击者利用。局域网的安全可以通过建立合理的网络拓扑和合理配置网络设备而得到加强。例如，通过网桥和路由器将局域网划分成多个子网；通过交换机设置虚拟局域网，使得处于同一虚拟局域网内的主机才会处于同一广播域，这样就减少了数据被其他主机监听的可能性。