税関LAN LANセキュリティの分析
LANは、基本的に、任意の2つのノード間の通信データパケットを現在の放送イーサネット技術的基盤を使用して、2つだけのノードも同じイーサネット上の任意のノードと同様に、オンラインで受信されますオンラインので切り傷、そう長く聞くためにイーサネット・ネットワーク上の任意のノードへのハッカーのアクセスとして、あなたはすべてのパケットの喜びをキャプチャすることができ、イーサネット上で発生し、イーサネットで重要な情報を、盗むために彼らに分析を解凍固有のセキュリティリスクをネットワーク。
実際には、その最も基本的なイーサネットリスニング手段と考え、インターネット上のハッカーなどSATAN、ISS、netcatをできるだけ多くの無料のツールを、。
現在、LANのセキュリティソリューションは、次のとおりです。
図1に示すように、ネットワークセグメント
ネットワークセグメンテーションは、一般的にネットワークブロードキャストストーム制御のための不可欠なツールと考えられ、実際にネットワークのセキュリティを確保するための重要な尺度で、その目的は、このように可能不法傍受を防止し、お互いに無許可のユーザーと孤立敏感なネットワークリソースになっています、ネットワークセグメントは、2つの方法で物理的および論理的なサブセクションに分割することができます。
現在、税関LANはほとんどセンター、ネットワーク構造のための境界ルータを切り替えるために使用され、採掘センタースイッチアクセス制御機能と3つのスイッチング能力、達成するための物理的および論理的なサブセクションの二つの方法の統合されたアプリケーションに焦点を当てるべきですLANのセキュリティ。例えば:一般12月MultiSwtch 900侵入検知、アクセス制御が実際のMACアドレスは、この後のデータリンク層に基づいて、すなわち物理セグメントに基づいて税関システムで使用されます。
2の代わりにハブ共有スイッチングハブ
LANスイッチのネットワークセグメントの中央後、イーサネットリスニング危険性は依然として存在している、それは、ネットワークは、多くの場合、分岐交換ハブを通してエンドユーザーのアクセスではなく、中央であるからである、とハブの最も広く使用されている枝は、通常は共有されていますハブ。ユーザは、ホストコンピュータとのデータ通信を行う際にこのように、二つのマシン(ユニキャストパケットUncastパケットと称す)との間のデータ・パケットは同じハブ上の他のユーザに聴取され、非常に危険な状況です。暗号化の欠如にホスト、TELNETプログラム自体へのユーザTELNETは、各ユーザが(鍵情報、ユーザ名、パスワードなどを含む)の文字を入力し、ハッカーのための機会を提供する、平文で送信されます。
いくつかは、ハブのハブを切り替えるのではなく、共有されるべきであるので、それによって不正傍受を防止する2つのノード間で送信されるので、ユニキャストパケットは、もちろん、スイッチングハブは、ユニキャストパケットだけを制御することができ、ブロードキャストパケットは、(ブロードキャストを制御することはできませんパケット)およびマルチキャストパケット(マルチキャストパケット)、幸いなことに、ブロードキャストパケットとユニキャストパケットよりもはるかに少ないマルチキャストパケット内のキー情報、。
図3に示すように、VLAN分割
イーサネットのブロードキャストの問題を克服するために、上記の方法に加えて、あなたはまた、最も基本的なネットワーク・リスナーの侵入を防ぐために、通信をポイントツーポイントにVLAN(仮想ローカルエリアネットワーク)技術、イーサネット通信を使用することができます。
VLAN技術は現在、3あります:スイッチポートベースVLAN、MACアドレスベースVLANおよびノード・アプリケーションのプロトコルベースVLAN。あまり印象的な柔軟性もののポートベースVLANが、実用化の結果に、より成熟している明白と人気があります。MACアドレスベースVLANは、モバイルコンピューティングの可能性を提供するだけでなく、詐欺攻撃のMAC隠されたリスクを負いました。プロトコルベースVLAN、理論的には非常に良いが、実用化はまだ成熟していないがあります。
中央集中型のネットワーク環境では、我々は通常、これはよりよい敏感なホストのリソースを保護するために、任意のユーザのノードを許可していないVLAN、VLANへのすべてのホストシステムの中心に焦点を当てます。分散ネットワーク環境では、我々は、VLANを分割する機関や部署によって、それぞれのVLAN内のさまざまな部署内のすべてのサーバーとユーザー・ノードを設定し、侵入ません行うことができます。
実施交換VLANを使用して、内部接続は、VLANおよびVLANルーティングの間の接続が実現されます。現在、(DEC MultiSwatch一般的に用いられる900件の内部関税を含む)のスイッチの大半は、国際基準にRIPやOSPFルーティングプロトコルの両方をサポートしています。特別な必要性がある場合は、他のルーティングプロトコルを使用する(例えばCISCO EIGRPなどをまたはDECnetの-IS-ISをサポートする)必要があり、また、代わりに外部スイッチの複数のイーサネットインターフェイスを使用することができ、VLAN間のルーティングが実現するため、当然のことながら、ケースの下で、ルーティング転送効率が低下します。
スイッチングハブまたはVLANスイッチをコアとしてスイッチング技術に基づいているかどうか、彼らは放送を制御します。コアとしてスイッチング技術に基づいており、彼らはだけでなく、一部のアナリストモニタリング技術と技術的なトラブルのプロトコルベースの侵入放送の原則に、非常に効果的なハッカーを防ぐために、無線機を制御します。そのため、どのようなローカル・エリア・ネットワーク侵入デバイスやプロトコル分析装置の存在は、我々は(ポートアナライザスイッチ)SPANと機能を特殊なスイッチを使用する必要があります。スイッチは、システム管理者が侵入監視装置またはプロトコル分析装置に接続されたポートに提供されるすべてのまたは指定されたポートにマッピングされたいくつかのパケット・データ・ポートを交換することを可能にします。アモイ税関エクストラネットデザインの著者は、我々は両方の技術を切り替えることの利点を取得するには、CiscoのCatalystシリーズは、SPAN機能を切り替え選択し、また既存のスニファ、プロトコルアナライザができている「の主人公は、その用途を持っています。」
これらに加えて、外部のハッカーのセキュリティを防ぐため、企業のデータセキュリティも非常に重要であり、LANの監視社内データは、コンピュータの行動記録、キーロガー、リモートコントロールすることができ効果的な対策を確保し、具体的Ping32 LAN Managerを参照されソフトウェアモジュール。