Gateway Switch网关的MAC更新了攻击者Host A “仿冒网关”攻击示意图 3.4.2 欺骗网关 攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。 GatewayHost A的MAC更新了 Switch攻击者Host A “欺骗网关”攻击示意图
3.4.3 欺骗终端用户
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
2016-9-22 第21页, 共51页
Gateway SwitchHost A的MAC更新了Host A攻击者Host C “欺骗终端用户”攻击示意图 3.4.4 “中间人”攻击 ARP “中间人”攻击,又称为ARP双向欺骗。如图所示,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。 Gateway Switch伪造的ARP应答报文伪造的ARP应答报文Host AHost B(攻击者)Host C ARP“中间人”攻击示意图
3.4.5 ARP报文泛洪攻击
恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
3.5 ARP攻击防御
H3C公司根据园区网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案。通过接
2016-9-22
第22页, 共51页
入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击,如表 1。
表 1常见网络攻击和防范对照表
攻击方式 动态获取IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击” 手工配置IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击” ARP泛洪攻击 防御方法 配置DHCP Snooping、ARP入侵检测功能 配置IP静态绑定表项、ARP入侵检测功能 配置ARP报文限速功能 3.5.1 DHCP Snooping功能 DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。 通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系; 通过设置DHCP Snooping信任端口,保证客户端从合法的服务器获取IP地址。 ? 信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。 ? 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。 3.5.2 ARP入侵检测功能
H3C接入交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。否则视为非法ARP报文,直接丢弃。
3.5.3 ARP报文限速功能
H3C接入交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU
2016-9-22 第23页, 共51页
的冲击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
第4章 无线应用设计
4.1 无线业务需求分析
大多数医院的网络目前都是有线网络,但有线网络没有解决空间覆盖的问题,同时也不能解决信息实时收集的问题,在将来的医院网络趋于实时、数字化网络,同时还可以为医院的病人提供增值服务。也可以利用无线局域网技术的移动性、灵活性和高效率在护理点获取实时的患者信息或者搜索决策支持信息。这种系统使医护人员可以更加准确、快速和高效地制定决策和采取相应的措施,具体体现如下:
? 电子病历访问/查看
? 医生处方输入和药物治疗匹配 ? 护士呼叫系统 ? 患者床边服务
? 对重要的统计数据的监控 ? 。。。。。。
对于具体的无线工程一般还要满足以下业务需求:
? 针对医院的空间要进行全面覆盖;
? 无线网络通过安全认证,保证医院信息不能通过无线网络对外泄露;
? 用户在无线区域内移动时,不需要多次重复认证,实现自动漫游,即业务不中断;
4.2 整体无线建网原则
结合医疗行业和WLAN的实际应用与发展要求,无线局域网(WLAN)网络系统设计本着建设功能完整、技术成熟先进的网络系统的前提下,主要遵循以下系统总体原则:
? 高可靠性原则:网络系统的稳定可靠是应用系统正常运行的关键保证,对于医院网络来说,更
是如此,在网络设计中特别是关键节点的设计中,选用高可靠性网络产品,并合理设计网络冗
2016-9-22 第24页, 共51页
余拓扑结构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地保证医院办公系统的高效运行。
? 技术先进性和实用性原则:以现行需求为基础,保证满足医院办公应用系统业务的同时,又要
体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到医院网络应用的需求和未来的发展趋势。
? 安全性原则:WLAN是一个空间开放网络,同时作对信息的安全以及网络的安全要求较高。制
订统一的骨干网安全策略、VLAN策略和过滤机制,整体考虑网络平台的安全性。
? 高性能原则:承载网络性能是医院整个办公系统良好运行的基础,设计中必须保障网络及设备
的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输,力争实现透明网络,网络不能成为医院实施业务的瓶颈。
? 规范性原则:系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN
企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
? 开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种
接口满足开放和标准化原则。
? 可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,
如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
? 可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系
统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
4.3 WLAN组网关键问题解决
构架可运营WLAN网络,除了要求AP(Access Point)支持宽带无线接入网络的覆盖特性、可运营、可管理特性外,还要求整个网络的开放、兼容、安全、可运营、可管理、可盈利。在构架WLAN公众网络一般基于网络分层的理念,即不同层面的设备承担不同的功能,以达到组合后整网的功能与业务支撑。
在实际WLAN可运营组网应用中,网络分为用户接入层、边缘汇聚层、业务控制层、业务管理层。 用户接入层对应设备为AP(Access Point),主要承担与终端用户基于802.11协议的PHY/MAC层的协议对接,具体包括工作模式、无线鉴权、ESSID诊别、MAC帧插入、IAPP、节电模式、Allow Guest、MAC层访问控制、用户接入认证报文承载、动态密钥协商等等。此外还要保证承载层的高性能、高可靠
2016-9-22
第25页, 共51页