无线网络技术提供了使用网络的便捷性和移动性,但也会给你的网络带来安全风险。无线局域网络由于是通过无线信号来传送数据的,无线信号在发射出去之后就无法控制其在空间中的扩散,因而容易被不受欢迎的接收者截住。除非访问者及设备的身份验证和授权机制足够健全,任何具有兼容的无线网卡的用户都可以访问该网络。
如果不进行有效的数据加密,无线数据就以明文方式发送,这样在某个无线访问点的信号有效距离之内的任何人都可以检测和接收往来于该无线访问点的所有数据。不速之客不需要攻进内部的有线网络就能轻而易举地在无线局域网信号覆盖的范围内通过无线客户端设备接入网络。只要能破解无线局域网的不安全的相关安全机制就能彻底攻陷公司机构的局域网络。所以说无线局域网由于通过无线信号来传送数据而天生固有不确定的安全隐患。
无线局域网有哪些安全隐患,一个没有健全安全防范机制的无线局域网有哪些安全隐患呢?下面我们就来了解有关无线网的安全隐患问题。
1. 过度“爆光”无线网带来的安全隐患
无线网有一定的覆盖范围,过度追求覆盖范围,会过分“爆光”我们的无线网,让更多无线客户端探测到无线网,这会让我们的无线网增加受攻击的机会,因此我们应对这方面的安全隐患引起重视。
我们有时候过于追求无线网的覆盖范围,而选购发射功率过大和天线增益较大的无线AP,在对安全方面全局考虑的情况下,现在我们应对此改变想法。另外,无线AP的摆放位置也是一个问题,如摆放在窗台这样的位置会增加信号外泄的机会。
2. 不设防闯入的安全隐患
这种情况多发生在没有经验的无线网的初级使用者。客户在购买回无线AP以后,对设备安全方面的出厂初始设置没有做任何改变,没有重设无线AP的管理员登录密码、SSID、没有设置WEP秘钥。这种安全隐患最容易发生,由于现在使用带有无线网卡的笔记本电脑的人很多,XP操作系统的“无线零配置”又有自动搜索无线网络的功能,因此XP客户端一旦进入了无线网的信号覆盖范围,就可以自动建立连接,这样就会导致不设防的闯入。
3. 破解普通无线安全设置导致设备身份被冒用的安全隐患
即使是对无线AP采取了加密措施,无线网仍然不是绝对安全的。很多有经验的无线网用户会给自己的无线网设置各种各样的安全设置,本以为这些设置可以抵挡住非法攻击,殊不知无线安全技术在进步,入侵的技术和工具同样在进步。
我们前面已经说过了,无线网的信号是在开放空间中传送的,所以只要有合适的无线客户端设备,在合适的信号覆盖范围之内就可以接收无线网的信号。只要破解了普通无线网安全设置就可以以合法设备的身份进入无线网。
这里所说的“普通无线安全设置”是指普通的无线网设备中内置的安全设置,包括SSID隐藏、WEP加密、WPA加密、MAC过滤等。这些无线AP到无线客户端之间的无线设备间端对端安全机制,在目前为止被认为是不够安全的,往往由于无线信号的轻易获得进而被破解,导致“设备身份”被冒用。
在这里我们要明白被冒用的是设备的身份,而非用户(人)的身份,在下文《无线网安全隐患的解决之道》中我们会了解到“人”的身份的鉴别对于无线网安全来说更健壮,是目前较为安全的无线网安全解决方案之一。
现在关于无线网安全设置的破解工具非常多,从无线网信号的侦测、监听到破解应有尽有,可从互联网上轻易下载使用,网络上有很多这方面的“无线网黑客教程”可供学习。使用以下软件:Network Stumbler、WildPackets AiroPeek NX 、OmniPeek 4.1和WinAircrack等,只要有足够长的时间来抓取正在通信中的无线网络通信信号所含的数据包,就可以破解包括WEP加密、WPA加密、MAC过滤、SSID隐藏等无线网安全设置。
下面稍微认识一下上述几款目前比较流行的搜索、抓包、破解等工具及其工作步骤,希望我们引以为戒,并采取相应较高级别的安全防护措施。
第一步:嗅探出工作频段、SSID参数(或要破解SSID隐藏)
Network Stumbler是一个无线网络搜寻程序,使用这个软件就可以帮你扫描出附近有没有可以使用的无线网络信号,包括信号强度、名称、频段、是否加密等信息都会显示出来。只要能嗅探出无线AP所在的频段、SSID等信息,进而进行下一步破解工作。但它在SSID广播关闭的情况下有时候无法探测,若无法探测出隐藏的SSID,只需将探测到的频段参数填入WildPackets AiroPeek NX工具进行抓包,一样可以破解隐藏的SSID。
第二步:抓包
OmniPeek 4.1用来分类截获经过你无线网卡的数据。设置一下只允许抓WEP的数据包,在protocol filter(协议过滤器)中选择802.11 wep data。再设置上述嗅探到的频段和SSID就可以进行抓WEP的数据包,最后生成一个DMP格式文件。
第三步:破解WEP密钥
WinAircrack 用来破解抓到的包——DMP格式文件,从中就可以得到加密的WEP值。
破解MAC地址前要先得到频道、SSID和WEP密码,然后使用WildPackets AiroPeek NX软件,填入上述三个参数就可以破解了。
相对于WEP的容易破解,破解WPA有很大的难度,它需要监听到的数据包是合法客户端正在开始与无线AP进行“握手”的有关验证,而且还要提供一个正好包含有这个密钥的“字典文件(可以通过工具或手工生成)”。在开始之前,先用airodump捕捉了客户端登陆WLAN的整个“请求/挑战/应答”过程,并生CAP文件。接着用WinAircrack 工具破解WPA-PSK。若WPA设置过于大众化,那么很容易出现在“字典”里,因而被破解。
总 结:
普通无线网安全设置对无线网防护能力有限,我们也许依靠更高级和相对复杂的安全设置。所以,对于在意网络安全的SOHO级应用,可以通过设置复杂的密码来避免这种入侵,或者尽量的拖延入侵者的猜测时间,并时常更新密钥。而对于企业级的应用,这样的无线安全机制显然过于薄弱。
2008年3月1日星期六
艳照门事件折射出网络社会管理迷局
有三个艳照门事件。或曰,艳照门有三个性质完全不同的阶段。当事件的性质发生转化,其所凸显的传播与社会管理的意味和价值也就迥然不同。
第一个艳照门是那台电脑所记录的不雅照片,它引发了如此众多的注意力,然而究其本质,这只是一个个人的道德取向问题。第二个艳照门是犯罪嫌疑人盗窃计算机数据、触犯刑法,其传播艳照的行为侵犯了当事人的隐私权。香港警方对涉案人员的果断处理方式及结果都是可以预期的。但是,很不幸,事件很快演进到了第三个阶段。
第三个艳照门是为数相当巨大的网民群体,哄传、下载、传播不雅照片,其性质可以理解为是一次有伤风化的社会失范行为,或者说是一次不良信息传播失控事件。在香港警方初步控制了事态之后,1月31日后,事件却在内地愈闹愈烈,内地网络管理在艳照传播领域的“意外的”疏松及其后果,引起了海外媒体的高度关注。观察家很容易形成这样一种疑问:中国的网络传播法规前后颁布了46种之多,一向给人以治理严谨之感,但是遇到艳照门这类突发事件,在法理和治理措施上却依然显得局促、迟缓和困顿,这是什么缘故?
除了对于网络法治和管理部门的诘问之外,还有一个更大的问号指向那个俗称为“网民”的社会公众群体。当艳照门纳入传播控制轨道后,很多网民出现了情绪反弹,称网络监管损害到了网民的知情权和传播权。事实上,网络哄客对艳照的辗转相传,实际上除了涉及道德风化外,客观上也在助长犯罪。尽管对“再传播”和“自由下载”不良信息行为的法律界定目前还有争议,但由于大规模的艳照传播涉及未成年人保护,因此,艳照在网民中的无限制传播无疑亦属涉法事件。
网络传播的内容监管向来是一个在国际上普遍存在的难题,原因何在?简言之,是因为这里面有多个变量要考虑。这里,我们姑且以艳照门的内容传播为解析的对象:首先,传播内容如何定级?我们现在还没有定级的专门条例,大陆的诸多网站、网民打着“热图”的名号传播的色情图片的性质常常是暧昧不明的;其次,受众如何区别对待?在任何传播业的管理中,对成人的管理都是相对宽松的,而对青少年保护则很严格。没有对受众和观众进行定级,导致了相当多的法律空白。再次,网络监控达到什么样的控制程度?最低的程度,是先从站方着手进行信息控制;然后是对网民进行制裁;最后是从虚拟控制转为现实控制,责任追溯到现实人物。那么,我们究竟要控制到哪一级呢?
按照这样的分析,在艳照门的内容监管方面就可能出现三个变量、七个选项,大致会有12种以上的性质与策略界定,对网络群体化事件的定义如稍有歧义,有关法律法规就会呈现迥然不同的面貌;在理解和执行过程中稍有歧义,则会导致完全不同的社会后果及影响。我们希望在艳照门呈现这类事件的严重性和急迫性之后,有关法律专家和国家管理部门能够加快完善网络社会法治的步伐。
另外,还有一个显然的结论是,教育专家可以通过艳照门事件,形成对网络社会教化活动和网络文明建设的新认识,促进网络社会文化向良性方面发展。举例来说,由于香港政府在事件的中期对传播行为属性的界定非常清楚:公开的大众传播犯法,朋友之间传播不犯法,因此从2月5日之后,很多网民就不通过BBS,而是通过MSN进行小群体传播,其威力也并不亚于大众传播。因此,结论是,要从根本上控制这种不良的网络传播行为,必须加强对公众网络道德观的引导。对于失范的网络传播行为,或许,其最终的管理结论是,最高级的控制存在于网络社会通过道德净化而达成自我约束的内心。
艳照门的后期,是一个社会道德事件。关于道德问题,我们不可能像康德那样马上就以“浩瀚灿烂的星空”和“内心的道德律令”来给万物立法。当艳照门呈现为一场针对人类社会道德治理的管理事件时,我们还只能像以往那样,最终借助于理性建构为审慎判断、严谨立法、科学管理。因此,就网络社会管理的执行者而言,重要的或许还不是立即行动,而是谦逊的思考。社会公众对于艳照门的当事人的私人领域的道德审判需要谨慎,与此同时,网络社会管理者对待公共领域的道德、文化的控制也必须是科学而有节制的。而在当前,这种有节制性首先要体现在我们必须正视管理的不足。
前文中,我们问及,为什么在艳照门这类突发事件的治理过程显得局促、迟缓和困顿?一个可能的回答是,我们的管理策略和管理视点更多地侧重于国家安全、基础信息安全、社会稳定、意识形态等刚性的国家领域,而不是网络文化、道德建设、传播心理等柔性的社会领域。艳照门事件存在有很多的社会联动,不仅事关法律,还事关教育、文化、道德、行业管理,还涉及对人性本身的思考。艳照门是一个非常全景化的事件。艳照门事件再次说明,道德、生活、法律和政治不是分离的,它们统一于社会正义。我们必须以更认真的态度,来破解网络社会所呈现的管理迷局。
第一个艳照门是那台电脑所记录的不雅照片,它引发了如此众多的注意力,然而究其本质,这只是一个个人的道德取向问题。第二个艳照门是犯罪嫌疑人盗窃计算机数据、触犯刑法,其传播艳照的行为侵犯了当事人的隐私权。香港警方对涉案人员的果断处理方式及结果都是可以预期的。但是,很不幸,事件很快演进到了第三个阶段。
第三个艳照门是为数相当巨大的网民群体,哄传、下载、传播不雅照片,其性质可以理解为是一次有伤风化的社会失范行为,或者说是一次不良信息传播失控事件。在香港警方初步控制了事态之后,1月31日后,事件却在内地愈闹愈烈,内地网络管理在艳照传播领域的“意外的”疏松及其后果,引起了海外媒体的高度关注。观察家很容易形成这样一种疑问:中国的网络传播法规前后颁布了46种之多,一向给人以治理严谨之感,但是遇到艳照门这类突发事件,在法理和治理措施上却依然显得局促、迟缓和困顿,这是什么缘故?
除了对于网络法治和管理部门的诘问之外,还有一个更大的问号指向那个俗称为“网民”的社会公众群体。当艳照门纳入传播控制轨道后,很多网民出现了情绪反弹,称网络监管损害到了网民的知情权和传播权。事实上,网络哄客对艳照的辗转相传,实际上除了涉及道德风化外,客观上也在助长犯罪。尽管对“再传播”和“自由下载”不良信息行为的法律界定目前还有争议,但由于大规模的艳照传播涉及未成年人保护,因此,艳照在网民中的无限制传播无疑亦属涉法事件。
网络传播的内容监管向来是一个在国际上普遍存在的难题,原因何在?简言之,是因为这里面有多个变量要考虑。这里,我们姑且以艳照门的内容传播为解析的对象:首先,传播内容如何定级?我们现在还没有定级的专门条例,大陆的诸多网站、网民打着“热图”的名号传播的色情图片的性质常常是暧昧不明的;其次,受众如何区别对待?在任何传播业的管理中,对成人的管理都是相对宽松的,而对青少年保护则很严格。没有对受众和观众进行定级,导致了相当多的法律空白。再次,网络监控达到什么样的控制程度?最低的程度,是先从站方着手进行信息控制;然后是对网民进行制裁;最后是从虚拟控制转为现实控制,责任追溯到现实人物。那么,我们究竟要控制到哪一级呢?
按照这样的分析,在艳照门的内容监管方面就可能出现三个变量、七个选项,大致会有12种以上的性质与策略界定,对网络群体化事件的定义如稍有歧义,有关法律法规就会呈现迥然不同的面貌;在理解和执行过程中稍有歧义,则会导致完全不同的社会后果及影响。我们希望在艳照门呈现这类事件的严重性和急迫性之后,有关法律专家和国家管理部门能够加快完善网络社会法治的步伐。
另外,还有一个显然的结论是,教育专家可以通过艳照门事件,形成对网络社会教化活动和网络文明建设的新认识,促进网络社会文化向良性方面发展。举例来说,由于香港政府在事件的中期对传播行为属性的界定非常清楚:公开的大众传播犯法,朋友之间传播不犯法,因此从2月5日之后,很多网民就不通过BBS,而是通过MSN进行小群体传播,其威力也并不亚于大众传播。因此,结论是,要从根本上控制这种不良的网络传播行为,必须加强对公众网络道德观的引导。对于失范的网络传播行为,或许,其最终的管理结论是,最高级的控制存在于网络社会通过道德净化而达成自我约束的内心。
艳照门的后期,是一个社会道德事件。关于道德问题,我们不可能像康德那样马上就以“浩瀚灿烂的星空”和“内心的道德律令”来给万物立法。当艳照门呈现为一场针对人类社会道德治理的管理事件时,我们还只能像以往那样,最终借助于理性建构为审慎判断、严谨立法、科学管理。因此,就网络社会管理的执行者而言,重要的或许还不是立即行动,而是谦逊的思考。社会公众对于艳照门的当事人的私人领域的道德审判需要谨慎,与此同时,网络社会管理者对待公共领域的道德、文化的控制也必须是科学而有节制的。而在当前,这种有节制性首先要体现在我们必须正视管理的不足。
前文中,我们问及,为什么在艳照门这类突发事件的治理过程显得局促、迟缓和困顿?一个可能的回答是,我们的管理策略和管理视点更多地侧重于国家安全、基础信息安全、社会稳定、意识形态等刚性的国家领域,而不是网络文化、道德建设、传播心理等柔性的社会领域。艳照门事件存在有很多的社会联动,不仅事关法律,还事关教育、文化、道德、行业管理,还涉及对人性本身的思考。艳照门是一个非常全景化的事件。艳照门事件再次说明,道德、生活、法律和政治不是分离的,它们统一于社会正义。我们必须以更认真的态度,来破解网络社会所呈现的管理迷局。
互联网上听音乐、读新闻、甚至看电影、电视已是常事了,但如何把这些先进的网络技术引入教学领域,提高教学效率,则是教育信息化进程的关键。现在许多学校装有电视直播系统、声频广播系统,同时架设了造价昂贵的计算机校园网络。在这种情况下恒信网络直播系统通过网络技术,把这三个系统的功能整合在一起,从而降低学校设备经费的投入及提高系统的使用率。
※优势特点
1.成熟性
采用的设备、操作系统、以及数据库都是国际上已经成熟大批量应用的成熟产品,用户使用和维护都非常简单,并不需要额外培训学习其它过多的东西,降低了使用成本;软件系统为长远视通公司独立研发设计,完全拥有知识产权,产品的底层核心已经过多种场合的使用,完全可保证稳定运行。
2.开放系统
系统在设计时均采用国际标准协议,如网络协议采用UDP、RTP、RTSP等,视频数据采用MPEG4,音频压缩采用MP3,数据库采用SQLServer,而且可提供多种外部接口,供高级用户建造更个性化的应用。
3.可扩展
当今网络技术的飞速发展,用户的需求也在不断提高。如果没有技术的前瞻性,采用过时的技术建立起来的网络结构很可能马上就不适应用户的需要。因此,为保证本系统能够适应未来若干年的网络发展潮流,系统中的硬件、网络协议和数据库系统都应采用与国际标准兼容的开放协议,软件有长远视通公司完全拥有知识产权,可根据用户的需要进行扩展。如可无缝增加直播频道。
4.兼容性
设计时就考虑到最大限度的兼容现有设备,可实现会议直播录制、课堂直播录制以及卫星电视的直播录制等。
5.广泛实用性
本系统完成后,可广泛的应用在远程教育,电视会议直播等等,也可利用在政府电子政务中。
※产品功能
恒信直播系统作为国际上最新一代视频服务系统的主流产品,拥有各种完善的视频服务功能:
1.视频点播:用户可以在Internet和局域网内自由点播各种媒体文件。
2.节目广播:支持服务器节目和本地媒体文件两种形式的广播。
3.设备直播:支持计算机屏幕、USB摄像头、DV摄像机、MPEG-4压缩卡等多种视频捕获设备的直播,同时还可以进行AVI∕ASF同步录制。
4.系统管理:节目管理、用户管理、系统监控等管理功能均可远程进行,真正适合Internet范围的部署。
5.存储管理:使用存储区域进行节目的集中式管理,可充分利用计算机的硬盘空间。同时支持SAN、NAS等多种网络存储设备。
6.节目管理:通过节目片断方便的组织节目。支持节目的分类管理,用户可以根据自己的需要对系统中的节目进行分类,没有级别和数量上的限制。
7.用户管理:采用和Windows操作系统类似的分组﹢权限的管理模式,便于用户快速上手使用。
8.安全管理:通过节目与用户组别的分级设置,使不同级别的用户只能访问相应级别的节目。
9.计费支持:支持3种计费方案(点播时间、点播流量、点播次数),可满足用户的不同需求。每个客户可随时查阅自己的费用和明细,并且支持Excel格式报表输出。
10.节目审核:所有添加到服务器中的节目必须经过审核后才能被有权限的用户看到,这样可以防止色情、反动、暴力节目的发布,避免不良影响。
11.导入节目:系统可以将大量的节目一次性导入到服务器中,从而减少用户的反复操作,提高效率。
12.发布公告:管理员可通过公告发布通知、声明,从而更快、更全面的传递信息。
13.二次开发:拥有相应权限的用户可在自己设计的Web页面中调用天寓视频服务系统软件V6.0的节目点播功能。
14.服务器集群:可将节目布署在多个媒体服务器上,系统根据服务器的负载与网络拓扑结构进行自动调度,从而减少个别服务器的负载,达到最佳调用。
15.系统备份与恢复:系统可以非常方便地将所有的节目和配置信息备份,当系统遭到破坏时,直接覆盖即可,不会造成任何的损失。
系统软件界面
※优势特点
1.成熟性
采用的设备、操作系统、以及数据库都是国际上已经成熟大批量应用的成熟产品,用户使用和维护都非常简单,并不需要额外培训学习其它过多的东西,降低了使用成本;软件系统为长远视通公司独立研发设计,完全拥有知识产权,产品的底层核心已经过多种场合的使用,完全可保证稳定运行。
2.开放系统
系统在设计时均采用国际标准协议,如网络协议采用UDP、RTP、RTSP等,视频数据采用MPEG4,音频压缩采用MP3,数据库采用SQLServer,而且可提供多种外部接口,供高级用户建造更个性化的应用。
3.可扩展
当今网络技术的飞速发展,用户的需求也在不断提高。如果没有技术的前瞻性,采用过时的技术建立起来的网络结构很可能马上就不适应用户的需要。因此,为保证本系统能够适应未来若干年的网络发展潮流,系统中的硬件、网络协议和数据库系统都应采用与国际标准兼容的开放协议,软件有长远视通公司完全拥有知识产权,可根据用户的需要进行扩展。如可无缝增加直播频道。
4.兼容性
设计时就考虑到最大限度的兼容现有设备,可实现会议直播录制、课堂直播录制以及卫星电视的直播录制等。
5.广泛实用性
本系统完成后,可广泛的应用在远程教育,电视会议直播等等,也可利用在政府电子政务中。
※产品功能
恒信直播系统作为国际上最新一代视频服务系统的主流产品,拥有各种完善的视频服务功能:
1.视频点播:用户可以在Internet和局域网内自由点播各种媒体文件。
2.节目广播:支持服务器节目和本地媒体文件两种形式的广播。
3.设备直播:支持计算机屏幕、USB摄像头、DV摄像机、MPEG-4压缩卡等多种视频捕获设备的直播,同时还可以进行AVI∕ASF同步录制。
4.系统管理:节目管理、用户管理、系统监控等管理功能均可远程进行,真正适合Internet范围的部署。
5.存储管理:使用存储区域进行节目的集中式管理,可充分利用计算机的硬盘空间。同时支持SAN、NAS等多种网络存储设备。
6.节目管理:通过节目片断方便的组织节目。支持节目的分类管理,用户可以根据自己的需要对系统中的节目进行分类,没有级别和数量上的限制。
7.用户管理:采用和Windows操作系统类似的分组﹢权限的管理模式,便于用户快速上手使用。
8.安全管理:通过节目与用户组别的分级设置,使不同级别的用户只能访问相应级别的节目。
9.计费支持:支持3种计费方案(点播时间、点播流量、点播次数),可满足用户的不同需求。每个客户可随时查阅自己的费用和明细,并且支持Excel格式报表输出。
10.节目审核:所有添加到服务器中的节目必须经过审核后才能被有权限的用户看到,这样可以防止色情、反动、暴力节目的发布,避免不良影响。
11.导入节目:系统可以将大量的节目一次性导入到服务器中,从而减少用户的反复操作,提高效率。
12.发布公告:管理员可通过公告发布通知、声明,从而更快、更全面的传递信息。
13.二次开发:拥有相应权限的用户可在自己设计的Web页面中调用天寓视频服务系统软件V6.0的节目点播功能。
14.服务器集群:可将节目布署在多个媒体服务器上,系统根据服务器的负载与网络拓扑结构进行自动调度,从而减少个别服务器的负载,达到最佳调用。
15.系统备份与恢复:系统可以非常方便地将所有的节目和配置信息备份,当系统遭到破坏时,直接覆盖即可,不会造成任何的损失。
系统软件界面
如何定位ARP攻击?
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法,我们就能够快速的找到病毒源,确认其MAC——〉机器名和IP地址。
2.防御方法
a.使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。
c.在发生ARP攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的TrendLabs进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法,我们就能够快速的找到病毒源,确认其MAC——〉机器名和IP地址。
2.防御方法
a.使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。
c.在发生ARP攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的TrendLabs进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。
如何通过辨识性能选择优质的路由器
在网络世界里,每个路由器就好像一个邮局,对网络上的信息进行分类与整合,将它们按照地址传输到目的地。路由器已经成为我们必不可少的网络设备之一,在家庭宽带共享,办公网络的组建以及各种宽带网络应用上都发挥着极其重要的作用。那么我们该如何选择一款合适的路由器呢?本文将着重从路由器CPU的性能入手,为大家提供一个实用的采购意见。
路由器作为网吧网络的接口设备,在整个架构中起着至关重要的作用,从结构上,路由器是一种专用的计算机系统,而路由器和PC机一样,有着中央处理单元CPU,而不同的路由器,其CPU一般也不相同,CPU也就是路由器的处理中心。
笔者发现到,以往不少路由器导购类文章中,不少地方强调CPU性能并不完全反映路由器性能,而是由路由器吞吐量、时延和路由计算能力等指标体现。因此,许多用户在选择及采购路由器时,都有意无意地忽略了路由器CPU性能,而注重产品的功能等方面的因素。
而事实上,在路由器,特别是新一代被普通应用的宽带多WAN路由器中,由于提供更多先进的功能,需要更多复杂的运算能力,CPU的性能直接决定着产品的硬件性能,不能再被有意购买消费者忽视。而常被强调的路由器的吞吐量、时延和路由计算能力等这些重要指标,都无不与CPU的性能有着莫大的关系。
一是许多购买者都比较注重的路由器吞吐量,宽带路由器的吞吐量是指的内部局域网和外部网络之间的数据流量,也就是LAN-WAN之间的数据流量。而不是LAN-LAN之间的流量,是指在不丢包的情况下单位时间内通过的数据包数量。如果吞吐量太小,就会使作为内外网之间的数据信道的流量管理成为网络瓶颈,给整个网络的传输效率带来负面影响。吞吐量是宽带路由器的硬件性能指标,宽带路由器—CPU将会影响到该吞吐量的数值。
另外一个是时延,时延主要由两大因素造成:传输信道造成的链路传输时延和队列时延。前者主要取决于传输信道所采用的物理介质(如采用光纤传输还是采用无线传输等)并且该时延是固定不变的。而后者很大程度上取决于网关节点路由器的处理速度,也就是取决于该路由器CPU的计算处理能力。
其它重要指标如路由计算能力等相关的因素,都无不和CPU的主频、总线宽度(16位还是32位)、Cache容量和结构、内部总线结构、运算模式等有着一定的关联。无论如何,路由器特别是多WAN口宽带路由器处理器的性能,都是不应被忽视的。
那究竟现在的网络条件,用户到底需要什么样的路由器?及新一代的路由器对CPU的要求是如何呢?
以住,网络应用环境比较单一,网络中的应用及业务都较少,对路由器的业务性能,可靠性,安全性,服务质量等要求也就较低。但是近年来,网络发展越来越快,人们对信息人的要求也越来越高,我们可以看到,不用应用环境运行环境和业务特点各有不同,建网的方式也千差万别,对路由器业务的需求也越来越多,日益复杂。
例如网吧规模越来越大,多种网络应用、不同用户的多种应用要求,要求网吧用宽带路由器的功能齐全、稳定。又例如。有越来越多的企业将众多业务引入了企业网,也有需建立企业内VPN网络等的业务,而这些业务又各需获取相对独立的资源,来满足各个不同方面及应用的要求。
路由器提供的业务类型将越来越丰富,其压力也随之而加大,路由器处理器的性能受到了很多的考验。性能已成为路由器发展中与业务能力并驾齐驱的关键因素,路由器需要的已不仅仅是业务功能的"有"或"无"的问题,而是如何提供网络整体高品质的业务保证。
过去的路由器处理速度最高为150-200MHz之间,以这样的效能,跑单WAN路由应用是足够,但是若网吧需要进行带宽管理或防火墙等动作时,对每个封包都要进行过滤,这时,性能不足的CPU就会出现响应速度偏低、对应数据处理的能力不足,处理器资源被大量占用,降低进程处理速度的情况,不仅不能将带宽管理等功能发挥出来,更是影响了原有的带宽,得不偿失。
又例如是企业要启动QoS、安全、VPN业务时,处理器就会出现性能急剧下降的情况,成为性能瓶颈,甚至出现死机的情况,继而导致整个网络的瘫痪或崩溃,当然就遑论为用户提供高品质的服务了。
当CPU的性能不能满足业务的处理要求,则系统性能将大幅下降,通常会损失一半以上。因此,多WAN口路由器必须采用高速的CPU及大容量的存贮器,否则根本无法胜任多个WAN端口的流量,更不用说对每一个IP包进行解析处理的各种繁重任务了。
由以上的分析可以看出,要提供高品质的业务保证,首先要解决性能瓶颈——CPU的性能问题。而要判断路由器的CPU是否符合要求,目前一般以以下几个指标及参数进行分析及判别。
宽带路由器的主要硬件包括处理器、内存、闪存、广域网接口和局域网接口,其中处理器即CPU,就是最核心的部件,其中有以下的几个关于CPU的重要指标,是决定宽带路由器档次的关键。
首先,CPU 的指标是 MIPS (Million Instruction per secon, 每秒能处理的百万个指令),也就是路由器的处理能力了,前面已经说过,如果CPU的处理能力不足,就会影响路由器内部软件系统,当不同功能指令集中地发出时,就会在CPU这个性能瓶颈上造成堵塞,导致死机的情况出现。因此,MIPS的指数越大,即其CPU的计算处理能力就越高,从而保证了路由器在处理各种复杂业务时具有足够的处理能力,确保启动复杂业务时可保持较高的线速转发。
CPU的运行时间脉冲,单位为Mhz,数字愈大代表CPU执行指令的速度愈快,也是CPU性能比较的方式之一。
I-Cache (指令高速缓存)D-Cache (数据高速缓存)的大小会影响CPU的效率。高速缓冲存储器Cache是位于CPU与内存之间的临时存储器,它的容量比内存小但交换速度快。在Cache中的数据是内存中的一小部分,但这一小部分是短时间内CPU即将访问的,当CPU调用大量数据时,就可避开内存直接从Cache中调用,从而加快读取速度。由此可见,在CPU中加入Cache是一种高效的解决方案。在传输速度有较大差异的设备间可以利用Cache作为匹配来调节差距,或者说是这些设备的传输信道。
那么,目前市面上在用的路由器,其CPU的性能到底是怎样的呢?
以目前来说,市面上最常用的多WAN路由器处理器是ARM9或MIPS的产品,这二种处理器,处理速度最高为150-200MHz之间,在效能方面只属一般,要兼备VPN连接功能等特殊应用的性能项,必须采用更快的处理器。现在最适用于多WAN路由器应用的处理器,首推Intel IXP425 533MHz处理器,它可大幅改善路由处理的效能。
以上的MIPS推算是从同系列核心,或是类似系列核心的数值所推算出来的近似值,不能代表实际的数值。真实的数据应该要从 ARM、MIPS、或是 Intel 取得为准。
以上列出的几个重要参数,均对路由器的其它一些功能起着重要的决定作用。由对比中可以看出,Intel IXP533MHz?的效能大约是另外两个的 2.5 倍,而时脉、缓存等的配置亦因应有较高的提升,从而保证了路由器在处理各种复杂业务时具有足够的处理能力,确保启动复杂业务时可保持较高的性能。
另外,为了因应网络处理的加速,辅助处理器就像台式机的运算处理器一样,专门执行特定的工作,可让主 CPU 做更有效率的其它运算,相当于有多颗处理器可处理路由、带宽管理、QoS等的工作,实际的执行性能较数字上的2.5倍为高。
以实际应用来看,我们发现传统ARM或MIPS为基础的处理器,在网吧使用的带机量,在没有作任何带宽管理设定下,最多只有五十个使用者速度即慢下来。在设定带宽管理的情况下,则依设定的规则,人数更少时即出现网速变慢。而使用Intel IXP533MHz 的Qno FVR9416s的四WAN路由器,则经实际网吧环境应用,在设定限制BT,迅雷带宽的条件,及设定网吧常见的策略路由下,证明可满足高达600台终端的同时高速上网。
总结
新一代的处理器使得路由器的能力有了很大增强,WAN to LAN吞吐量达到线速或准线,远非普通中低端的传统企业级路由器和SOHO级路由器可比,消费者购买时需要注意一下。好的CPU就像是汽车的引擎,引擎不够力,再好的车子也跑不起来,再完善的系统也形同虚设。在新一代应用环境,如大型网吧,大型企业中,网络架构的可用性和稳定性同样重要。总而言之,在选购新一代宽带路由器产品时,其CPU的性能是绝不能被轻易忽略掉的。
路由器作为网吧网络的接口设备,在整个架构中起着至关重要的作用,从结构上,路由器是一种专用的计算机系统,而路由器和PC机一样,有着中央处理单元CPU,而不同的路由器,其CPU一般也不相同,CPU也就是路由器的处理中心。
笔者发现到,以往不少路由器导购类文章中,不少地方强调CPU性能并不完全反映路由器性能,而是由路由器吞吐量、时延和路由计算能力等指标体现。因此,许多用户在选择及采购路由器时,都有意无意地忽略了路由器CPU性能,而注重产品的功能等方面的因素。
而事实上,在路由器,特别是新一代被普通应用的宽带多WAN路由器中,由于提供更多先进的功能,需要更多复杂的运算能力,CPU的性能直接决定着产品的硬件性能,不能再被有意购买消费者忽视。而常被强调的路由器的吞吐量、时延和路由计算能力等这些重要指标,都无不与CPU的性能有着莫大的关系。
一是许多购买者都比较注重的路由器吞吐量,宽带路由器的吞吐量是指的内部局域网和外部网络之间的数据流量,也就是LAN-WAN之间的数据流量。而不是LAN-LAN之间的流量,是指在不丢包的情况下单位时间内通过的数据包数量。如果吞吐量太小,就会使作为内外网之间的数据信道的流量管理成为网络瓶颈,给整个网络的传输效率带来负面影响。吞吐量是宽带路由器的硬件性能指标,宽带路由器—CPU将会影响到该吞吐量的数值。
另外一个是时延,时延主要由两大因素造成:传输信道造成的链路传输时延和队列时延。前者主要取决于传输信道所采用的物理介质(如采用光纤传输还是采用无线传输等)并且该时延是固定不变的。而后者很大程度上取决于网关节点路由器的处理速度,也就是取决于该路由器CPU的计算处理能力。
其它重要指标如路由计算能力等相关的因素,都无不和CPU的主频、总线宽度(16位还是32位)、Cache容量和结构、内部总线结构、运算模式等有着一定的关联。无论如何,路由器特别是多WAN口宽带路由器处理器的性能,都是不应被忽视的。
那究竟现在的网络条件,用户到底需要什么样的路由器?及新一代的路由器对CPU的要求是如何呢?
以住,网络应用环境比较单一,网络中的应用及业务都较少,对路由器的业务性能,可靠性,安全性,服务质量等要求也就较低。但是近年来,网络发展越来越快,人们对信息人的要求也越来越高,我们可以看到,不用应用环境运行环境和业务特点各有不同,建网的方式也千差万别,对路由器业务的需求也越来越多,日益复杂。
例如网吧规模越来越大,多种网络应用、不同用户的多种应用要求,要求网吧用宽带路由器的功能齐全、稳定。又例如。有越来越多的企业将众多业务引入了企业网,也有需建立企业内VPN网络等的业务,而这些业务又各需获取相对独立的资源,来满足各个不同方面及应用的要求。
路由器提供的业务类型将越来越丰富,其压力也随之而加大,路由器处理器的性能受到了很多的考验。性能已成为路由器发展中与业务能力并驾齐驱的关键因素,路由器需要的已不仅仅是业务功能的"有"或"无"的问题,而是如何提供网络整体高品质的业务保证。
过去的路由器处理速度最高为150-200MHz之间,以这样的效能,跑单WAN路由应用是足够,但是若网吧需要进行带宽管理或防火墙等动作时,对每个封包都要进行过滤,这时,性能不足的CPU就会出现响应速度偏低、对应数据处理的能力不足,处理器资源被大量占用,降低进程处理速度的情况,不仅不能将带宽管理等功能发挥出来,更是影响了原有的带宽,得不偿失。
又例如是企业要启动QoS、安全、VPN业务时,处理器就会出现性能急剧下降的情况,成为性能瓶颈,甚至出现死机的情况,继而导致整个网络的瘫痪或崩溃,当然就遑论为用户提供高品质的服务了。
当CPU的性能不能满足业务的处理要求,则系统性能将大幅下降,通常会损失一半以上。因此,多WAN口路由器必须采用高速的CPU及大容量的存贮器,否则根本无法胜任多个WAN端口的流量,更不用说对每一个IP包进行解析处理的各种繁重任务了。
由以上的分析可以看出,要提供高品质的业务保证,首先要解决性能瓶颈——CPU的性能问题。而要判断路由器的CPU是否符合要求,目前一般以以下几个指标及参数进行分析及判别。
宽带路由器的主要硬件包括处理器、内存、闪存、广域网接口和局域网接口,其中处理器即CPU,就是最核心的部件,其中有以下的几个关于CPU的重要指标,是决定宽带路由器档次的关键。
首先,CPU 的指标是 MIPS (Million Instruction per secon, 每秒能处理的百万个指令),也就是路由器的处理能力了,前面已经说过,如果CPU的处理能力不足,就会影响路由器内部软件系统,当不同功能指令集中地发出时,就会在CPU这个性能瓶颈上造成堵塞,导致死机的情况出现。因此,MIPS的指数越大,即其CPU的计算处理能力就越高,从而保证了路由器在处理各种复杂业务时具有足够的处理能力,确保启动复杂业务时可保持较高的线速转发。
CPU的运行时间脉冲,单位为Mhz,数字愈大代表CPU执行指令的速度愈快,也是CPU性能比较的方式之一。
I-Cache (指令高速缓存)D-Cache (数据高速缓存)的大小会影响CPU的效率。高速缓冲存储器Cache是位于CPU与内存之间的临时存储器,它的容量比内存小但交换速度快。在Cache中的数据是内存中的一小部分,但这一小部分是短时间内CPU即将访问的,当CPU调用大量数据时,就可避开内存直接从Cache中调用,从而加快读取速度。由此可见,在CPU中加入Cache是一种高效的解决方案。在传输速度有较大差异的设备间可以利用Cache作为匹配来调节差距,或者说是这些设备的传输信道。
那么,目前市面上在用的路由器,其CPU的性能到底是怎样的呢?
以目前来说,市面上最常用的多WAN路由器处理器是ARM9或MIPS的产品,这二种处理器,处理速度最高为150-200MHz之间,在效能方面只属一般,要兼备VPN连接功能等特殊应用的性能项,必须采用更快的处理器。现在最适用于多WAN路由器应用的处理器,首推Intel IXP425 533MHz处理器,它可大幅改善路由处理的效能。
以上的MIPS推算是从同系列核心,或是类似系列核心的数值所推算出来的近似值,不能代表实际的数值。真实的数据应该要从 ARM、MIPS、或是 Intel 取得为准。
以上列出的几个重要参数,均对路由器的其它一些功能起着重要的决定作用。由对比中可以看出,Intel IXP533MHz?的效能大约是另外两个的 2.5 倍,而时脉、缓存等的配置亦因应有较高的提升,从而保证了路由器在处理各种复杂业务时具有足够的处理能力,确保启动复杂业务时可保持较高的性能。
另外,为了因应网络处理的加速,辅助处理器就像台式机的运算处理器一样,专门执行特定的工作,可让主 CPU 做更有效率的其它运算,相当于有多颗处理器可处理路由、带宽管理、QoS等的工作,实际的执行性能较数字上的2.5倍为高。
以实际应用来看,我们发现传统ARM或MIPS为基础的处理器,在网吧使用的带机量,在没有作任何带宽管理设定下,最多只有五十个使用者速度即慢下来。在设定带宽管理的情况下,则依设定的规则,人数更少时即出现网速变慢。而使用Intel IXP533MHz 的Qno FVR9416s的四WAN路由器,则经实际网吧环境应用,在设定限制BT,迅雷带宽的条件,及设定网吧常见的策略路由下,证明可满足高达600台终端的同时高速上网。
总结
新一代的处理器使得路由器的能力有了很大增强,WAN to LAN吞吐量达到线速或准线,远非普通中低端的传统企业级路由器和SOHO级路由器可比,消费者购买时需要注意一下。好的CPU就像是汽车的引擎,引擎不够力,再好的车子也跑不起来,再完善的系统也形同虚设。在新一代应用环境,如大型网吧,大型企业中,网络架构的可用性和稳定性同样重要。总而言之,在选购新一代宽带路由器产品时,其CPU的性能是绝不能被轻易忽略掉的。
浅谈Windows下VPN服务器设置
有关VPN客户机的一个常见的错觉是认为它们是在VPN网络上连接到企业网络的工作站。这种工作站肯定是一种VPN客户机,但是,它并不是惟一的一种 VPN客户机。VPN客户机可以是一台计算机,还可以是一台路由器。你的网络需要使用什么类型的VPN客户机确实取决于你的公司的具体需求。
例如,如果你碰巧有一个缺少与公司办公室直接连接的一个分支办公室,使用一台路由器作为VPN客户机对你来说可能是一个很好的选择。通过这样做,你可以利用一个单个的连接把整个分支办公室与公司办公室连接起来。不需要每一台PC都单独建立一个连接。
另一方面,如果你拥有一些经常出差的雇员,这些雇员需要在旅行中访问公司的网络,你把这些雇员的笔记本电脑设置为VPN的客户机可能会有好处。
从技术上说,只要支持PPTP、L2TP或者IPSec协议,任何操作系统都可以作为一台VPN客户机。就微软而言,这意味着你可以使用 Windows NT 4.0、9X、ME、2000和XP操作系统。虽然所有这些操作系统从技术上说都可以作为客户机,我建议你坚持使用Windows 2000或者Windows XP操作系统,因为这些操作系统能够支持L2TP和PSec协议。
VPN服务器
VPN服务器可以当作VPN客户机的一个连接点。从技术上说,你可以使用Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003等操作系统作为一台VPN服务器。不过,为了保证安全,我认为你应该使用Windows Server 2003操作系统。
有关VPN服务器的最大的误解之一是VPN服务器所有的工作都是自己完成的。我的朋友无数次地对我说,他们要购买一台VPN服务器。他们没有认识到VPN服务器只是必要的组件之一。
VPN服务器本身是非常简单的。VPN服务器不过是执行路由和远程访问服务任务的一个增强的‘Windows 2003 Server’服务器。一旦一个进入VPN网络的请求被批准,这个VPN服务器就简单地充当一台路由器向这个VPN客户机提供专用网络的接入。
ISA服务器
VPN服务器的额外要求之一是你要有一台RADIUS(远程认证拨入用户服务)服务器。远程认证拨入用户服务是互联网服务提供商在用户试图建立互联网连接的时候对用户进行身份识别的一种机制。
你需要使用RADIUS服务器的原因是你需要一些身份识别机制对通过VPN连接进入你的网络的用户进行身份识别。你的域名控制器不能完成这个任务。即使你的域名控制器能够胜任这个任务,把域名控制器暴露给外部世界也不是一个好主意。
现在的问题是你从什么地方获得这个RADIUS服务器?微软有自己版本的RADIUS,名为“互联网身份识别服务”,英文缩写字是IAS。 Windows Server 2003操作系统包含IAS功能。这是一个好消息。坏消息是由于安全的原因不能在同一台计算机中把ISA当作路由和远程访问服务(RRAS)来运行。即使可以这样做,我也不能肯定在虚拟服务魃柚弥馐欠裼姓飧隹赡堋?
防火墙
你的VPN需要的其它组件是一个良好的防火墙。的确。你的VPN服务器接受来自外部世界的连接,但是,这并不意味着外部世界需要完全访问的VPN服务器。你必须使用防火墙封锁任何没有使用的端口。
建立VPN连接的基本要求是,VPN服务器的IP地址必须能过通过互联网访问,VPN通信必须能够通过你的防火墙进入VPN服务器。然而,还有一项可选择的组件。你可以使用这个组件让你的VPN服务器更安全。
如果你非常重视安全问题(而且你有这笔预算),你可以在ISA服务器和你的周边防火墙和VPN服务器之间放置一个ISA服务器。这个想法是,你可以设置防火墙把所有的与VPN有关的通信都指向那个ISA服务器,而不是指向VPN服务器。然后,ISA服务器将充当一个VPN代理服务器。
VPN客户机和VPN服务器仅与ISA服务器进行通信。它们相互之间从来不直接通信。这就意味着ISA服务器在保护VPN服务器,不允许直接访问VPN服务器,从而为VPN服务器增加了一个保护层。
选择一个隧道协议
当VPN客户机访问一台VPN服务器的时候,它们是通过一个虚拟的隧道进行访问的。一个隧道实际上就是通过一个不安全的媒介(通常是互联网)的安全通道。然而,隧道并不是用魔术变出来的。隧道需要使用一个隧道协议。
我以前曾讲过老式的Windows客户机能够通过PPTP(点对点隧道协议)协议连接到一个VPN网络。但是,我建议使用比较新的客户端软件,如Windows 2000和Windows XP,因为它们支持L2TP(2层隧道协议)。事实是这两个协议中的任何一个协议都可以工作,而且客户机都支持这些协议。然而,每一个协议都有其优点和缺点。选择一个适合你的机构的隧道协议是你规划VPN网络时应做出的最重要的决策之一。
同PPTP协议相比,L2TP协议最大的优势在于它依赖IPSec。IPSec加密数据,也提供数据身份识别。这意味着IPSec证明这个数据确实是由发送者⑺偷牟⑶以诖涞墓讨忻挥斜恍薷摹6襂PSec可以防止重播攻击。重播攻击指的是黑客捕捉身份识别数据包,然后在晚些时候重新发送这个数据包以便获得这个系统的访问权限。
L2TP还可以提供比PPTP更强大的身份识别功能。L2TP能够对用户和计算机都进行身份识别。而且在用户级身份识别期间交换的数据包总是被加密的。
虽然表面上看L2TP也许是隧道协议的选择,但是,PPTP也有一些超过L2TP的优点。我已经谈到过这些优点之一,就是兼容性。PPTP比 L2TP兼容更多的Windows系统。如果你有一些仍在使用版本比较老的Windows操作系统的VPN用户,那么,除了使用PPTP之外,你没有别的选择。
PPTP优于L2TP的另一个优势是L2TP是以IPSec为基础的。在L2TP的优点这一节,我谈到IPSec喜欢L2TP是一件好事,而且事情确实如此。然而,使用IPSec有一个重大缺陷。IPSec要求你的网络具有认证中心。
这个好消息是Windows Server 2003有自己的认证中心。认证中心的设置是相对简单的。坏消息是,从安全的观点看,认证中心不是你要处理的事情。保持认证中心完整性的惟一方法是在一台安全保护增强到最大限度的专用服务器上运行认证中心。这就意味着必须要额外投资购买一台服务器、额外的Windows服务器软件许可证、以及增加与你的网络增加一台服务器有关的额外管理负担。
不过,按照我的意见,额外的成本和管理负担是值得的。L2TP能够为你提供比PPTP更好的安全性。此外,你还可以利用认证中心做其它的事情,如通过IPSec加密本地通信等。
身份识别协议
在我谈论协议话题的时候,我要用一些时间谈一谈身份识别协议的问题。在设置VPN的过程中,系统将要求你选择一个身份识别协议。大多数人会选择 MS-CHAP v2选项。MS-CHAP是一个相对安全的选项,它兼容运行在过去的10年里制作的任何版本的Windows操作系统的VPN客户机。MS-CHAP最大的优点是容易设置。
如果你计划使用L2TP并且要更好的安全性,你应该选择EAP-TLS作为你的身份识别协议。只有运行Windows 2003或者Windows XP操作系统的客户机才能支持EAP-TLS协议。而且,必须设置VPN服务器之后认证中心才能办法用户认证。
EAP-TLS协议的设置比较复杂,如果最终用户已经获得了智能卡,这个协议会工作得更好。但是,EAP-TLS协议确实能够为你提供最佳的安全。简单地说,MS-CHAP是基于口令的协议。EAP-TLS是基于证书的协议。
例如,如果你碰巧有一个缺少与公司办公室直接连接的一个分支办公室,使用一台路由器作为VPN客户机对你来说可能是一个很好的选择。通过这样做,你可以利用一个单个的连接把整个分支办公室与公司办公室连接起来。不需要每一台PC都单独建立一个连接。
另一方面,如果你拥有一些经常出差的雇员,这些雇员需要在旅行中访问公司的网络,你把这些雇员的笔记本电脑设置为VPN的客户机可能会有好处。
从技术上说,只要支持PPTP、L2TP或者IPSec协议,任何操作系统都可以作为一台VPN客户机。就微软而言,这意味着你可以使用 Windows NT 4.0、9X、ME、2000和XP操作系统。虽然所有这些操作系统从技术上说都可以作为客户机,我建议你坚持使用Windows 2000或者Windows XP操作系统,因为这些操作系统能够支持L2TP和PSec协议。
VPN服务器
VPN服务器可以当作VPN客户机的一个连接点。从技术上说,你可以使用Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003等操作系统作为一台VPN服务器。不过,为了保证安全,我认为你应该使用Windows Server 2003操作系统。
有关VPN服务器的最大的误解之一是VPN服务器所有的工作都是自己完成的。我的朋友无数次地对我说,他们要购买一台VPN服务器。他们没有认识到VPN服务器只是必要的组件之一。
VPN服务器本身是非常简单的。VPN服务器不过是执行路由和远程访问服务任务的一个增强的‘Windows 2003 Server’服务器。一旦一个进入VPN网络的请求被批准,这个VPN服务器就简单地充当一台路由器向这个VPN客户机提供专用网络的接入。
ISA服务器
VPN服务器的额外要求之一是你要有一台RADIUS(远程认证拨入用户服务)服务器。远程认证拨入用户服务是互联网服务提供商在用户试图建立互联网连接的时候对用户进行身份识别的一种机制。
你需要使用RADIUS服务器的原因是你需要一些身份识别机制对通过VPN连接进入你的网络的用户进行身份识别。你的域名控制器不能完成这个任务。即使你的域名控制器能够胜任这个任务,把域名控制器暴露给外部世界也不是一个好主意。
现在的问题是你从什么地方获得这个RADIUS服务器?微软有自己版本的RADIUS,名为“互联网身份识别服务”,英文缩写字是IAS。 Windows Server 2003操作系统包含IAS功能。这是一个好消息。坏消息是由于安全的原因不能在同一台计算机中把ISA当作路由和远程访问服务(RRAS)来运行。即使可以这样做,我也不能肯定在虚拟服务魃柚弥馐欠裼姓飧隹赡堋?
防火墙
你的VPN需要的其它组件是一个良好的防火墙。的确。你的VPN服务器接受来自外部世界的连接,但是,这并不意味着外部世界需要完全访问的VPN服务器。你必须使用防火墙封锁任何没有使用的端口。
建立VPN连接的基本要求是,VPN服务器的IP地址必须能过通过互联网访问,VPN通信必须能够通过你的防火墙进入VPN服务器。然而,还有一项可选择的组件。你可以使用这个组件让你的VPN服务器更安全。
如果你非常重视安全问题(而且你有这笔预算),你可以在ISA服务器和你的周边防火墙和VPN服务器之间放置一个ISA服务器。这个想法是,你可以设置防火墙把所有的与VPN有关的通信都指向那个ISA服务器,而不是指向VPN服务器。然后,ISA服务器将充当一个VPN代理服务器。
VPN客户机和VPN服务器仅与ISA服务器进行通信。它们相互之间从来不直接通信。这就意味着ISA服务器在保护VPN服务器,不允许直接访问VPN服务器,从而为VPN服务器增加了一个保护层。
选择一个隧道协议
当VPN客户机访问一台VPN服务器的时候,它们是通过一个虚拟的隧道进行访问的。一个隧道实际上就是通过一个不安全的媒介(通常是互联网)的安全通道。然而,隧道并不是用魔术变出来的。隧道需要使用一个隧道协议。
我以前曾讲过老式的Windows客户机能够通过PPTP(点对点隧道协议)协议连接到一个VPN网络。但是,我建议使用比较新的客户端软件,如Windows 2000和Windows XP,因为它们支持L2TP(2层隧道协议)。事实是这两个协议中的任何一个协议都可以工作,而且客户机都支持这些协议。然而,每一个协议都有其优点和缺点。选择一个适合你的机构的隧道协议是你规划VPN网络时应做出的最重要的决策之一。
同PPTP协议相比,L2TP协议最大的优势在于它依赖IPSec。IPSec加密数据,也提供数据身份识别。这意味着IPSec证明这个数据确实是由发送者⑺偷牟⑶以诖涞墓讨忻挥斜恍薷摹6襂PSec可以防止重播攻击。重播攻击指的是黑客捕捉身份识别数据包,然后在晚些时候重新发送这个数据包以便获得这个系统的访问权限。
L2TP还可以提供比PPTP更强大的身份识别功能。L2TP能够对用户和计算机都进行身份识别。而且在用户级身份识别期间交换的数据包总是被加密的。
虽然表面上看L2TP也许是隧道协议的选择,但是,PPTP也有一些超过L2TP的优点。我已经谈到过这些优点之一,就是兼容性。PPTP比 L2TP兼容更多的Windows系统。如果你有一些仍在使用版本比较老的Windows操作系统的VPN用户,那么,除了使用PPTP之外,你没有别的选择。
PPTP优于L2TP的另一个优势是L2TP是以IPSec为基础的。在L2TP的优点这一节,我谈到IPSec喜欢L2TP是一件好事,而且事情确实如此。然而,使用IPSec有一个重大缺陷。IPSec要求你的网络具有认证中心。
这个好消息是Windows Server 2003有自己的认证中心。认证中心的设置是相对简单的。坏消息是,从安全的观点看,认证中心不是你要处理的事情。保持认证中心完整性的惟一方法是在一台安全保护增强到最大限度的专用服务器上运行认证中心。这就意味着必须要额外投资购买一台服务器、额外的Windows服务器软件许可证、以及增加与你的网络增加一台服务器有关的额外管理负担。
不过,按照我的意见,额外的成本和管理负担是值得的。L2TP能够为你提供比PPTP更好的安全性。此外,你还可以利用认证中心做其它的事情,如通过IPSec加密本地通信等。
身份识别协议
在我谈论协议话题的时候,我要用一些时间谈一谈身份识别协议的问题。在设置VPN的过程中,系统将要求你选择一个身份识别协议。大多数人会选择 MS-CHAP v2选项。MS-CHAP是一个相对安全的选项,它兼容运行在过去的10年里制作的任何版本的Windows操作系统的VPN客户机。MS-CHAP最大的优点是容易设置。
如果你计划使用L2TP并且要更好的安全性,你应该选择EAP-TLS作为你的身份识别协议。只有运行Windows 2003或者Windows XP操作系统的客户机才能支持EAP-TLS协议。而且,必须设置VPN服务器之后认证中心才能办法用户认证。
EAP-TLS协议的设置比较复杂,如果最终用户已经获得了智能卡,这个协议会工作得更好。但是,EAP-TLS协议确实能够为你提供最佳的安全。简单地说,MS-CHAP是基于口令的协议。EAP-TLS是基于证书的协议。
D-Link无线ADSL小型网络解决方案
如今,以ADSL为代表的宽带业务全面突起,逐渐成为运营商构建宽带数据网络的首选。在激烈的市场竞争中,如何以"用户为中心",以最经济的接入方式、最灵活的业务模式让用户享有最大价值的宽带服务,成为运营商稳定客户群体,提升客户忠诚度的重要出发点。下面将为您介绍D-Link为SOHO和家庭上网一族量身打造的组网方案。
通过在ADSL和无线领域的技术与市场的深厚积累,D-Link全面推出"自由宽带"为特点的系列无线ADSL解决方案。在引入全新的无线 ADSL接入理念的同时,还全面支持传统的有线接入方式,为用户和运营商提供了更多选择。
ADSL+WLAN 终成趋势
由于提供了超出56K Modem近100倍的速度,ADSL逐渐成为了首选的宽带接入方式。同时随着WLAN应用市场初见峥嵘,无线技术开始渗透到网络的各个层面。在宽带市场,无线与宽带结合逐渐成为应用趋势。
目前,对于SOHO、家庭上网一族而言是否选用无线ADSL主要存在以下疑虑:
首先,应用成本问题。一般说来SOHO、家庭上网一族投资不会太多,但仍然希望能拥有一个功能完整、高效的宽带网络,因此应用成本成为选择网络接入方式的首要因素。同时,产品的多功能性使得网络应用更加丰富,所以多功能的网络设备更受SOHO/家庭用户的欢迎。
其次,简单安装和维护。在以上的网络环境中,用户常常不一定有专业的网络管理人员,因此他们需要网络厂商为其提供的是一个简单易用的产品和方案,便于管理和维护。
再者,网络安全和稳定的性能。构建网络的出发点就是拥有一个安全的网络,因此,在摆脱错综复杂的布线网络之后,安全成为推进无线网络应用的关键因素之一。
针对以上应用问题,国际著名网络设备和解决方案提供商D-Link推出了DI-714P+无线局域网宽带路由器,并以该产品为核心,为不同的应用环境精心设计了定制化的解决方案。该系列方案最大的特点是实现了无线、有线网络的结合,使用户可以灵活选择网络构建模式,同时也有效地解决了以上问题:
首先,宽带上网,随手可得。由于DI-714P+融合了ADSL宽带和WLAN优势于一体,摆脱了传统了有线网络构架束缚,网上冲浪随处可得。同时独有的22M无线接入,而通过下载D-Link的升级软件,还可以使实际无线传输速率达到802.11b的4倍,更能满足用户的带宽要求。加上与 ADSL宽带的配合使用,用户可以充分享受宽带无线网络的时尚品味。
其次,网络构建经济简单,应用更加丰富。该系列方案有效地利用现有电话线资源传送数据和语音信号,大幅度地降低了办公成本。网络支持PC、笔记本、掌上电脑等各种无线接入终端产品,使得网络建设一次到位,节省了网络无线升级的成本。而由于DI-714P+内置DHCP 和NAT功能,进而又降低小型局域网的建网成本。同时,DI-714P+的多功能性使得网络应用更加丰富。DI-714P+由于提供了自适应打印端口,支持打印服务器共享功能,进而节省了办公成本,因此特别适合于SOHO宽带网络用户应用。
最后,安全可靠,确保网络安全。无线产品的安全性能设计与IP路由安全功能的有效结合,使网络更加安全可靠。DI-714P+是一款安全性极高的产品,支持MAC地址、IP地址、URL等多种数据过滤策略,从而使网络应用更加智能;同时产品Network Address Translation (NAT)等网络防攻击、防伪通讯协议,更能保障使用者分享网络资源的安全性及隐私权。DI-714P+的另一项特色是具有类似「封包过滤器」的功能 (Basic Parental Control),可以锁住特定的色情或不法网站服务,这项功能对于家庭用户最为适用,有利于家长保护或限制小孩不当使用网络。此外,产品集合了IP路由、防火墙等多种安全功能,用户可通过子网分离和限制广播域等方法来提高广域网的传输性能并加强网络的安全性;而且产品还引入了业内最新的Wi-Fi?保护接入(WPA) 安全标准,新标准结合了数字加密和网络认证功能,将无线网络的安全性推向了更高水平,进一步保证局域网络安全。
以下是D-Link针对SOHO、家庭用户贴身定制的2套“自由宽带”解决方案,其所带来的2种自由的工作、生活方式将为用户带来无处不在的宽带体验。
D-Link特色解决方案
1.SOHO族自由办公无线ADSL接入方案
该方案适合规模较小、移动量较大的中小企业及家庭办公室。在方案中采用了有线、无线相结合的方式,企业可以根据业务和规模的实际情况和发展需要,灵活选择选择不同的接入方式。总体来看,方案选用了DI-714P+无线局域网宽带路由器作为接口,通过电话线与Internet网络相连。该宽带路由器具有ADSL宽带和无线AP功能,并提供四个以太网口,公司可以根据内部终端设备实际情况,选择下接Switch或Hub通过ADSL Modem与Internet连接,或者直接通过DI-714P+以太网口与外网互联互通,而移动PC、笔记本或掌上电脑则无需网线连接,通过配置DWL -660W、DWL-120+或DWL-650+无线网卡,就可以实现网上业务。与此同时,打印机可直接与DI-714P+自适应打印端口连接,实现打印服务器共享功能,进而节省了办公成本,这种方案的主要特点为:规模小,移动性大,网络环境和接入方式随时根据公司业务和规模的扩张而发展;打印服务器共享功能使网络应用更加丰富,而且还节省了相应的办公开支。采用包月制费用方式,并适用于所有ADSL专线用户。
2.针对家庭用户的ADSL接入方案
以上拓扑结构主要针对家庭用户设计的ADSL接入方案,非常适合休闲在家的中、老年网民以及求新求酷的新新人类。考虑到家庭用户的终端设备的使用较少,家具环境不易于铺设太多线路,因此建议同样使用DI-714P+无线局域网宽带路由器作为接入设备,上端通过ADSL Modem与Internet相连,而在下端这样既可以直接连接台式PC,也可适应笔记本的灵活移动办公的特点,同时满足多台终端设备网络业务的需要,而且也减少了布线的繁琐。而打印服务器共享功能,也可以使用户在家中的任何角落实现网络打印,轻松享受自由自在的移动生活。
这种方案的特点为:安装简便,满足非专业用户(个人用户对家庭)多种上网方式的需求;灵活性强,用户在家中随时随地均可实现网上冲浪。包月制和预付卡两种费用方式均可,并适用于所有ADSL专线用户。
订阅:
评论 (Atom)
