避开网络安全接入控制的NAC方法,NAC方法和其他网络接入控制都有相似的方式方法,下面主要介绍的是NAC方法知识,虽然没有直接涉及到NAC方法的具体介绍,但看过之后会有收获的。
网络接入控制 NAC方法 (Network access Control)算是一种新一代的安全接入技术,相比传统的被动防御来说,增加了主动性,从以前的默认允许走向更加严格的默认拒绝。简单的说有两个主要组件,一是能够监测到网络上有新网元的接入,二是能够判断新接入的网元是否符合网络的安全策略。
针对这个概念很多厂商都提出了自己解决方案,但可惜的是目前没有一个相应的规范,不过最近的新闻说针对设备的思科 NAC方法 和偏重主机的微软NAP方案已经结成同盟,形成互补。今天凑巧看到一篇短小的Bypass NAC方法 system的白皮书,挺有意思摘录一下:
对于绕过 NAC方法 控制主要还是从其实现技术和架构来入手:对于实现如何监测新网元的接入,主要有以下几种方法:
◆DHCP代理:用户接入网络会发起DHCP请求,通过DHCP代理劫持用户的请求,给其一个隔离区的地址段,然后对其进行安全策略检查,符合就重新分配地址,不符合就放在隔离区。当然还可以增加认证,这样不用安装软件,劫持其DNS请求,所有请求都会转向认证页面。
◆广播侦听:用户接入网络会发起ARP之类的广播请求,通过侦听此类广播来判断
◆思科 NAC方法 架构:思科则用其设备上的优势,通过交换机支持802.1x来对接入网元进行控制,当然还有交换机二层,路由器三层等对数据包的控制
◆ NAC方法 硬件:这个有点类似IDS,通过硬件带内或者带外侦听数据流量来判断,而对于网络安全策略的坚持,基本分为两种,一种就是客户需要安装软件先,通过软件来检查用户的系统,二种就是通过漏洞扫描来检查用户的系统在对 NAC方法 主要使用的技术了解以后就是如何利用这些技术的缺陷来绕过这些控制。
◆当然这些问题也可以作为你 NAC方法 选型的要求来考虑:用户配置静态IP是否能够绕过?用户设置虚假DHCP 服务器 是否能劫持合法用户请求?合法主机使用NAT技术可否能让后面的非法主机接入?需要安装软件的话是否支持所有系统?
◆IP或者MAC欺骗是否有效?总会有一些排出在规则之外的特殊接入主机,是否会有被滥用的可能?如果主机使用了防火墙,对主机接入的安全评估还是否有效?是否有可能欺骗安装在主机上的监控软件?
无线路由器怎么设置
买TP-LINK WR340G 54M无限上网路由器,然后点无限参数-基本设置 SSID号设置即无线路由功能的名称,用笔记本上的时候要和这个名称一样,频段选择-自动 模式选择 54Mbps(802.11g)下面把无限功能打钩 ,把允许SSID广播打钩, 再把开启安全设置打钩-安全类型选择WEP ,安全选项-选自动,密匙格式选择-16进制 ,然后下面把密匙1点上,设置一下密码,64位的,就能上网啦,笔记本WLAN扫描一下就搜索到了(无线网距离50米好像就搜不到)打入你刚刚设置的9位数密码,就能上网了。 版权所有啊,纯手工。 。 。
什么是ADSL协议
ADSL根据它接入互联网方式的不同,它所使用的协议也略有不同,当然了不管ADSL使用怎样的协议,它都是基于TCP/IP这个最基本的协议,并且支持所有TCP/IP程序应用。 以下是ADSL使用中常见协议: ①RFC1483B:就是指通常所提及的1483桥接协议,该功能是基于基本的桥接协议的基础上,其在网络的第一层(物理层)实现,在使用该方案时,MODEM只是充当桥接设备,不提供任何协议转换或地址过滤功能,一般当MODEM能与DSLAM同步后,设置好其中的VPI/VCI后,基本上就可以实现用户上网,简而言之此时MODEM仅仅充当HUB相同的功能,在该方案下也有几种联网方案,在该模式下可以实现专线上网(ISP给用户分配固定的IP地址以及子网掩码和默认网关,在不支持NAT功能的MODEM上地址信息必须配置在用户的PC上),同时也可以实现PPPoE拨号方式(MODEM使用1483B方式,在用户PC上安装第三方拨号软件);但现在很多地方还要使用专线方式下的1483B+NAT、1483B+DHCPclient功能(该功能是为了在专线方式时,MODEM的WAN口能动态获得IP地址,这样可以减少ISP的管理工作)。 ②RFC1483R:指1483路由模式,该功能是在桥接的基础上可以实现路由功能,在该模式时,可以在MODEM的广域网口设置公网IP地址,在MODEM的LAN口设置私有IP地址,这样可以轻松实现地址转换功能。 ③RFC1577:即IPOA,通过ATM网传输IP数据包,在该方式下用户必须拥有固定的IP地址和子网掩码以及其他一些网络参数,由于在该方式下无法提供用户名以及密码验证,无法满足网络使用过程中的网络管理以及安全等QoS服务,故该方式目前基本上不再广泛使用。 ④RFC2364:即PPPoA,该方式与上面的RFC1577基本相同,但其在用户与ISP建立基于ATM的物理连接后,通过PPP协议在链路层和网络层上建立会话,使用该协议方式时可以实现PAP、CHAP等安全验证功能,这样为ISP网络的安全管理提供了相应的支持。 在该方式下,MODEM的地址是在通过PPP协议建立连接后由ISP的DHCP服务器自动分配。 ⑤RFC2516:即PPPoE,该方式是基于桥接方式的,当使用该方式时,当MODEM与DSLAM建立基本的物理连接后,由用户端(在MODEM上使用PPPoE方式时,用户端指MODEM)发起PPP请求,通过PAP(PAP:口令认证协议,是用户身份认证的一种形式,它通过用户名和用户口令来验证用户的合法性,由于用户的ID和口令在链路上以文本形式直接传输,因而安全性较差)或CHAP(CHAP:质询握手认证协议,也是用户认证的一种形式,它通过服务器发出认证质询,用户以应答的形式来验证用户的合法性,由于用户的ID和口令经过加密之后再在网络上传输,因此其安全性较好)两种验证方式通过ISP中的UAS验证,而建立网络连接。 注:RFC是Request for comments Document的缩写。 RFC实际上就是Internet有关服务的一些标准。
什么是MAC地址.MAC地址绑定是什么意思?
一、MAC(Media Access Control 或者 Medium AccessControl)地址,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。 在OSI 模型中,第三层网络层负责 IP 地址,第二层数据链路层则负责 MAC 地址。 因此一个主机会有一个 MAC 地址,而每个网络位置会有一个专属于它的 IP 地址。 工作在数据链路层的交换机维护着计算机 MAC 地址和自身端口的数据库(即MAC地址表),交换机根据收到的数据帧中的“目的MAC地址”字段来转发数据帧。 简单地说,MAC地址就是计算机设备网卡上的地址,也叫物理地址。 它由6段二位16进制数表示,例如00-50-BA-CE-D6-F9。 如果一台计算机有两张网卡,就会有两个物理地址。 二、MAC地址绑定就是利用三层交换机的安全控制列表将交换机上的端口与所对应的MAC地址进行捆绑。 为了有效防止非法用户盗用网络资源,MAC地址绑定可以有效的规避非法用户的接入。 以进行网络物理层面的安全保护。 扩展资料:查看物理地址的方法:快捷键win+R,跳出运行栏之后,输入cmd,跳出命令框之后,输入ipconfig/all即可,找到物理地址一项,英文的话,就是Phycial Aderess1、快捷键win+R,打开运行2、输入cmd,打开命令提示符3、输入ipconfig/all,就可以看到了
发表评论