工业以太网应用安全的研究
点击数:7807 次 录入时间:03-04 11:43:36 整理:http://www.55dianzi.com 电工文摘
TCP/IP协议本身的开放性和层出不穷的网络病毒和攻击手段,网络安全可以成为影响工业以太网实时性的一个突出问题。
1)病毒攻击。在互联网上充斥着类似Slammer、“冲击波”等蠕虫病毒和其它网络病毒的袭击。以蠕虫病毒为例,这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器,但是攻击是通过网络进行的,因此当这些蠕虫病毒大规模爆发时,交换机、路由器会首先受到牵连。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。蠕虫病毒攻击能够导致整个网络的路由震荡,这样可能使上层的信息层网络部分流量流入工业以太网,加大了它的通信负荷,影响其实时性。在控制层也存在不少计算机终端连接在工业以太网交换机,一旦终端感染病毒,病毒发作即使不能造成网络瘫痪,也可能会消耗带宽和交换机资源。
2) MAC攻击。工业以太网交换机通常是二层交换机,而MAC地址是二层交换机工作的基础,网络依赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后(AGE TIME)会发生更新。如果某端口一直没有收到源地址为某一MAC地址的数据包,那么该MAC地址和该端口的映射关系就会失效。这时,交换机收到目的地址为该MAC地址的数据包就会进行泛洪处理,对交换机的整体性能造成影响,能导致交换机的查表速度下降。而且,假如攻击者生成大量数据包,数据包的源MAC地址都不相同,就会充满交换机的MAC地址表空间,导致真正的数据流到达交换机时被泛洪出去。这种通过复杂攻击和欺骗交换机入侵网络方式,近来已有不少实例。一旦表中MAC地址与网络段之间的映射信息被破坏,迫使交换机转储自己的MAC地址表,开始失效恢复,交换机就会停止网络传输过滤,它的作用就类似共享介质设备或集线器,CSMA/CD机制将重新作用从而影响工业以太网的实时性。
目前信息层网络采用的交换机安全技术主要包括以下几种。流量控制技术 ,把流经端口的异常流量限制在一定的范围内。访问控制列表(ACL)技术 ,ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。 安全套接层(SSL) 为所有 HTTP流量加密,允许访问交换机上基于浏览器的管理 GUI。802.1x和RADIUS 网络登录 控制基于端口的访问,以进行验证和责任明晰。源端口过滤只允许指定端口进行相互通信。Secure Shell (SSHv1/SSHv2) 加密传输所有的数据,确保IP网络上安全的CLI远程访问。安全FTP 实现与交换机之间安全的文件传输,避免不需要的文件下载或未授权的交换机配置文件复制。不过,应用这些安全功能仍然存在很多实际问题,例如交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。一些交换机具有上一页 [1] [2] [3] 下一页
本文关键字:以太网 工业 电工文摘,电工技术 - 电工文摘
