论文部分内容阅读
摘要:高校校园网是高校教师教学科研的基础设施,是学生学习深造的必需工具,是对外交流的重要渠道。随着高校信息化工作的不断深入,稳定的网络和完善的信息系统已成为信息化工作进一步推进的重要保障,而随着校园网功能的不断完善,校园用户规模的提升,校园网络的安全威胁也越来越多,产生了日益严重的信息安全问题。本文通过对校园网络安全威胁的研究,制定相应的交换机安全策略。
关键词:校园网;网络安全;入侵检测;账号安全
高校网络建设是高校信息化工作的重要基础,在高校教师教学科研、日常工作管理和对外学习交流中担当非常重要的角色。由于高校资源对教师和学生的开放性,以及部分学科学生实验的多样性,高校网络必然会承载来自校内的有意或无意的攻击。同时为便于对外交流,校园网络不仅对教师和学生开放,对校外用户也是部分开放的,来自校外的主动或被动攻击,都将会给信息系统的稳定带来不确定性。非法入侵、计算机病毒、系统漏洞等会对校园网络产生巨大的威胁。本文则从校园网络的基础设施——交换机着手,研究探索底层设备的安全防护。
一、 交换机的安全威胁
(一) ARP攻击
ARP是地址解析协议的简称,位于TCP/IP协议的网络层,通过设备的IP地址,查询设备的MAC地址,以保证通信的进行。ARP协议正常工作时,主机将包含目标IP地址的ARP请求广播到网络上的所有主机,使用这个IP地址的目标设备返回自己的MAC地址,主机收到返回的MAC地址后,将该IP地址和MAC地址存入本机ARP缓存,并保留一段时间,下次请求时直接使用缓存的MAC地址作为目的地址。ARP攻击就是攻击者伪造IP地址和MAC地址,对发送方发出的ARP请求进行欺骗应答,使发送方认为攻击者就是目的主机。之后发送方会把所有应该发送到这个IP地址的数据包,都发送给攻击者,从而捕获目标主机的敏感信息。
(二) DHCP攻击
DHCP是动态主机配置协议的简称,是一个局域网网络协议,主要作用是给内部网络用户自动分配IP地址,使局域网中用户动态获得IP地址、网关地址、DNS服务器地址等,提升地址的使用率。DHCP在服务器和客户端没有认证机制,所以攻击者可以在同一VLAN内伪装成一个DHCP服务器,并通过不断更改MAC地址将正常的DHCP服务器中的IP地址耗尽,当用户申请IP时,攻击者给用户分配非法的IP地址和网关地址,当用户访问互联网的时候,所有数据都发送给了假的网关,攻击者就可以捕获所有的用户信息,包括用户的各种账号密码。
(三) MAC泛洪攻击
交换机中存在着一张记录着MAC地址和对应端口的地址表,MAC地址表存放于交换机的缓存中,当交换机从某个端口收到数据帧后,读取数据帧中的目的MAC地址信息,然后查询MAC地址表,找出对应端口,从该端口把数据转发出去,完成数据的快速转发。但MAC地址表有数量限制,当接收到了足够多的MAC地址后,它就不会再接收新的MAC地址,且当MAC地址表条目已经达到数量限制,或当接收的数据帧中的目的地址不在MAC地址表中,则会向所有端口转发数据帧。攻击者利用这个原理,使用大量无效的源MAC地址,向交换机泛洪,交换机只能将数据帧进行广播,攻击者获得数据信息。
(四) VLAN跳转攻击
VLAN跳转是一种网络攻击方式,指的是终端系统向管理员不允许它访问的VLAN发送数据包,或者接收这个VLAN数据包。这种攻击的实现的方法是为攻击流量打上特定的VLAN ID标,或者通过协商Trunk链路来发送和接收所需VLAN流量。攻击者可以通过使用交换机欺骗或者双层标签的方式,来实现VLAN跳转攻击。VLAN跳转攻击的形式是,攻击者向交换机发送DTP帧,交换机收到后,自动将端口设置为Trunk模式,从而使攻击者通过Trunk口访问所有VLAN,进而去攻击任意VLAN中的任何设备。
(五) 网关仿冒
网关仿冒其实是ARP攻击的一种。攻击者将错误的网关MAC信息发送给用户,而局域网中的正常用户收到这些ARP报文后,自动更新本地的ARP缓存表,建立错误的网关IP与MAC对应关系,当局域网中正常用户向网关发送数据信息时,将会给数据帧封装上错误的网关MAC地址,发送至错误的MAC地址,直接导致用户数据发送异常,表现为局域网内用户通信中断、无法上网。
二、 制定安全策略,执行加固措施
(一) DAI检测
因为ARP协议不提供任何认证机制,因此攻击者很容易通过技术手段或使用入侵工具来实施地址欺骗,毒化同一VLAN中其他主机的ARP缓存表。ARP毒化会导致多种中间人攻击,而这些攻击会威胁网络的安全。
DAI在交换机上动态绑定IP地址和MAC地址,以DHCP Snooping绑定表为基础,对于没有使用DHCP的个别机器静态添加ARP access-list,从而防御中间人攻击。为确保只转发合法的ARP请求与应答,DAI需要采取下列措施:
(1)從可信端口收到的ARP数据包,不用经过任何检查可以直接进行转发。(2)拦截不可信端口上的所有ARP数据包。(3)在将这些ARP数据包转发出去并使其更新本地ARP缓存之前,先根据IP与MAC地址绑定数据库来检测每个ARP数据包的合法性。(4)丢弃并记录与绑定数据库信息不符的非法ARP数据包。(5)控制某个端口的ARP请求报文频率,当请求频率超过预先设定的阈值,立即关闭该端口。
(二) DHCP Snooping
DHCP Snooping是交换机的一种DHCP安全特性,通过建立维护一张DHCP Snooping表进行DHCP信息的筛选,过滤不受信任的DHCP信息。DHCP Snooping通过以下几种方式提高安全性:
(1)设置DHCP服务器的端口为可信任端口,只对可信任端口发来的DHCP报文进行响应处理。(2)通过对DHCP报文进行侦听,记录用户从DHCP服务器获取到的局域网用户的MAC地址、IP地址、租用期、VLAN-ID接口等信息,绑定后与其他安全功能配合使用。(3)对不信任端口的DHCP信息报文过滤,起到屏蔽假冒DHCP Server的作用,确保局域网用户从合法的DHCP服务器获取IP地址,提高网络的安全性。 (三) 端口安全配置
端口安全是指通过MAC地址表记录连接到交换机端口客户端的以太网网卡MAC地址,限定一个具体的MAC地址通过此端口通信,非信任用户的MAC地址发送的数据包通过此端口时,会被端口安全特性阻止。使用端口安全特性可以有效限制MAC泛地址攻击,增强安全性。另外,端口安全特性还可以限定端口允许介入的MAC地址数量,超过最大数量限制的新MAC地址发送的数据帧会被丢弃,也可用于防止MAC泛洪攻击造成的MAC地址表填满。
(四) VLAN访问控制列表
访问控制列表(ACL)有助于在多层交换网络中实施网络控制。VACL(VLAN ACL)可以控制VLAN中的流量或者控制通过交换的方式转发的流量。Catalyst交换机支持通过4个ACL对数据包进行检查:输入和输出安全ACL、输入和输出QoS(服务质量)ACL。
(五) 网关欺骗防范
除了使用被动的网关欺骗检测方法外,还可以主动的实施一定的防范措施:
(1)设置静态ARP条目:网关欺骗攻击造成被攻击用户的ARP缓存中的网关IP/MAC对不正确,如果将主机中ARP条目设置成静态不可修改,即可保证网关IP对应的MAC为正确的MAC。(2)划小网络:通过VLAN技术划分网段,使得网络进一步划小,减少ARP广播的监听范围,同时也可以方便确定攻击者的位置。
三、 其他安全威胁及防护
(1)硬件安全:自從美国“棱镜门”主角斯诺登爆出美国国家安全局在很多产品中植入“后门”后,在网络设备品牌选择上应保持谨慎,应更多考虑选择国产品牌设备,现在国产品牌的网络设备技术上已经不落后甚至超过国外品牌。(2)账号安全:由于网络维护人员具有一定的流动性,对于网络设备应根据安全级别设置权限等级,管理账户的密码定期更新。(3)环境安全:网络硬件设备对于机房的温度、湿度要求较高,应定期检查机房环境,对于空调设备故障、机房漏水、鼠患等问题需提前预防。
四、 结论
校园网络虽然相对封闭,但安全问题仍然不可忽视,需要从多个维度进行监测和防范。随着校园用户规模的提升,有意或无意的攻击造成的网络安全问题必须及时解决和预防,不断提供更加安全的校园信息网络。
(通信作者:曹进)
参考文献:
[1]W. Richard Stevens. TCP/IP详解(卷1:协议)[M].北京:机械工业出版社.
[2]肖弋.数字化校园信息安全立体防御体系的探索与实践[J].网络安全技术与应用,2017(4).
[3]刘祖军.网络交换机安全措施的研究和实现[J].科技传播,2017(9),16.
作者简介:
袁飞,江苏省镇江市,江苏大学信息化处;
曹进,江苏省镇江市,江苏大学药学院。
关键词:校园网;网络安全;入侵检测;账号安全
高校网络建设是高校信息化工作的重要基础,在高校教师教学科研、日常工作管理和对外学习交流中担当非常重要的角色。由于高校资源对教师和学生的开放性,以及部分学科学生实验的多样性,高校网络必然会承载来自校内的有意或无意的攻击。同时为便于对外交流,校园网络不仅对教师和学生开放,对校外用户也是部分开放的,来自校外的主动或被动攻击,都将会给信息系统的稳定带来不确定性。非法入侵、计算机病毒、系统漏洞等会对校园网络产生巨大的威胁。本文则从校园网络的基础设施——交换机着手,研究探索底层设备的安全防护。
一、 交换机的安全威胁
(一) ARP攻击
ARP是地址解析协议的简称,位于TCP/IP协议的网络层,通过设备的IP地址,查询设备的MAC地址,以保证通信的进行。ARP协议正常工作时,主机将包含目标IP地址的ARP请求广播到网络上的所有主机,使用这个IP地址的目标设备返回自己的MAC地址,主机收到返回的MAC地址后,将该IP地址和MAC地址存入本机ARP缓存,并保留一段时间,下次请求时直接使用缓存的MAC地址作为目的地址。ARP攻击就是攻击者伪造IP地址和MAC地址,对发送方发出的ARP请求进行欺骗应答,使发送方认为攻击者就是目的主机。之后发送方会把所有应该发送到这个IP地址的数据包,都发送给攻击者,从而捕获目标主机的敏感信息。
(二) DHCP攻击
DHCP是动态主机配置协议的简称,是一个局域网网络协议,主要作用是给内部网络用户自动分配IP地址,使局域网中用户动态获得IP地址、网关地址、DNS服务器地址等,提升地址的使用率。DHCP在服务器和客户端没有认证机制,所以攻击者可以在同一VLAN内伪装成一个DHCP服务器,并通过不断更改MAC地址将正常的DHCP服务器中的IP地址耗尽,当用户申请IP时,攻击者给用户分配非法的IP地址和网关地址,当用户访问互联网的时候,所有数据都发送给了假的网关,攻击者就可以捕获所有的用户信息,包括用户的各种账号密码。
(三) MAC泛洪攻击
交换机中存在着一张记录着MAC地址和对应端口的地址表,MAC地址表存放于交换机的缓存中,当交换机从某个端口收到数据帧后,读取数据帧中的目的MAC地址信息,然后查询MAC地址表,找出对应端口,从该端口把数据转发出去,完成数据的快速转发。但MAC地址表有数量限制,当接收到了足够多的MAC地址后,它就不会再接收新的MAC地址,且当MAC地址表条目已经达到数量限制,或当接收的数据帧中的目的地址不在MAC地址表中,则会向所有端口转发数据帧。攻击者利用这个原理,使用大量无效的源MAC地址,向交换机泛洪,交换机只能将数据帧进行广播,攻击者获得数据信息。
(四) VLAN跳转攻击
VLAN跳转是一种网络攻击方式,指的是终端系统向管理员不允许它访问的VLAN发送数据包,或者接收这个VLAN数据包。这种攻击的实现的方法是为攻击流量打上特定的VLAN ID标,或者通过协商Trunk链路来发送和接收所需VLAN流量。攻击者可以通过使用交换机欺骗或者双层标签的方式,来实现VLAN跳转攻击。VLAN跳转攻击的形式是,攻击者向交换机发送DTP帧,交换机收到后,自动将端口设置为Trunk模式,从而使攻击者通过Trunk口访问所有VLAN,进而去攻击任意VLAN中的任何设备。
(五) 网关仿冒
网关仿冒其实是ARP攻击的一种。攻击者将错误的网关MAC信息发送给用户,而局域网中的正常用户收到这些ARP报文后,自动更新本地的ARP缓存表,建立错误的网关IP与MAC对应关系,当局域网中正常用户向网关发送数据信息时,将会给数据帧封装上错误的网关MAC地址,发送至错误的MAC地址,直接导致用户数据发送异常,表现为局域网内用户通信中断、无法上网。
二、 制定安全策略,执行加固措施
(一) DAI检测
因为ARP协议不提供任何认证机制,因此攻击者很容易通过技术手段或使用入侵工具来实施地址欺骗,毒化同一VLAN中其他主机的ARP缓存表。ARP毒化会导致多种中间人攻击,而这些攻击会威胁网络的安全。
DAI在交换机上动态绑定IP地址和MAC地址,以DHCP Snooping绑定表为基础,对于没有使用DHCP的个别机器静态添加ARP access-list,从而防御中间人攻击。为确保只转发合法的ARP请求与应答,DAI需要采取下列措施:
(1)從可信端口收到的ARP数据包,不用经过任何检查可以直接进行转发。(2)拦截不可信端口上的所有ARP数据包。(3)在将这些ARP数据包转发出去并使其更新本地ARP缓存之前,先根据IP与MAC地址绑定数据库来检测每个ARP数据包的合法性。(4)丢弃并记录与绑定数据库信息不符的非法ARP数据包。(5)控制某个端口的ARP请求报文频率,当请求频率超过预先设定的阈值,立即关闭该端口。
(二) DHCP Snooping
DHCP Snooping是交换机的一种DHCP安全特性,通过建立维护一张DHCP Snooping表进行DHCP信息的筛选,过滤不受信任的DHCP信息。DHCP Snooping通过以下几种方式提高安全性:
(1)设置DHCP服务器的端口为可信任端口,只对可信任端口发来的DHCP报文进行响应处理。(2)通过对DHCP报文进行侦听,记录用户从DHCP服务器获取到的局域网用户的MAC地址、IP地址、租用期、VLAN-ID接口等信息,绑定后与其他安全功能配合使用。(3)对不信任端口的DHCP信息报文过滤,起到屏蔽假冒DHCP Server的作用,确保局域网用户从合法的DHCP服务器获取IP地址,提高网络的安全性。 (三) 端口安全配置
端口安全是指通过MAC地址表记录连接到交换机端口客户端的以太网网卡MAC地址,限定一个具体的MAC地址通过此端口通信,非信任用户的MAC地址发送的数据包通过此端口时,会被端口安全特性阻止。使用端口安全特性可以有效限制MAC泛地址攻击,增强安全性。另外,端口安全特性还可以限定端口允许介入的MAC地址数量,超过最大数量限制的新MAC地址发送的数据帧会被丢弃,也可用于防止MAC泛洪攻击造成的MAC地址表填满。
(四) VLAN访问控制列表
访问控制列表(ACL)有助于在多层交换网络中实施网络控制。VACL(VLAN ACL)可以控制VLAN中的流量或者控制通过交换的方式转发的流量。Catalyst交换机支持通过4个ACL对数据包进行检查:输入和输出安全ACL、输入和输出QoS(服务质量)ACL。
(五) 网关欺骗防范
除了使用被动的网关欺骗检测方法外,还可以主动的实施一定的防范措施:
(1)设置静态ARP条目:网关欺骗攻击造成被攻击用户的ARP缓存中的网关IP/MAC对不正确,如果将主机中ARP条目设置成静态不可修改,即可保证网关IP对应的MAC为正确的MAC。(2)划小网络:通过VLAN技术划分网段,使得网络进一步划小,减少ARP广播的监听范围,同时也可以方便确定攻击者的位置。
三、 其他安全威胁及防护
(1)硬件安全:自從美国“棱镜门”主角斯诺登爆出美国国家安全局在很多产品中植入“后门”后,在网络设备品牌选择上应保持谨慎,应更多考虑选择国产品牌设备,现在国产品牌的网络设备技术上已经不落后甚至超过国外品牌。(2)账号安全:由于网络维护人员具有一定的流动性,对于网络设备应根据安全级别设置权限等级,管理账户的密码定期更新。(3)环境安全:网络硬件设备对于机房的温度、湿度要求较高,应定期检查机房环境,对于空调设备故障、机房漏水、鼠患等问题需提前预防。
四、 结论
校园网络虽然相对封闭,但安全问题仍然不可忽视,需要从多个维度进行监测和防范。随着校园用户规模的提升,有意或无意的攻击造成的网络安全问题必须及时解决和预防,不断提供更加安全的校园信息网络。
(通信作者:曹进)
参考文献:
[1]W. Richard Stevens. TCP/IP详解(卷1:协议)[M].北京:机械工业出版社.
[2]肖弋.数字化校园信息安全立体防御体系的探索与实践[J].网络安全技术与应用,2017(4).
[3]刘祖军.网络交换机安全措施的研究和实现[J].科技传播,2017(9),16.
作者简介:
袁飞,江苏省镇江市,江苏大学信息化处;
曹进,江苏省镇江市,江苏大学药学院。