学校宿舍网络安全探究.docx
- 文档编号:7245885
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:14
- 大小:32.35KB
学校宿舍网络安全探究.docx
《学校宿舍网络安全探究.docx》由会员分享,可在线阅读,更多相关《学校宿舍网络安全探究.docx(14页珍藏版)》请在冰豆网上搜索。
学校宿舍网络安全探究
0.前言如今,校园宿舍网呈现用户多且密度大、网络节点多、难以管理的特点。
宿舍网的用户相对其他网络的用户分布要密集很多,而众多用户与不同宿舍楼之间的网络连接结构相似,但节点甚至比办公大楼、实验室等其他区域的网络节点还要多,管理起来工作量大。
同时,不容忽视的是,学校拥有一大批活跃、求知欲强的学生用户,因此IP地址盗用等现象频频发生。
在传统的IP和MAC地址绑定、流量计费的运营管
理模式下,为了防止IP地址盗用现象,将大量IP和MAC地址绑定,不仅加大了服务中心工作人员的工作量,甚至造成了超负荷工作,工作人员对此有很大意见;同时,用户对不能正常使用网络的抱怨也时有发生。
各种原因交织在一起最终导致了管理难的问题。
因此,我们一直在寻找由难到易的宿舍网运营计费认证管理办法,需要它营造出一种方便、实用、快捷、易于管理的网络环境。
同时,由于宿舍区网络使用者知识能力等所限,被病毒、木马等威胁的实例也层出不穷,例如:
局域网爆发ARP病毒,具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。
这是因为局域网内有电脑运行ARP欺骗程序(比如:
传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。
为了有效防范宿舍区内病毒等的发生与蔓延,有必要认真研究解决对策。
1.宿舍网络安全简介随着网络的快速发展和上网用户的急剧增多,网络中的不安全因素日益暴露无遗,主要表现在:
1)由于IP和MAC地址的可变性而导致的冒用合法用户入网问题。
非法用户只要连接网线,对电脑进
简单的网络配置就可以上网。
由于IP和MAC盗用会导致合法用户不能上网,甚至非法入网者会以合法用户
的名义从事非法勾当,对网络的安全管理造成很大的威胁;
2)操作系统和应用软件存在大量漏洞,这是造成网络安全问题的严峻的一个主要原因。
国际权威应急组织CERT/CC统计,截至2004年以来漏洞公布总数16726个,并且利用漏洞发动攻击的速度也越来越快;
3)校园网用户安全意识不强及计算机水平有限。
大部分学校普遍都存在重技术、轻安全、轻管理的倾向,常常只是在内部网与互联网之间放一个防火墙就万事大吉,甚至有些学校直接连接互联网,严重缺乏防范黑客攻击的意识。
学生宿舍网作为服务于教育、科研和行政管理的计算机网络,实现了校园内连网、信息共享,并与
Internet互联。
宿舍网连接的校内学生机,存在许多安全隐患,主要表现有:
1)宿舍网与Internet相连,面临着外网攻击的风险。
2)来自内部的安全威胁。
3)接入宿舍网的节点数日益增多,这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。
通过对宿舍网的安全设计,在不改变原有网络结构的基础上实现多种信息安全,保障宿舍网络安全
一个整体一致的内网安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全内网的效果。
身份认证是内网安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。
内网的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。
其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。
授权管理是以身份认证为基础的,其主要对内部信息网络各种信息资源的使用进行授权,确定谁能够在那些计算机终端或者服务器使用什么样的资源和权限。
授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。
数据保密是内网信息安全的核心,其实质是要对内网信息流和数据流进行全生命周期的有效管理,构建信息和数据安全可控的使用、存储和交换环境,从而实现对内网核心数据的保密和数字知识产权的保护。
由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。
监控审计是宿舍网络安全不可缺少的辅助部分,可以实现对宿舍网络安全状态的实时监控,提供宿舍网络安全状态的评估报告,并在发生宿舍网络安全事件后实现有效的取证。
宿舍网络安全已经成为信息安全的新热点,其技术和标准也在成熟和演进过程中,我们有理由相信,随着同学们对宿舍网络安全认识的加深,用户宿舍网络安全管理制度的完善,整体一致的宿舍网安全解决方案和体系建设将成为宿舍网安全的主要发展趋势。
宿舍内部网络安全经常会发生IP盗用现象,恶意修改MA(地址,严重危害了正常的上网秩序,下面我
们先从网卡开始探讨网络的安全问题。
2.网卡
2.1网卡的基本构造网卡包括硬件和固件程式(只读存储器中的软件例程),该固件程式实现逻辑链路控制和媒体访问控
制的功能,还记录唯一的硬件地址即MAC地址。
网卡上一般有缓存。
网卡须分配中断IRQ及基本I/O端口
地址,同时还须配置基本内存地址(basememoryaddress)和收发器(transceiver),主要由网卡的控制芯片、晶体震荡器、BOOTf槽、EPROM内接式转换器、RJ-45和BNC接头、信号指示灯等部分。
网卡的控制芯片是网卡中最重要元件,是网卡的控制中央,有如电脑的CPU空制着整个网卡的工作,
负责数据的的传送和连接时的信号侦测。
早期的10/100m的双速网卡会采用两个控制芯片(单元)分别用来控制两个不同速率环境下的运算,而现在较先进的产品通常只有一个芯片控制两种速度。
内接式转换器只要有BNC接头的网卡都会有这个芯片,并紧邻在BNC接头旁,它的功能是在网卡和BNC接头之间进行数据转换,让网卡能通过它从BNC接头送出或接收资料。
信号指示灯在网卡后方会有二到三个不等的信号灯,其作用是显示现在网络的连线状态,通常具备TX
和RX两个信息。
TX代表正在送出资料,RX代表正在接收资料,若看到两个灯同时亮则代表现在是处于全双工的运作状态,也可由此来辨别全双工的网卡是否处于全双工的网络环境中部分。
2.2网卡的工作原理
网卡的主要工作原理是整理计算机上发往网线上的数据,并将数据分解为适当大小的数据包之后向网络上发送出去。
对于网卡而言,每块网卡都有一个唯一的网络节点地址,它是网卡生产厂家在生产时烧入RO(只读存储芯片)中的,我们把它叫做MAC地址(物理地址),且保证绝对不会重复。
发送数据时,网
卡首先侦听介质上是否有载波(载波由电压指示),如果有,则认为其他站点正在传送信息,继续侦听介质。
一旦通信介质在一定时间段内(称为帧间缝隙IFG=9.6微秒)是安静的,即没有被其他站点占用,则开始进行帧数据发送,同时继续侦听通信介质,以检测冲突。
在发送数据期间,如果检测到冲突,则立即停
止该次发送,并向介质发送一个阻塞信号,告知其他站点已经发生冲突,从而丢弃那些可能一直在接收的受到损坏的帧数据,并等待一段随机时间(CSMA/CD确定等待时间的算法是二进制指数退避算法)。
在等
待一段随机时间后,再进行新的发送。
接收时,网卡浏览介质上传输的每个帧,如果其长度小于64字节,
则认为是冲突碎片。
如果接收到的帧不是冲突碎片且目的地址是本地地址,则对帧进行完整性校验,如果帧长度大于1518字节(称为超长帧,可能由错误的LAN驱动程序或干扰造成)或未能通过CRC校验,则认
为该帧发生了畸变。
通过校验的帧被认为是有效的,网卡将它接收下来进行本地处理。
2.3网卡的工作模式及功能
4.2工作模式分为以下四种:
1)广播模式(BroadCastModel):
它的物理地址(MAC地址是OXffffff的帧为广播帧,工作在广
播模式的网卡接收广播帧。
2)多播传送(MultiCastModel):
多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收,而组外主机却接收不到。
但是,如果将网卡设置为多播传送模式,它可以接收所有的多播传送帧,而不论它是不是组内成员。
3)直接模式(DirectModel):
工作在直接模式下的网卡只接收目地址是自己MAC地址的帧。
4)混杂模式(PromiscuousModel):
工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。
网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。
如果采用混杂模式,一个站点的网卡将接受同一网络内所有站点所发送的数据包这样就可以到达对于网络信息监视捕获的目的。
比如,可以实施远程扫描来确定一块网卡是否工作在混杂模式。
象AntiSniff这样的程序使用三种主
要的方法来检测网卡是否工作于混杂模式:
1.检测网卡电子方面的变化来确定网卡的工作模式。
2.发送各种包(ARP请求,ICMP包,DNS请求,TCPSYNfloods,等等)。
如果从某台主机返回的包等待了一段不正常的时间,而且没有被主机处理过的迹象,则程序便推断出该主机的网卡可能出于混杂模
式。
3•将错误的ICMP请求包含在无效的以太网地址头中。
所有没有工作在混杂模式的系统将忽略这些请
求,而那些回复错误的ICMP请求的主机将有可能出于混杂模式。
像AntiSniff这样的程序通过推论来判断网卡是否工作在混杂模式。
由于这些程序只是根据有限的数据来下结论,所以容易出现误报。
通常明智的做法是定时进行混杂模式检测的扫描。
例如,L0pht包含其
自身的调度。
使用WindwosNTScheduler或UNIX的cron程序,你可以自动实施所有扫描。
LOpht还提供
的UNIX版本的AntiSniff。
然而你需要编译它,并且只能运行在FreeBSD和Solaris操作系统下。
MAC地址的简介
什么是MAC地址网卡的身份证号MAC地址,也叫物理地址、硬件地址或链路地址,由网络设备制造商
生产时写在硬件内部。
他是识别网卡身份的标志!
MAC!
址的长度为48位(6个字节),通常表示为12个
16进制数,每2个16进制数之间用冒号隔开,如:
08:
00:
20:
0A:
8C:
6D就是一个MAC地址,其中前6位16进制数08:
00:
20代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数0A:
8C:
6D代表该制造商所制造的某个网络产品(如网卡)的系列号。
只要你不去更改自己的MAC地址,那
么你的MAC地址在世界是惟一的。
MAC地址的应用MAC1址主要用于与网络服务商提供的IP地址、端口以及用户提供的信息等绑定,
防止其他人盗用.学校里面的校园网就是这样的!
但是MAC是可以改变的!
查看MAC地址在输入cmd(引号里面部分)进入命令提示符状态然后输入IPconfig/all其中
PhysicalAddress就是计算机的MAC地址。
更改MAC地址一般MAC地址在网卡中是固定的,当然也有网络高手会想办法去修改自己的MAC地址。
修改自己的MAC地址有两种方法,一种是硬件修改,另外一种是软件修改。
硬件的方法就是直接对网卡进行操作,修改保存在网卡的EPROM!
面的MAC地址,通过网卡生产厂家提供的修改程序可以更改存储器里
的地址。
当然软件修改的方法就相对来说要简单得多了,在Windows中,网卡的MAC保存在注册表中,实
际使用也是从注册表中提取的,所以只要修改注册表就可以改变MAC。
IP与MAC勺绑定例如局域网某一用户的IP地址为:
,MAC地址为:
00-11-2F-3F-96-88在命令提
示符下输入IPconfig/all显示如下信息:
在命令行下输入:
arp-s00-11-2F-3F-96-88回车就绑定了。
查看是否绑定:
在命令行下输入arp-a,会得到如下提示:
InternetAddressPhysicalAddress00-11-2f-3f-96-88static就是成功完成了。
ARP命令仅对局
域网的上网代理服务器有用,而且是针对静态IP地址,如果采用Modem拨号上网或是动态IP地址就不起作用。
不过,只是简单地绑定IP和MAC地址是不能完全的解决IP盗用问题的。
设计一个好的网络,我们有责任为用户解决好这些问题之的后,才交给用户使用,而不是把安全问题交给用户来解决。
不应该让用户来承担一些不必要盗用的损失。
所以在网络安全方面,最常用也是最有效的解决方法就是在IP、MAC绑定
的基础上,再把端口绑定进去,即IP-MAC-PORT三者绑定在一起,端口(PORT指的是交换机的端口。
下面我们将针对此问题对交换机展开研究。
3.交换机
3.1什么是交换机交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。
交换机可以学习MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。
交换机的种类按照不同的分类方法,交换机有很多种分类。
如按工作方式可分为二层交换机,三层交换机,多层交换机;从广义上来看,交换机分为两种:
广域网交换机和局域网交换机。
广域网交换机主要应用于电信领域,提供通信用的基础平台。
而局域网交换机则应用于局域网络,用于连接终端设备,如PC机及网络打印机等。
交换机的工作原理
1、共享与交换数据传输技术要明白交换机的优点我们首先就必须明白交换机的基本工作原理,而交换
机的工作原理其实最根本的是要理解共享(Share)和交换(Switch)这两个概念。
集线器是采用共享方式
进行数据传输的,而我们在这里要讲的交换机工作原理则是采用交换方式进行数据传输的。
在交换机技术上把这种独享道宽(网络上称之为带宽)情况称之为交换,这种网络环境称为交换式网络,交换式网络必
须采用交换机(Switch)来实现。
交换式网络可以是全双工(FullDuplex)状态,即可以同时接收和发送数据,数据流是双向的。
而集线器的共享方式的网络就称之为共享式网络,共享式网络采用集线器(集线器)作为网络连接设备。
显然,共享网络的效率非常低,在任一时刻只能有一个方向的数据流,即处于半双工(HalfDuplex)模式,也称为单工模式。
2、数据传递的方式对于交换机而言,它能够认识连接到自己身上的每一台电脑,凭什么认识呢?
就是
凭每块网卡物理地址,俗称MAC地址。
交换机还具有MAC!
址学习功能,它会把连接到自己身上的MAC!
址记住,形成一个节点与MAC地址对应表。
凭这样一张表,它就不必再进行广播了,从一个端口发过来的
数据,其中会含有目的地的MAC地址,交换机在保存在自己缓存中的MAC地址表里寻找与这个数据包中包
含的目的MAC地址对应的节点,找到以后,便在这两个节点间架起了一条临时性的专用数据传输通道,这两个节点便可以不受干扰地进行通信了。
3、交换机的数据传递工作原理可以简单地这样来说明:
当交换机从某一节点收到一个以太网帧后,将
立即在其内存中的地址表(端口号—MAC地址)进行查找,以确认该目的MAC勺网卡连接在哪一个节点上,然后将该帧转发至该节点。
如果在地址表中没有找到该MAC地址,也就是说,该目的MA(地址是首次出现,交换机就将数据包广播到所有节点。
拥有该MAC地址的网卡在接收到该广播帧后,将立即做出应答,从而
使交换机将其节点的MAC地址添加到MAC地址表中。
换言之,当交换机从某一节点收到一个帧时(广播帧
除外),将对地址表执行两个动作,一是检查该帧的源MAC地址是否已在地址表中,如果没有,则将该MAC地址加到地址表中,这样以后就知道该MAC地址在哪一个节点;二是检查该帧的目的MAC1址是否已在地
址表中,如果该MAC地址已在地址表中,则将该帧发送到对应的节点即可,而不必像集线器那样将该帧发送到所有节点,只须将该帧发送到对应的节点,从而使那些既非源节点又非目的节点的节点间仍然可以进行相互间的通信,从而提供了比集线器更高的传输速率。
如果该MAC地址不在地址表中,则将该帧发送到
所有其它节点(源节点除外),相当于该帧是一个广播帧。
交换机根据以太网帧中的源MAC地址来更新地址表。
当一台计算机打开电源后,安装在该系统中的网
卡会定期发出空闲包或信号,交换机即可据此得知它的存在以及其MAC地址。
由于交换机能够自动根据收
到的以太网帧中的源MAC地址更新地址表的内容,所以交换机使用的时间越长,学到的MAC地址就越多,
未知的MAC地址就越少,因而广播的包就越少,速度就越快。
由于交换机中的内存毕竟有限,能够记忆的MAC地址数量也是有限的。
既然不能无休止地记忆所有的MAC地址,那么就必须赋予其相应的忘却机制。
事实上,为交换机设定了一个自动老化时间(Auto—aging),若某MAC地址在一定时间内(默认为300秒)不再出现,那么,交换机将自动把该MAC地址从地址表中清除。
当下一次该MAC地址重新出现时,将会被
当作新地址处理。
3.4可网管交换机VLAN技术VLAN即虚拟局域网(VirtualLocalAreaNetwork的缩写),是一种通
过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组技术。
VLAN是为解决以太
网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的
工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
先来了解一下交换机是如何使用VLAN分割广播域的首先,在一台未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口(Flooding)。
例如,计算机A发送广播信息后,会被转发给端口2、3、4。
交换机收到广播帧后,转发到除接收端口外的其他所有端口。
这时,如果在交换机上生成红、蓝两个
VLAN同时设置端口1、2属于红色VLAN端口3、4属于蓝色VLAN再从A发出广播帧的话,交换机就只会把它转发给同属于一个VLAN的其他端口也就是同属于红色VLAN的端口2,不会再转发给属于蓝色VLAN
的端口。
同样,C发送广播信息时,只会被转发给其他属于蓝色VLAN的端口,不会被转发给属于红色VLAN
的端口。
如果要更为直观地描述VLAN的话,我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。
在一台交换机上生成红、蓝两个VLAN也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机(如上
图)。
MAC和交换机端口的绑定在了解了交换机的基本知识之后,我们来在交换机上寻求一种防止盗号上网的方法将网卡的MAC地址与交换机的端口绑定,从在交换机上遏制盗号上网的现象。
我们以思科的交换机为例。
switch#configt//进入到全局配置模式switch(config)#intf0/1//进入到0/1号端口switch
(config-if)#switchportmodeaccess//设置交换机的端口模式为access模式,注意缺省是
dynamic//dynamic模式下是不能使用Port-security功能switch(config-if)#switchportport-security//打开port-security功能switch(config-if)#switchportport-securityMAC-address随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。
尤
其是WLAN勺应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,
802.lx就是IEEE为了解决基于端口的接入控制(Port-BasedNetworkAccessContro1)而定义的一个标准。
4.1弓I言802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷
是为了解决无线局域网用户的接入认证问题。
IEEE802LAN协议定义的局域网并不提供接入认证,只要用户
能接入局域网控制设备(如LANSwitch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应
用环境下并不存在明显的安全隐患。
802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。
可以限制XX的用户/设备通过接入端口访问LAN/WLAN在获得交换机或LAN提供的各种业务之前,802.1x对连接到交
换机端口上的用户/设备进行认证。
在认证通过之前,802.1X只允许EAPoL(基于局域网的扩展认证协议)
数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
它具有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信
级网络的运营和管理具有优势。
IEEE802.1X协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOEffiWEB/PORTA认证方式带来的问题,更加适合在宽带以太网中的使用。
网络访问技术的核心部分是PAE(端口访问实体)。
在访问控制流程中,端口访问实体包含3部分:
认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
802.1X认证体系802.1X是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
端
口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1X认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就打开这个端口,允许所有的报文通过;如果认证不成功就使这个端口保关闭,即只允许802.1X的认证协议报文通过。
802.1x认证体系分为请求者系统、认证系统和认证服务器系统三部分:
(1)请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。
请求者通常是支持802.1X认证的用户终端设备,用户通过启动客户端软件发起802.lX认证,后文的认证请求者和客户端二者表达相同含义。
(2)认证系统认证系统对连接到链路对端的认证请求者进行认证。
认证系统通常为支持802.lX协议的
网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。
后文的认证系统、认证点和接入设备三者表达相同含义。
(3)认证服务器系统认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认
证服务器的认证和授权功能。
请求者和认证系统之间运行802.1x定义的EAPQExtensibleAuthenticationProtocoloverLAN)协议。
当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP
帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户
认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。
非受控端口始终处于双向连通状态,主要用来传递EAP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 学校 宿舍 网络安全 探究