校园网建设规范与安全问题.ppt

校园网建设规范与安全问题,杨 寿 保,中国科学技术大学网络中心 2001年7月27日,网络就是计算机 计算机网络 通信与计算机结合的产物 把处于不同地理位置的、独立的、自治的多 个计算机系统通过通信设备和线路连接起来，以 功能完善的网络软件实现资源共享的系统称为计 算机网络系统。 通信技术与计算机技术的结合 通信网络是计算机信息交换和数据传送的基础 计算机技术促进通信网络的发展,计算机网络基本知识,计算机网络基本知识,网络传输设备 网卡（网络适配器） 收发器（信号转换装置） 集线器（Hub, 物理层共享式设备） 交换机（Switch, 第2层或第3层交换设备） 路由器(Router)和路由交换机 调制解调器(Modem) 拨号服务器 其他,计算机网络基本知识,计算机网络基本知识,网络传输介质 双绞线(UTP/10Base-T, 100Base-T, 1000Base-T) 光缆(Fiber-optic/100Base-FX, 1G-LX/SX) 微波和无线传输 卫星通信 红外线 使用最广泛的是：双绞线和光缆,基本组网技术 共享式以太网(Ethernet)，10Mbps FDDI(光纤分布数据接口)，100Mbps ATM(异步传输模式)，155M/622M 交换以太网(Switched Ethernet)，10/100M 千兆以太网(Gigabit Ethernet), 1000M-10G,计算机网络基本知识,使用最广泛的是：高速交换以太网,广域网组网技术 DDN -SDH/SONET X.25 -DWDM PSTN -ADSL、HDSL ISDN ATM FR,计算机网络基本知识,PSTN,X.25,DDN,FR,ISDN,Internet,ATM,DWDM,SDH,网络协议 网络层协议 TCP/IP-传输控制/网际互联协议，最重要的协议 低层网络协议 CSMA/CD (IEEE 802.3) 载波侦听多路访问/碰撞检测共享介质协议 DDN、帧中继 ATM 异步传输模式,计算机网络基本知识,拥抱网络时代,你是一张无边无际的网 轻易就把我困在网中央 我越陷越深越迷惘 路越走越远越漫长 如何我才能捉住你眼光 ,IP地址 Internet的网络地址 用四组十进制数表示，每组取值为0-255 例如：202.38.64.1 210.72.12.254 三类IP网络地址 A类：每个含2的24次方个IP地址 B类：每个含65536个IP地址 C类：每个含256个IP地址 IP地址的申请,怎样接入Internet,DNS Internet的域名管理系统 标识联网计算机，直观、易记 采用分层命名和管理的方法 计算机名.组织机构名.网络名.顶级域名 例如： 域名与IP地址的等价 = 202.38.64.2 = 202.38.79.10 神奇的 .COM,怎样接入Internet,通过局域网接入Internet 运行Windows 9x/2000的PC机一台 网卡一块(使用双绞线连到交换机) 配置IP地址和网关等 运行TCP/IP网络软件和其他应用软件,怎样接入Internet,Internet,R,路由器,交换机,局域网,广域网,通过电话拨号接入Internet 运行Windows 9x/2000的PC机一台 调制解调器一块(Modem, 接入电话线) 申请一个用户户头 配置Win9x/2000的拨号网络 运行TCP/IP软件和其他应用软件,怎样接入Internet,Internet,R,路由器,交换机,局域网,广域网,拨号服务器,PSTN,电话网络,校园网络建设规范,1 网络建设的物理规范 (1).主干网：第三层交换千兆或百兆高速以太网 子 网：第三层或第二层的千兆或百兆交换快速以太网 桌 面：第二层交换的百兆或十兆的接入，取消共享的 十兆以太网 (2).拓扑结构：星形与树形的结合 淘汰总线拓扑，不再采用细缆或粗缆串接计算机 和集线器（俗称Hub）。,(3).传输介质 光 缆： 用于楼与楼之间的连接。 多模光纤用于千兆传输，距离不大于250米。 用于百兆和十兆传输，距离不大于2500米。 单模光纤用于几种不同速率传输，距离不大于10千米。 双绞线： 用户计算机的接入 5类双绞线用于10100兆速率的网络，距离不大于100米。 超5类双绞线同5类双绞线，并可用于1G(千兆) 传输介质要逐步取消并禁止使用3类双绞线和同轴电缆（包括细缆与粗缆）,校园网络建设规范,(4). 接续标准 光纤接入：光纤接续一律由专业人员采用熔接技术对 光纤进行处理 双绞线接入：双绞线接续一律采用RJ45接头（俗称 水晶头）按标准压线。 如568B标准： 白橙、橙对应1、2；白绿、绿对应3、6； 蓝、白蓝对应4、5；白棕、棕对应7、8,校园网络建设规范,(5). 物理设备 网卡：采用10M或10M/100M自适应网卡，用RJ-45接口 必要时也有采用千兆网卡和无线网卡的。 交换机(Switch)：交换机提供8到24或更多的RJ-45口， 能隔离通信流量，减少网络拥堵，提高网络性能。 是用户接入的主要设备。需要网络分隔性能高的地 方建议采用具有第三层交换功能的交换机。 集线器（Hub）：采用10Mhub，提供8到24个RJ-45口， 级连时需要采用级连线或级连口，层数不能超过三层。集线器属于应该淘汰的网络设备，不建议使用,校园网络建设规范,2. 网络协议 TCP/IP协议+交换以太网 3. 网络操作系统 入网计算机操作系统包括各种类型的UNIX（如SUN Solaris, HP-UNIX, Linux等）各种Windows NT, Windows 98 / 95，Windows2000。网络应用将不再支持DOS环境。建议在服务器端多采用Linux。,校园网络建设规范,4. IP地址的申请、分配、使用与管理，以及网卡地址和试验性地址问题。 5. 名字服务DNS 各单位网络需要名字服务的可向上一级提出申请。如向CERNIC, CNNIC等申请。 6. 文件服务FTP 各子网单位原则上不得设立文件服务的匿名上传功能。,校园网络建设规范,7、电话拨号接入 无网络连线的学生宿舍和教工宿舍可以采用电话拨号接入。但是最终解决办法还是铺设宽带网到学生宿舍和教工宿舍。 8、无线网络接入 采用IEEE802.11标准，全向天线，作用半径300米到500米，速率为11Mbps。适用于教学楼、大会场等布线困难的场所，应用越来越广。,校园网络建设规范,9、电源与接地 各类网络设备，如交换机、路由器、集线器等应保证一天24小时的电源正常供电，以确保网络随时畅通。电源应避免使用照明电，而应接入动力电，有条件的可加装UPS不间断电源。电源应有良好的接地，并保证地线与电源中的零线相分离，以保证设备安全。 10、防火、防雷、防水与散热 放置网络设备与服务器的场所，要注意通风、散热、防火及避免水淹或雨水浇淋。裸露在室外的网线及设备要注意防雷。有条件的地方应安装空调。,校园网络建设规范,PSTN,第二层交换机,第二层交换机,路由器,第三层交换机,域名服务器 E-Mail服务器,WWW服务器 FTP服务器 BBS服务器,网管工作站,微波天线,代理服务器,1000BASE-LX,100BASE-TX,10BASE-TX,微波网桥,第二层交换机,第三层交换机,第二层交换机,第二层交换机,1000 Base-LX,图形工作站,Modem 池,100BASE-FX,第二层交换机,第二层交换机,行政楼,教学楼,第二实验楼,宿舍楼（10幢）,网络中心,第一实验楼,校园网络典型拓扑结构图 2001.7.10,光缆直连,可选系统,中国科大校园网主干改造方案物理结构图 2000.3.1,核心层,分布层,接入层,接入层,CoreBuilder 9000 7-Slot,CoreBuilder 9000 7-Slot,CoreBuilder 9000 16-Slot,CoreBuilder 9000 16-Slot,CoreBuilder 3500,CoreBuilder 3500,CoreBuilder 3500,CoreBuilder 3500,CoreBuilder 3500,CoreBuilder 3500,CoreBuilder 3500,CoreBuilder 3500,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,SuperStack II 3300,3COM Corebuilder 9000/16,3COM Corebuilder 9000/7,3COM Corebuilder 3500,3COM Super Stack 3300,中国科大校园网络 使用的主要网络设备,中国科技大学校园网络拓扑结构图,安徽省教育和科研网拓扑结构示意图,计算机网络的安全防范问题,Internet是不安全的,网络是开放的 共享信道、广播方式的信息传送 各种协议的漏洞 各种系统的漏洞 因此，网络发展为我们带来历史机遇的同时，也带来巨大风险,黑客,What are they doing?,黑客,计算机和网络 安全问题的防范,网络安全的要求,数据的完整性 单元和序列完整 数据的可用性 随时可用 数据的保密性 泄露，非授权访问 数据和用户的可认证性 网络行为的不可否认性,网络安全的五层体系,网络安全： Firewall、VPN、Proxy 系统安全：病毒、黑客、冒名、无用指令 用户安全 ：分组管理、身份认证、第三方认证 应用程序使用数据：意外损坏、安全考虑 数据安全、数据加密,对网络入侵的分析(1),入侵手法： 利用对网络传输协议的信任和依赖及传输漏洞 IP欺骗：利用网络传输时对IP和DNS的信任 嗅包器：利用网络信息明文传送 窃取口令：作字典攻击 利用服务进程的缺陷和配置错误 利用操作系统本身的漏洞,获取目标系统的信息 利用系统提供的命令或辅助工具 对系统的端口扫描与测试 TCP connect (): 对方端口处于Listening则可达 TCP SYN: 回答ACK/SYN可达，RST不可达 TCP FIN: 利用漏洞，回答RST不可达 TCP reverse ident 扫描：泄露用户名 FTP bounce attack UDP ICMP 端口扫描 ICMP echo 扫描 获取的信息涉及目标系统的类型、服务等 获取目标系统提供服务的端口信息,获得对目标系统的访问权力 登录服务 Telnet存在口令问题，不安全的传输 r-login等remote操作命令不安全漏洞 X-server允许其他主机访问当前终端 mail和sendmail的安全问题 SMTP对发送方没有鉴别，可以转发邮件 允许发信到指定文件则可修改特定配置 允许执行收到的文件 利用栈溢出、参数错误等制造漏洞和竞争,FTP文件传送协议是不安全的 系统环境参数设置不当，改当前目录、口令等 部分ftpd允许用户执行命令和存在竞争条件 使攻击者获得包括口令文件的core 存在栈溢出问题，导致运行任意命令 超文本访问协议HTTP的安全漏洞 信息的明文传送 引入CGI, 允许用户执行程序 存在栈溢出的可能 使用不恰当的系统调用 某些支持SSI(Server Side Includes),网络文件系统NFS的安全问题 配置出错 读写权限设置过宽 远程启动(Remote Booting)的安全性 RARP, BOOTP, TFTP 等存在安全问题 NIS的安全性：共享各种配置信息 POP和IMAP的实现漏洞 POP对请求响应快，次数无限制，用户名和口令在系统和用户端相同，口令明文传送 IMAP产生包含口令信息的core文件，栈溢出错误,获得目标系统超级用户的权限 利用系统shell中的suid(Set User ID)功能 利用图形界面的错误实现 口令分析 栈瓦解(栈溢出)和竞争条件 特洛伊木马 错误的暂存文件，如Solaris 2.5上的admintool 文件目录权限错误，如放置假的动态链接库而设置逻辑炸弹或特洛伊木马 网络入侵技术的组合使用 Internet蠕虫事件：sendmail的debug + fingerd的缺陷 + rsh/rexec,网络入侵技术的分析(2),拒绝服务(Service Deny)现象： 系统性能临时降低 系统突然崩溃而需人工重新启动 数据永久性丢失而导致大范围崩溃 手法 利用邮包炸弹和邮包罐头(mail spamming) 重负载的服务请求，无用的进程将CPU撑死 UDP风暴，与IP欺骗共同使用，以防追查,TCP同步攻击 (TCP SYN Flooding) Land攻击，发送源地址与目的地址相同的TCP连接请求 Teardrop: 利用IP分段报文重组的漏洞 smurf攻击Ping to Death 发送大量ICMP echo报文到目标主机网络，ping报文的源地址设成目标主机，造成网络拥塞 鉴别服务问题,欺骗攻击(Spoofing Attacks) 邮件欺骗(mail spoofing) IP Spoofing 伪路由(routing game) Web Spoofing 竞争条件(race condition)问题 执行并行程序竞争CPU以影响另一程序的运行，如Solaris 2.4中的系统命令ps 栈瓦解(stack smash)问题 典型为栈溢出，覆盖返回地址，控制转移到攻击者希望的位置执行任意命令,利用网络传输的入侵 邮件炸弹(mail bombing) 网络信息侦听 利用嗅包器sniffer和网络信息分析器analyzer,后门技术(Back Door) 利用系统缺陷 Rhosts + 后门：/etc/rhosts.equiv .rhosts 引导区后门：类似病毒 利用特洛伊木马程序 校验与时标后门，login后门，telnetd后门 Library后门，文件系统后门 利用传输协议 网络流量后门，TCP后门 UDP后门，ICMP后门,服务器漏洞的防御,尽可能不以超级用户身份运行程序 关闭不安全的和不必要的服务 严格检查CGI之类程序的漏洞，不让不熟练的程序员编写CGI程序 经常(时时)检查系统运行日志，及时发现入侵迹象,操作系统漏洞的防御,及时更新系统版本和打补丁 主要程序运行前要作完整性检测，防止篡改和特洛伊木马 对主要目录文件作权限测试以防非法更改 对主要配置文件作定期分析以发现漏洞或入侵者留下的后门,网络传输入侵的防御,采用加密和数字签名的技术防止窃听、冒充、欺骗和篡改 采用交换的以太网技术减少侦听 使用良好配置的IP地址过滤器监视IP地址与物理地址的对应关系以减少IP欺骗 通过日志分析和源点分析防范邮件欺诈 防火墙技术的应用,服务拒绝攻击的防御,及时检查系统运行情况 发现问题及时断开对可疑站点的连接,信息加密技术,网络安全的目标 Secrecy 保密性 Authenticity 真实性 Non-repudiation 不可否认性 Integrity control 完整性 对信息传输安全的威胁 被动攻击：窃听 主动攻击：拦截、假冒、篡改、丢弃.,对计算机中信息安全的威胁 浏览、泄露、篡改、破坏、误删 计算机安全级别(1985) 美国国防部：可信任计算机标准评估准则 (Trusted Computer Standards Evaluation Criteria) 又称桔黄皮书(Orange Book) D1级：最低安全形式，没有保护，没有控制 C1级：存在某种程度的保护，用户有注册名 和口令 C2级：除对用户权限进一步限制外，有身份 验证与系统审计能力,B1级：支持多级安全(如秘密和绝密) B2级：结构保护，所有对象都贴标签分配级别 B3级：安全域级别，安装硬件来加强安全 A级：最高安全级别，有严格的设计、控制和验证过程 加密系统模型 明文 加密变换 密文 解密变换 明文 加密密钥 解密密钥 传统加密方法,秘密密钥加密系统(对称系统、私钥系统) 加密密钥和解密密钥一样，或可以互导 DES: Data Encryption Standard 1977, 美国 用56位长的密钥加密64位长的数据块 256=72,057,584,037,927,936 约7.2亿亿 IDEA：International Data Encryption Algorithm 用128位长的密钥加密64位长的数据块 1991, 瑞士 特点：运算速度快，不能做数字签名,公开密钥加密系统(非对称系统) 加密密钥与解密密钥不同，不可互导，公开加密密钥不会危及解密密钥，可实现数字签名。 RSA：典型的公钥加密系统，1978，美国 公开：加密密钥 e，模数 n (n=pq, p, q为素数) 秘密：解密密钥 d，p和q 其中，ed mod (n) = 1 加密：C = Me mod n，C 为密文，M为明文 解密：M = Cd mod n = Med mod n = M 特点：安全性高，基于因数分解难度 可实现数字签名，运算速度低,鉴别技术,鉴别服务 报文鉴别 身份鉴别 信息摘要技术: MD5, SHS,数字签名(Digital Signature) 可使消息接收者能够验证消息的确来自合法用户的一种加密机制 任何人不能伪造签字人的签名 签字人无法否认自己的签名 可用于身份认证和数据完整性控制 PGP加密系统(Pretty Good Privacy) 1991年，美国人Zimmermann发明 IDEA + RSA：公钥系统与私钥系统的结合 实现加密、解密、数字签名、密钥管理等 注意：使用端-端加密，不用链路加密,网络传输入侵的防御,采用加密和数字签名的技术防止窃听、冒充、欺骗和篡改 采用交换的以太网技术减少侦听 使用良好配置的IP地址过滤器监视IP地址与物理地址的对应关系以减少IP欺骗 通过日志分析和源点分析防范邮件欺诈 防火墙技术的应用,防火墙技术,什么是防火墙 防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组，强制执行对内部网和外部网的访问控制。通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流，实现保护内部网络的目的。,防火墙的功能 访问控制 授权认证 内容安全：病毒扫描、URL扫描、HTTP过滤 加密 路由器安全管理 地址翻译 均衡负载 日志记帐、审计报警,三类防火墙技术及实现 基于IP包过滤的堡垒主机防火墙 IP过滤路由器 带双网络接口配置的堡垒主机,Internet,R,内部网,外部网,外网段(非军事区),内网段,防火墙,路由器,代理服务器防火墙(Proxy Server) 不允许外部网与内部网的直接通信，内外计算机应用层的连接由终止于Proxy Server上的连接来实现。,Internet,R,内部网,代理服务器,路由器,Internet,R,内部网,外部网,外网段(非军事区),内网段,防火墙,路由器,代理服务器,应用层网关(Application Gateway) 建立在网络应用层上基于主机的协议过滤、转发器，在用户和应用协议层之间提供访问控制。 代理服务与应用层网关的特点 易于记录和控制所有进出通信 对用户不透明，提供的服务有限,Internet,应用程序网关,用户击键,应用程序输入,击键转发,应用程序转发,安 全 策 略,总的策略 你需要保护哪些资源？ 保护这些资源你需要防备哪些人？ 可能存在什么样的威胁？ 资源的重要性如何？ 你能够采取哪些措施？ 你是否定期检查网络安全策略？你的网络目标和环境是否已经改变？ 你是否知道黑客们的最新动向？,网络的使用和责任 允许谁使用这些资源？ 什么是对资源的正确使用？ 谁被授予有授权访问和同意使用的权力？ 谁可能拥有系统管理特权？ 用户的权利和责任是什么？ 系统管理员的权利和责任是什么？ 如何处理敏感信息？ 检测和监视系统运行 检测和监视非授权活动,科大校园网络的具体做法,包过滤防火墙 代理服务器 邮件收发权的审查 用户权限限制 IP地址与MAC地址的对应(绑定)和追踪 系统补丁和端口控制 系统备份和更新 系统审计和日志 严格的用户管理制度和网络管理条例,网络安全中，人是最薄弱的一环，最为成功的入侵往往不需要高深知识和复杂技术。 安全制度是重要环节，没有完整可靠的管理制度，再好的防御也是形同虚设。 关闭一切不需要的功能，堵塞一切可能的漏洞。 谨慎选择安全策略和技术，最大限度地安全利用网络资源。 了解和掌握最新安全防范动态与技术。,结 束 语,谢谢大家！,