校园网建设规范与安全问题.ppt

校园网建设规范与安全问题,杨寿保,中国科学技术大学网络中心2001年7月27日,网络就是计算机计算机网络通信与计算机结合的产物把处于不同地理位置的、独立的、自治的多个计算机系统通过通信设备和线路连接起来，以功能完善的网络软件实现资源共享的系统称为计算机网络系统。通信技术与计算机技术的结合通信网络是计算机信息交换和数据传送的基础计算机技术促进通信网络的发展,计算机网络基本知识,计算机网络基本知识,网络传输设备网卡（网络适配器）收发器（信号转换装置）集线器（Hub,物理层共享式设备）交换机（Switch,第2层或第3层交换设备）路由器(Router)和路由交换机调制解调器(Modem)拨号服务器其他,计算机网络基本知识,计算机网络基本知识,网络传输介质双绞线(UTP/10Base-T,100Base-T,1000Base-T)光缆(Fiber-optic/100Base-FX,1G-LX/SX)微波和无线传输卫星通信红外线使用最广泛的是：双绞线和光缆,基本组网技术共享式以太网(Ethernet)，10MbpsFDDI(光纤分布数据接口)，100MbpsATM(异步传输模式)，155M/622M交换以太网(SwitchedEthernet)，10/100M千兆以太网(GigabitEthernet),1000M-10G,计算机网络基本知识,使用最广泛的是：高速交换以太网,广域网组网技术DDN-SDH/SONETX.25-DWDMPSTN-ADSL、HDSLISDNATMFR,计算机网络基本知识,PSTN,X.25,DDN,FR,ISDN,Internet,ATM,DWDM,SDH,网络协议网络层协议TCP/IP-传输控制/网际互联协议，最重要的协议低层网络协议CSMA/CD(IEEE802.3)载波侦听多路访问/碰撞检测共享介质协议DDN、帧中继ATM异步传输模式,计算机网络基本知识,拥抱网络时代,你是一张无边无际的网轻易就把我困在网中央我越陷越深越迷惘路越走越远越漫长如何我才能捉住你眼光,IP地址Internet的网络地址用四组十进制数表示，每组取值为0-255例如：202.38.64.1210.72.12.254三类IP网络地址A类：每个含2的24次方个IP地址B类：每个含65536个IP地址C类：每个含256个IP地址IP地址的申请,怎样接入Internet,DNSInternet的域名管理系统标识联网计算机，直观、易记采用分层命名和管理的方法计算机名.组织机构名.网络名.顶级域名例如：域名与IP地址的等价=202.38.79.10神奇的.COM,怎样接入Internet,通过局域网接入Internet运行Windows9x/2000的PC机一台网卡一块(使用双绞线连到交换机)配置IP地址和网关等运行TCP/IP网络软件和其他应用软件,怎样接入Internet,Internet,R,路由器,交换机,局域网,广域网,通过电话拨号接入Internet运行Windows9x/2000的PC机一台调制解调器一块(Modem,接入电话线)申请一个用户户头配置Win9x/2000的拨号网络运行TCP/IP软件和其他应用软件,怎样接入Internet,Internet,R,路由器,交换机,局域网,广域网,拨号服务器,PSTN,电话网络,校园网络建设规范,1网络建设的物理规范(1).主干网：第三层交换千兆或百兆高速以太网子网：第三层或第二层的千兆或百兆交换快速以太网桌面：第二层交换的百兆或十兆的接入，取消共享的十兆以太网(2).拓扑结构：星形与树形的结合淘汰总线拓扑，不再采用细缆或粗缆串接计算机和集线器（俗称Hub）。,(3).传输介质光缆：用于楼与楼之间的连接。多模光纤用于千兆传输，距离不大于250米。用于百兆和十兆传输，距离不大于2500米。单模光纤用于几种不同速率传输，距离不大于10千米。双绞线：用户计算机的接入5类双绞线用于10100兆速率的网络，距离不大于100米。超5类双绞线同5类双绞线，并可用于1G(千兆)传输介质要逐步取消并禁止使用3类双绞线和同轴电缆（包括细缆与粗缆）,校园网络建设规范,(4).接续标准光纤接入：光纤接续一律由专业人员采用熔接技术对光纤进行处理双绞线接入：双绞线接续一律采用RJ45接头（俗称水晶头）按标准压线。如568B标准：白橙、橙对应1、2；白绿、绿对应3、6；蓝、白蓝对应4、5；白棕、棕对应7、8,校园网络建设规范,(5).物理设备网卡：采用10M或10M/100M自适应网卡，用RJ-45接口必要时也有采用千兆网卡和无线网卡的。交换机(Switch)：交换机提供8到24或更多的RJ-45口，能隔离通信流量，减少网络拥堵，提高网络性能。是用户接入的主要设备。需要网络分隔性能高的地方建议采用具有第三层交换功能的交换机。集线器（Hub）：采用10Mhub，提供8到24个RJ-45口，级连时需要采用级连线或级连口，层数不能超过三层。集线器属于应该淘汰的网络设备，不建议使用,校园网络建设规范,2.网络协议TCP/IP协议+交换以太网3.网络操作系统入网计算机操作系统包括各种类型的UNIX（如SUNSolaris,HP-UNIX,Linux等）各种WindowsNT,Windows98/95，Windows2000。网络应用将不再支持DOS环境。建议在服务器端多采用Linux。,校园网络建设规范,4.IP地址的申请、分配、使用与管理，以及网卡地址和试验性地址问题。5.名字服务DNS各单位网络需要名字服务的可向上一级提出申请。如向CERNIC,CNNIC等申请。6.文件服务FTP各子网单位原则上不得设立文件服务的匿名上传功能。,校园网络建设规范,7、电话拨号接入无网络连线的学生宿舍和教工宿舍可以采用电话拨号接入。但是最终解决办法还是铺设宽带网到学生宿舍和教工宿舍。8、无线网络接入采用IEEE802.11标准，全向天线，作用半径300米到500米，速率为11Mbps。适用于教学楼、大会场等布线困难的场所，应用越来越广。,校园网络建设规范,9、电源与接地各类网络设备，如交换机、路由器、集线器等应保证一天24小时的电源正常供电，以确保网络随时畅通。电源应避免使用照明电，而应接入动力电，有条件的可加装UPS不间断电源。电源应有良好的接地，并保证地线与电源中的零线相分离，以保证设备安全。10、防火、防雷、防水与散热放置网络设备与服务器的场所，要注意通风、散热、防火及避免水淹或雨水浇淋。裸露在室外的网线及设备要注意防雷。有条件的地方应安装空调。,校园网络建设规范,PSTN,第二层交换机,第二层交换机,路由器,第三层交换机,域名服务器E-Mail服务器,WWW服务器FTP服务器BBS服务器,网管工作站,微波天线,代理服务器,1000BASE-LX,100BASE-TX,10BASE-TX,微波网桥,第二层交换机,第三层交换机,第二层交换机,第二层交换机,1000Base-LX,图形工作站,Modem池,100BASE-FX,第二层交换机,第二层交换机,行政楼,教学楼,第二实验楼,宿舍楼（10幢）,网络中心,第一实验楼,校园网络典型拓扑结构图2001.7.10,光缆直连,可选系统,中国科大校园网主干改造方案物理结构图2000.3.1,核心层,分布层,接入层,接入层,CoreBuilder90007-Slot,CoreBuilder90007-Slot,CoreBuilder900016-Slot,CoreBuilder900016-Slot,CoreBuilder3500,CoreBuilder3500,CoreBuilder3500,CoreBuilder3500,CoreBuilder3500,CoreBuilder3500,CoreBuilder3500,CoreBuilder3500,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,SuperStackII3300,3COMCorebuilder9000/16,3COMCorebuilder9000/7,3COMCorebuilder3500,3COMSuperStack3300,中国科大校园网络使用的主要网络设备,中国科技大学校园网络拓扑结构图,安徽省教育和科研网拓扑结构示意图,计算机网络的安全防范问题,Internet是不安全的,网络是开放的共享信道、广播方式的信息传送各种协议的漏洞各种系统的漏洞因此，网络发展为我们带来历史机遇的同时，也带来巨大风险,黑客,Whataretheydoing?,黑客,计算机和网络安全问题的防范,网络安全的要求,数据的完整性单元和序列完整数据的可用性随时可用数据的保密性泄露，非授权访问数据和用户的可认证性网络行为的不可否认性,网络安全的五层体系,网络安全：Firewall、VPN、Proxy系统安全：病毒、黑客、冒名、无用指令用户安全：分组管理、身份认证、第三方认证应用程序使用数据：意外损坏、安全考虑数据安全、数据加密,对网络入侵的分析(1),入侵手法：利用对网络传输协议的信任和依赖及传输漏洞IP欺骗：利用网络传输时对IP和DNS的信任嗅包器：利用网络信息明文传送窃取口令：作字典攻击利用服务进程的缺陷和配置错误利用操作系统本身的漏洞,获取目标系统的信息利用系统提供的命令或辅助工具对系统的端口扫描与测试TCPconnect():对方端口处于Listening则可达TCPSYN:回答ACK/SYN可达，RST不可达TCPFIN:利用漏洞，回答RST不可达TCPreverseident扫描：泄露用户名FTPbounceattackUDPICMP端口扫描ICMPecho扫描获取的信息涉及目标系统的类型、服务等获取目标系统提供服务的端口信息,获得对目标系统的访问权力登录服务Telnet存在口令问题，不安全的传输r-login等remote操作命令不安全漏洞X-server允许其他主机访问当前终端mail和sendmail的安全问题SMTP对发送方没有鉴别，可以转发邮件允许发信到指定文件则可修改特定配置允许执行收到的文件利用栈溢出、参数错误等制造漏洞和竞争,FTP文件传送协议是不安全的系统环境参数设置不当，改当前目录、口令等部分ftpd允许用户执行命令和存在竞争条件使攻击者获得包括口令文件的core存在栈溢出问题，导致运行任意命令超文本访问协议HTTP的安全漏洞信息的明文传送引入CGI,允许用户执行程序存在栈溢出的可能使用不恰当的系统调用某些支持SSI(ServerSideIncludes),网络文件系统NFS的安全问题配置出错读写权限设置过宽远程启动(RemoteBooting)的安全性RARP,BOOTP,TFTP等存在安全问题NIS的安全性：共享各种配置信息POP和IMAP的实现漏洞POP对请求响应快，次数无限制，用户名和口令在系统和用户端相同，口令明文传送IMAP产生包含口令信息的core文件，栈溢出错误,获得目标系统超级用户的权限利用系统shell中的suid(SetUserID)功能利用图形界面的错误实现口令分析栈瓦解(栈溢出)和竞争条件特洛伊木马错误的暂存文件，如Solaris2.5上的admintool文件目录权限错误，如放置假的动态链接库而设置逻辑炸弹或特洛伊木马网络入侵技术的组合使用Internet蠕虫事件：sendmail的debug+fingerd的缺陷+rsh/rexec,网络入侵技术的分析(2),拒绝服务(ServiceDeny)现象：系统性能临时降低系统突然崩溃而需人工重新启动数据永久性丢失而导致大范围崩溃手法利用邮包炸弹和邮包罐头(mailspamming)重负载的服务请求，无用的进程将CPU撑死UDP风暴，与IP欺骗共同使用，以防追查,TCP同步攻击(TCPSYNFlooding)Land攻击，发送源地址与目的地址相同的TCP连接请求Teardrop:利用IP分段报文重组的漏洞smurf攻击PingtoDeath发送大量ICMPecho报文到目标主机网络，ping报文的源地址设成目标主机，造成网络拥塞鉴别服务问题,欺骗攻击(SpoofingAttacks)邮件欺骗(mailspoofing)IPSpoofing伪路由(routinggame)WebSpoofing竞争条件(racecondition)问题执行并行程序竞争CPU以影响另一程序的运行，如Solaris2.4中的系统命令ps栈瓦解(stacksmash)问题典型为栈溢出，覆盖返回地址，控制转移到攻击者希望的位置执行任意命令,利用网络传输的入侵邮件炸弹(mailbombing)网络信息侦听利用嗅包器sniffer和网络信息分析器analyzer,后门技术(BackDoor)利用系统缺陷Rhosts+后门：/etc/rhosts.equiv.rhosts引导区后门：类似病毒利用特洛伊木马程序校验与时标后门，login后门，telnetd后门Library后门，文件系统后门利用传输协议网络流量后门，TCP后门UDP后门，ICMP后门,服务器漏洞的防御,尽可能不以超级用户身份运行程序关闭不安全的和不必要的服务严格检查CGI之类程序的漏洞，不让不熟练的程序员编写CGI程序经常(时时)检查系统运行日志，及时发现入侵迹象,操作系统漏洞的防御,及时更新系统版本和打补丁主要程序运行前要作完整性检测，防止篡改和特洛伊木马对主要目录文件作权限测试以防非法更改对主要配置文件作定期分析以发现漏洞或入侵者留下的后门,网络传输入侵的防御,采用加密和数字签名的技术防止窃听、冒充、欺骗和篡改采用交换的以太网技术减少侦听使用良好配置的IP地址过滤器监视IP地址与物理地址的对应关系以减少IP欺骗通过日志分析和源点分析防范邮件欺诈防火墙技术的应用,服务拒绝攻击的防御,及时检查系统运行情况发现问题及时断开对可疑站点的连接,信息加密技术,网络安全的目标Secrecy保密性Authenticity真实性Non-repudiation不可否认性Integritycontrol完整性对信息传输安全的威胁被动攻击：窃听主动攻击：拦截、假冒、篡改、丢弃.,对计算机中信息安全的威胁浏览、泄露、篡改、破坏、误删计算机安全级别(1985)美国国防部：可信任计算机标准评估准则(TrustedComputerStandardsEvaluationCriteria)又称桔黄皮书(OrangeBook)D1级：最低安全形式，没有保护，没有控制C1级：存在某种程度的保护，用户有注册名和口令C2级：除对用户权限进一步限制外，有身份验证与系统审计能力,B1级：支持多级安全(如秘密和绝密)B2级：结构保护，所有对象都贴标签分配级别B3级：安全域级别，安装硬件来加强安全A级：最高安全级别，有严格的设计、控制和验证过程加密系统模型明文加密变换密文解密变换明文加密密钥解密密钥传统加密方法,秘密密钥加密系统(对称系统、私钥系统)加密密钥和解密密钥一样，或可以互导DES:DataEncryptionStandard1977,美国用56位长的密钥加密64位长的数据块256=72,057,584,037,927,936约7.2亿亿IDEA：InternationalDataEncryptionAlgorithm用128位长的密钥加密64位长的数据块1991,瑞士特点：运算速度快，不能做数字签名,公开密钥加密系统(非对称系统)加密密钥与解密密钥不同，不可互导，公开加密密钥不会危及解密密钥，可实现数字签名。RSA：典型的公钥加密系统，1978，美国公开：加密密钥e，模数n(n=pq,p,q为素数)秘密：解密密钥d，p和q其中，edmod(n)=1加密：C=Memodn，C为密文，M为明文解密：M=Cdmodn=Medmodn=M特点：安全性高，基于因数分解难度可实现数字签名，运算速度低,鉴别技术,鉴别服务报文鉴别身份鉴别信息摘要技术:MD5,SHS,数字签名(DigitalSignature)可使消息接收者能够验证消息的确来自合法用户的一种加密机制任何人不能伪造签字人的签名签字人无法否认自己的签名可用于身份认证和数据完整性控制PGP加密系统(PrettyGoodPrivacy)1991年，美国人Zimmermann发明IDEA+RSA：公钥系统与私钥系统的结合实现加密、解密、数字签名、密钥管理等注意：使用端-端加密，不用链路加密,网络传输入侵的防御,采用加密和数字签名的技术防止窃听、冒充、欺骗和篡改采用交换的以太网技术减少侦听使用良好配置的IP地址过滤器监视IP地址与物理地址的对应关系以减少IP欺骗通过日志分析和源点分析防范邮件欺诈防火墙技术的应用,防火墙技术,什么是防火墙防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组，强制执行对内部网和外部网的访问控制。通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流，实现保护内部网络的目的。,防火墙的功能访问控制授权认证内容安全：病毒扫描、URL扫描、HTTP过滤加密路由器安全管理地址翻译均衡负载日志记帐、审计报警,三类防火墙技术及实现基于IP包过滤的堡垒主机防火墙IP过滤路由器带双网络接口配置的堡垒主机,Internet,R,内部网,外部网,外网段(非军事区),内网段,防火墙,路由器,代理服务器防火墙(ProxyServer)不允许外部网与内部网的直接通信，内外计算机应用层的连接由终止于ProxyServer上的连接来实现。,Internet,R,内部网,代理服务器,路由器,Internet,R,内部网,外部网,外网段(非军事区),内网段,防火墙,路由器,代理服务器,应用层网关(ApplicationGateway)建立在网络应用层上基于主机的协议过滤、转发器，在用户和应用协议层之间提供访问控制。代理服务与应用层网关的特点易于记录和控制所有进出通信对用户不透明，提供的服务有限,Internet,应用程序网关,用户击键,应用程序输入,击键转发,应用程序转发,安全策略,总的策略你需要保护哪些资源？保护这些资源你需要防备哪些人？可能存在什么样的威胁？资源的重要性如何？你能够采取哪些措施？你是否定期检查网络安全策略？你的网络目标和环境是否已经改变？你是否知道黑客们的最新动向？,网络的使用和责任允许谁使用这些资源？什么是对资源的正确使用？谁被授予有授权访问和同意使用的权力？谁可能拥有系统管理特权？用户的权利和责任是什么？系统管理员的权利和责任是什么？如何处理敏感信息？检测和监视系统运行检测和监视非授权活动,科大校园网络的具体做法,包过滤防火墙代理服务器邮件收发权的审查用户权限限制IP地址与MAC地址的对应(绑定)和追踪系统补丁和端口控制系统备份和更新系统审计和日志严格的用户管理制度和网络管理条例,网络安全中，人是最薄弱的一环，最为成功的入侵往往不需要高深知识和复杂技术。安全制度是重要环节，没有完整可靠的管理制度，再好的防御也是形同虚设。关闭一切不需要的功能，堵塞一切可能的漏洞。谨慎选择安全策略和技术，最大限度地安全利用网络资源。了解和掌握最新安全防范动态与技术。,结束语,谢谢大家！,