中小学校园网网络安全体系.ppt

上传人：laozhun

文档编号：2645559

上传时间：2023-02-20

格式：PPT

页数：71

大小：5.21MB

《中小学校园网网络安全体系.ppt》由会员分享，可在线阅读，更多相关《中小学校园网网络安全体系.ppt（71页珍藏版）》请在三一办公上搜索。

1、中小学校园网网络安全体系,徐键,提纲,教育信息化：中国教育的“热话”,百度作证（2009-03-10）教育：100,000,000篇教育信息化：1,770,000篇电化教育：2,470,000篇电教：3,980,000篇教育技术：4,470,000篇基础教育信息化：723,000篇教育城域网：510,000篇校园网：5,260,000篇,中小学校园网业务系统,4,校园网发展趋势,提纲,现有网络安全体制,网络安全性差,网络管理维护难,人数少人难留活难干,网络带宽利用率低,个别人使用BT等软件，大肆占用带宽。重要业务系统运行缓慢甚至不能正常运行，客户和合作伙伴无法正常访问企业信息。,网管心中的

2、痛-如何保证关键业务应用快速运行？,专用网,防火墙,访问控制,防病毒,入侵检测,包过滤,授权认证记帐,网络系统安全,常见的网络安全漏洞,物理层线路的安全、物理设备的安全、机房的安全；链路层MAC地址欺骗/泛洪、ARP欺骗、STP攻击、DHCP攻击；网络层IP地址扫描/欺骗/攻击；传输层面向连接和非连接的攻击，也就是端口扫描；应用层Web服务、电子邮件、FTP，病毒对系统的攻击；,基本安全部署,在园区网的实施和部署中，根据各自的不同情况和实际需要，可以有多种的安全部署方案。推荐采用的基本安全部署有以下几种：扩展ACL过滤；STP的BPDU报文过滤和防卫；三层设备的IP防扫描；防ARP欺骗；,基本

3、安全部署,扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗,扩展ACL过滤,由于很多的病毒是根据操作系统和软件的漏洞，通过特定TCP/UDP端口进行感染和传播的，比如冲击波、震荡波、SQL蠕虫等就是通过特定的TCP/UDP端口进行传播的。所以，可以通过扩展ACL对常用的病毒端口进行过滤。,病毒,病毒,有漏洞，呵呵！感染他，成了!,再继续！看看还有没有倒霉蛋！,交换机扩展ACL配置,步骤：创建一条扩展ACL；对常见的病毒端口作deny处理；常见的病毒端口有：TCP：135-139/445/593/4444/5554/9995/9996UDP：135-139/445/5

4、93/1434/4444/5554/9995/9996在相关接口的in方向上，应用这条ACL。注意事项：任意一条扩展ACL的最后都默认隐含了一条deny ip any any 的ACE表项。如果您不想让该隐含ACE起作用，则您必须手工设置一条permit ip any any的ACE表项以让不符合其它所有ACE匹配条件的报文通过；在有些应用中可能会用到上述的一些端口，比如TCP/UDP的137、138，此时就要将这些端口从扩展ACL中去掉；,基本安全部署,扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗,生成树的作用和问题,生成树的作用避免链路环路产生的广播风暴；提

5、供链路冗余备份；生成树的问题产生大量的BPDU报文；端口状态的变化可能导致网络拓扑结构的变化；恶意的攻击；,STP的报文结构,STP的攻击,通过发送虚假的BPDU报文，扰乱网络拓扑和链路架构，充当网络根节点，以获取信息。,我的优先级最高，选我作根桥吧！,VLAN1根桥,VLAN2根桥,VLAN1根桥,VLAN2根桥,防止STP攻击,防范措施：在接入层交换机直连用户的端口上，启用BPDU Guard、BPDU Filter功能，禁止网络中直连用户的端口收到BPDU报文，从而防范用户发送非法BPDU报文；同时，为了减少端口等待Forwarding的时间，可以在接入层交换机的Access口上启用po

6、rtfast功能；配置：Switch#configure terminal Switch(config)#spanning-treeSwitch(config)#interface range fastEthernet 0/1-24Switch(config-if-range)#spanning-tree bpdufilter enabled Switch(config-if-range)#spanning-tree bpduguard enabledSwitch(config-if-range)#spanning-tree portfast,基本安全部署,扩展ACL过滤STP的BPDU报文过

7、滤和防卫三层设备的IP防扫描防ARP欺骗,IP扫描,众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用了网络带宽，导致正常的网络通讯无法进行；互联网上扫描的工具软件多如牛毛；,IP扫描工具,IP扫描的分类,目的IP地址不断变化的扫描；目的IP地址不存在的扫描；,IP变化的扫描，消耗网络带宽，增加交换机负担，危害最大！,IP不存在的扫描,IP变化的扫描,尝试连接，消耗CPU资源危害较小。,IP防扫描,防范措施：在全局配置模式下，设置监控攻击主机的最大数目；在三层交换机的端口上，对扫描攻击的报文阀值进行设置；对非法攻击的主机进行隔离时间的设置；配置：Sw

8、itch#configure terminal Switch(config)#system-guard detect-maxnum 250Switch(config)#interface fastEthernet 0/1Switch(config-if)#system-guard scan-ip-attack-packets 50Switch(config-if)#system-guard same-ip-attack-packets 100Switch(config-if)#system-guard isolate-time 300,基本安全部署,扩展ACL过滤STP的BPDU报文过滤和防卫

9、三层设备的IP防扫描防ARP欺骗,ARP协议原理,ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。根据TCP/IP层次模型，在以太网中，一个主机要和另一个主机进行直接通信，必须知道目标主机的MAC地址。在现实环境中，一般采用IP地址标示通信的对象，而ARP的功能就是将IP翻译成对应的MAC地址。IP：姓名 MAC：姓名对应的手机号 ARP表：电话号码簿,28,ARP过程,29,正常的ARP通讯过程只需广播ARP Request和单播ARP Replay两个过程，简单的说就是一问一答：,ARP request,ARP reply,PC1,PC2,IP

10、:192.168.0.1MAC:00d0.f800.0001,IP:192.168.0.2MAC:00d0.f800.0002,PC3,PCN,正常情况下的ARP表,30,网关,PC2,PC1,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,192.168.0.254001a.a908.9f0b,PC与设备之间相互通信后形成的ARP表,ARP欺骗攻击分类-主机型,主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗,31,网关,欺骗者,嗨，我是网关,PC 1,ARP欺骗攻击分类-网关型,网关型ARP欺骗欺骗者主机冒充其他主机对网关设备

11、进行欺骗,32,网关,欺骗者,嗨，我是PC1,PC 1,ARP欺骗攻击目的,为什么产生ARP欺骗攻击？表象：网络通讯中断真实目的：截获网络通讯数据,33,PC1,网关,主机型,网关型,欺骗者,ARP欺骗攻击缘何泛滥,屡禁不止的ARP欺骗ARP欺骗的目的是截获数据，例如银行卡、游戏帐户等，巨大的经济利益驱动了ARP欺骗的发展ARP欺骗实现原理简单，变种极多，通过病毒网页或木马程序即可传播，杀毒软件的更新不能及时跟上病毒的变种 ARP欺骗是由于协议缺陷造成的，业界鲜有良好的解决方案,34,判断ARP欺骗攻击-主机,怎样判断是否受到了ARP欺骗攻击？网络时断时续或网速特别慢在命令行提示符下执行“ar

12、p d”命令就能好上一会在命令行提示符下执行“arp a”命令查看网关对应的MAC地址发生了改变,35,判断ARP欺骗攻击-网关设备,网关设备怎样判断是否受到了ARP欺骗攻击？ARP表中同一个MAC对应许多IP地址,36,1、常见ARP欺骗“应付”手段-双向绑定,手工设置静态ARP表项静态ARP优先级高于动态ARP表项分别在网关设备与用户主机上配置静态ARP表项工作维护量大，网关设备、用户都需要进行操作,37,可有效解决ARP欺骗,2、常见ARP欺骗“应付”手段-ARP防火墙,ARP防火墙软件定期向网关发送Gratuitous ARP，以通告自己正确的ARP信息发送频率过高严重占用网络带宽发送

13、频率过低则达不到防范目的惹祸的ARP防火墙（摘录自部分著名院校网络中心通知）中国科技大学：对于异常多arp请求，请禁用xx防火墙的arp攻击防御功能中山大学：当打开xx防火墙的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个地址四川大学：装xx防火墙的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断,38,不能解决ARP欺骗,3、常见ARP欺骗“应付”手段-Cisco方案,PVLAN即每主机一个VLAN，主机之间不能直接进行二层报文交互，即防止了主机型ARP欺骗的发生上述手段可以有效的防止ARP欺骗的发生，但是网关设备与接入设备必须同时支持相应的功

14、能，同时由于二层通讯必须通过三层交换机进行转发，加大了三层设备的压力,39,支持DAI功能的网关设备,支持PVLAN的接入设备,可有效解决ARP欺骗,锐捷网络完美解决ARP欺骗,锐捷网络坚持走自主研发的发展道路，在整个业界对ARP欺骗感到比较头疼时，率先推出了一系列成熟的ARP欺骗解决方案。配置难吗？多数方案只需几条命令成本高吗？锐捷低端接入S21系列交换机即可。S21自推出已经有六年之久，通过不断更新软件版本实现新的功能，严格保护用户的投资。,40,S21系列交换机诞生于六年前,两个概念,安全地址主机真实的IP与MAC地址在主机发送ARP报文前获得ARP报文校验检查ARP报文中Senders

15、 MAC与安全地址中的MAC是否一致，否则丢弃检查ARP报文中Senders IP与安全地址中的IP是否一致，否则丢弃,41,防ARP欺骗原理,42,流程图,安全地址获取,丢弃,转发,ARP报文校验,ARP报文S/T字段是否与安全地址一致,ARP报文,是,否,安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段,安全地址的来源,手工指定port-security自动获取DHCP SnoopingDot1x认证,43,ARP报文校验方式一（ARP-check）,ARP-check处理方式：硬件处理来源：硬件资源表项中的安全地址（ACE）注意事项：ARP-check功能开启后，如

16、果ACE中不存在安全地址，则所有的ARP报文将被丢弃,44,ACE,丢弃,转发,0/1比特位,ARP报文校验二（DAI）,DAI处理方式：软件处理来源：DHCP Snooping表注意事项：DAI功能开启开启后，如果DHCP Snooping表为空，则所有的ARP报文将被丢弃,45,交换机端口,CPU,丢弃,转发,0/1比特位,1.1、port-security+ARP-check方案概述,原理通过port-security功能将用户正确的IP与MAC写入交换机端口ACE使用ARP-check功能校验ARP报文的正确性应用场景用户使用静态IP地址无安全认证措施缺点需要收集所有用户的IP、MAC

17、，将其配置到端口上当用户接入端口发生变化时，需重新设置安全地址,46,1.2、port-security+ARP-check方案实施,网络拓扑主要配置（10.x平台）,47,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,Fa 0/1,Fa 0/2,interface FastEthernet 0/1 switchport port-security mac-address 00d0.0000.0001 ip-address 192.168.0.1 switchport port-security arp-check auto!inter

18、face FastEthernet 0/2 switchport port-security mac-address 00d0.0000.0002 ip-address 192.168.0.2 switchport port-security arp-check auto,2.1、DHCP Snooping+address-bind+ARP-check方案实施,原理通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表通过DHCP Snoopoing address-bind将DHCP Snooping表的写入交换机的ACE（类似端口安全）使用ARP

19、-check功能校验ARP报文的正确性应用场景用户使用动态IP地址同样适用于SAM认证环境缺点无,48,2.2、DHCP Snooping+address-bind+ARP-check方案实施,网络拓扑主要配置（10.x平台）,49,DHCP00d0.f800.0001,DHCP00d0.f800.0002,Fa 0/1,Fa 0/2,ip dhcp snoopingip dhcp snooping address-bind!interface FastEthernet 0/1arp-check auto!interface FastEthernet 0/2 arp-check auto!in

20、terface FastEthernet 0/24 ip dhcp snooping trust,Uplink：Fa 0/24,3.1、DHCP Snooping+DAI方案概述,原理通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表使用DAI功能校验ARP报文的正确性应用场景用户使用动态IP地址同样适用于SAM认证环境缺点DAI功能需通过CPU处理，大量的ARP报文可能导致CPU过高,50,3.2、DHCP Snooping+DAI方案实施,网络拓扑主要配置（10.x平台）,51,DHCP00d0.f800.0001,DHCP00d0.f800

21、.0002,Fa 0/1：VLAN 10,Fa 0/2：VLAN 10,ip dhcp snooping!ip arp inspection vlan 10!interface FastEthernet 0/1!interface FastEthernet 0/2!interface FastEthernet 0/24 ip dhcp snooping trust ip arp inspection trust,Uplink：Fa 0/24,4.1、SAM+Supplicant授权方案概述,原理通过SAM认证+Supplicant授权将用户正确的IP与MAC写入交换机的ACE使用ARP-che

22、ck功能校验ARP报文的正确性应用场景用户使用静态IP地址用户使用SAM认证缺点不能使用安全通道功能,52,4.2、SAM+Supplicant授权方案实施,网络拓扑主要配置（10.x平台）,53,192.168.0.100d0.f800.0001,192.168.0.200d0.f800.0002,Fa 0/1：VLAN 10,Fa 0/2：VLAN 10,aaa authorization ip-auth-mode supplicant!interface FastEthernet 0/1 switchport access vlan 10 arp-check auto dot1x por

23、t-control auto!interface FastEthernet 0/2 switchport access vlan 10 arp-check auto dot1x port-control auto,54,radius-server host XXXXaaa authentication dot1x aaa accounting server XXXX aaa accounting aaa accounting update port-security arp-check dot1x client-probe enableaaa authorization ip-auth-mod

24、e supplicantradius-server key ruijieip default-gateway XXXXsnmp-server community ruijie rw,提纲,RG-S3550,Internet,代理服务器,RG-S21,行政楼,教学楼1,RG-S21,服务器群,教学楼2,教学楼3,体艺楼,RG-S21,RG-S21,RG-S21,1、被他人盗取密码2、系统被木马攻击3、浏览网页时被恶意Java scrpit程序攻击4、QQ被攻击或泄漏信息5、病毒感染6、系统存在漏洞使他人攻击自己7、黑客的恶意攻击,我们遇到的入侵方式大概包括以下几种：,个人PC机的设置,安全设置

25、,1、病毒防护 2、安全处理 3、账号安全,网络基础配置,几年前，很多中小学电脑数量很少，对于一个只有二三十台电脑的网络来说，在同一个vlan是比较容易管理的，但随着现在越来越多的业务依赖于信息化，学校机房扩建，机房电脑和教师笔记本数量增多，网管人员在管理上遇到很大挑战，知道内部可能存在环路，知道网络中存在Arp病毒，知道网络存在拥塞。但我们无从下手，只能按照传统的办法：插拔线排查！将网络设置为可管理并进行优化配置，迫在眉睫,RG-S3550,Internet,代理服务器,RG-S21,RG-S21,RG-S21,RG-S21,Fa0/231.1.1.2,1.1.1.1,管理vlanvlan

26、110.0.0.1,用户vlanvlan 10192.168.10.254,RG-S21,Fa0/22Trunk口,Fa0/24Trunk口,Fa0/1-10Vlan 10 用户,网络基础配置,三层交换机S3550基础配置,enable secret level 15 0 starenable secret level 1 0 star,设置密码:,设置管理IP：,interface vlan 1ip address 10.0.0.1 255.255.255.0no shutexi,创建VLAN及VLAN IP:,vlan 10name 10exitinterface vlan 10ip ad

27、dress 192.168.10.254 255.255.255.0no shexit,启用三层路由接口,网络基础配置,interface FastEthernet 0/23 no switchport ip address 1.1.1.2 255.255.255.0 exit,设置默认路由：,ip route 0.0.0.0 0.0.0.0 1.1.1.1,设置TRUNK:,int fastEthernet 0/22 switchport mode trunkexit,三层交换机S3550基础配置,网络基础配置,二层交换机S21基础配置,enable secret level 15 0 st

28、arenable secret level 1 0 star,设置密码:,设置管理IP：,interface vlan 1ip address 10.0.0.2 255.255.255.0no shutexi,将某个端口加到某个VLAN:,vlan 10name 10exit,int rang fastEthernet 0/110switchport access vlan 10exit,网络优化配置,三层交换机S3550优化配置,启用防扫描,system-guard detect-maxnum 250/设置监控主机的最大数interface rang fastEthernet 0/1-24s

29、ystem-guard enablesystem-guard same-ip-attack-packets 50/对不存在IP发报文的阀值system-guard scan-ip-attack-packets 100/一批网段进行扫描攻击的最大阀值system-guard isolate-time 650/隔离时间exit,生成树优化配置,spanning-treespanning-tree portfast bpdufilter defaultint rang fa 0/1-24 spanning-tree portfastexit,网络优化配置,三层交换机S3550优化配置,配置的合法访问

30、IP,Switch(config)#services telnet host 192.168.12.54Switch(config)#services telnet host 192.168.12.55,配置风暴控制,缺省情况下，针对广播、多播和未知名单播的风暴控制功能均被关闭。可以针对千兆接口打开其各种数据流(广播、多播和未知名单播)的风暴控制开关。,Switch#configure terminalSwitch(config)#interface gigabitethernet 0/3Switch(config-if)#storm-control multicastSwitch(confi

31、g-if)#storm-control broadcastSwitch(config-if)#end,QOS设置,S3550(config)#access-list 101 permit ip host 192.168.1.101 any-定义要限速的IP,S3550(config-cmap)#match access-group 101-匹配IP地址,S3550(config-cmap)#exit,S3550(config)#policy-map xiansu-创建policy-map，名字为xiansu,S3550(config-pmap)#class xiansu101-符合class

32、xiansu101S3550(config-pmap-c)#police rate-bps burst-byteS3550(config-pmap-c)#endS3550(config)#int fa 0/10-进入接口S3550(config-if)#service-policy input xiansu,rate-bps是每秒钟的带宽限制量，对于10/100M以太网接口来说取值范围是1100Mbsp(必须为1M的倍数)burst-byte是猝发流量限制值，单位是比特（Kbyte）,网络优化配置,三层交换机S3550优化配置,日志管理:,网络优化配置,三层交换机S3550优化配置,查看日志配

33、置show logging开启日志序列号功能service sequence-numbers将设备名称记录在日志中service sysname将用户操作命令记录在日志中logging userinfo command-log将日志内容发送至IP为x.x.x.x的服务器，可配置多台logging server x.x.x.x,网络优化配置,二层交换机S21优化配置,ip access-list extended 101 deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 5554 deny tcp any an

34、y eq 9996 deny tcp any any eq 1068 permit ip any any exitinterface rang fastEthernet 0/1-24ip access-group 101 inexit,设置ACL：,arp网关防欺骗,int rang fa 0/1-10 switchport access vlan 10 anti-ARP-Spoofing ip 192.168.10.254exit,网络优化配置,广播报文的抑制功能:,int rang fa 0/1-10 switchport access vlan 10 anti-ARP-Spoofing ip 192.168.10.254switchport block broadcast,RLDP功能:,二层交换机S21优化配置,rldp enable,Int rang fa 0/1-10rldp port bidirection-detect block/shutdown-portexit,开启RLDP功能全局开关,开启端口环路检测功能并设置违例处理方法,errdisable recovery interval 130,网络优化配置,二层交换机S21优化配置,基于时间的ACL应用,带宽限速,端口保护,提纲,