袁飛 曹進(jìn)

摘要：高校校園網(wǎng)是高校教師教學(xué)科研的基礎(chǔ)設(shè)施，是學(xué)生學(xué)習(xí)深造的必需工具，是對(duì)外交流的重要渠道。隨著高校信息化工作的不斷深入，穩(wěn)定的網(wǎng)絡(luò)和完善的信息系統(tǒng)已成為信息化工作進(jìn)一步推進(jìn)的重要保障，而隨著校園網(wǎng)功能的不斷完善，校園用戶規(guī)模的提升，校園網(wǎng)絡(luò)的安全威脅也越來越多，產(chǎn)生了日益嚴(yán)重的信息安全問題。本文通過對(duì)校園網(wǎng)絡(luò)安全威脅的研究，制定相應(yīng)的交換機(jī)安全策略。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；入侵檢測(cè)；賬號(hào)安全

高校網(wǎng)絡(luò)建設(shè)是高校信息化工作的重要基礎(chǔ)，在高校教師教學(xué)科研、日常工作管理和對(duì)外學(xué)習(xí)交流中擔(dān)當(dāng)非常重要的角色。由于高校資源對(duì)教師和學(xué)生的開放性，以及部分學(xué)科學(xué)生實(shí)驗(yàn)的多樣性，高校網(wǎng)絡(luò)必然會(huì)承載來自校內(nèi)的有意或無意的攻擊。同時(shí)為便于對(duì)外交流，校園網(wǎng)絡(luò)不僅對(duì)教師和學(xué)生開放，對(duì)校外用戶也是部分開放的，來自校外的主動(dòng)或被動(dòng)攻擊，都將會(huì)給信息系統(tǒng)的穩(wěn)定帶來不確定性。非法入侵、計(jì)算機(jī)病毒、系統(tǒng)漏洞等會(huì)對(duì)校園網(wǎng)絡(luò)產(chǎn)生巨大的威脅。本文則從校園網(wǎng)絡(luò)的基礎(chǔ)設(shè)施——交換機(jī)著手，研究探索底層設(shè)備的安全防護(hù)。

一、 交換機(jī)的安全威脅

（一） ARP攻擊

ARP是地址解析協(xié)議的簡稱，位于TCP/IP協(xié)議的網(wǎng)絡(luò)層，通過設(shè)備的IP地址，查詢?cè)O(shè)備的MAC地址，以保證通信的進(jìn)行。ARP協(xié)議正常工作時(shí)，主機(jī)將包含目標(biāo)IP地址的ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī)，使用這個(gè)IP地址的目標(biāo)設(shè)備返回自己的MAC地址，主機(jī)收到返回的MAC地址后，將該IP地址和MAC地址存入本機(jī)ARP緩存，并保留一段時(shí)間，下次請(qǐng)求時(shí)直接使用緩存的MAC地址作為目的地址。ARP攻擊就是攻擊者偽造IP地址和MAC地址，對(duì)發(fā)送方發(fā)出的ARP請(qǐng)求進(jìn)行欺騙應(yīng)答，使發(fā)送方認(rèn)為攻擊者就是目的主機(jī)。之后發(fā)送方會(huì)把所有應(yīng)該發(fā)送到這個(gè)IP地址的數(shù)據(jù)包，都發(fā)送給攻擊者，從而捕獲目標(biāo)主機(jī)的敏感信息。

（二） DHCP攻擊

DHCP是動(dòng)態(tài)主機(jī)配置協(xié)議的簡稱，是一個(gè)局域網(wǎng)網(wǎng)絡(luò)協(xié)議，主要作用是給內(nèi)部網(wǎng)絡(luò)用戶自動(dòng)分配IP地址，使局域網(wǎng)中用戶動(dòng)態(tài)獲得IP地址、網(wǎng)關(guān)地址、DNS服務(wù)器地址等，提升地址的使用率。DHCP在服務(wù)器和客戶端沒有認(rèn)證機(jī)制，所以攻擊者可以在同一VLAN內(nèi)偽裝成一個(gè)DHCP服務(wù)器，并通過不斷更改MAC地址將正常的DHCP服務(wù)器中的IP地址耗盡，當(dāng)用戶申請(qǐng)IP時(shí)，攻擊者給用戶分配非法的IP地址和網(wǎng)關(guān)地址，當(dāng)用戶訪問互聯(lián)網(wǎng)的時(shí)候，所有數(shù)據(jù)都發(fā)送給了假的網(wǎng)關(guān)，攻擊者就可以捕獲所有的用戶信息，包括用戶的各種賬號(hào)密碼。

（三） MAC泛洪攻擊

交換機(jī)中存在著一張記錄著MAC地址和對(duì)應(yīng)端口的地址表，MAC地址表存放于交換機(jī)的緩存中，當(dāng)交換機(jī)從某個(gè)端口收到數(shù)據(jù)幀后，讀取數(shù)據(jù)幀中的目的MAC地址信息，然后查詢MAC地址表，找出對(duì)應(yīng)端口，從該端口把數(shù)據(jù)轉(zhuǎn)發(fā)出去，完成數(shù)據(jù)的快速轉(zhuǎn)發(fā)。但MAC地址表有數(shù)量限制，當(dāng)接收到了足夠多的MAC地址后，它就不會(huì)再接收新的MAC地址，且當(dāng)MAC地址表?xiàng)l目已經(jīng)達(dá)到數(shù)量限制，或當(dāng)接收的數(shù)據(jù)幀中的目的地址不在MAC地址表中，則會(huì)向所有端口轉(zhuǎn)發(fā)數(shù)據(jù)幀。攻擊者利用這個(gè)原理，使用大量無效的源MAC地址，向交換機(jī)泛洪，交換機(jī)只能將數(shù)據(jù)幀進(jìn)行廣播，攻擊者獲得數(shù)據(jù)信息。

（四） VLAN跳轉(zhuǎn)攻擊

VLAN跳轉(zhuǎn)是一種網(wǎng)絡(luò)攻擊方式，指的是終端系統(tǒng)向管理員不允許它訪問的VLAN發(fā)送數(shù)據(jù)包，或者接收這個(gè)VLAN數(shù)據(jù)包。這種攻擊的實(shí)現(xiàn)的方法是為攻擊流量打上特定的VLAN ID標(biāo)，或者通過協(xié)商Trunk鏈路來發(fā)送和接收所需VLAN流量。攻擊者可以通過使用交換機(jī)欺騙或者雙層標(biāo)簽的方式，來實(shí)現(xiàn)VLAN跳轉(zhuǎn)攻擊。VLAN跳轉(zhuǎn)攻擊的形式是，攻擊者向交換機(jī)發(fā)送DTP幀，交換機(jī)收到后，自動(dòng)將端口設(shè)置為Trunk模式，從而使攻擊者通過Trunk口訪問所有VLAN，進(jìn)而去攻擊任意VLAN中的任何設(shè)備。

（五） 網(wǎng)關(guān)仿冒

網(wǎng)關(guān)仿冒其實(shí)是ARP攻擊的一種。攻擊者將錯(cuò)誤的網(wǎng)關(guān)MAC信息發(fā)送給用戶，而局域網(wǎng)中的正常用戶收到這些ARP報(bào)文后，自動(dòng)更新本地的ARP緩存表，建立錯(cuò)誤的網(wǎng)關(guān)IP與MAC對(duì)應(yīng)關(guān)系，當(dāng)局域網(wǎng)中正常用戶向網(wǎng)關(guān)發(fā)送數(shù)據(jù)信息時(shí)，將會(huì)給數(shù)據(jù)幀封裝上錯(cuò)誤的網(wǎng)關(guān)MAC地址，發(fā)送至錯(cuò)誤的MAC地址，直接導(dǎo)致用戶數(shù)據(jù)發(fā)送異常，表現(xiàn)為局域網(wǎng)內(nèi)用戶通信中斷、無法上網(wǎng)。

二、 制定安全策略，執(zhí)行加固措施

（一） DAI檢測(cè)

因?yàn)锳RP協(xié)議不提供任何認(rèn)證機(jī)制，因此攻擊者很容易通過技術(shù)手段或使用入侵工具來實(shí)施地址欺騙，毒化同一VLAN中其他主機(jī)的ARP緩存表。ARP毒化會(huì)導(dǎo)致多種中間人攻擊，而這些攻擊會(huì)威脅網(wǎng)絡(luò)的安全。

DAI在交換機(jī)上動(dòng)態(tài)綁定IP地址和MAC地址，以DHCP Snooping綁定表為基礎(chǔ)，對(duì)于沒有使用DHCP的個(gè)別機(jī)器靜態(tài)添加ARP access-list，從而防御中間人攻擊。為確保只轉(zhuǎn)發(fā)合法的ARP請(qǐng)求與應(yīng)答，DAI需要采取下列措施：

（1）從可信端口收到的ARP數(shù)據(jù)包，不用經(jīng)過任何檢查可以直接進(jìn)行轉(zhuǎn)發(fā)。（2）攔截不可信端口上的所有ARP數(shù)據(jù)包。（3）在將這些ARP數(shù)據(jù)包轉(zhuǎn)發(fā)出去并使其更新本地ARP緩存之前，先根據(jù)IP與MAC地址綁定數(shù)據(jù)庫來檢測(cè)每個(gè)ARP數(shù)據(jù)包的合法性。（4）丟棄并記錄與綁定數(shù)據(jù)庫信息不符的非法ARP數(shù)據(jù)包。（5）控制某個(gè)端口的ARP請(qǐng)求報(bào)文頻率，當(dāng)請(qǐng)求頻率超過預(yù)先設(shè)定的閾值，立即關(guān)閉該端口。

（二） DHCP Snooping

DHCP Snooping是交換機(jī)的一種DHCP安全特性，通過建立維護(hù)一張DHCP Snooping表進(jìn)行DHCP信息的篩選，過濾不受信任的DHCP信息。DHCP Snooping通過以下幾種方式提高安全性：

（1）設(shè)置DHCP服務(wù)器的端口為可信任端口，只對(duì)可信任端口發(fā)來的DHCP報(bào)文進(jìn)行響應(yīng)處理。（2）通過對(duì)DHCP報(bào)文進(jìn)行偵聽，記錄用戶從DHCP服務(wù)器獲取到的局域網(wǎng)用戶的MAC地址、IP地址、租用期、VLAN-ID接口等信息，綁定后與其他安全功能配合使用。（3）對(duì)不信任端口的DHCP信息報(bào)文過濾，起到屏蔽假冒DHCP Server的作用，確保局域網(wǎng)用戶從合法的DHCP服務(wù)器獲取IP地址，提高網(wǎng)絡(luò)的安全性。

（三） 端口安全配置

端口安全是指通過MAC地址表記錄連接到交換機(jī)端口客戶端的以太網(wǎng)網(wǎng)卡MAC地址，限定一個(gè)具體的MAC地址通過此端口通信，非信任用戶的MAC地址發(fā)送的數(shù)據(jù)包通過此端口時(shí)，會(huì)被端口安全特性阻止。使用端口安全特性可以有效限制MAC泛地址攻擊，增強(qiáng)安全性。另外，端口安全特性還可以限定端口允許介入的MAC地址數(shù)量，超過最大數(shù)量限制的新MAC地址發(fā)送的數(shù)據(jù)幀會(huì)被丟棄，也可用于防止MAC泛洪攻擊造成的MAC地址表填滿。

（四） VLAN訪問控制列表

訪問控制列表（ACL）有助于在多層交換網(wǎng)絡(luò)中實(shí)施網(wǎng)絡(luò)控制。VACL（VLAN ACL）可以控制VLAN中的流量或者控制通過交換的方式轉(zhuǎn)發(fā)的流量。Catalyst交換機(jī)支持通過4個(gè)ACL對(duì)數(shù)據(jù)包進(jìn)行檢查：輸入和輸出安全ACL、輸入和輸出QoS（服務(wù)質(zhì)量）ACL。

（五） 網(wǎng)關(guān)欺騙防范

除了使用被動(dòng)的網(wǎng)關(guān)欺騙檢測(cè)方法外，還可以主動(dòng)的實(shí)施一定的防范措施：

（1）設(shè)置靜態(tài)ARP條目：網(wǎng)關(guān)欺騙攻擊造成被攻擊用戶的ARP緩存中的網(wǎng)關(guān)IP/MAC對(duì)不正確，如果將主機(jī)中ARP條目設(shè)置成靜態(tài)不可修改，即可保證網(wǎng)關(guān)IP對(duì)應(yīng)的MAC為正確的MAC。（2）劃小網(wǎng)絡(luò)：通過VLAN技術(shù)劃分網(wǎng)段，使得網(wǎng)絡(luò)進(jìn)一步劃小，減少ARP廣播的監(jiān)聽范圍，同時(shí)也可以方便確定攻擊者的位置。

三、 其他安全威脅及防護(hù)

（1）硬件安全：自從美國“棱鏡門”主角斯諾登爆出美國國家安全局在很多產(chǎn)品中植入“后門”后，在網(wǎng)絡(luò)設(shè)備品牌選擇上應(yīng)保持謹(jǐn)慎，應(yīng)更多考慮選擇國產(chǎn)品牌設(shè)備，現(xiàn)在國產(chǎn)品牌的網(wǎng)絡(luò)設(shè)備技術(shù)上已經(jīng)不落后甚至超過國外品牌。（2）賬號(hào)安全：由于網(wǎng)絡(luò)維護(hù)人員具有一定的流動(dòng)性，對(duì)于網(wǎng)絡(luò)設(shè)備應(yīng)根據(jù)安全級(jí)別設(shè)置權(quán)限等級(jí)，管理賬戶的密碼定期更新。（3）環(huán)境安全：網(wǎng)絡(luò)硬件設(shè)備對(duì)于機(jī)房的溫度、濕度要求較高，應(yīng)定期檢查機(jī)房環(huán)境，對(duì)于空調(diào)設(shè)備故障、機(jī)房漏水、鼠患等問題需提前預(yù)防。

四、 結(jié)論

校園網(wǎng)絡(luò)雖然相對(duì)封閉，但安全問題仍然不可忽視，需要從多個(gè)維度進(jìn)行監(jiān)測(cè)和防范。隨著校園用戶規(guī)模的提升，有意或無意的攻擊造成的網(wǎng)絡(luò)安全問題必須及時(shí)解決和預(yù)防，不斷提供更加安全的校園信息網(wǎng)絡(luò)。

（通信作者：曹進(jìn)）

參考文獻(xiàn)：

[1]W. Richard Stevens. TCP/IP詳解（卷1：協(xié)議）[M].北京：機(jī)械工業(yè)出版社.

[2]肖弋.數(shù)字化校園信息安全立體防御體系的探索與實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（4）.

[3]劉祖軍.網(wǎng)絡(luò)交換機(jī)安全措施的研究和實(shí)現(xiàn)[J].科技傳播，2017（9），16.

作者簡介：

袁飛，江蘇省鎮(zhèn)江市，江蘇大學(xué)信息化處；

曹進(jìn)，江蘇省鎮(zhèn)江市，江蘇大學(xué)藥學(xué)院。