校園網(wǎng)接入層安全策略研究

申繼年 李毅治 邢雪梅

中國(guó)藥科大學(xué)現(xiàn)代教育技術(shù)中心 江蘇 210009

0 前言

本文將介紹校園網(wǎng)的接入層的相關(guān)技術(shù)策略，從而構(gòu)建一個(gè)安全高效的網(wǎng)絡(luò)，不但要讓用戶方便易用，還要讓校園網(wǎng)管理者能夠有效管理，從接入層解決校園網(wǎng)的安全隱患。

1 IP地址的分配與管理

1.1 全網(wǎng)DHCP動(dòng)態(tài)分配IP

在計(jì)算機(jī)數(shù)量眾多并且劃分多個(gè)子網(wǎng)的網(wǎng)絡(luò)中，DHCP服務(wù)的優(yōu)勢(shì)更加明顯，其優(yōu)點(diǎn)如下：

(1) 減小輸入錯(cuò)誤的可能；

(2) 避免IP沖突；

(3) 減小管理員的工作量；

(4) 當(dāng)網(wǎng)絡(luò)更改IP地址段時(shí)，不需要重新配置每臺(tái)計(jì)算機(jī)的IP；

(5) 計(jì)算機(jī)移動(dòng)到其它子網(wǎng)不必重新配置IP。

1.2 DHCP服務(wù)所帶來新問題

隨著DHCP服務(wù)的廣泛應(yīng)用，也給網(wǎng)絡(luò)管理帶來一些新的問題，具體表現(xiàn)在：

(1) 私自架設(shè)非法的DHCP服務(wù)器

由于DHCP報(bào)文在客戶端和服務(wù)器的交互過程中并沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)中存在非法DHCP服務(wù)器，管理員將無法保證客戶端從管理員指定的DHCP服務(wù)器獲取合法地址，客戶機(jī)有可能從非法DHCP服務(wù)器獲得IP地址等配置信息，導(dǎo)致網(wǎng)絡(luò)地址分配混亂。

(2) 私自指定IP地址

在部署DHCP服務(wù)的子網(wǎng)中，如果出現(xiàn)用戶私自設(shè)置IP地址，將有可能造成網(wǎng)絡(luò)地址沖突，影響IP地址的正常分配。

(3) 為特定主機(jī)分配固定IP

校園網(wǎng)中有些主機(jī)由于要提供服務(wù)，需要固定IP地址，比如服務(wù)器，這就需要在DHCP服務(wù)器和接入交換機(jī)上構(gòu)建一個(gè)IP和MAC綁定的跨網(wǎng)DHCP強(qiáng)制分配機(jī)制。

通過以上分析，必須采取有效措施來應(yīng)對(duì)上述三個(gè)問題。我們利用接入交換機(jī)的DHCP-Snooping功能屏蔽非法DHCP 服務(wù)器、過濾非法DHCP報(bào)文、防止用戶私設(shè)IP，還可以為用戶指定固定的IP地址，可以有效解決非法DHCP服務(wù)器擾亂用戶網(wǎng)絡(luò)和防止私設(shè)IP用戶使用網(wǎng)絡(luò)。

2 DHCP防護(hù)

2.1 DHCP-Snooping技術(shù)簡(jiǎn)介

DHCP-Snooping 技術(shù)就像是在非信任端口的主機(jī)和DHCP服務(wù)器之間安裝了一道防火墻，通過DHCP Snooping來區(qū)分連接到終端客戶的非信任端口和連接到DHCP 服務(wù)器或者其他交換機(jī)的信任端口。

DHCP-Snooping具有屏蔽非法DHCP 服務(wù)器和過濾非法DHCP報(bào)文的功能，解決了DHCP Client和DHCP Server之間DHCP報(bào)文交互的安全問題。DHCP-Snooping簡(jiǎn)稱DHCP偵聽，接入交換啟動(dòng)DHCP-Snooping功能后可實(shí)現(xiàn)對(duì)DHCP Client和DHCP Server之間DHCP交互報(bào)文的窺探。通過窺探，DHCP-Snooping記錄合法DHCP用戶的信息(IP、MAC、所屬VLAN、端口、租約時(shí)間等)，形成DHCP-Snooping數(shù)據(jù)庫。借助DHCP偵聽功能，通過只允許來自面對(duì)不可信用戶的端口的DHCP請(qǐng)求(而非響應(yīng))，進(jìn)而阻止DHCP欺騙。

2.2 防止私設(shè)DHCP

(1) 打開DHCP-Snooping 全局開關(guān)

configure terminal

ip dhcp snooping

end

(2) DHCP服務(wù)器與DHCP 客戶端不在同一子網(wǎng)時(shí)，需要打開DHCP中繼功能，并配置DHCP 服務(wù)器地址

configure terminal

service dhcp

ip helper-address 192.168.1.100

end

(3) 將連接合法DHCP 服務(wù)器的端口配置為信任口，連接用戶的端口默認(rèn)為非信任口

configure terminal

interface gig 1/1

ip dhcp snooping trust

end

2.3 防止私設(shè)靜態(tài)IP

為了防止私設(shè)IP 地址的用戶使用網(wǎng)絡(luò)，需要打開接口上的地址綁定開關(guān)，通過硬件對(duì)非法 IP 報(bào)文進(jìn)行過濾

configure terminal

interface range fastethernet 0/1-24

ip dhcp snooping address-bind

end

2.4 為用戶指定固定IP

對(duì)于需要使用靜態(tài)IP 地址的用戶，可以通過添加靜態(tài)綁定實(shí)現(xiàn)(假設(shè)一臺(tái)服務(wù)器需要使用靜態(tài)IP 地址，其MAC為：00d0.fa88.5687；VLAN 號(hào)為：1；IP 為：192.168.11.3；端口為：2)。

configure terminal

ip dhcp snooping binding 00d0.fa88.5687 vlan 1 ip 192.168.11.3 interface fastethernet 0/2

end

3 ARP欺騙

3.1 ARP欺騙原理

ARP協(xié)議(Address Resolution Protocol)的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)行。ARP協(xié)議是簡(jiǎn)單的報(bào)文交互而沒有認(rèn)證機(jī)制的，基于ARP協(xié)議的這一工作特性，任何人通過向計(jì)算機(jī)或者網(wǎng)絡(luò)設(shè)備發(fā)送虛假的ARP報(bào)文便可達(dá)到ARP欺騙的目的。

當(dāng)前校園網(wǎng)大都采用VLAN技術(shù)，多臺(tái)主機(jī)同處于一個(gè)VLAN，致使ARP病毒冒充主機(jī)欺騙網(wǎng)關(guān)或冒充網(wǎng)關(guān)欺騙主機(jī)，造成的危害較大。針對(duì)這一問題，采用DHCP-Snooping+ ARP-Check方案可以有效攔截非法的ARP報(bào)文，抵御ARP欺騙，保證網(wǎng)絡(luò)的暢通。

3.2 防御APR欺騙

ARP-Check通過硬件過濾ARP欺騙報(bào)文，保證送到CPU的ARP報(bào)文都是合法的，有效降低了CPU 的負(fù)荷。DHCPSnooping功能在將DHCP-Snooping 數(shù)據(jù)庫用戶信息添加到IP報(bào)文硬件過濾表時(shí)，同時(shí)添加到ARP報(bào)文硬件過濾表。ARP-Check根據(jù)ARP報(bào)文硬件過濾表對(duì)ARP欺騙報(bào)文進(jìn)行過濾。

DHCP-Snooping + ARP-Check方案同樣也部署于接入層交換機(jī)。

(1) 網(wǎng)關(guān)欺騙

在各端口上綁定正確的網(wǎng)關(guān)，防止針對(duì)網(wǎng)關(guān)的ARP欺騙。

configure terminal

interface rang fastEthernet 0/1-24

Anti-ARP-Spoofing ip 192.168.200.1

(2) 主機(jī)欺騙

ARP-Check 應(yīng)用于端口模式下，需要對(duì)該端口上收到的ARP 欺騙報(bào)文進(jìn)行硬件過濾時(shí)，在該端口上啟用ARP-Check功能，進(jìn)行端口的ARP校驗(yàn)，比如需要在端口1 和端口2 上啟用該功能。

configure terminal

interface range fastethernet 0/1-24

port-security arp-check

port-security arp-check cpu

end

4 ACL—病毒防護(hù)

4.1 來自接入層的網(wǎng)絡(luò)威脅

與其它園區(qū)網(wǎng)相比，校園網(wǎng)由于其客戶群體的特殊性，安全問題也存在顯著特點(diǎn)。校園網(wǎng)中學(xué)生群體占絕大比重，學(xué)生好奇心強(qiáng)，電腦水平高，應(yīng)用也比較復(fù)雜，所以來自校園網(wǎng)內(nèi)部的威脅比較多。例如：有些學(xué)生由于好奇心的驅(qū)動(dòng)會(huì)主動(dòng)的在校園網(wǎng)內(nèi)部試驗(yàn)各種掃描軟件、攻擊軟件、木馬或病毒；由于其應(yīng)用復(fù)雜，被動(dòng)感染木馬和病毒的比例也相當(dāng)高。這些都給校園網(wǎng)帶來了巨大的安全隱患。為了防止這種攻擊和病毒蔓延到整個(gè)校園網(wǎng)，最好的解決方法就是利用ACL將來自攻擊者的端口掃描和惡意數(shù)據(jù)流阻擋在接入層。

4.2 ACL部署

木馬、病毒等網(wǎng)絡(luò)攻擊都是利用一些特殊的端口進(jìn)行的。所以，利用ACL限制這些特殊口訪問，可以很大程度上保證安全性。

ACL查找是在硬件中完成的，所以，當(dāng)實(shí)現(xiàn)基于ACL的安全性時(shí)，轉(zhuǎn)發(fā)性能不會(huì)受到影響。針對(duì)第二層接口的基于端口的ACL，允許在每個(gè)交換機(jī)端口上應(yīng)用安全性策略。

5 總結(jié)

本文根據(jù)校園網(wǎng)的實(shí)際情況，針對(duì)IP地址的管理、DHCP防護(hù)、ARP欺騙以及病毒與攻擊等主要問題，提出了在接入層的安全解決方案。通過實(shí)際測(cè)試表明，部署在接入層的安全策略可以有效的解決以上主要問題，從而為校園網(wǎng)絡(luò)提供了一個(gè)安全有效的網(wǎng)絡(luò)管理模式。