资源预览内容
第1页 / 共65页
第2页 / 共65页
第3页 / 共65页
第4页 / 共65页
第5页 / 共65页
第6页 / 共65页
第7页 / 共65页
第8页 / 共65页
第9页 / 共65页
第10页 / 共65页
亲,该文档总共65页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
校园网建设规范与安全问题校园网建设规范与安全问题杨杨 寿寿 保保中国科学技术大学网络中心2001年7月27日1网络就是计算机计算机网络计算机网络 通信与计算机结合的产物通信与计算机结合的产物 把处于不同地理位置的、独立的、自治的多把处于不同地理位置的、独立的、自治的多个计算机系统通过通信设备和线路连接起来,以个计算机系统通过通信设备和线路连接起来,以功能完善的网络软件实现资源共享的系统称为计功能完善的网络软件实现资源共享的系统称为计算机网络系统。算机网络系统。通信技术与计算机技术的结合通信技术与计算机技术的结合通信网络是计算机信息交换和数据传送的基础通信网络是计算机信息交换和数据传送的基础计算机技术促进通信网络的发展计算机技术促进通信网络的发展计算机网络基本知识计算机网络基本知识计算机络的分类局域网与广域局域网与广域网网(LAN & WAN)公众网与专有网公众网与专有网.InternetR路由器交换机交换机R路由器WAN网络传输设备网络传输设备网卡(网络适配器)网卡(网络适配器)收发器(信号转换装置)收发器(信号转换装置)集线器(集线器(Hub, , 物理层物理层共享式设备)共享式设备)交换机(交换机(Switch, 第第2层或第层或第3层交换设备)层交换设备)路由器路由器( (Router) )和和路由交换机路由交换机调制解调器调制解调器( (Modem) )拨号服务器拨号服务器其他其他计算机网络基本知识计算机网络基本知识网络传输介质网络传输介质双绞线双绞线(UTP/10Base-T, 100Base-T, 1000Base-T)光缆光缆(Fiber-optic/100Base-FX, 1G-LX/SX)微波和无线传输微波和无线传输卫星通信卫星通信红外线红外线 使用最广泛的是:双绞线和光缆使用最广泛的是:双绞线和光缆 基本组网技术基本组网技术共享共享式式以太网以太网(Ethernet),10MbpsFDDI(光纤分布数据接口光纤分布数据接口),100MbpsATM(异步传输模式异步传输模式),155M/622M交换以太网交换以太网(Switched Ethernet),10/100M千兆以太网千兆以太网(Gigabit Ethernet), 1000M-10G计算机网络基本知识使用最广泛的是:高速交换以太网 广域网广域网组网技术组网技术DDN -SDH/SONETX.25 -DWDMPSTN -ADSL、HDSLISDNATMFR计算机网络基本知识PSTNX.25DDNFRISDNInternetATMDWDMSDH网络协议网络协议网络层协议网络层协议TCP/IP-传输控制传输控制/网际互联协议,最重要的协议网际互联协议,最重要的协议低层网络协议低层网络协议CSMA/CD (IEEE 802.3) 载波侦听多路访问载波侦听多路访问/碰撞检测共享介质协议碰撞检测共享介质协议DDN、帧中继帧中继ATM 异步传输模式异步传输模式计算机网络基本知识拥抱网络时代拥抱网络时代你是一张无边无际的网轻易就把我困在网中央我越陷越深越迷惘路越走越远越漫长如何我才能捉住你眼光IP地址地址 Internet的网络地址的网络地址用四组十进制数表示,每组取值为用四组十进制数表示,每组取值为0-255例如:例如:202.38.64.1 210.72.12.254三类三类IP网络网络地址地址A类:每个含类:每个含2的的24次方个次方个IP地址地址B类:类:每个含每个含65536个个IP地址地址C类:每个含类:每个含256个个IP地址地址IP地址的申请地址的申请怎样接入怎样接入InternetDNS Internet的域名管理系统的域名管理系统标识联网计算机,直观、易记标识联网计算机,直观、易记采用分层命名和管理的方法采用分层命名和管理的方法计算机名.组织机构名.网络名.顶级域名例如:例如:www.ustc.edu.cn rose.cs.ustc.edu.cn域名与域名与IP地址的等价地址的等价www.ustc.edu.cn = 202.38.64.2rose.cs.ustc.edu.cn = 202.38.79.10神奇的神奇的 .COM怎样接入怎样接入Internet通过局域网接入Internet运行运行Windows 9x/2000的的PC机一台机一台网卡一块网卡一块(使用双绞线连到交换机使用双绞线连到交换机)配置配置IP地址和网关等地址和网关等运行运行TCP/IP网络软件和其他应用软件网络软件和其他应用软件怎样接怎样接入入InternetInternetR路由器路由器交换机交换机局域网局域网广域网广域网通过电话拨号接入Internet运行运行Windows 9x/2000的的PC机一台机一台调制解调器一块调制解调器一块(Modem, 接入电话线接入电话线)申请一个用户户头申请一个用户户头配置配置Win9x/2000的的拨号网络拨号网络运行运行TCP/IP软件和其他应用软件软件和其他应用软件怎样接入怎样接入InternetInternetR路由器路由器交换机交换机局域网局域网广域网广域网拨号服务器拨号服务器PSTN电话网络校园网络建设规范校园网络建设规范1 网络建设的物理规范(1).主干网:第三层交换千兆或百兆高速以太网 子 网:第三层或第二层的千兆或百兆交换快速以太网 桌 面:第二层交换的百兆或十兆的接入,取消共享的 十兆以太网(2).拓扑结构:星形与树形的结合 淘汰总线拓扑,不再采用细缆或粗缆串接计算机 和集线器(俗称Hub)。(3).传输介质 光 缆: 用于楼与楼之间的连接。 多模光纤用于千兆传输,距离不大于250米。 用于百兆和十兆传输,距离不大于2500米。 单模光纤用于几种不同速率传输,距离不大于10千米。 双绞线: 用户计算机的接入 5类双绞线用于10100兆速率的网络,距离不大于100米。 超5类双绞线同5类双绞线,并可用于1G(千兆) 传输介质要逐步取消并禁止使用3类双绞线和同轴电缆(包括细缆与粗缆)校园网络建设规范校园网络建设规范(4). 接续标准 光纤接入:光纤接续一律由专业人员采用熔接技术对 光纤进行处理 双绞线接入:双绞线接续一律采用RJ45接头(俗称 水晶头)按标准压线。 如568B标准: 白橙、橙对应1、2;白绿、绿对应3、6; 蓝、白蓝对应4、5;白棕、棕对应7、8校园网络建设规范校园网络建设规范(5). 物理设备网卡:采用10M或10M/100M自适应网卡,用RJ-45接口 必要时也有采用千兆网卡和无线网卡的。交换机(Switch):交换机提供8到24或更多的RJ-45口, 能隔离通信流量,减少网络拥堵,提高网络性能。 是用户接入的主要设备。需要网络分隔性能高的地 方建议采用具有第三层交换功能的交换机。集线器(Hub):采用10Mhub,提供8到24个RJ-45口, 级连时需要采用级连线或级连口,层数不能超过三层。集线器属于应该淘汰的网络设备,不建议使用校园网络建设规范校园网络建设规范2. 网络协议 TCP/IP协议+交换以太网3. 网络操作系统入网计算机操作系统包括各种类型的UNIX(如SUN Solaris, HP-UNIX, Linux等)各种Windows NT, Windows 98 / 95,Windows2000。网络应用将不再支持DOS环境。建议在服务器端多采用Linux。校园网络建设规范校园网络建设规范4. IP地址的申请、分配、使用与管理,以及网卡地址和试验性地址问题。5. 名字服务DNS 各单位网络需要名字服务的可向上一级提出申请。如向CERNIC, CNNIC等申请。6. 文件服务FTP 各子网单位原则上不得设立文件服务的匿名上传功能。校园网络建设规范校园网络建设规范7、电话拨号接入 无网络连线的学生宿舍和教工宿舍可以采用电话拨号接入。但是最终解决办法还是铺设宽带网到学生宿舍和教工宿舍。8、无线网络接入 采用IEEE802.11标准,全向天线,作用半径300米到500米,速率为11Mbps。适用于教学楼、大会场等布线困难的场所,应用越来越广。校园网络建设规范校园网络建设规范9、电源与接地各类网络设备,如交换机、路由器、集线器等应保证一天24小时的电源正常供电,以确保网络随时畅通。电源应避免使用照明电,而应接入动力电,有条件的可加装UPS不间断电源。电源应有良好的接地,并保证地线与电源中的零线相分离,以保证设备安全。10、防火、防雷、防水与散热放置网络设备与服务器的场所,要注意通风、散热、防火及避免水淹或雨水浇淋。裸露在室外的网线及设备要注意防雷。有条件的地方应安装空调。校园网络建设规范校园网络建设规范PSTN第二层交换机第二层交换机Internet路由器第三层交换机域名服务器E-Mail服务器WWW服务器FTP服务器BBS服务器网管工作站微波天线代理服务器1000BASE-LX100BASE-TX10BASE-TXCERNET安徽省网微波网桥第二层交换机第三层交换机第二层交换机第二层交换机1000 Base-LX图形工作站Modem 池100BASE-FX第二层交换机第二层交换机行政楼行政楼教学楼教学楼第二实验楼第二实验楼宿舍楼(宿舍楼(1010幢)幢)网络中心网络中心第一实验楼第一实验楼校园网络典型拓扑结构图 2001.7.10光缆直连可选系统中国科大校园网主干改造方案物理结构图 2000.3.1核心层分布层接入层接入层CoreBuilder 9000 7-SlotCoreBuilder 9000 7-SlotCoreBuilder 9000 16-SlotCoreBuilder 9000 16-SlotCoreBuilder 3500CoreBuilder 3500CoreBuilder 3500CoreBuilder 3500CoreBuilder 3500CoreBuilder 3500CoreBuilder 3500CoreBuilder 3500SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300SuperStack II 3300千兆光纤百兆光纤3COM Corebuilder 9000/163COM Corebuilder 9000/73COM Corebuilder 35003COM Super Stack 3300中国科大校园网络使用的主要网络设备中国科技大学校园网络拓扑结构图安徽省教育和科研网拓扑结构示意图计算机网络的安全防范问题计算机网络的安全防范问题Internet是不安全的网络是开放的共享信道、广播方式的信息传送各种协议的漏洞各种系统的漏洞 因此,网络发展为我们带来历史机遇的同时,也带来巨大风险黑黑客客黑黑客客黑客攻击示意图Internet节点节点 ATelnet 数据包数据包Telnet 数据包数据包我用我用Sniffit工具工具 捕获用户口令捕获用户口令 很简单很简单!Telnet数据包数据包Telnet 数数据包据包节点节点 B在节点在节点B的用户正试图与节点的用户正试图与节点A的某个主机建立一个的某个主机建立一个 Telnet连接期间连接期间Telnet 数数据包据包Telnet 数数据包据包计算机和网络计算机和网络 安全问题的防范安全问题的防范网络安全的要求网络安全的要求数据的完整性数据的完整性 单元和序列完整单元和序列完整数据的可用性数据的可用性 随时可用随时可用数据的保密性数据的保密性 泄露,非授权访问泄露,非授权访问数据和用户的可认证性数据和用户的可认证性网络行为的不可否认性网络行为的不可否认性网络安全的五层体系网络安全的五层体系网络安全:网络安全: Firewall、VPN、Proxy 系统安全:病毒、黑客、冒名、无用指令系统安全:病毒、黑客、冒名、无用指令用户安全用户安全 :分组管理、身份认证、第三方:分组管理、身份认证、第三方认证认证应用程序使用数据:意外损坏、安全考虑应用程序使用数据:意外损坏、安全考虑数据安全、数据加密数据安全、数据加密对网络入侵的分析(1)入侵手法:利用对网络传输协议的信任和依赖及传输漏洞 IP欺骗:利用网络传输时对IP和DNS的信任 嗅包器:利用网络信息明文传送 窃取口令:作字典攻击 利用服务进程的缺陷和配置错误利用操作系统本身的漏洞获取目标系统的信息利用系统提供的命令或辅助工具对系统的端口扫描与测试TCP connect (): 对方端口处于Listening则可达TCP SYN: 回答ACK/SYN可达,RST不可达TCP FIN: 利用漏洞,回答RST不可达TCP reverse ident 扫描:泄露用户名FTP bounce attackUDP ICMP 端口扫描ICMP echo 扫描获取的信息涉及目标系统的类型、服务等获取目标系统提供服务的端口信息获得对目标系统的访问权力登录服务Telnet存在口令问题,不安全的传输r-login等remote操作命令不安全漏洞X-server允许其他主机访问当前终端mail和sendmail的安全问题SMTP对发送方没有鉴别,可以转发邮件允许发信到指定文件则可修改特定配置允许执行收到的文件利用栈溢出、参数错误等制造漏洞和竞争FTP文件传送协议是不安全的系统环境参数设置不当,改当前目录、口令等部分ftpd允许用户执行命令和存在竞争条件使攻击者获得包括口令文件的core存在栈溢出问题,导致运行任意命令超文本访问协议HTTP的安全漏洞信息的明文传送引入CGI, 允许用户执行程序存在栈溢出的可能使用不恰当的系统调用某些支持SSI(Server Side Includes)网络文件系统NFS的安全问题配置出错读写权限设置过宽远程启动(Remote Booting)的安全性 RARP, BOOTP, TFTP 等存在安全问题NIS的安全性:共享各种配置信息POP和IMAP的实现漏洞POP对请求响应快,次数无限制,用户名和口令在系统和用户端相同,口令明文传送IMAP产生包含口令信息的core文件,栈溢出错误获得目标系统超级用户的权限利用系统shell中的suid(Set User ID)功能利用图形界面的错误实现口令分析栈瓦解(栈溢出)和竞争条件特洛伊木马错误的暂存文件,如Solaris 2.5上的admintool文件目录权限错误,如放置假的动态链接库而设置逻辑炸弹或特洛伊木马网络入侵技术的组合使用网络入侵技术的组合使用 Internet蠕虫事件:sendmail的debug +fingerd的缺陷 + rsh/rexec网络入侵技术的分析(2)拒绝服务(Service Deny)现象:系统性能临时降低系统突然崩溃而需人工重新启动数据永久性丢失而导致大范围崩溃 手法利用邮包炸弹和邮包罐头(mail spamming)重负载的服务请求,无用的进程将CPU撑死UDP风暴,与IP欺骗共同使用,以防追查TCP同步攻击 (TCP SYN Flooding)Land攻击,发送源地址与目的地址相同的TCP连接请求Teardrop: 利用IP分段报文重组的漏洞smurf攻击Ping to Death 发送大量ICMP echo报文到目标主机网络,ping报文的源地址设成目标主机,造成网络拥塞鉴别服务问题欺骗攻击(Spoofing Attacks)邮件欺骗(mail spoofing)IP Spoofing伪路由(routing game)Web Spoofing竞争条件(race condition)问题执行并行程序竞争CPU以影响另一程序的运行,如Solaris 2.4中的系统命令ps栈瓦解(stack smash)问题典型为栈溢出,覆盖返回地址,控制转移到攻击者希望的位置执行任意命令利用网络传输的入侵邮件炸弹(mail bombing)网络信息侦听利用嗅包器sniffer和网络信息分析器analyzer后门技术(Back Door)利用系统缺陷Rhosts + 后门:/etc/rhosts.equiv .rhosts引导区后门:类似病毒利用特洛伊木马程序校验与时标后门,login后门,telnetd后门Library后门,文件系统后门利用传输协议网络流量后门,TCP后门UDP后门,ICMP后门服务器漏洞的防御尽可能不以超级用户身份运行程序关闭不安全的和不必要的服务严格检查CGI之类程序的漏洞,不让不熟练的程序员编写CGI程序经常(时时)检查系统运行日志,及时发现入侵迹象操作系统漏洞的防御及时更新系统版本和打补丁主要程序运行前要作完整性检测,防止篡改和特洛伊木马对主要目录文件作权限测试以防非法更改对主要配置文件作定期分析以发现漏洞或入侵者留下的后门网络传输入侵的防御采用加密和数字签名的技术防止窃听、冒充、欺骗和篡改采用交换的以太网技术减少侦听使用良好配置的IP地址过滤器监视IP地址与物理地址的对应关系以减少IP欺骗通过日志分析和源点分析防范邮件欺诈防火墙技术的应用服务拒绝攻击的防御及时检查系统运行情况发现问题及时断开对可疑站点的连接信息加密技术网络安全的目标Secrecy 保密性Authenticity 真实性Non-repudiation 不可否认性Integrity control 完整性对信息传输安全的威胁被动攻击:窃听主动攻击:拦截、假冒、篡改、丢弃.对计算机中信息安全的威胁浏览、泄露、篡改、破坏、误删计算机安全级别(1985)美国国防部:可信任计算机标准评估准则(Trusted Computer Standards Evaluation Criteria)又称桔黄皮书(Orange Book)D1级:最低安全形式,没有保护,没有控制C1级:存在某种程度的保护,用户有注册名 和口令C2级:除对用户权限进一步限制外,有身份 验证与系统审计能力B1级:支持多级安全(如秘密和绝密)B2级:结构保护,所有对象都贴标签分配级别B3级:安全域级别,安装硬件来加强安全A级:最高安全级别,有严格的设计、控制和验证过程加密系统模型明文 加密变换 密文 解密变换 明文 加密密钥 解密密钥传统加密方法秘密密钥加密系统(对称系统、私钥系统)加密密钥和解密密钥一样,或可以互导DES: Data Encryption Standard 1977, 美国用56位长的密钥加密64位长的数据块256=72,057,584,037,927,936 约7.2亿亿IDEA:International Data Encryption Algorithm用128位长的密钥加密64位长的数据块 1991, 瑞士特点:运算速度快,不能做数字签名公开密钥加密系统(非对称系统)加密密钥与解密密钥不同,不可互导,公开加密密钥不会危及解密密钥,可实现数字签名。RSA:典型的公钥加密系统,1978,美国公开:加密密钥 e,模数 n (n=pq, p, q为素数)秘密:解密密钥 d,p和q 其中,ed mod (n) = 1加密:C = Me mod n,C 为密文,M为明文解密:M = Cd mod n = Med mod n = M特点:安全性高,基于因数分解难度 可实现数字签名,运算速度低鉴别技术鉴别服务报文鉴别身份鉴别信息摘要技术: MD5, SHS数字签名(Digital Signature)可使消息接收者能够验证消息的确来自合法用户的一种加密机制任何人不能伪造签字人的签名签字人无法否认自己的签名可用于身份认证和数据完整性控制PGP加密系统(Pretty Good Privacy)1991年,美国人Zimmermann发明IDEA + RSA:公钥系统与私钥系统的结合实现加密、解密、数字签名、密钥管理等注意:使用端-端加密,不用链路加密网络传输入侵的防御采用加密和数字签名的技术防止窃听、冒充、欺骗和篡改采用交换的以太网技术减少侦听使用良好配置的IP地址过滤器监视IP地址与物理地址的对应关系以减少IP欺骗通过日志分析和源点分析防范邮件欺诈防火墙技术的应用防火墙技术什么是防火墙 防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组,强制执行对内部网和外部网的访问控制。通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流,实现保护内部网络的目的。防火墙的功能访问控制授权认证内容安全:病毒扫描、URL扫描、HTTP过滤加密路由器安全管理地址翻译均衡负载日志记帐、审计报警三类防火墙技术及实现基于IP包过滤的堡垒主机防火墙IP过滤路由器带双网络接口配置的堡垒主机InternetR内部网外部网外网段(非军事区)内网段防火墙路由器代理服务器防火墙(Proxy Server) 不允许外部网与内部网的直接通信,内外计算机应用层的连接由终止于Proxy Server上的连接来实现。InternetR内部网代理服务器路由器InternetR内部网外部网外网段(非军事区)内网段防火墙路由器代理服务器应用层网关(Application Gateway) 建立在网络应用层上基于主机的协议过滤、转发器,在用户和应用协议层之间提供访问控制。代理服务与应用层网关的特点易于记录和控制所有进出通信对用户不透明,提供的服务有限Internet应用程序网关用户击键应用程序输入击键转发应用程序转发安 全 策 略总的策略你需要保护哪些资源?保护这些资源你需要防备哪些人?可能存在什么样的威胁?资源的重要性如何?你能够采取哪些措施?你是否定期检查网络安全策略?你的网络目标和环境是否已经改变?你是否知道黑客们的最新动向?网络的使用和责任允许谁使用这些资源?什么是对资源的正确使用?谁被授予有授权访问和同意使用的权力?谁可能拥有系统管理特权?用户的权利和责任是什么?系统管理员的权利和责任是什么?如何处理敏感信息?检测和监视系统运行检测和监视非授权活动科大校园网络的具体做法包过滤防火墙代理服务器邮件收发权的审查用户权限限制IP地址与MAC地址的对应(绑定)和追踪系统补丁和端口控制系统备份和更新系统审计和日志严格的用户管理制度和网络管理条例网络安全中,人是最薄弱的一环,最为成功网络安全中,人是最薄弱的一环,最为成功的入侵往往不需要高深知识和复杂技术。的入侵往往不需要高深知识和复杂技术。安全制度是重要环节,没有完整可靠的管理安全制度是重要环节,没有完整可靠的管理制度,再好的防御也是形同虚设。制度,再好的防御也是形同虚设。关闭一切不需要的功能,堵塞一切可能的漏关闭一切不需要的功能,堵塞一切可能的漏洞。洞。谨慎选择安全策略和技术,最大限度地安全谨慎选择安全策略和技术,最大限度地安全利用网络资源。利用网络资源。了解和掌握最新安全防范动态与技术。了解和掌握最新安全防范动态与技术。结 束 语谢谢大家!谢谢大家!
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号