【文章內(nèi)容簡(jiǎn)介】 個(gè)網(wǎng)絡(luò)的邊緣，學(xué)生通過(guò)接入設(shè)備接入網(wǎng)絡(luò)。為保證整個(gè)網(wǎng)絡(luò)安全高效的運(yùn)行，作為網(wǎng)絡(luò)的入口接入設(shè)備的智能識(shí)別是一項(xiàng)重要的功能。 智能識(shí)別包括用戶識(shí)別和數(shù)據(jù)業(yè)務(wù)類型識(shí)別。用戶識(shí)別是為了保證網(wǎng)絡(luò)的安全。業(yè)務(wù)類型識(shí)別是保證業(yè)務(wù)數(shù)據(jù)的分類，幫助 網(wǎng)絡(luò)對(duì)業(yè)務(wù)數(shù)據(jù)的服務(wù)質(zhì)量。接入層需要滿足以下功能： ?將流量接入網(wǎng)絡(luò) ?控制訪問(wèn)－ 的能力 ?執(zhí)行其它的邊緣功能 ?端到端的 ACL 訪問(wèn)控制能力，并能夠提供極高的安全特性，如防 ARP 欺騙，防 clonePC 等。 ?端到端的 QOS 運(yùn)營(yíng)質(zhì)量提供能力 根據(jù)學(xué)校應(yīng)用需求，建議接入交換機(jī)采用神州數(shù)碼 DCS3950 系列智能可堆疊交換機(jī)，其中 24 口百兆接入交換機(jī)采用 DCS395028CT,48 口百兆交換機(jī)采用 DCS395052CT。 DCS3950 系列智能安全接入交換機(jī)屬于百兆接入、千兆上聯(lián)的二層以太網(wǎng) 交換設(shè)備 ,其在安全、運(yùn)營(yíng)等方面極具特色，適用于教育、政府、大中型企業(yè)的網(wǎng)絡(luò)接入。 DCS395028CT 提供 24 個(gè)百兆電口，在固化 2 個(gè)千兆 Combo 的基礎(chǔ)上 ,更提供 2 個(gè)固化千兆電口，一共提供 4 個(gè)千兆端口，或光或電或堆疊，用戶可隨心選擇； DCS395052CT 提供 48 個(gè)百兆電口，在固化 2 個(gè)千兆 Combo 的基礎(chǔ)上 ,更提供 2 個(gè)固化千兆電口，一共提供 4 個(gè)千兆端口，不僅能為工作組內(nèi)服務(wù)器提供千兆銅纜的直接接入，還同時(shí)為級(jí)聯(lián)、堆疊、上行提供了豐富的端口選擇。 DCS3950 系列支持堆疊功能 ,采取無(wú)風(fēng)扇靜音設(shè) 計(jì)，并采取固化上聯(lián)端口的形式，端口類型組合豐富，為用戶組網(wǎng)提供了很大的擴(kuò)展性和便利性。 作為新一代的網(wǎng)絡(luò)產(chǎn)品， DCS3950 系列交換機(jī)具有強(qiáng)大的安全特性，如強(qiáng)大的 ACL、整機(jī)支持 1K 條 ACL，且 ACL 可以在所有端口自由分配，防攻擊能力可有效抵抗病毒和 DOS 攻擊，保護(hù)自身和匯聚、核心設(shè)備的安全穩(wěn)定運(yùn)行。完全的硬件轉(zhuǎn)發(fā)、以及基于 ASIC 的 ACL 機(jī)制可以在病毒泛濫時(shí)使正常數(shù)據(jù)不受任何影響。 同時(shí) DCS3950 系列交換機(jī)支持完整的神州數(shù)碼增強(qiáng)型 認(rèn)證計(jì)費(fèi)解決方案，支持按交換機(jī)端口和 MAC 地址方式的認(rèn)證。 實(shí)施該套方案后，用戶在不通過(guò)認(rèn)證的情況下將無(wú)法使用網(wǎng)絡(luò)，可以有效避免用戶私自更改 IP 對(duì)網(wǎng)絡(luò)的沖擊。配合神州數(shù)碼的安全接入控制與計(jì)費(fèi)系統(tǒng) DCBI3000 和 客戶端，可以實(shí)現(xiàn)按時(shí)長(zhǎng) /流量計(jì)費(fèi)，可以實(shí)現(xiàn)用戶帳號(hào)、密碼、 IP、 MAC、 VLAN、端口、交換機(jī)的嚴(yán)格綁定，還可以防止代理軟件，對(duì)合法客戶發(fā)送通知 /廣告，進(jìn)行上網(wǎng)時(shí)段控制，基于用戶動(dòng)態(tài)實(shí)現(xiàn) VLAN 授權(quán)和帶寬授權(quán)，可基于組策略實(shí)現(xiàn)動(dòng)態(tài) IP 地址分配而不必使用 DHCP 服務(wù)器等。 DCS3900S 系列交換機(jī)是實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)的非常理想的接入交換機(jī)。 認(rèn)證計(jì)費(fèi)系統(tǒng)： DCBI3000 根據(jù)此次的要求，在核心交換機(jī)上需要以旁路的形式，側(cè)掛認(rèn)證計(jì)費(fèi)系統(tǒng)， DCBI3000 具有最大支持 10 萬(wàn)用戶。支持增強(qiáng) 、增強(qiáng) Web、 PPPoE 等認(rèn)證方式，能夠?yàn)樾@、企業(yè)、寬帶小區(qū)提供可管理、可運(yùn)營(yíng)的完整的解決方案。 認(rèn)證計(jì)費(fèi)系統(tǒng)是校園網(wǎng)運(yùn)營(yíng)的核心組件，如果一旦出現(xiàn)問(wèn)題重要數(shù)據(jù)的丟失會(huì)給學(xué)校帶來(lái)不可估量的損失。用戶認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)維護(hù)校園網(wǎng)絡(luò)的正常運(yùn)營(yíng)至關(guān)重要，建議采用一主一備的配備。在一套系統(tǒng)出現(xiàn)服務(wù)中斷的情況下，另外一套系統(tǒng)能夠立刻接管。第五章 宿舍網(wǎng) 絡(luò)安全解決規(guī)劃及解決方案 ARP 常見(jiàn)威脅及 DCN 方案 ARP 欺騙是指什么？很多網(wǎng)絡(luò)用戶都不太明白，但他們?cè)谑褂镁W(wǎng)絡(luò)的時(shí)候，卻時(shí)常會(huì)遇到這樣的現(xiàn)象：計(jì)算機(jī)網(wǎng)絡(luò)連接正常，但卻無(wú)法打開(kāi)網(wǎng)頁(yè)，并且發(fā)現(xiàn)發(fā)送的數(shù)據(jù)包明顯少于接收的數(shù)據(jù)包； 網(wǎng)絡(luò)訪問(wèn)時(shí)斷時(shí)繼，掉線頻繁，網(wǎng)絡(luò)訪問(wèn)速度越來(lái)越慢，有時(shí)則長(zhǎng)時(shí)間不能上網(wǎng)， 有時(shí) 過(guò)一段時(shí)間后又會(huì)恢復(fù)正常 ； IE 瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等 ；仔細(xì)檢查你會(huì)發(fā)現(xiàn) 同一網(wǎng)段的所有上網(wǎng)機(jī)器均無(wú)法正常連接網(wǎng)絡(luò) ， 打開(kāi) 交換或路由設(shè)備 的系統(tǒng)歷史記錄中看到大量的 MAC 更換信息 。 一旦網(wǎng)絡(luò)出 現(xiàn)了上述的癥狀，你就該第一時(shí)間反應(yīng)過(guò)來(lái)，你是否正收到來(lái)自 ARP 欺騙的威脅！ 目前，惡意主機(jī)可以在端點(diǎn)毫不知情的情況下竊取兩個(gè)端點(diǎn)之間的談話內(nèi)容。攻擊者不但可以竊取密碼和數(shù)據(jù)，還可以偷聽(tīng) IP 電話內(nèi)容 ，給網(wǎng)絡(luò)用戶造成了極大的威脅。 一般，我們認(rèn)為 ARP 欺騙有兩種形式，一是 ARP 仿冒網(wǎng)關(guān)，另一是 ARP 欺騙主機(jī)，下面的內(nèi)容將向你詳細(xì)描述。 ARP 相關(guān)威脅 ARP 欺騙 ARP 欺騙主機(jī) IP 地址欺騙攻擊者可以模仿合法地址，方法是人工修改某個(gè)地址，或者通過(guò)程序執(zhí)行地址欺騙 ，核心就是向網(wǎng)絡(luò)中發(fā) 送錯(cuò)誤的 IP 和 MAC 對(duì)應(yīng)的 ARP 請(qǐng)求，使得網(wǎng)段內(nèi)其它主機(jī)更新自己的緩存表，把錯(cuò)誤信息加入到緩存表中，而使得網(wǎng)段內(nèi)某些合法主機(jī)無(wú)法實(shí)現(xiàn)正常通信 。 舉例說(shuō)明，如下圖： 主機(jī) D 維護(hù)著一個(gè)緩存表，正確的記錄著網(wǎng)段內(nèi)主機(jī)的網(wǎng)絡(luò)地址和物理地址的對(duì)應(yīng)關(guān)系，惡意主機(jī)A 發(fā)送 ARP 欺騙： 對(duì)應(yīng) MAC A，主機(jī) D 對(duì)此作出響應(yīng)，并更改自己的緩存表，如下圖： 主機(jī) D 主機(jī) B 主機(jī) A 向 D 發(fā)送 ARP 響 應(yīng) ： MAC A …… …… MAC C MAC B MAC A 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 14 頁(yè)，共 54 頁(yè) 在主機(jī) A 進(jìn)行 ARP 欺騙前，主機(jī) B 與主機(jī) D 之間是正常的數(shù)據(jù)交互關(guān)系，而當(dāng)主機(jī) A 發(fā)起攻擊后，主機(jī) D 依錯(cuò)誤請(qǐng)求修改了自己的緩存表，于是，主機(jī) D 就把原本發(fā)給主機(jī) B 的數(shù)據(jù)包全部發(fā)給了主機(jī) A。 ARP 仿冒網(wǎng)關(guān) ARP 仿冒網(wǎng)關(guān)可能會(huì)對(duì)整個(gè)網(wǎng)段造成更大的危害。 攻擊者 通過(guò) 發(fā)送帶假冒源地址的 ARP 包，希望默認(rèn)網(wǎng)關(guān)或其它主機(jī)能夠承認(rèn)該地址，并將其保存在 ARP 表中。 ARP 協(xié)議不執(zhí)行任何驗(yàn)證或過(guò)濾就會(huì)在目標(biāo)主機(jī)中為這些惡意主機(jī)生成記錄項(xiàng)， 這是網(wǎng)絡(luò)隱患的開(kāi)始 。 舉例說(shuō)明，如下圖： 網(wǎng)關(guān)維護(hù)著一個(gè)正確的網(wǎng)段內(nèi)邏輯地址與物理 地址的對(duì)應(yīng)表，如上圖所示，惡意主機(jī) A 為了攻擊網(wǎng)關(guān)，在網(wǎng)段內(nèi)不斷的發(fā)送 ARP 請(qǐng)求，例如： 對(duì)應(yīng) MAC A， 則主機(jī) B、 C、 D都相應(yīng)的更新自己的緩存表，于是攻擊源成功仿冒了網(wǎng)關(guān)。 網(wǎng)關(guān) 主機(jī) D 主機(jī) C 主機(jī) B 主機(jī) A 主機(jī) D修改了緩存表，同時(shí)把發(fā)給 B的數(shù)據(jù)直接發(fā)給了 A …… …… MAC C MAC A MAC A 網(wǎng)關(guān) E： 主機(jī) D 主機(jī) C 主機(jī) B 主機(jī) A 在 網(wǎng) 段 內(nèi) 發(fā) ARP 響應(yīng)： MAC A …… …… MAC B MAC A MAC E 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 15 頁(yè)，共 54 頁(yè) 如上圖所示，系統(tǒng)認(rèn)為主機(jī) A 為網(wǎng)關(guān)，于是本該發(fā)到交換機(jī) E 的數(shù)據(jù)都發(fā)到主機(jī) A 上面，主機(jī) A 成功的讓被他欺騙的主機(jī)向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，給網(wǎng)絡(luò)造成了極大的安全隱患，表現(xiàn)在 B、 C、 D 主機(jī)上就是網(wǎng)絡(luò)中斷。 ARP 掃描和 Flood 攻擊 ARP 掃描是一種常見(jiàn)的網(wǎng)絡(luò) 攻擊方式。為了探測(cè)網(wǎng)段內(nèi)的所有活動(dòng)主機(jī)，攻擊源將會(huì)產(chǎn)生大量的 ARP Request 報(bào)文在網(wǎng)段內(nèi)廣播，這些廣播報(bào)文極大的消耗了網(wǎng)絡(luò)的帶寬資源；攻擊源甚至有可能通過(guò)偽造的ARP 報(bào)文在網(wǎng)絡(luò)內(nèi)實(shí)施大流量攻擊，使網(wǎng)絡(luò)帶寬消耗殆盡而癱瘓。遭受 ARP 掃描攻擊的網(wǎng)絡(luò)，網(wǎng)段內(nèi)的主機(jī)表現(xiàn)出來(lái)的狀態(tài)就是無(wú)法連接網(wǎng)絡(luò)。 而且 ARP 通常是其他更加嚴(yán)重的攻擊方式的前奏，如病毒自動(dòng)感染，或者繼而進(jìn)行端口掃描、漏洞掃描以實(shí)施如信息竊取、畸形報(bào)文攻擊，拒絕服務(wù)攻擊等。 還有另外一種 ARP 攻擊方式，它也是以大量發(fā)送 ARP 報(bào)文的攻擊形式來(lái)實(shí)現(xiàn)的 ，我們稱之為 ARP flood。 如上圖所示，危險(xiǎn)主機(jī)不斷發(fā)送大量偽造 ARP 數(shù)據(jù)到交換機(jī)，刷新其 MAC 地址表，使其達(dá)到交換機(jī) E 主機(jī) D 主機(jī) C 主機(jī) B 主機(jī) A 不斷向 交換機(jī) 發(fā)送大量含虛假 MAC地址 的 ARP數(shù)據(jù)包 網(wǎng)關(guān) E： 主機(jī) D 主機(jī) C 主機(jī) B 主機(jī) A 網(wǎng)段內(nèi)其它主機(jī)修改自己的緩存表，并認(rèn)為主機(jī) A就是網(wǎng)關(guān) ?? ?? MAC B MAC A MAC A 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 16 頁(yè)，共 54 頁(yè) 存儲(chǔ)上限，造成 MAC 地址表的溢出。 此時(shí)，由于有大量的 MAC 地址刷新，交換機(jī)無(wú)法處理，于是交換機(jī)自動(dòng)降級(jí)成為 HUB，執(zhí)行泛洪操作，也就是把數(shù)據(jù)發(fā)往所有端口。 于是，大量的網(wǎng)絡(luò)帶寬被占用，同時(shí)交換機(jī)的 ARP 表被大量的錯(cuò)誤信息占滿，用戶上網(wǎng)速度會(huì)變得非常的慢，或直接表現(xiàn)為網(wǎng)絡(luò)中斷。 DCN防 ARP威脅解決方案 ARP 欺騙首 先是通過(guò)偽造合法 IP 進(jìn)入正常的網(wǎng)絡(luò)環(huán)境，向交換機(jī)發(fā)送大量的偽造的 ARP 申請(qǐng)報(bào)文，交換機(jī)在學(xué)習(xí)到這些報(bào)文后，可能會(huì)覆蓋原來(lái)學(xué)習(xí)到的正確的 IP、 MAC 地址的映射關(guān)系，將一些正確的IP、 MAC 地址映射關(guān)系修改成攻擊報(bào)文設(shè)置的對(duì)應(yīng)關(guān)系，導(dǎo)致交換機(jī)在轉(zhuǎn)發(fā)報(bào)文時(shí)出錯(cuò)，從而影響整個(gè)網(wǎng)絡(luò)的運(yùn)行?；蛘呓粨Q機(jī)被惡意攻擊者利用，利用錯(cuò)誤的 ARP 表，截獲交換機(jī)轉(zhuǎn)發(fā)的報(bào)文或者對(duì)其它服務(wù)器、主機(jī)或者網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊。 接入交換機(jī) ACL 防止 ARP 仿冒網(wǎng)關(guān) 假定 DCN交換機(jī) 0/1/1口用于上聯(lián)， 0/0/124直接連接計(jì)算機(jī) 終端，網(wǎng)關(guān)地址為 ，我們需要在下行口上增加 ACL阻止所有仿冒 ARP通告。 網(wǎng)關(guān)不同則相應(yīng)得 16 進(jìn)制數(shù)不同，配置的時(shí)候需要計(jì)算轉(zhuǎn)換。該配置完成后，終端發(fā)出的仿冒網(wǎng)關(guān)的 ARP 通告將被 deny。 DCN 接入交換機(jī)＋ DCBI＋靜態(tài) IP 地址分配 靜態(tài) IP 地址分配是指在每一臺(tái)主機(jī)上面，手動(dòng)配置 IP 地址。在這種環(huán)境下，我們可以通過(guò) DCBI 下發(fā) ACL 到 DCN 接入交換機(jī)進(jìn)行端口、 IP、 MAC 的綁定。這樣每個(gè)端口只能發(fā)出含正確源 MAC 地址和源 IP 地址的 ARP 報(bào)文。 如下圖所示，交換機(jī)將不轉(zhuǎn)發(fā)非法用戶的數(shù)據(jù)包，并把它丟棄或者直接 shutdown下聯(lián)的交換機(jī)端口，讓攻擊源無(wú)可乘之機(jī)。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 17 頁(yè)，共 54 頁(yè) 具體實(shí)現(xiàn)方式是：在交換機(jī)端口上開(kāi)啟 功能；同時(shí)配置 DCBI 認(rèn)證系統(tǒng)。 舉例說(shuō)明使用過(guò)程： 計(jì)算機(jī)連接到交換機(jī)的端口 1/2上，端口 1/2開(kāi)啟 ，接入方式采用缺省的基于 MAC地址認(rèn)證方式。交換機(jī)的 IP地址設(shè)置為 ，并將除端口 1/2以外的任意一個(gè)端口與 RADIUS認(rèn)證服務(wù)器相連接， RADIUS認(rèn)證服務(wù)器的 IP地址設(shè)置為 ，認(rèn)證、計(jì)費(fèi)端口為缺省端口 1812和端口 1813。計(jì)算機(jī)上安裝 ，并通過(guò)使用此軟件來(lái)實(shí)現(xiàn) 。 配置 DCBI 基于神州數(shù)碼 DCBI3000/DCSM8000 的內(nèi)網(wǎng)安全管理系統(tǒng)，不但可以實(shí)現(xiàn)上面的綁定準(zhǔn)入控制，而且實(shí)現(xiàn)了基于每個(gè)數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)的交換芯片的 IP、 MAC 綁定過(guò)濾規(guī)則，從而完成杜絕了 ARP 欺騙及 ARP掃描等內(nèi)網(wǎng)安全方面的威脅。具體實(shí)現(xiàn)的功能過(guò)程如下圖所示： 網(wǎng)關(guān) 主機(jī) D 主機(jī) C 主機(jī) B 主機(jī) A …… …… MAC C MAC B MAC A 對(duì) 交換機(jī)下聯(lián)的端系統(tǒng)IP、 MAC進(jìn)行綁定 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 18 頁(yè)，共 54 頁(yè) 如圖上圖所示，基于每個(gè)包都進(jìn)行綁定判 斷過(guò)濾的安全準(zhǔn)入： 1） 用戶在上網(wǎng)認(rèn)證時(shí)，將自已的用戶帳號(hào)、密碼、 IP 地址、 MAC 地址上傳給 安全接入交換機(jī)。 2） 安全接入交換機(jī)將上面的信息通過(guò)另一種形式上傳給安全策略服務(wù)器DCBI3000。 3） 在 DCBI3000 上判斷該用戶的 IP、 MAC 等信息是否附合綁定的要求。如是上面的信息附合綁定的要求，將 Radius Server 下發(fā)該用戶認(rèn)證通過(guò)的信息給 安全接入交換機(jī)。與上面的傳統(tǒng)方式不同的是： DCBI3000 針對(duì)動(dòng)態(tài) DHCP 管理方式和靜態(tài) IP 方式按著兩種方式進(jìn)行處理。 i. 如果用戶網(wǎng) 絡(luò)采用是靜態(tài) IP 地址管理方式，則 DCBI3000 會(huì)把事先配置好的該用戶 IP、 MAC 綁定信息下發(fā)到 交換機(jī)中。（如下圖所示：通過(guò) DCBI3000 實(shí)現(xiàn)靜態(tài)的IP、 MAC 過(guò)濾規(guī)則） 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 19 頁(yè)，共