兰州大学校园网安全建设

LCNC关注网络，关心网络关注网络，关心网络构建我们共同的网络生活空间构建我们共同的网络生活空间————兰州大学校园网安全问题思考兰州大学校园网安全问题思考兰州大学陈文波2007年7月6日LCNC§校园网的发展与现状§网络安全与网络公德§校园网ARP病毒应对§网络安全与IT文化LCNC3Com3ComCellplexCellplex7000(ATM)7000(ATM)3Com3ComCoreBuildCoreBuild35003500DDN/DDN/微波微波Cisco7204Cisco7204Cisco7206Cisco7206CernetCernet省内其它省内其它学校学校64KDDN64KDDN2.5M2.5M卫星卫星拨号用户拨号用户访问服务访问服务器器兰州大学校园网主干拓扑图（兰州大学校园网主干拓扑图（19981998--20002000））3Com27003Com2700物理楼物理楼3Com27003Com2700化学楼化学楼3Com27003Com2700生物楼生物楼3Com27003Com2700图书馆图书馆3Com27003Com2700科学馆科学馆3Com27003Com2700设备处设备处3Com25003Com25003Com3ComCoreBuildCoreBuild35003500服务器服务器服务器服务器服务器服务器机关楼机关楼3Com11003Com1100交换机交换机LCNC帧中继帧中继CiscoCiscoCatalyst6506Catalyst6506((网络中心网络中心))CiscoCiscoCatalyst6006Catalyst6006((一分部逸夫楼一分部逸夫楼))3Com3ComCellplexCellplex7000(ATM)7000(ATM)DDN/DDN/微波微波Cisco7204Cisco7204Cisco7206Cisco7206Cisco251Cisco25144CernetCernet省内其它省内其它学校学校3Com25003Com2500学生学生7#7#楼楼兰州大学校园网主干拓扑图（兰州大学校园网主干拓扑图（20002000--20042004））64KDDN64KDDN2.5M2.5M卫星卫星2M2M1313××128K128KCisco3548Cisco3548××22机关楼机关楼Cisco3524Cisco3524物理楼物理楼Cisco3524Cisco3524生物楼生物楼Cisco3524Cisco35248#8#家属楼家属楼地州网络地州网络学院教室学院教室访问服务访问服务器器3Com3ComCoreBuilCoreBuildd35003500综合楼综合楼3Com11003Com1100楼层交换机楼层交换机1000M1000M1000M1000M10M10M10M10M1000M1000M1000M1000M1000M1000M100M100M100M100M155M155M100M100M10M10MHUBHUB化学楼化学楼拨号用户拨号用户HUBHUB设备处设备处Intel510TIntel510T干旱实验室干旱实验室Cisco2916Cisco2916科学馆科学馆100M100M100M100MCisco3524Cisco3524现物系串裂现物系串裂实验室实验室1#1#家属楼家属楼13#13#家属楼家属楼Cisco3524Cisco3524××663#3#--8#8#家属楼家属楼1000M1000M新闻系新闻系历史系历史系3Com25003Com2500学生学生8#8#楼楼SwitchSwitch图书馆图书馆100M100M1000M1000MLCNC校园网主干拓扑LCNC出口带宽发展§1997.0264KDDN§1999.0464K+512K卫星§2000.0364K+4M卫星§2001.06155M§2004.072*155M§2005.104*155M§2006.072.5GLCNC校园网发展轨迹§收发E-mail，接入互联网§信息检索，服务于科研§各种应用，服务于管理§教学平台，服务于教学§P2P应用，资源共享§网格中间件，协作科研§真实的校园网（Facebook）以人为本，为学生们构筑网络生活氛围（BBS、考试辅导、比较购物、精准购物、电子商务、淘宝网）LCNC传统网络服务受到挑战？§电子邮件问题？（eYouorGmail）§DNS攻击、解析效率§网站被黑！§网站质量？网络中心需要黑客！LCNC校园网服务于教学、科研和管理§视频会议、网上答疑及教学论坛系统§教学平台§大学课程在线§精品课程网站建设§网上外语学习平台§高性能并行计算HPC§校园一卡通：考勤、门禁、消费、注册等§校园监控§网络电视§镜像网站§计算机网络应急响应组LCNC维护难点§带宽拥塞、应用多、区分复杂，QoS难以保证–首先保证、Mail等§出口复杂，策略不统一（教师、学生、办公区）–电信需做NAT、策略路由，路由器性能下降§设备更新压力大–汇聚交换机性能差–支持IPv6、防ARP欺骗、防代理§单点故障困扰（传输、路由、交换、服务器）网络技术（传输、交换、路由）的发展远远跟不上对应用的需求！1Tbps带宽，能满足P2P吗？每个人1M够用吗？（DVTS需35Mbps）LCNC网上外语学习平台——网络电视§英语：BBC、Discovery、ESPN§俄语：THT§德语：DWTVLCNC榆中校区无线网络监控系统§监控中心建设，监视墙+2T存储硬盘录像§6组无线局域网基站，校区大部分区域无线覆盖§27组网络摄像头+1组车载摄像头LCNCLCNC总体方案5套刀片中心(64片刀片)DS4300存储x346(存储节点)校园网千兆以太网交换机Infiniband连接SAN光纤通道连接千兆以太网连接x346(管理节点)p5-575SMP服务器LCNC信息化建设运行管理体制公共平台建设部门信息化建设任务校内各部门（信息化联络员）项目化管理学校教育信息化领导小组需求调查信息办：制定规划项目管理专家组网络中心缜密规划统一管理分步实施建数字化兰州大学LCNC建设内容（一）§网络基础设施建设–本部至榆中校区线路备份及万兆升级–与其他电信运营商的高速互联–汇聚层网络下一代互联网升级–网络安全防范及VPN通道–校园网络覆盖（有线、无线）–网络流量分析及网络动态监控系统“十一五”规划围绕建设安全、可靠的校园网展开LCNC建设内容（二）§校园应用系统建设–高可用服务器及存储、灾备–数据库及中间件、开发包–校园管理基础数据库建设–通用教学平台建设–校园网统一认证及Portal建设–校园身份认证和识别–校园安防监控LCNC网络安全和网络公德LCNC教学、科研和管理的大规模应用对校园网的安全性和可靠性提出挑战§校园网出口带宽有限，而以BT为代表的P2P应用以及病毒吞噬着有限的网络出口带宽§用户安全意识淡薄，导致局域网内病毒横行，典型的有各类蠕虫病毒、木马§各类黑客扫描、入侵、Dos攻击等对网络安全造成极大的威胁§僵尸网络隐患§其他，如垃圾邮件、不良信息……LCNC安全应对措施n加强系统安全n1%的努力可防止99%的攻击n密码、端口、个人防火墙、杀毒软件n防火墙系统n流量分析与监控系统（IDS）n集成化的网络安全系统n经常关注CCERT及相关主页n()安全是一种习惯！LCNC校园网安全管理的特点u大规模、高速网络环境u复杂的应用和业务类型u活跃的、不同使用水平的用户群体u大量的非正版软件和电子资源u宽松的安全管理体制u有限的资金投入u计费政策LCNC校园网安全的主要威胁u普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁u计算机蠕虫、病毒泛滥，影响用户的使用、信息安全、网络运行u外来的攻击、入侵等不良行为u内部用户的攻击行为u校园网内部用户对网络资源的滥用u垃圾信息和不良信息的传播（Maze，CNGI）LCNC政策、组织与管理u安全政策（Policy）Ø校园网安全管理规定/条例/办法Ø入网协议（AUP）：单位/个人u组织Ø信息安全管理委员会和办公室Ø校园网网络/信息/计算中心Ø院/系/处安全管理负责人Ø学生宿舍楼管理岗位Ø教学楼管理岗位LCNC政策、组织与管理u制度Ø用户入网协议Ø服务器备案制度Ø管理员技术和用户安全意识培训Ø违规用户的惩罚制度Ø应急预案制度u参考ISO17799LCNC关键技术u用户端系统安全1.打补丁2.设帐号/口令，关闭不需要的帐号3.关掉不必要的服务4.防病毒软件、个人防火墙5.定期更新：补丁、病毒定义码、口令6.漏洞扫描u如何实施？1.集中管理？2.用户培训？LCNC关键技术u网络安全1.入网身份认证2.防火墙与访问控制3.统一规划的防病毒系统4.漏洞扫描5.入侵检测与流量分析6.内容的审计分析u应用系统安全1.电子邮件：反垃圾邮件2.身份认证、数字签名：PKILCNC入网身份认证u入网身份认证的必要性：–计费、安全管理、审计追踪–用户名—IP地址—MAC，交换机/路由器控制–管理复杂u基于Web的认证–实现简单、灵活uPPPoEu802.1XLCNC防病毒系统u选择好的防病毒软件u集中管理：企业版防病毒系统u端系统：桌面、服务器u病毒网关/病毒防火墙？u对所有办公用机设置Baseline？LCNC兰州大学Antiarp系统介绍LCNCARP病毒对校园网的影响§校园网基本以1个C类地址来划分子网§在每个子网的网关处检测,1台中ARP病毒的机器每分钟可以影响20~30台机器的网络联通性。§发现中ARP病毒机器的使用者一般不安装杀毒软件或不及时升级病毒库，中毒机器经常是反复中毒。LCNCantiarp系统实现原理在有ARP攻击的网段，在路由器上发现ARP表有这种现象：ARP表会纪录错误的IP-MAC对应项。找出错误的IP-MAC项的MAC地址，找到该MAC所相应连接的接入交换机端口，并且关闭该端口。更换支持MAC、IP、DHCP服务器绑定的接入交换机—浪费太大！LCNC兰大antiarp系统介绍系统平台使用Redhat，内核2.6.9-22.ELsmp1.使用snmpwalk读取网关处的ARP表2.写了一个Perl脚本过滤出有问题的MAC3.使用snmpwalk读取接入交换机的MAC-Port对应表LCNC兰大antiarp系统介绍4.在脚本中过滤掉用户接入交换机上的“交换机级联接口”。5.写了一个脚本查找出有问题的MAC所连接接入交换机的接口；根据我校的用户管理系统提供的数据库接口查找出该用户接口所对应的用户所在位置（一般是房间号），并且生成网页通知用户。6.使用snmpset命令关闭上述在接入交换机上查找到的端口。7.定义了一个计时器，每5分钟执行一次上述脚本。LCNC每天生成实时网页提供给用户查看网络攻击状况LCNC管理员可以查看具体的ARP攻击信息LCNC管理员可以根据提供的MAC搜索功能查看所对应的MAC历史上的攻击行为、具体的时间以及连接信息LCNCAntiarp系统实施分布图LCNC存在的问题与思考1.系统针对的ARP攻击都是源MAC固定不变的攻击行为。如果攻击源的MAC随机变化如何处理？2.在校园网内不排除个别用户运行ARP工具发起主动ARP攻击（如使用“网络执法官”等），这些攻击行为有可能是针对某些特定用户，在网关处较难察觉。3.大多数ARP攻击发起者也是“无辜者”，但是正是这批“无辜者反复中招”对网络联通性造成了很大的伤害。LCNC存在的问题与思考4.在网关处的检测始终不能得到及时、准确的信息。5.下一步的工作：端口镜像监控分布式的网络性能检测系统LCNC§IT文化和IT素养（国内与国外）§IT与就业（世界是平的？）§挑战=机遇§支持学生创业–天网、Maze、5Q的成功经验–电子商务、同学录发展是硬道理、学生是我们的宝贵资源LCNCIT文化——一部电影、一本书LCNC大力推广开源软件LCNC积极加强交流WelookforwardtoaccommodatingAPANdelegatesint