搜索
普教校园网安全与管理经验分享锐捷网络陈世江2007-04-19浙江省教育城域网、校园网管理人员培训班课程系列汇报提纲城域网/校园网常见问题瞰览1常见网络诊断2以小看大论安全3锐捷网络安全服务一箩筐4校园网、城域网管理员烦恼的问题病毒BT下载故障定位内外部网络攻击IP地址冲突、盗用产生的原因及影响-----安全病毒分析原因:•防病毒软件无法统一大规模部署•网络设备的安全防护能力差•管理队伍安全防范能力薄弱影响:•规模大、传播快网络攻击分析原因:•内部用户多,用户杂•无法对用户行为控制•影响:•太多了产生的原因及影响-----管理P2P下载分析影响:•出口带宽严重耗损•无法响应正常的对内、对外的服务•对外:远程教育、WEB、EMAIL等等•对内:课件、办公等等故障定位分析•原因•设备杂•设备多•地理位置广•影响:•网管系统无法构建统一的拓扑图•故障定位困难IP地址与盗用分析原因:•老师私自修改IP地址影响:•与网内用户冲突,影响他人上网•与网关冲突,影响全网上网汇报提纲城域网/校园网常见问题瞰览1常见网络诊断2以小看大论安全3锐捷网络安全服务一箩筐4常用TCP/IP诊断命令ARP显示和修改“地址解析协议(ARP)”缓存中的项目。常用参数:arp-a察看ARP列表arp-d清除ARP列表arp-s手动添加ARP列表主要用于主要用于::1.1.测试目的端的可达性测试目的端的可达性(ping)(ping)2.2.测试到达目的端的路径测试到达目的端的路径((tracert,pathping,traceroutetracert,pathping,traceroute,,扩展扩展ping)ping)ICMP(网际控制消息协议)常用TCP/IP诊断命令PING用于检测网络连接性、可到达性和名称解析的疑难问题常用参数:ping-t持续pingping-l65500ping-a将主机名解析为地址pingPING的用法与步骤第一步:PING本机IP地址z通:已经安装TCP/IP协议,且运行正常z不通:TCP/IP协议不正常,请重新安装协议第二步:PING网关IP地址z通:本机到网关的链路是好的z不通:请检查主机到网关的线路第三步:PING外网地址z通:网络线路没有问题z不通:请检查网络出口线路第四步:PINGDNSz通:网络没有问题,请检查防火墙设置及应用程序设置z不通:1、DNS出问题。2、DNS防PING常用TCP/IP诊断命令TRACERT一个探测路由的程序,可以看见数据到达目的地经过的路由。例:C:\〉tracert〈10ms10ms20ms202.96.13.62420ms10ms10ms210.77.139.1865〈10ms10ms20ms210.77.139.1706〈10ms〈10ms10ms211.99.193.1547〈10ms10ms〈10ms211.99.199.204Tracecomplete.常用TCP/IP诊断命令IPCONFIG显示所有当前的TCP/IP网络配置值、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置.常用参数:ipconfig/allipconfig/releaseipconfig/renewipconfig/flushdns常用TCP/IP诊断命令NETSTAT显示活动的TCP连接、计算机侦听的端口、以太网统计信息、IP路由表、IPv4统计信息(对于IP、ICMP、TCP和UDP协议)。常用参数:netstat-a显示所有连接和监听端口netstat-n以数字形式显示地址和端口netstat-r显示路由表汇报提纲城域网/校园网常见问题瞰览1常见网络诊断2以小看大论安全3锐捷网络安全服务一箩筐4ARP欺骗ARP协议原理32位IP地址:192.168.1.1548位MAC地址:00-01-6C-CC-33-B7ARP小张小李ARPrequest:Whohas192.168.1.15?小李你在哪里啊?我要给你发货ARPreply192.168.1.15isat00-01-6C-CC-33-B7小张,我在北京XX小区XX号,你发吧ARP表刷新192.168.1.15对应MAC_CARP攻击的目的小王攻击者(中间人)192.168.1.1000-15-f2-dc-97-ae小张PC1(FTP服务器)192.168.1.5MAC_A小李PC2(FTP客户端)192.168.1.15MAC_BHI,我是小张ARPreply192.168.1.5isat00-15-f2-dc-97-ae正常的网络访问数据包(FTP)HI,我是小李ARPreply192.168.1.15isat00-15-f2-dc-97-aeARP表刷新192.168.1.5对应MAC_CARP病毒对交换机的攻击E4E2小张小张E4……8K合计小王E3小李E2MAC地址端口通讯录通讯录小李我要发货给小李查通讯录小李在E2接口上,我从E2接口转发从E2接口发货给小李欺骗主机的ARP(ARP病毒变种)普通二层交换机极品良民恐怖份子源MAC:本机MAC目标MAC=全F的广播地址类型:GratuitousARPSenderMACadd=本机MACSenderIPadd=172.16.1.54TargetIPadd=172.16.1.54TargetMACadd=4444.4444.4444为什么我不能上网?发送源IP和目的IP均为受害主机的地址的免费ARP报文我好毒、我好毒网关ARP表项:IP:172.16.1.54MAC:4444.4444.4444真实的地址是:IP:172.16.1.54MAC:1111.1111.1111三层交换机欺骗网关的ARP(ARP病毒)普通二层交换机极品良民恐怖份子源MAC:本机MAC目标MAC=全F的广播地址类型:GratuitousARPSenderMACadd=本机MACSenderIPadd=172.16.1.1TargetIPadd=172.16.1.1TargetMACadd=4444.4444.4444为什么我不能上网?发送源IP和目的IP均为受害主机的地址的免费ARP报文我好毒、我好毒网关地址:IP:172.16.1.1MAC:1111.1111.1111主机ARP表项:IP:172.16.1.1MAC:4444.4444.4444三层交换机ARP防范方案一览-杀毒主机杀毒法ARP防范方案一览-定位交换机部分zShowarp主机部分z扫描法zARP–A–D法一些思考ARP网关病毒是导致整片网络上不了网,中毒者是感受不到自己的机器中毒,如果他不杀毒,我们该怎么办?利用保护网关的工具,强制绑定网关映射,如果网关设备的地址变更后,我们该怎么办?利用保护网关的工具,强制绑定网关映射,那遇到欺骗主机的病毒,我们该怎么办?普通老师计算机水平不是很好,自行处理不了该问题,我们该怎么办?治本的方法:还是需要网络设备来完成ARP攻击防范设计理念与方法小王攻击者(中间人)192.168.1.1000-15-f2-dc-97-ae小张PC1(FTP服务器)192.168.1.5MAC_A小李PC2(FTP客户端)192.168.1.102MAC_BHI,我是小张ARPreply192.168.1.5isat00-15-f2-dc-97-aeHI,我是小李ARPreply192.168.1.15isat00-15-f2-dc-97-ae你不是小张,你是小王你不是小李,你是小王交换机对ARPREPLY包进行深度检测发现这个端口不应该收到源地址为192.168.1.5的ARPReply包,所以丢弃!DHCP环境下的防ARP欺骗以S21交换机为例:核心交换机楼层交换机楼栋交换机用户PCCERNETDHCPServer匹配UDP=67,提取IP+MAC与端口进行绑定,即授权分配IPWebServer用户开机,发出DHCP请求匹配UDP=68则进行转发获得IP地址,可以上网1、如果用户私自设置静态IP,则应用该IP、MAC没有在S21上进行绑定授权,则该用户不可以上网;2、自动IP+MAC+端口绑定后,并启用ARP报文深度检测功能,则在整个上网过程中,所有的非法ARP报文都不被S21转发,所以可彻底解决针对网关和主机的ARP欺骗三层交换机DHCPRelay三层交换机反向DHCPRelay静态地址环境下的防ARP欺骗以S21交换机为例:核心交换机楼层交换机楼栋交换机用户PCCERNETWebServer用户开机,发出数据报文首次查表,首次绑定ARP报文进行深度检测,发现非法便进行丢弃用户发出ARP报文网络病毒与攻击层出不穷手段多样的网络攻击0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫针对网络服务器漏洞的攻击拒绝服务攻击基于缓冲区溢出的攻击与ActiveCode相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击网络攻击手段的融合20042004新一代恶意代码(蠕虫、木马)攻击不可避免攻击工具体系化大量的攻击工具随手拾来攻击工具更加“人性化”导致的结果:人人都可以说:面对多种多样的攻击,我们该如何应对呢?网络安全决战在边缘!全局安全网络设计!汇报提纲城域网/校园网常见问题瞰览1常见网络诊断2以小看大论安全3锐捷网络安全服务一箩筐4IPv6ACL安全在边缘的接入交换机StormControl风暴控制防止瞬间超大的数据流量ACL功能强大的ACL功能、提供标准、扩展、基于时间以及专家级ACL,全方位保护网络BPDUGUARD防止对STP的攻击ARP报文合法性检查检测ARP报文合法性防御ARP欺骗攻击PORTSECURITYIP+MAC+端口的绑定、限定MAC数量,有效保护网络攻击校园网络中心PVLANPROTECTVLAN功能保护同一VLAN间用户的相互访问802.1X用户认证对接入用户的身份验证IGMP源端口检查有效控制非法组播源RADIUS身份验证/SSH设备访问的安全性防DDoS攻击IP授权,动态绑定IP+MAC至交换机端口,防御DoS攻击S21、S29系列GSN全局安全解决方案用户入网身份验证主机完整性验证网络安全事件监控GSNGSN网络组成元素SU(安全客户端)功能:(身份识别、自动升级、HI等)安全接入交换机、IDS入侵检测设备功能:(用户入网控制、用户网络访问控制、自动安全防御等)SAM(身份认证系统)功能:进行入网用户身份识别SMP(安全管理平台)功能:进行安全事件的处理用户层面网络层面后台服务RES(修复系统)功能:提供下发给用户的各种修复程序及补丁GSN工作原理学校1IDSGSN全局安全管理平台网络安全管理区块用户使用网络前,首先由接入交换机对其进行身份认证。SAM检查用户身份,批准或拒绝用户的接入请求。SMP学习用户的身份、主机环境等信息,并将制定好的HI策略下发到SU客户端。SU对用户主机进行HI检查,并将检查结果反馈回SMP服务器。IDS对网络安全事件进行检测收集,将安全事件反馈回SMP。SMP对IDS反馈的安全事件进行统一管理,将安全事件关联至用户。SMP对每个用户的HI检测结果和安全事件进行处理,生成相应的策略,并下发至交换机执行。身份认证身份认证结果HI策略策略主机检查结果出口互联区块CNC市教委万兆城域网高速核心区块GSN解决方案GSN解决的不光是网络问题,我们是在保护我们的网络业务持续运行。用户入网身份识别用户入网系统安全评估用户系统自动修复网络行为自动识别网络风险自动评估自动应对蠕虫病毒自动应对未知网络威胁GSN建设安全可信网络网络威胁自动防御*自御功能:针对网络中发生的安全事件,GSN将进行自动应对。根据安全事件的不同,将相应的安全策略下发到网络联动设备和安全客户端上,实现2-7层的自动安全防御