■王春蓮

基于交換機(jī)的校園網(wǎng)絡(luò)安全防御技術(shù)

■王春蓮

引言

隨著校園網(wǎng)網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)業(yè)務(wù)需求的不斷增長(zhǎng)，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，早期的網(wǎng)絡(luò)結(jié)構(gòu)逐漸暴露出一系列嚴(yán)重問(wèn)題，使得網(wǎng)絡(luò)的整體性能、穩(wěn)定性和安全性都不容樂(lè)觀，急需優(yōu)化改造。本文重點(diǎn)研究交換機(jī)校園網(wǎng)絡(luò)安全防御技術(shù)。

在校園網(wǎng)絡(luò)實(shí)際環(huán)境中，攻擊和欺騙行為主要針對(duì)鏈路層和網(wǎng)絡(luò)層，其來(lái)源可概括為兩個(gè)途徑：人為實(shí)施；病毒或蠕蟲。人為實(shí)施通常是指使用一些黑客的工具對(duì)網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理賬戶和相關(guān)密碼，在網(wǎng)絡(luò)上安插木馬，從而進(jìn)一步竊取機(jī)密文件。

基于交換機(jī)校園網(wǎng)絡(luò)安全防御技術(shù)

使用Port Security feature防范MAC/CAM攻擊

MAC/CAM攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿CAM表，攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。CAM表填滿后，流量以洪泛方式發(fā)送到所有接口，會(huì)造成交換機(jī)負(fù)載過(guò)大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。

交換機(jī)Port Security feature可以防止MAC和MAC/CAM攻擊。通過(guò)配置Port Security可以控制：端口上學(xué)習(xí)通過(guò)哪些IP地址或MAC地址；端口上學(xué)習(xí)的最大MAC地址數(shù)。交換機(jī)Port Security特性采取兩種操作，即Bind（綁定，允許）和Block（阻塞，禁止），這條命令是配置在端口上的，只對(duì)進(jìn)入端口的數(shù)據(jù)包有效。除了Port Security，采用DAI技術(shù)也可以防范MAC地址泛濫攻擊。

DHCP Snooping防范技術(shù)

DHCP Snooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCP Snooping綁定表過(guò)濾不可信任的DHCP信息。DHCP Snooping技術(shù)不僅解決了DHCP用戶的IP和端口跟蹤定位問(wèn)題，為用戶管理提供方便，而且還供給動(dòng)態(tài)ARP檢測(cè)Dynamic ARP Inspection（DAI）和IP Source Guard使用。

首先定義交換機(jī)上的信任端口和不信任端口，對(duì)于不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探，DROP掉來(lái)自這些端口的非正常DHCP報(bào)文，對(duì)于已經(jīng)申請(qǐng)到IP地址的設(shè)備在租用期內(nèi)（網(wǎng)卡不斷電的話）不會(huì)再次發(fā)起DHCP請(qǐng)求。為了解決這個(gè)問(wèn)題，可以定時(shí)把DHCP Snooping binding信息上傳到指定TFTP服務(wù)器。

Dynamic ARP Inspection防范技術(shù)

ARP用來(lái)實(shí)現(xiàn)MAC地址和IP地址的綁定，由于ARP無(wú)任何身份真實(shí)校驗(yàn)機(jī)制，攻擊主機(jī)通過(guò)黑客程序發(fā)送ARP欺騙報(bào)文告訴請(qǐng)求某個(gè)IP地址的主機(jī)一個(gè)錯(cuò)誤的MAC地址，隨后使得網(wǎng)絡(luò)流量流向惡意攻擊者的主機(jī)，因此攻擊主機(jī)變成某個(gè)局域網(wǎng)段IP會(huì)話的中間人，造成竊取甚至篡改正常數(shù)據(jù)傳輸?shù)暮蠊?/p>

DAI在交換機(jī)上提供IP地址和MAC地址的綁定，并動(dòng)態(tài)建立綁定關(guān)系。DAI以DHCP Snooping綁定表為基礎(chǔ)，對(duì)于沒(méi)有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加ARP access-list實(shí)現(xiàn)。DAI配置針對(duì)VLAN，對(duì)于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉。通過(guò)DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文數(shù)量。通過(guò)這些技術(shù)可以防范“中間人”攻擊。

結(jié)束語(yǔ)

綜上所述，通過(guò)配置交換機(jī)網(wǎng)絡(luò)趨于穩(wěn)定，不僅解決了一些典型攻擊和病毒的防范問(wèn)題，也為傳統(tǒng)IP地址管理提供了新的思路。使用DHCP Snooping、DAI、IP Source Guard技術(shù)能解決大部分網(wǎng)絡(luò)上存在的攻擊、欺騙行為，因?yàn)榇蠖鄶?shù)對(duì)局域網(wǎng)危害較大的網(wǎng)絡(luò)病毒都具有典型的特征：IP/MAC、ARP、DHCP欺騙和快速的發(fā)包掃描，大量的組播、廣播報(bào)文，等等。采用上述技術(shù)很大程度上可以自動(dòng)切斷病毒源，及時(shí)報(bào)警，并準(zhǔn)確定位病毒源?！?/p>

[1]韓偉.談高校校園網(wǎng)網(wǎng)絡(luò)安全及對(duì)策[J].電腦知識(shí)與技術(shù),2010(12)

[2]李浩.高校校園網(wǎng)網(wǎng)絡(luò)安全分析及對(duì)策研究[J].電腦學(xué)習(xí),2009(5):12-14

[3]謝惠琴.校園網(wǎng)安全防范技術(shù)研究[J].福建電腦,2009(9):60-61

[4]鐘平.構(gòu)建基于主動(dòng)防御的動(dòng)態(tài)校園網(wǎng)絡(luò)安全模型[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(11):43-45

（作者單位：德州職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系）

10.3969/j.issn.1671-489X.2011.14.052