我在学校宿舍上网受到攻击,问题最大的一次是数据包阻塞,使得上网极慢,请问应如何解决?谢谢
将路由器配置为抵御攻击第一道安全屏障
在典型的校园网环境中,路由器一般处于防火墙的外部,负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁。
本文将以Cisco2621路由器为例,详细介绍将一台路由器配置为堡垒路由器的实现方法,使之成为校园网抵御外部攻击的第一道安全屏障。
一、基于访问表的安全防范策略
1 防止外部IP地址欺骗
外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。针对此类问题可建立如下访问列表:
access-list 101 deny ip 10000 0255255255 any
access-list 101 deny ip 19216800 00255255 any
access-list 101 deny ip 1721600 00255255 any
阻止源地址为私有地址的所有通信流。
access-list 101 deny ip 127000 0255255255 any
阻止源地址为回环地址的所有通信流。
access-list 101 deny ip 224000 7255255255 any
阻止源地址为多目的地址的所有通信流。
access-list 101 deny ip host 0000 any
阻止没有列出源地址的通信流。
注:可以在外部接口的向内方向使用101过滤。
2 防止外部的非法探测
非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表:
access-list 102 deny icmp any any echo
阻止用ping探测网络。
access-list 102 deny icmp any any time-exceeded
阻止用traceroute探测网络。
注:可在外部接口的向外方向使用102过滤。在这里主要是阻止答复输出,不阻止探测进入。
3 保护路由器不受攻击
路由器一般可以通过telnet或SNMP访问,应该确保Internet上没有人能用这些协议攻击路由器。假定路由器外部接口serial0的IP为 2002002001,内部接口fastethernet0的IP为2002001001。可以生成阻止telnet、SNMP服务的向内过滤保护路由器。建立如下访问列表:
access-list 101 deny tcp any 2002002001 0000 eq 23
access-list 101 deny tcp any 2002001001 0000 eq 23
access-list 101 deny udp any 2002002001 0000 eq 161
access-list 101 deny udp any 2002001001 0000 eq 161
注: 在外部接口的向内方向使用101过滤。当然这会对管理员的使用造成一定的不便,这就需要在方便与安全之间做出选择。
4 阻止对关键端口的非法访问
关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制,否则这些设备就很容易受到攻击。建立如下访问列表:
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 137
access-list 101 deny tcp any any eq 138
access-list 101 deny tcp any any eq 139
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 137
access-list 101 deny udp any any eq 138
access-list 101 deny udp any any eq 139
5 对内部网的重要服务器进行访问限制
对于没有配备专用防火墙的校园网,采用动态分组过滤技术建立对重要服务器的访问限制就显得尤为重要。对于配备了专用防火墙的校园网,此项任务可以在防火墙上完成,这样可以减轻路由器的负担。无论是基于路由器实现,还是在防火墙上完成设置,首先都应该制定一套访问规则。可以考虑建立如下的访问规则:
● 允许外部用户到Web服务器的向内连接请求。
● 允许Web服务器到外部用户的向外答复。
● 允许外部SMTP服务器向内部邮件服务器的向内连接请求。
● 允许内部邮件服务器向外部SMTP服务器的向外答复。
● 允许内部邮件服务器向外DNS查询。
● 允许到内部邮件服务器的向内的DNS答复。
● 允许内部主机的向外TCP连接。
● 允许对请求主机的向内TCP答复。
其他访问规则可以根据各自的实际情况建立。列出允许的所有通信流后,设计访问列表就变得简单了。注意应将所有向内对话应用于路由器外部接口的IN方向,所有向外对话应用于路由器外部接口的OUT方向。
二、常见攻击手段及其对策
1 防止外部ICMP重定向欺骗
攻击者有时会利用ICMP重定向来对路由器进行重定向,将本应送到正确目标的信息重定向到它们指定的设备,从而获得有用信息。禁止外部用户使用ICMP重定向的命令如下:
interface serial0
no ip redirects
2 防止外部源路由欺骗
源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息,使入侵者可以为内部网的数据报指定一个非法的路由,这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。禁止使用源路由的命令如下:
no ip source-route
3 防止盗用内部IP地址
攻击者可能会盗用内部IP地址进行非法访问。针对这一问题,可以利用Cisco路由器的ARP命令将固定IP地址绑定到某一MAC地址之上。具体命令如下:
arp 固定IP地址 MAC地址 arpa
4 在源站点防止smurf
要在源站点防止smurf,关键是阻止所有的向内回显请求。这就要防止路由器将指向网络广播地址的通信映射到局域网广播地址。可以在LAN接口方式中输入如下命令:
no ip directed-broadcast
三、关闭路由器上不用的服务
路由器除了可以提供路径选择外,它还是一台服务器,可以提供一些有用的服务。路由器运行的这些服务可能会成为敌人攻击的突破口,为了安全起见,最好关闭这些服务。
通过以上介绍的各种方法,我们成功地将一台普通路由器配置为一台堡垒路由器,在没有增加任何投入的情况下,提高了整个园区网的安全性。但应该说明的是,堡垒路由器的实现是以牺牲整个网络的效率为代价的,可能会影响到园区网对外访问的速度。
或者
要抵御攻击 先除十大网络安全隐患
系统管理员常常抱怨他们无法消除系统存在的脆弱性,因为他们不知道在500多种安全问题中哪些是最不安全的,同时他们也没有时间去处理全部的问题。为此,信息安全部门找出了系统管理员可以立即消除的十大安全隐患。
1、BIND漏洞
位于十大之首的是BIND漏洞,有些系统默认安装运行了BIND,这种系统即使不提供DNS服务,也很容易受到攻击。
防范措施
建议执行一个数据包过滤器和防火墙,仔细检查BIND软件;确保非特权用户在chroot()环境下运行;禁止对外的分区传送;查看分区映射情况,确认对此做了补丁,建立了日志;对BIND进行修改,使得它不会对不可信任主机提供分区传送。
2、有漏洞的通用网关接口程序
位于十大脆弱性中第二位的是有漏洞的CGI程序和Web服务器上的扩展程序。入侵者很容易利用CGI程序中的漏洞来修改网页,窃取信用卡信息,甚至为下一次入侵建立后门。
防范措施
更新修改后的ht://dig软件包可以防止受此攻击。如果还会出现其他CGI漏洞,建议将口令保存在shadow文件中,并且通过对口令执行Crack,确保不会被入侵者轻松识破;建议将ssh或其他形式的远程shell访问设置在一台独立的主机上,该主机不提供其他服务和功能。
3、远程过程调用(RPC)漏洞
RPC允许一主机上的程序可执行另一主机上的程序。许多攻击所利用的都是RPC漏洞所带来的脆弱性。
防范措施
禁止相关服务;防火墙和边界设备只允许通过网络提供必要的服务,在防火墙上将日历、时间等服务阻塞;系统和应用必须随时更新和打补丁,确保版本最新;对NFS服务器进行充分扫描;修改NFS服务器的口令,让口令经得起检查。
4、Microsoft IIS中存在的远程数据服务漏洞
运行IIS服务器的系统管理员要特别小心,注意安全通告以及补丁,因为IIS很容易成为攻击目标。
防范措施
消除RDS漏洞,安装补丁或升级,更正所有已知的其他的IIS安全漏洞。
5、Sendmail攻击
Sendmail是运行在Unix和Linux平台上的发送、接收和转发电子邮件的软件,它很早就被人发现了漏洞,又因其广泛应用而成为攻击目标。
防范措施
升级到最新版本并打补丁;在非邮件服务器或非邮件中继站的主机上不要以后台程序模式运行Sendmail;避免邮件客户将大部分功能在根用户空间中完成。
6、sadmind和mountd缓冲区溢出
sadmind支持Solaris系统的远程管理访问,并提供管理图形接口;mountd可以控制和处理UNIX主机上NFS装载的访问。
防范措施
禁止相应服务,对系统打补丁;关闭服务,甚至将主机上能够直接访问网络的服务删除;如果系统没有要求,就禁止为其提供相关服务。
7、配置不当的文件共享
配置不当的文件共享将影响多种操作系统,将重要的系统文件暴露,甚至为连接到网络上的“敌人”提供完全的文件系统访问权限。全局文件共享或不合适的共享信息一般会在以下情况出现:NetBIOS和Windows NT平台上、Windows 2000平台上、UNIX NFS、Macintosh Web共享或AppleShare/IP。
防范措施
对Windows系统,只在必要的情况下才共享;对Windows NT/2000系统,避免“空会话”连接对用户、用户组和注册键等信息进行匿名访问,在路由器或NT主机上将与NetBIOS会话服务的流入连接加以阻塞;对Machintosh系统,只有必要的情况下才进行文件共享;对UNIX系统,充分利用mount命令的noexec、nosuid和nodev选项,不要在UNIX Samba 服务器上使用未加密的口令,如果可能,考虑转换为一个更安全的文件共享结构。
8、口令
口令设置不当,或没有设置帐户口令,这是最容易修正的,也是实施起来最难的。
防范措施
教育用户和系统管理员,让他们充分认识到好的口令的作用;建立合适的口令策略,定期检查口令安全性,同时利用系统提供的一些工具和扩展包对策略进行完善。
9、IMAP和POP服务器缓冲区溢出
在目前已经知道的系统和应用脆弱性中大部分都源于缓冲区溢出。缓冲区溢出会引起很多问题,诸如系统崩溃、非授权的根访问和数据破坏。
防范措施
在非邮件服务器的主机上禁止此类服务;使用最新版本,安装最新补丁。
10、默认的SNMP共用串
网络管理员利用SNMP对各种类型的网络连接设备进行管理和监控。SNMP版本1把一种未经加密的“共用串”作为鉴别机制,同时大部分SNMP设备所用的默认共用串是public,只有很少人修改了,因此攻击者利用此漏洞可以远程配置设备,甚至关闭设备。另外监听到的SNMP数据流中包括大量关于网络结构的信息,还有与之相连的系统和设备的信息,因此危害很大。
防范措施
如果一定要用SNMP,就禁止使用SNMP共用串;如果使用,利用SNMPwalk验证并检查功用名;如可能,设置MIB为只读;让边界设备阻塞外部的SNMP访问;检查SNMP次代理,保证其与相应主SNMP服务的最新设置同步;得到最新补丁,做兼容性测试后进行安装。
如果系统管理员严格按照以上所提供的防范措施来做,那将大大减少相关安全问题,大家可以在一个相对安全的环境下安心工作。
如何维护校园网络安全
如何维护校园网络安全,随着校园网络的普及,校园网络的安全问题直接影响着学校各项教育教学活动的开展,校园网络安全也越来越被重视,那如何维护校园网络安全呢?下面就和大家一起接着往下看吧!
如何维护校园网络安全1网络边缘安全区
网络边缘安全区所处的位置在校园网络与外网的衔接处,处在整个校园网络的边界区域,这个区域的物理设备主要的功能一是通过电信接入Internet。 二是通过学校接入中国教育网。三是联接学校内网并实现校内资源共享上网。四是发布对外服务器和提供远程访问服务。网络边缘安全区直接面临的就是外部高风险连接,在这个网络区域的物理设备既要保证联接外网又要保证校园网络正常事务的运行。所以网络边缘安全区的
网络边缘安全区
主要需求为:
禁止外部用户非法访问校内网络资源。校园网络进出的流量记录信息。将校园网络内网IP地址隐藏。有条件的提供安全的远程访问服务。具备检测和抵御入侵的能力。确保校园网络用户身份真实可靠,这是保证校园网络安全的最基本要求,当然合法的用户也会做出威胁校园网络安全的事情,还需详细记录用户对网络资源的访问行为和访问信息,便于之后的审计和追溯。
确保校园网络用户身份真实可靠
核心汇聚安全区
核心汇聚安全区域的设备是整个校园网络的关键节点,在校园网络中确保所连接的主干网络高速和稳定的传输,并作为校园网络流量的汇聚中心,核心汇聚设备在控制数据传输方面起着重要作用。核心汇聚安全区主要需求为:
根据具体用途划分VLAN网段。各网段间实施访问控制。根据用途对设备端口进行绑定。对设备端口的最大连接数进行限制。预防病毒流量的传输。划分VLAN,主要是缩小了广播域,一方面是防止基于广播的病毒感染整个校园网络,比如近期的勒索病毒就是一个基于广播的病毒。另一方面可以实现某种用途的访问控制,这样就能控制VLAN间的数据传输,比如办公段、宿舍区段、校园卡段等。
某校园网络的拓扑图
接入层安全区
接入层安全区主要面临的威胁是接入主机感染的病毒利用二层协议的相关漏洞进行攻击,如MAC地址泛洪攻击、ARP欺骗攻击等。接入层设备直接与用户的主机相连,如何识别接入主机用户身份的合法性也是接入层设备在部署和配置时要做的工作。另外校园网络提供的接入点数量庞大,而且用户成份不同,可能人为的造成端口环路的现象。因此,接入层安全区的需求为:
配置接入主机对应的VLAN段。主机端口绑定。采用二次身份认证。设备接入主机数限制。防ARP攻击。端口环路检测。服务器群安全区
校园网络的服务器主要集中在计算机中心机房,主要有学校的门户网站服务器、VP N服务器以及各种应用系统服务器。为了确保这些服务器的安全主要从管理、技术和防范三个方面入手。根据服务器的用途可以分成对外服务和对校内服务两个安全区域。对外的服务器区放置的服务器相对于校园内网的服务器来说属于高风险区域,所以必须将对外服务器区与校园内网的通讯进行控制。另外校园内网中各种应用服务器安全性也不相同,为了防止出现被入侵的服务器成为“肉鸡”,来进一步攻击其它的'服务器,所以在服务器之间还需要实施隔离。服务器安全区的需求为:
服务器隔离。端口访问控制。设置DMZ区。防病毒。漏洞扫描。补丁升级。建立日志服务器。目前还没有专门收集各个网络设备日志以备事后审计和追溯的円志服务器。如果要查看某个网络设备的日志,必须通过该设备提供的接口访问查询,相对比较麻烦,所以建立日志服务器,定期对日志服务器进行审计,可以及时发现安全风险,及时杜绝安全漏洞。
杜绝安全漏洞
主机安全区
校园网络中每一个客户端带来的安全威胁主要是病毒和木马,它们可以作为一个校园网络的接入点,对校园网络造成威胁。主机安全区的需求主要为安装网络安全软件,如防病毒软件、桌面防火墙软件、漏洞扫描工具和补丁升级软件等,尽可能的保证接入主机的安全。
确保主机安全
其它的安全需求
传输线路的安全。校园网络传输线路所经过的物理位置必须远离具有电磁千扰、福射干扰等数据信号干扰源(如东侧的移动和联通的倍号驻站)。校园网络线路的安全传输。必须采取相应的检测手段来减少传输线路中数据的侦听、窃取、QoS下降及欺骗等。加强网络维护人员的管理。配置门禁系统、监控系统,增强相关设施的安全保卫,对进入机房的人员进行管理(比如刷校园卡进行管理),建立《机房出入记录日志》。
对校园网络目前的现状进行调研。通过基于专家评分的网络安全评估方法对校园网络进行风险评估,得到校园网络安全处在高风险的结果,针对校园网络的安全现状及暴露的安全问题,通过拓扑结构将校园网络划分成网络边缘安全区、核心汇聚安全区、接入层安全区、服务器群安全区和主机安全区五个区域分别的进行了安全需求分析,最后补充了其它方面的安全需求,最终完善了校园网络的安全需求。
如何维护校园网络安全2校园网络分为内网和外网,就是说他们可以上学校的内网也可以同时上互联网,大学的学生平时要玩游戏购物,学校本身有自己的服务器需要维护;
在大环境下,首先在校园网之间及其互联网接入处,需要设置防火墙设备,防止外部攻击,并且要经常更新抵御外来攻击;
由于要保护校园网所有用户的安全,我们要安全加固,除了防火墙还要增加如ips,ids等防病毒入侵检测设备对外部数据进行分析检测,确保校园网的安全;
外面做好防护措施,内部同样要做好防护措施,因为有的学生电脑可能带回家或者在外面感染,所以内部核心交换机上要设置vlan隔离,旁挂安全设备对端口进行检测防护
内网可能有ddos攻击或者arp病毒等传播,所以我们要对服务器或者电脑安装杀毒软件,特别是学校服务器系统等,安全正版安全软件,保护重要电脑的安全;
对服务器本身我们要安全server版系统,经常修复漏洞及更新安全软件,普通电脑一般都是拨号上网,如果有异常上层设备监测一般不影响其他电脑。做好安全防范措施,未雨绸缪。
如何维护校园网络安全3校园网络安全及防范措施
校园网络安全及防范措施校园网建设的宗旨,是服务于教学、科研和管理,其建设原则也无外乎先进性、实用性、高性能性、开放性、可扩展性、可维护性、可操作性,但人们大多都忽略了网络的安全性,或者说在建设校园网过程中对安全性的考虑不够。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏给企业造成的损失令人触目惊心。人们在享受到网络的优越性的同时,对网络安全问题变得越来越重视。由于学校是以教学活动为中心的场所,网络的安全问题也有自己的特点。
主要表现在:
1不良信息的传播。在校园网接入Internet后,师生都可以通过校园网络在自己的机器上进入Internet。目前Internet上各种信息良莠不齐,有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非常大。如果安全措施不好,不仅会有部分学生进入这些网站,还会把这些信息在校园内传播。
2病毒的危害。通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入Internet后,为外面病毒进入学校大开方便之门,下载的程序和电子邮件都可能带有病毒。
3非法访问。学校涉及到的机密不是很多,来自外部的非法访问的可能性要少一些,关键是内部的非法访问。一些学生可能会通过非正常的手段获得习题的答案,使正常的教学练习失去意义。更有甚者,有的学生可能在考前获得考试内容,严重地破坏了学校的管理秩序。
4恶意破坏。这包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、通信媒体、工作站等,它们分布在整个校园内,管理起来非常困难,某些人员可能出于各种目的,有意或无意地将它们损坏,这样会造成校园网络全部或部分瘫痪。另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面:对学校网站的主页面进行修改,破坏学校的形象;向服务器发送大量信息使整个网络陷于瘫痪;利用学校的BBS转发各种非法的信息等。
0条评论