“網絡安全與管理”的分析與研究

帥志軍 王和平

本文是江西省教育廳省級課題““網絡安全與管理”課程項目教學改革的研究與實踐”的研究成果。

摘要：信息產業時代最重要、最關鍵的組成部分就是網絡，計算機網絡技術的發展和應用對人類生活方式的影響越來越大。雖然計算機網絡給人們帶來了巨大的便利，但互聯網是一個面向大眾的開放系統，對信息的保密和系統的安全考慮得并不完備，存在著安全隱患，網絡的安全形勢日趨嚴峻。路由器作為因特網上最為重要的設備之一，路由器的安全將直接影響整個網絡的安全。保護路由器的安全還是需要網管員配置相關的安全措施。這就是本課題研究的意義。

關鍵詞：網絡安全；SYSLOG；AAA

一、網絡安全研究的現狀

經過調查，得知目前國內有不少高職院校在相關計算機類專業中，比如：計算機網絡技術、計算機信息管理和信息安全等專業，都開設有“網絡安全與管理”或相近課程。但課程內容都沿襲著本科教學內容，偏重原理性知識；在教學方法與手段上，還基本上是按照本科院校的做法。課程教學內容與教學手段與高職院校的人才培養目標存在一定的差距。

為了使學生在畢業后能與所從事的專業崗位能力要求進行對接，我院在軟件技術、計算機網絡技術、計算機信息管理等專業中進行了項目教學方法的探索與實踐，并積累了一定的經驗。計算機網絡的應用已經涉及到社會的方方面面，網絡安全管理人才的需求也顯得非常迫切。

二、配置路由器的Syslog，SSH服務

（一）技術簡介

路由器密碼配置：黑客可以利用各種不同方法發現路由器管理密碼。他們可以利用用戶的個人信息猜測密碼，或嗅探包含明文配置文件的數據包，黑客也使用類似L0phtCrack和Cain& Abel的工具進行暴力攻擊或猜測密碼。所以，為了保護路由器安全，在使用密碼時應遵守一些原則。這些原則可以減少通過猜測和黑客攻擊獲得密碼的機會。

實施了密碼和本地驗證并不能阻止設備成為被攻擊的目標。DoS攻擊發起很多的連接請求，以至于設備不能為系統管理員提供正常的登錄服務。字典攻擊，用于獲取設備的管理訪問權限，會嘗試數千的用戶名和密碼，其結果類似于DoS攻擊，使得設備不能處理正常的用戶請求。網絡需要配置防護系統來檢測和防止此類攻擊。啟動檢測后，網絡設備可以通過拒絕進一步的請求連接來防止反復的失敗嘗試登陸。思科的IOS登錄高級特性在創建虛擬連接（如Telnet、SSH、HTTP）時，為思科IOS設備提供了更好的安全性，可以減少字典攻擊和防止DoS攻擊。為了獲得更好的虛擬登錄連接的安全性，應配置如下參數：

兩次成功登錄之間的延遲，如果檢測到DoS攻擊，應關閉登錄，為登錄建立系統日志。

（二）路由器遠程管理

在啟動路由器的遠程管理時，最重要的要考慮通過網絡發送信息的安全隱患。傳統上，路由器的遠程訪問使用TCP端口23的Telnet。但Telnet是在安全不是問題的年代開發的，因此所有Telnet流量都使用文明傳輸。使用這個協議，關鍵數據很容易被攻擊者截獲，如路由器的配置信息。黑客可以利用協議的分析軟件（如wireshark）抓取管理員計算機發送的數據包。如果獲取了Telnet的初始流量，那么攻擊者就可以知道管理員的用戶名和密碼。所以安全的SSH取代不安全的Telnet是趨勢，SSH已經代替Telnet提供遠程路由器的管理，它支持連接的機密性以及會話的完整性。其功能類似帶外的Telnet連接，但其連接加密，運行于22號端口。由于驗證和加密功能，SSH提供通過非安全網絡的安全通信。

路由器系統日志： 系統日志是網絡安全策略的重要內容。思科路由器可以根據配置的變化、ACL違規行為、接口狀態和其他事件記錄路由器的日志信息。思科路由器也可以發送日志信息到不同的設備上。通過日志，可以發現路由器的一些問題和故障。

（三）配置網絡時間協議（NTP）

雖然在小型的網絡中可以使用手工方法，但隨著網絡的發展，要確保所有的設備運行于同步的時間將變得困難。即使在小型的網絡環境中，手工方法也并不理想。如果路由器重啟，從哪里獲得網絡時間呢？好的方法是在網絡中配置NTP。NTP可以使得網絡中的所有路由器的時間與NTP服務器同步。

（四）實驗設計

網絡拓撲圖中有三個路由器。在所有的路由器上配置NTP和Syslog，在R3上實現登錄。

NTP協議能夠利用NTP服務器同步路由器的時間。一個NTP客戶端組，從統一的服務器獲得時間和日期信息，使得它們有一致的時間設置，Syslog消息更容易分析。這幫助解決網絡攻擊問題。當NTP在網絡中開啟，它可以是設立一個私人的主時鐘用來同步，或在互聯網上利用NTP服務器。

配置路由器，以允許軟件時鐘由NTP時間服務器來同步，此外，定期更新路由硬件時鐘信息從NTP服務器。否則，硬件時鐘會逐漸不準確，軟件時鐘和硬件時鐘彼將會失去同步。

Syslog服務器在本實驗會提供消息記錄。配置路由器，以確定遠程主機（Syslog服務器）能夠接受日志消息。

配置路由器的時間戳消息服務，顯示正確的時間和日期的Syslog消息，在使用Syslog來監視網絡攻擊很重要。如果消息的正確時間和日期不知道，是很難確定網絡問題有何引起。

R2可以看成ISP（Internet Service Provider），有兩個遠程網絡連接到它：R1和R2。在R3的本地管理員可以實現路由器的管理以及解決問題，然而，R3作為一個管理角色，ISP需要能夠訪問到R3，實施偶爾的故障排除和更新。所以要提供一個安全的訪問方式，現在主要使用SSH，而不使用不安全的telnet。使用CLI來配置SSH安全連接。SSH將所有通過網絡的信息都進行加密，并且提供遠程計算機的身份驗證。SSH正在迅速取代telnet成為網絡管理專業人員的工具。

三、路由器的AAA認證

網絡必須設計為能夠控制允許誰連接到網絡，以及在連接到網絡時允許做什么。這些設計規則在網絡安全策略中定義。網絡安全策略規定網絡管理員、公司用戶、遠程用戶、商業合作伙伴以及客戶如何訪問網絡資源。網絡安全策略還要求實現一個能夠跟蹤誰在何時登陸進網絡以及在登陸進網絡期間行為的記賬。只使用用戶模式或特權模式加口令的方法來管理網絡接入是不夠的，而且不具備良好的擴展性。使用認證、授權和記賬（Authentication， Authorization and Accounting， AAA）協議則為實現可擴展的訪問安全性提供了必要的機制。

【參考文獻】

[1]張宏科，蘇偉.路由器原理與技術[M].北京：高等教育出版社，2010

[2]Wendell Odom.Routers and Routing Basics[M].北京：人民郵電出版社，2008

[3]王達.路由器配置與管理完全手冊-cisco篇[M].武漢華中科技大學出版社，2011

作者簡介：

帥志軍（1977-），男，江西南昌人，講師，江西現代職業技術學院教師，碩士，主要研究方向：網絡安全、硬件和軟件。

王和平（1968-），男，江西吉安人，教授，江西現代職業技術學院信息工程分院計算機系主任，主要研究方向：網絡安全、硬件和軟件。