校園網(wǎng)絡(luò)設(shè)備安全及其偵查取證思路

郭永帥

摘要：隨著網(wǎng)絡(luò)的普及和迅速發(fā)展，校園網(wǎng)絡(luò)的安全逐漸成為了國家建設(shè)中一個不可忽視的問題。盡管一些高校對校園網(wǎng)絡(luò)的安全建設(shè)提高到了一個新的等級，但在網(wǎng)絡(luò)設(shè)備方面卻存在一些漏洞。本文通過從物理設(shè)備配置方面進行全面的網(wǎng)絡(luò)安全措施防范，以及針對一些常見的黑客攻擊，在公安實戰(zhàn)中提供相關(guān)的偵查和取證思路。

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)設(shè)備安全；偵查；取證

中圖分類號：G47文獻標識碼：A文章編號：2095-4379-（2016）26-0222-02

一、引言

隨著信息技術(shù)的不斷發(fā)展，校園網(wǎng)絡(luò)的建設(shè)也逐漸從單核心小型網(wǎng)絡(luò)上升到了雙核心大型網(wǎng)絡(luò)，網(wǎng)絡(luò)的擴大和網(wǎng)絡(luò)設(shè)備的增加使得校園網(wǎng)絡(luò)設(shè)備的安全問題變得岌岌可危。許多校園網(wǎng)絡(luò)缺乏統(tǒng)一身份認證與管理系統(tǒng)，網(wǎng)絡(luò)攻擊防范也只是通過外網(wǎng)的入侵檢測系統(tǒng)和防火墻來實現(xiàn)，對于網(wǎng)絡(luò)設(shè)備方面防范相對薄弱。現(xiàn)今社會，校園網(wǎng)絡(luò)的安全關(guān)乎高等院校的競爭軟實力、學(xué)術(shù)水平的發(fā)展，更有甚者，會涉及國家機密的安全以及影響教育事業(yè)的穩(wěn)定。二、校園網(wǎng)絡(luò)設(shè)備安全威脅狀況分析

校園網(wǎng)絡(luò)設(shè)備在這個密切關(guān)注網(wǎng)絡(luò)安全的時代，并沒有受到過多的關(guān)注，很多學(xué)校都建立了相應(yīng)的網(wǎng)絡(luò)中心和網(wǎng)絡(luò)應(yīng)急機制，但都是從網(wǎng)絡(luò)的角度來講。在網(wǎng)絡(luò)設(shè)備這個方面并沒有太多考慮，學(xué)校可能會因此而受到損失。（一）校園網(wǎng)絡(luò)簡介

目前，校園網(wǎng)絡(luò)分為單核心網(wǎng)絡(luò)和雙核心網(wǎng)絡(luò)這兩種。單核心網(wǎng)絡(luò)則是指核心層有一臺交換機，雙核心網(wǎng)絡(luò)核心層交換機則是兩臺，以此類推。校園網(wǎng)絡(luò)往往采用三層網(wǎng)絡(luò)架構(gòu)，即核心層、匯聚層和接入層。接入層是指網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分，匯聚層是指位于接入層和核心層之間的部分，而核心層是指網(wǎng)絡(luò)主干部分，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，核心層交換機應(yīng)擁有更高的可靠性、性能和吞吐量①。（二）校園網(wǎng)絡(luò)設(shè)備的安全問題

校園網(wǎng)絡(luò)設(shè)備中最重要的就是核心層設(shè)備，核心層的設(shè)備一般是三層或者三層以上的交換機。核心層設(shè)備擁有極高的轉(zhuǎn)發(fā)速率、鏈路聚合以及流量限制等功能。核心層交換機因為很少接觸，最容易出現(xiàn)弱口令現(xiàn)象，甚至沒有密碼等現(xiàn)象，從而給黑客提供了入口；其次，交換機的遠程登錄沒有設(shè)置密碼和IP地址限制，這會讓黑客很容易遠程控制交換機，產(chǎn)生隱患；再者，校園網(wǎng)絡(luò)內(nèi)部的IP地址設(shè)置以及訪問限制問題設(shè)置不恰當，會使黑客跨網(wǎng)段攻擊其他交換機，從而造成更大的癱瘓。（三）黑客攻擊安全問題

對于校園網(wǎng)絡(luò)設(shè)備，常見的黑客攻擊有三種。第一種是欺騙攻擊，欺騙攻擊主要類型是ARP欺騙，黑客通過網(wǎng)絡(luò)內(nèi)終端使用一些ARP程序，例如ARP-SPOOF等，使得網(wǎng)段內(nèi)所有流量通過某一臺主機，然后黑客使用某些抓包軟件等分析網(wǎng)段內(nèi)流量來獲取受害人的信息。ARP欺騙不僅會造成局域網(wǎng)擁塞，還會讓受害人信息、財產(chǎn)等收到損失。第二種是黑客通過暴力破解等方式獲得某個路由器密碼，進而控制這個路由器，接著獲取整個網(wǎng)絡(luò)的權(quán)限。第三種是DDOS攻擊，DDOS的攻擊類型有很多，如SYN（TCP/IP握手包）攻擊、PING攻擊等。DDOS的攻擊會使得整個網(wǎng)絡(luò)癱瘓，造成大量的損失。三、校園網(wǎng)絡(luò)設(shè)備安全防范

校園網(wǎng)絡(luò)設(shè)備一般由交換機和路由器組成，然而三層交換機也具有路由功能，所以在每個三層交換機和路由器都需要嚴格的配置管理來校園網(wǎng)絡(luò)及其設(shè)備。校園網(wǎng)絡(luò)設(shè)備可通過以下幾個方面來設(shè)置來防止安全隱患：（一）訪問控制列表

訪問控制列表（ACL）是應(yīng)用于路由器和交換機上的包過濾訪問控制技術(shù)，應(yīng)用ACL可以有效的限制IP地址，限制局域網(wǎng)內(nèi)流量或者阻止其他局域網(wǎng)的通信。交換機支持下面兩種訪問列表的應(yīng)用過濾傳輸：（1）端口訪問列表。也稱MAC訪問列表，對路由器接口和交換機接口進行基于mac地址的訪問控制。（2）路由訪問列表。限制不同vlan之間的雙向通信或者限制網(wǎng)絡(luò)接口之間的雙向通信。借助訪問控制列表不僅可以控制ip地址來控制上網(wǎng)，并且可以通過控制端口來限制蠕蟲病毒在網(wǎng)絡(luò)中蔓延。（二）終端訪問限制安全

默認狀態(tài)下，用戶可以通過網(wǎng)絡(luò)中的任何一臺計算機登錄到交換機或路由器。因此，必須將訪問列表應(yīng)用于接入層終端接口上，使得擁有特定IP地址的用戶才有權(quán)限通過網(wǎng)絡(luò)訪問設(shè)備，這樣也可以防止從內(nèi)部進行的攻擊。（三）網(wǎng)絡(luò)設(shè)備設(shè)置密碼

網(wǎng)絡(luò)設(shè)備的密碼與Windows的開機密碼的作用和重要性相同，只有獲得了網(wǎng)絡(luò)設(shè)備的密碼才能對網(wǎng)絡(luò)設(shè)備進行配置和管理。通過配置交換機和路由器登錄enable密碼可以防止黑客沒有認證就直接登錄；配置Telnet（遠程登錄）使用戶可與遠程登錄管理路由器和交換機，默認情況下，Telnet沒有設(shè)置密碼，這樣就會導(dǎo)致非網(wǎng)管人員也輕松方便的登錄路由器和交換機，給網(wǎng)絡(luò)的穩(wěn)定帶來嚴重的后果。（四）啟動路由器、交換機日志

網(wǎng)絡(luò)設(shè)備的日志可以將重要時間信息（如系統(tǒng)錯誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報告、系統(tǒng)退出等）等記錄下來，當網(wǎng)絡(luò)遭到入侵時，網(wǎng)管人員可以查看日志來進行相應(yīng)的防護。（五）IEEE802.1x認證

IEEE802.1x認證是指連入局域網(wǎng)的設(shè)備需要進行認證才能連入互聯(lián)網(wǎng)，最常用的就是高校中學(xué)生使用學(xué)號認證上網(wǎng)。IEEE802.1x完美的解決了終端設(shè)備上網(wǎng)安全，而且目前的交換機和路由器均支持IEEE80.21x認證。配置IEEE802.1x認證可以讓終端接入收到審核，從底層限制非法人員的登錄，有效防止黑客從內(nèi)部攻擊。（六）SNMP安全協(xié)議

SNMP安全協(xié)議是一種管理員與用戶通信之間的協(xié)議。SNMP可以使網(wǎng)絡(luò)組成一個系統(tǒng)，管理者可以遠程管理用戶，用戶更改路由器配置信息需要向管理員發(fā)送信息。通過SNMP安全協(xié)議可以及時了解路由器的信息，從而避免被黑客攻擊。四、校園網(wǎng)絡(luò)設(shè)備的偵查取證思路

當校園網(wǎng)絡(luò)設(shè)備遭受到攻擊時，網(wǎng)絡(luò)并沒有癱瘓時，這時候第一時間我們要保存網(wǎng)絡(luò)的狀態(tài)，取得SNMP協(xié)議報告，然后定位到黑客入侵的那一臺交換機或路由器，通過查看路由器日志以得到用戶遠程登錄的IP，之后便可以進行定位，確定嫌疑人。

當校園網(wǎng)絡(luò)設(shè)備因為遭到攻擊而癱瘓時，很可能是黑客使用DDos攻擊來消耗服務(wù)器內(nèi)存和堵塞帶寬。DDos攻擊的方式多種多樣，如SYN攻擊、PING攻擊等。這時最好的方法是使用PPM算法（數(shù)據(jù)包標記算法），抽絲剝繭，反向追蹤黑客的IP，然后再進行定位，找到嫌疑人。五、結(jié)語

本文列舉了校園網(wǎng)絡(luò)的安全配置，如訪問控制列表、設(shè)置密碼等，以及針對一些常見黑客攻擊進行安全防范，并針對這些攻擊給公安機關(guān)提供相關(guān)的偵查和取證思路。目前在公安在校園網(wǎng)絡(luò)設(shè)備方面的研究相對較少，我們不僅要在網(wǎng)絡(luò)方面深入研究，在設(shè)備方面更需要深入研究，這樣才能在工作中防范于未然，保護校園網(wǎng)絡(luò)的安全。[注釋]

①唐燈平.利用Packet Tracer模擬組建校園單核心網(wǎng)絡(luò)的研究[J].實驗室研究與探索，2011.

[參考文獻]

[1]劉曉輝.網(wǎng)絡(luò)安全管理實踐[M].北京：電子工業(yè)出版社，2007.

[2]沈鑫剡，葉寒鋒，劉鵬，景麗.計算機網(wǎng)絡(luò)安全學(xué)習(xí)輔導(dǎo)與實驗指南[M].北京：清華大學(xué)出版社，2012.

[3]楊德華，鄭迪穎.關(guān)于動態(tài)模型的網(wǎng)絡(luò)安全體系及在校園企業(yè)的應(yīng)用研究[M].上海