高校教育信息化工作的安全策略探索與研究

袁飛 曹進

摘要：高校校園網是高校教師教學科研的基礎設施，是學生學習深造的必需工具，是對外交流的重要渠道。隨著高校信息化工作的不斷深入，穩定的網絡和完善的信息系統已成為信息化工作進一步推進的重要保障，而隨著校園網功能的不斷完善，校園用戶規模的提升，校園網絡的安全威脅也越來越多，產生了日益嚴重的信息安全問題。本文通過對校園網絡安全威脅的研究，制定相應的交換機安全策略。

關鍵詞：校園網；網絡安全；入侵檢測；賬號安全

高校網絡建設是高校信息化工作的重要基礎，在高校教師教學科研、日常工作管理和對外學習交流中擔當非常重要的角色。由于高校資源對教師和學生的開放性，以及部分學科學生實驗的多樣性，高校網絡必然會承載來自校內的有意或無意的攻擊。同時為便于對外交流，校園網絡不僅對教師和學生開放，對校外用戶也是部分開放的，來自校外的主動或被動攻擊，都將會給信息系統的穩定帶來不確定性。非法入侵、計算機病毒、系統漏洞等會對校園網絡產生巨大的威脅。本文則從校園網絡的基礎設施——交換機著手，研究探索底層設備的安全防護。

一、 交換機的安全威脅

（一） ARP攻擊

ARP是地址解析協議的簡稱，位于TCP/IP協議的網絡層，通過設備的IP地址，查詢設備的MAC地址，以保證通信的進行。ARP協議正常工作時，主機將包含目標IP地址的ARP請求廣播到網絡上的所有主機，使用這個IP地址的目標設備返回自己的MAC地址，主機收到返回的MAC地址后，將該IP地址和MAC地址存入本機ARP緩存，并保留一段時間，下次請求時直接使用緩存的MAC地址作為目的地址。ARP攻擊就是攻擊者偽造IP地址和MAC地址，對發送方發出的ARP請求進行欺騙應答，使發送方認為攻擊者就是目的主機。之后發送方會把所有應該發送到這個IP地址的數據包，都發送給攻擊者，從而捕獲目標主機的敏感信息。

（二） DHCP攻擊

DHCP是動態主機配置協議的簡稱，是一個局域網網絡協議，主要作用是給內部網絡用戶自動分配IP地址，使局域網中用戶動態獲得IP地址、網關地址、DNS服務器地址等，提升地址的使用率。DHCP在服務器和客戶端沒有認證機制，所以攻擊者可以在同一VLAN內偽裝成一個DHCP服務器，并通過不斷更改MAC地址將正常的DHCP服務器中的IP地址耗盡，當用戶申請IP時，攻擊者給用戶分配非法的IP地址和網關地址，當用戶訪問互聯網的時候，所有數據都發送給了假的網關，攻擊者就可以捕獲所有的用戶信息，包括用戶的各種賬號密碼。

（三） MAC泛洪攻擊

交換機中存在著一張記錄著MAC地址和對應端口的地址表，MAC地址表存放于交換機的緩存中，當交換機從某個端口收到數據幀后，讀取數據幀中的目的MAC地址信息，然后查詢MAC地址表，找出對應端口，從該端口把數據轉發出去，完成數據的快速轉發。但MAC地址表有數量限制，當接收到了足夠多的MAC地址后，它就不會再接收新的MAC地址，且當MAC地址表條目已經達到數量限制，或當接收的數據幀中的目的地址不在MAC地址表中，則會向所有端口轉發數據幀。攻擊者利用這個原理，使用大量無效的源MAC地址，向交換機泛洪，交換機只能將數據幀進行廣播，攻擊者獲得數據信息。

（四） VLAN跳轉攻擊

VLAN跳轉是一種網絡攻擊方式，指的是終端系統向管理員不允許它訪問的VLAN發送數據包，或者接收這個VLAN數據包。這種攻擊的實現的方法是為攻擊流量打上特定的VLAN ID標，或者通過協商Trunk鏈路來發送和接收所需VLAN流量。攻擊者可以通過使用交換機欺騙或者雙層標簽的方式，來實現VLAN跳轉攻擊。VLAN跳轉攻擊的形式是，攻擊者向交換機發送DTP幀，交換機收到后，自動將端口設置為Trunk模式，從而使攻擊者通過Trunk口訪問所有VLAN，進而去攻擊任意VLAN中的任何設備。

（五） 網關仿冒

網關仿冒其實是ARP攻擊的一種。攻擊者將錯誤的網關MAC信息發送給用戶，而局域網中的正常用戶收到這些ARP報文后，自動更新本地的ARP緩存表，建立錯誤的網關IP與MAC對應關系，當局域網中正常用戶向網關發送數據信息時，將會給數據幀封裝上錯誤的網關MAC地址，發送至錯誤的MAC地址，直接導致用戶數據發送異常，表現為局域網內用戶通信中斷、無法上網。

二、 制定安全策略，執行加固措施

（一） DAI檢測

因為ARP協議不提供任何認證機制，因此攻擊者很容易通過技術手段或使用入侵工具來實施地址欺騙，毒化同一VLAN中其他主機的ARP緩存表。ARP毒化會導致多種中間人攻擊，而這些攻擊會威脅網絡的安全。

DAI在交換機上動態綁定IP地址和MAC地址，以DHCP Snooping綁定表為基礎，對于沒有使用DHCP的個別機器靜態添加ARP access-list，從而防御中間人攻擊。為確保只轉發合法的ARP請求與應答，DAI需要采取下列措施：

（1）從可信端口收到的ARP數據包，不用經過任何檢查可以直接進行轉發。（2）攔截不可信端口上的所有ARP數據包。（3）在將這些ARP數據包轉發出去并使其更新本地ARP緩存之前，先根據IP與MAC地址綁定數據庫來檢測每個ARP數據包的合法性。（4）丟棄并記錄與綁定數據庫信息不符的非法ARP數據包。（5）控制某個端口的ARP請求報文頻率，當請求頻率超過預先設定的閾值，立即關閉該端口。

（二） DHCP Snooping

DHCP Snooping是交換機的一種DHCP安全特性，通過建立維護一張DHCP Snooping表進行DHCP信息的篩選，過濾不受信任的DHCP信息。DHCP Snooping通過以下幾種方式提高安全性：

（1）設置DHCP服務器的端口為可信任端口，只對可信任端口發來的DHCP報文進行響應處理。（2）通過對DHCP報文進行偵聽，記錄用戶從DHCP服務器獲取到的局域網用戶的MAC地址、IP地址、租用期、VLAN-ID接口等信息，綁定后與其他安全功能配合使用。（3）對不信任端口的DHCP信息報文過濾，起到屏蔽假冒DHCP Server的作用，確保局域網用戶從合法的DHCP服務器獲取IP地址，提高網絡的安全性。

（三） 端口安全配置

端口安全是指通過MAC地址表記錄連接到交換機端口客戶端的以太網網卡MAC地址，限定一個具體的MAC地址通過此端口通信，非信任用戶的MAC地址發送的數據包通過此端口時，會被端口安全特性阻止。使用端口安全特性可以有效限制MAC泛地址攻擊，增強安全性。另外，端口安全特性還可以限定端口允許介入的MAC地址數量，超過最大數量限制的新MAC地址發送的數據幀會被丟棄，也可用于防止MAC泛洪攻擊造成的MAC地址表填滿。

（四） VLAN訪問控制列表

訪問控制列表（ACL）有助于在多層交換網絡中實施網絡控制。VACL（VLAN ACL）可以控制VLAN中的流量或者控制通過交換的方式轉發的流量。Catalyst交換機支持通過4個ACL對數據包進行檢查：輸入和輸出安全ACL、輸入和輸出QoS（服務質量）ACL。

（五） 網關欺騙防范

除了使用被動的網關欺騙檢測方法外，還可以主動的實施一定的防范措施：

（1）設置靜態ARP條目：網關欺騙攻擊造成被攻擊用戶的ARP緩存中的網關IP/MAC對不正確，如果將主機中ARP條目設置成靜態不可修改，即可保證網關IP對應的MAC為正確的MAC。（2）劃小網絡：通過VLAN技術劃分網段，使得網絡進一步劃小，減少ARP廣播的監聽范圍，同時也可以方便確定攻擊者的位置。

三、 其他安全威脅及防護

（1）硬件安全：自從美國“棱鏡門”主角斯諾登爆出美國國家安全局在很多產品中植入“后門”后，在網絡設備品牌選擇上應保持謹慎，應更多考慮選擇國產品牌設備，現在國產品牌的網絡設備技術上已經不落后甚至超過國外品牌。（2）賬號安全：由于網絡維護人員具有一定的流動性，對于網絡設備應根據安全級別設置權限等級，管理賬戶的密碼定期更新。（3）環境安全：網絡硬件設備對于機房的溫度、濕度要求較高，應定期檢查機房環境，對于空調設備故障、機房漏水、鼠患等問題需提前預防。

四、 結論

校園網絡雖然相對封閉，但安全問題仍然不可忽視，需要從多個維度進行監測和防范。隨著校園用戶規模的提升，有意或無意的攻擊造成的網絡安全問題必須及時解決和預防，不斷提供更加安全的校園信息網絡。

（通信作者：曹進）

參考文獻：

[1]W. Richard Stevens. TCP/IP詳解（卷1：協議）[M].北京：機械工業出版社.

[2]肖弋.數字化校園信息安全立體防御體系的探索與實踐[J].網絡安全技術與應用，2017（4）.

[3]劉祖軍.網絡交換機安全措施的研究和實現[J].科技傳播，2017（9），16.

作者簡介：

袁飛，江蘇省鎮江市，江蘇大學信息化處；

曹進，江蘇省鎮江市，江蘇大學藥學院。