校園網(wǎng)絡(luò)設(shè)備安全及其偵查取證思路

郭永帥

摘要：隨著網(wǎng)絡(luò)的普及和迅速發(fā)展，校園網(wǎng)絡(luò)的安全逐漸成為了國(guó)家建設(shè)中一個(gè)不可忽視的問(wèn)題。盡管一些高校對(duì)校園網(wǎng)絡(luò)的安全建設(shè)提高到了一個(gè)新的等級(jí)，但在網(wǎng)絡(luò)設(shè)備方面卻存在一些漏洞。本文通過(guò)從物理設(shè)備配置方面進(jìn)行全面的網(wǎng)絡(luò)安全措施防范，以及針對(duì)一些常見的黑客攻擊，在公安實(shí)戰(zhàn)中提供相關(guān)的偵查和取證思路。

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)設(shè)備安全；偵查；取證

中圖分類號(hào)：G47文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-4379-（2016）26-0222-02

一、引言

隨著信息技術(shù)的不斷發(fā)展，校園網(wǎng)絡(luò)的建設(shè)也逐漸從單核心小型網(wǎng)絡(luò)上升到了雙核心大型網(wǎng)絡(luò)，網(wǎng)絡(luò)的擴(kuò)大和網(wǎng)絡(luò)設(shè)備的增加使得校園網(wǎng)絡(luò)設(shè)備的安全問(wèn)題變得岌岌可危。許多校園網(wǎng)絡(luò)缺乏統(tǒng)一身份認(rèn)證與管理系統(tǒng)，網(wǎng)絡(luò)攻擊防范也只是通過(guò)外網(wǎng)的入侵檢測(cè)系統(tǒng)和防火墻來(lái)實(shí)現(xiàn)，對(duì)于網(wǎng)絡(luò)設(shè)備方面防范相對(duì)薄弱?，F(xiàn)今社會(huì)，校園網(wǎng)絡(luò)的安全關(guān)乎高等院校的競(jìng)爭(zhēng)軟實(shí)力、學(xué)術(shù)水平的發(fā)展，更有甚者，會(huì)涉及國(guó)家機(jī)密的安全以及影響教育事業(yè)的穩(wěn)定。二、校園網(wǎng)絡(luò)設(shè)備安全威脅狀況分析

校園網(wǎng)絡(luò)設(shè)備在這個(gè)密切關(guān)注網(wǎng)絡(luò)安全的時(shí)代，并沒有受到過(guò)多的關(guān)注，很多學(xué)校都建立了相應(yīng)的網(wǎng)絡(luò)中心和網(wǎng)絡(luò)應(yīng)急機(jī)制，但都是從網(wǎng)絡(luò)的角度來(lái)講。在網(wǎng)絡(luò)設(shè)備這個(gè)方面并沒有太多考慮，學(xué)?？赡軙?huì)因此而受到損失。（一）校園網(wǎng)絡(luò)簡(jiǎn)介

目前，校園網(wǎng)絡(luò)分為單核心網(wǎng)絡(luò)和雙核心網(wǎng)絡(luò)這兩種。單核心網(wǎng)絡(luò)則是指核心層有一臺(tái)交換機(jī)，雙核心網(wǎng)絡(luò)核心層交換機(jī)則是兩臺(tái)，以此類推。校園網(wǎng)絡(luò)往往采用三層網(wǎng)絡(luò)架構(gòu)，即核心層、匯聚層和接入層。接入層是指網(wǎng)絡(luò)中直接面向用戶連接或訪問(wèn)網(wǎng)絡(luò)的部分，匯聚層是指位于接入層和核心層之間的部分，而核心層是指網(wǎng)絡(luò)主干部分，核心層的主要目的在于通過(guò)高速轉(zhuǎn)發(fā)通信，核心層交換機(jī)應(yīng)擁有更高的可靠性、性能和吞吐量①。（二）校園網(wǎng)絡(luò)設(shè)備的安全問(wèn)題

校園網(wǎng)絡(luò)設(shè)備中最重要的就是核心層設(shè)備，核心層的設(shè)備一般是三層或者三層以上的交換機(jī)。核心層設(shè)備擁有極高的轉(zhuǎn)發(fā)速率、鏈路聚合以及流量限制等功能。核心層交換機(jī)因?yàn)楹苌俳佑|，最容易出現(xiàn)弱口令現(xiàn)象，甚至沒有密碼等現(xiàn)象，從而給黑客提供了入口；其次，交換機(jī)的遠(yuǎn)程登錄沒有設(shè)置密碼和IP地址限制，這會(huì)讓黑客很容易遠(yuǎn)程控制交換機(jī)，產(chǎn)生隱患；再者，校園網(wǎng)絡(luò)內(nèi)部的IP地址設(shè)置以及訪問(wèn)限制問(wèn)題設(shè)置不恰當(dāng)，會(huì)使黑客跨網(wǎng)段攻擊其他交換機(jī)，從而造成更大的癱瘓。（三）黑客攻擊安全問(wèn)題

對(duì)于校園網(wǎng)絡(luò)設(shè)備，常見的黑客攻擊有三種。第一種是欺騙攻擊，欺騙攻擊主要類型是ARP欺騙，黑客通過(guò)網(wǎng)絡(luò)內(nèi)終端使用一些ARP程序，例如ARP-SPOOF等，使得網(wǎng)段內(nèi)所有流量通過(guò)某一臺(tái)主機(jī)，然后黑客使用某些抓包軟件等分析網(wǎng)段內(nèi)流量來(lái)獲取受害人的信息。ARP欺騙不僅會(huì)造成局域網(wǎng)擁塞，還會(huì)讓受害人信息、財(cái)產(chǎn)等收到損失。第二種是黑客通過(guò)暴力破解等方式獲得某個(gè)路由器密碼，進(jìn)而控制這個(gè)路由器，接著獲取整個(gè)網(wǎng)絡(luò)的權(quán)限。第三種是DDOS攻擊，DDOS的攻擊類型有很多，如SYN（TCP/IP握手包）攻擊、PING攻擊等。DDOS的攻擊會(huì)使得整個(gè)網(wǎng)絡(luò)癱瘓，造成大量的損失。三、校園網(wǎng)絡(luò)設(shè)備安全防范

校園網(wǎng)絡(luò)設(shè)備一般由交換機(jī)和路由器組成，然而三層交換機(jī)也具有路由功能，所以在每個(gè)三層交換機(jī)和路由器都需要嚴(yán)格的配置管理來(lái)校園網(wǎng)絡(luò)及其設(shè)備。校園網(wǎng)絡(luò)設(shè)備可通過(guò)以下幾個(gè)方面來(lái)設(shè)置來(lái)防止安全隱患：（一）訪問(wèn)控制列表

訪問(wèn)控制列表（ACL）是應(yīng)用于路由器和交換機(jī)上的包過(guò)濾訪問(wèn)控制技術(shù)，應(yīng)用ACL可以有效的限制IP地址，限制局域網(wǎng)內(nèi)流量或者阻止其他局域網(wǎng)的通信。交換機(jī)支持下面兩種訪問(wèn)列表的應(yīng)用過(guò)濾傳輸：（1）端口訪問(wèn)列表。也稱MAC訪問(wèn)列表，對(duì)路由器接口和交換機(jī)接口進(jìn)行基于mac地址的訪問(wèn)控制。（2）路由訪問(wèn)列表。限制不同vlan之間的雙向通信或者限制網(wǎng)絡(luò)接口之間的雙向通信。借助訪問(wèn)控制列表不僅可以控制ip地址來(lái)控制上網(wǎng)，并且可以通過(guò)控制端口來(lái)限制蠕蟲病毒在網(wǎng)絡(luò)中蔓延。（二）終端訪問(wèn)限制安全

默認(rèn)狀態(tài)下，用戶可以通過(guò)網(wǎng)絡(luò)中的任何一臺(tái)計(jì)算機(jī)登錄到交換機(jī)或路由器。因此，必須將訪問(wèn)列表應(yīng)用于接入層終端接口上，使得擁有特定IP地址的用戶才有權(quán)限通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備，這樣也可以防止從內(nèi)部進(jìn)行的攻擊。（三）網(wǎng)絡(luò)設(shè)備設(shè)置密碼

網(wǎng)絡(luò)設(shè)備的密碼與Windows的開機(jī)密碼的作用和重要性相同，只有獲得了網(wǎng)絡(luò)設(shè)備的密碼才能對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置和管理。通過(guò)配置交換機(jī)和路由器登錄enable密碼可以防止黑客沒有認(rèn)證就直接登錄；配置Telnet（遠(yuǎn)程登錄）使用戶可與遠(yuǎn)程登錄管理路由器和交換機(jī)，默認(rèn)情況下，Telnet沒有設(shè)置密碼，這樣就會(huì)導(dǎo)致非網(wǎng)管人員也輕松方便的登錄路由器和交換機(jī)，給網(wǎng)絡(luò)的穩(wěn)定帶來(lái)嚴(yán)重的后果。（四）啟動(dòng)路由器、交換機(jī)日志

網(wǎng)絡(luò)設(shè)備的日志可以將重要時(shí)間信息（如系統(tǒng)錯(cuò)誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報(bào)告、系統(tǒng)退出等）等記錄下來(lái)，當(dāng)網(wǎng)絡(luò)遭到入侵時(shí)，網(wǎng)管人員可以查看日志來(lái)進(jìn)行相應(yīng)的防護(hù)。（五）IEEE802.1x認(rèn)證

IEEE802.1x認(rèn)證是指連入局域網(wǎng)的設(shè)備需要進(jìn)行認(rèn)證才能連入互聯(lián)網(wǎng)，最常用的就是高校中學(xué)生使用學(xué)號(hào)認(rèn)證上網(wǎng)。IEEE802.1x完美的解決了終端設(shè)備上網(wǎng)安全，而且目前的交換機(jī)和路由器均支持IEEE80.21x認(rèn)證。配置IEEE802.1x認(rèn)證可以讓終端接入收到審核，從底層限制非法人員的登錄，有效防止黑客從內(nèi)部攻擊。（六）SNMP安全協(xié)議

SNMP安全協(xié)議是一種管理員與用戶通信之間的協(xié)議。SNMP可以使網(wǎng)絡(luò)組成一個(gè)系統(tǒng)，管理者可以遠(yuǎn)程管理用戶，用戶更改路由器配置信息需要向管理員發(fā)送信息。通過(guò)SNMP安全協(xié)議可以及時(shí)了解路由器的信息，從而避免被黑客攻擊。四、校園網(wǎng)絡(luò)設(shè)備的偵查取證思路

當(dāng)校園網(wǎng)絡(luò)設(shè)備遭受到攻擊時(shí)，網(wǎng)絡(luò)并沒有癱瘓時(shí)，這時(shí)候第一時(shí)間我們要保存網(wǎng)絡(luò)的狀態(tài)，取得SNMP協(xié)議報(bào)告，然后定位到黑客入侵的那一臺(tái)交換機(jī)或路由器，通過(guò)查看路由器日志以得到用戶遠(yuǎn)程登錄的IP，之后便可以進(jìn)行定位，確定嫌疑人。

當(dāng)校園網(wǎng)絡(luò)設(shè)備因?yàn)樵獾焦舳c瘓時(shí)，很可能是黑客使用DDos攻擊來(lái)消耗服務(wù)器內(nèi)存和堵塞帶寬。DDos攻擊的方式多種多樣，如SYN攻擊、PING攻擊等。這時(shí)最好的方法是使用PPM算法（數(shù)據(jù)包標(biāo)記算法），抽絲剝繭，反向追蹤黑客的IP，然后再進(jìn)行定位，找到嫌疑人。五、結(jié)語(yǔ)

本文列舉了校園網(wǎng)絡(luò)的安全配置，如訪問(wèn)控制列表、設(shè)置密碼等，以及針對(duì)一些常見黑客攻擊進(jìn)行安全防范，并針對(duì)這些攻擊給公安機(jī)關(guān)提供相關(guān)的偵查和取證思路。目前在公安在校園網(wǎng)絡(luò)設(shè)備方面的研究相對(duì)較少，我們不僅要在網(wǎng)絡(luò)方面深入研究，在設(shè)備方面更需要深入研究，這樣才能在工作中防范于未然，保護(hù)校園網(wǎng)絡(luò)的安全。[注釋]

①唐燈平.利用Packet Tracer模擬組建校園單核心網(wǎng)絡(luò)的研究[J].實(shí)驗(yàn)室研究與探索，2011.

[參考文獻(xiàn)]

[1]劉曉輝.網(wǎng)絡(luò)安全管理實(shí)踐[M].北京：電子工業(yè)出版社，2007.

[2]沈鑫剡，葉寒鋒，劉鵬，景麗.計(jì)算機(jī)網(wǎng)絡(luò)安全學(xué)習(xí)輔導(dǎo)與實(shí)驗(yàn)指南[M].北京：清華大學(xué)出版社，2012.

[3]楊德華，鄭迪穎.關(guān)于動(dòng)態(tài)模型的網(wǎng)絡(luò)安全體系及在校園企業(yè)的應(yīng)用研究[M].上海