论文部分内容阅读
【摘 要】 校园网IP 地址的盗用,破坏了正常的网络运行和应用,因此解决IP 地址盗用问题是保证校园网安全运行的首要条件。本文分析了常用的IP盗用技术和防范措施,并结合我校网络现状,提出几种可行的IP防盗方案,以此来解决我校IP 地址盗用与防范的一系列问题。
【关键词】 校园网络 IP地址 盗用防范
进入信息时代,许多大中专院校都组建了各自的校园网。校园网络中心在规划自己的内部网段时,为用户分配并制定了相应的网络IP地址资源,以保证通信数据的正常传输。在校园网络上,任何用户使用未经授权的IP地址的行为称为IP地址盗用,这会造成校园网络的安全隐患、网络资源损耗及IP地址冲突等问题。目前我校实现了行政楼、教学楼等区域的网络建设,随着校园网信息点的日益增多,IP分配方式及管理问题日益突出。针对校园网络的拓朴结构和规模、用户数量及应用状况,采用何种IP分配方式直接影响到校园网络管理的安全性。另一方面,由于我校开展了校企合作项目,加上年轻人对新鲜事物强烈的好奇心,常使用未经授权的IP地址,所以IP地址的防盗与防范措施成了首要问题。
1 IP地址盗用的基本途径及防范措施
1.1 IP地址盗用的基本途径。
1.1.1 静态修改IP地址。网络中的IP地址通常采用静态和动态分配两种方法,如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是网络管理中心分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改;而经过DHCP服务器动态分配的IP地址,网络管理人员无法确切的知道该IP的实际用户,又会带来其它管理问题。由于我校目前主要采用的是手动分配IP地址,以及划分了大量VLAN,所以使用此种方式盗用IP地址、盗用网络资源是最主要的。修改IP地址示意图如图1。
图1:手动修改IP地址
1.1.2 成对修改MAC地址和IP地址。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是由国际IEEE组织分配,是固化在网卡上的,一般不能随意改动。但现在的一些兼容网卡,其MAC地址可以使用网卡配置程序或者软件进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术防止IP盗用就无能为力了。手动修改MAC地址示意图如图2。
图2:使用万能软件进行MAC地址修改
1.1.3 IP电子欺骗。IP欺骗就是指伪造某台主机的IP地址的技术,通常需要用编程来实现。通过使用SOCK-ET编程或者使用“黑客”工具,发送带有假冒源IP地址的IP数据包,绕过上层网络软件,达到正常数据通信。当前,借助一些“黑客”工具就可以实现IP动态修改,即对于普通用户来说,达到IP欺骗并不是一件很困难的事。实施IP欺骗示意图如图3。
图3:使用软件IpMap进行IP欺骗
1.2 基本防范措施。
1.2.1 交换机控制。解决lP地址盗用首先推荐使用的是应用交换机进行控制,即在TCP/IP第二层(数据链路层)进行控制。使用交换机提供的端口的单位地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机访问都被拒绝。通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在高端交换机相对昂贵的今天并不是一个能够普遍采用的解决方案。
1.2.2 路由器隔离。路由器隔离具体的实现方法有两种:①使用静态路由表,即在路由器中建立一个MAC 地址与IP地址的对应表,只有“MAC-IP 地址对”合法匹配的机器才能得到正确的ARP应答;②通过SNMP协议定期扫描网络各路由器ARP表,获得当前IP-MAC对照关系,与存储的合法IP-MAC地址比较,不一致者即为非法访问。路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。
1.2.3 防火墙与代理服务器。使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题,这是一种应用层面上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请帐户和口令,即变IP管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是网络的应用。合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无帐户的用户即使盗用IP,也没有用户名和密码,不能使用外部网络。使用防火墙和代理服务器的缺点也是明显的:①由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;②对于大数量的用户群来说,增加了用户管理的难度,同时也给合法用户的使用带来了诸多不便。
1.2.4 添加上网行为管理设备。在主干网中购置添加上网行为管理设备最为安全、稳定、易管理,完全可以解决IP地址盗用,网络资源盗用等问题。现在市面上有很多上网行为管理设备,比如深信服AC系列,然而,这在上网行为管理设备相对昂贵的今天也不是一个能够普遍采用的解决方案。
2 临沧卫校校园网络现状
2.1 校园网络拓扑图。
2.2 网络硬件设备配置。
表1:临沧卫校校园网络硬件配置清单
2.3 内网vlan规划。考虑到整个网络的安全性,避免大范围网络风暴,提高网络传输效能以及便于更好管理,网络管理中心把整个校园网络划分为21个vlan,其中:vlan99为学校领导专用,vlan100为行政办公楼四楼除校领导办公室之外的各部门,vlan101为教务处,vlan102为财务科,vlan103为总务处,vlan104为实验楼,vlan105为学科及教研组,vlan106为一楼教室,vlan107为二楼教室,vlan108为三楼教室,vlan109为四楼教室,vlan110为五楼教室,vlan111为计算机机房,vlan112为多功能报告厅及电教室,vlan113为食堂,vlan115为A幢宿舍楼,vlan116为B幢宿舍楼,vlan117为C幢宿舍楼,vlan118为D幢宿舍楼,vlan119为“翼机通”专用,vlan1000为网络设备管理及服务器群。 3 临沧卫校校园网络IP地址的防盗解决方案
3.1 “端口+IP+MAC 地址绑定”。食堂、学生宿舍区的用户上网是我校网络安全稳定最大的隐患,所以针对我校实际,主要采用“端口+IP+MAC地址”绑定的技术解决方案。华为S2700-52P-EI交换机可以做到端口+IP+MAC 地址的绑定关系,华为S2700-52P-EI交换机可以支持基于MAC地址的802.1X认证。MAC地址的绑定可以直接实现对边缘用户的管理,提高整个网络的安全性、可维护性。这种方式具有很强的安全特性:防DOS的攻击,防止用户的MAC 地址的欺骗,对于更改MAC地址的用户(MAC地址欺骗的用户)可以实现强制下线。
“IP+MAC+端口”配置实例:
[4LouXinan] interface ethernet 0/0/1
[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind enable
[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan
[4LouXinan-Ethernet0/0/1] quit
[4LouXinan]user-bind static ip-address 192.168.100.1 mac-address 00-1E-90-BF-3E-15 interface Ethernet 0/0/1 vlan 100
图5:S2700交换机IP+MAC+端口配置实物图
“端口+IP+MAC 地址绑定”技术在一定程度上可以防止非法用户盗用IP资源,但如果非法用户使用编程或者软件同时修改IP地址和MAC地址,此种策略也就无能为力了。所以需要配合以下两种方案才能较为彻底地防范多种途径的IP盗用。
3.2 IP源防攻击。网络中常常存在针对IP 源地址进行欺骗的攻击行为,如攻击者仿冒合法用户发送IP报文给服务器,或者伪造其他用户的源IP地址进行通信,从而导致合法用户不能正常获得网络服务。针对此类攻击,在第一个方案基础上,我校网络管理起用了IP Source Guard的功能。IP Source Guard用于对接口转发的IP报文进行过滤,防止非法报文通过接口,提高了接口的安全性。网络中存在攻击者向服务器发送带有合法用户IP 和MAC 的报文,令服务器误以为已经学到这个合法用户的IP 和MAC,但真正的合法用户不能从服务器获得服务。如图2所示,HostA 与HostB 分别与Switch的Eth0/0/1 和Eth0/0/2接口相连。要求在Switch上配置IP Source Guard功能,使HostB不能仿冒HostA 的IP和MAC欺骗服务器,保证HostA 的IP报文能正常上送。
图6:IP Source Guard配置拓扑示意图
IP Source Guard配置实例:
[4LouXinan] interface Ethernet 0/0/1
[4LouXinan-Ethernet0/0/1] ip source check user-bind enable
[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm enable
[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm threshold 200
[4LouXinan-Ethernet0/0/1] quit
[4LouXinan] user-bind static ip-address 10.0.0.1 mac-address 00-1E-90-BF-3E-15 interface ethernet 0/0/1 vlan 100
图7:S2700交换机IP Source Guard配置实物图
3.3 局域网管理软件。我校校园网络通过交换机相应配置之后,还配合使用Super Lanadmin多方式防止IP盗用。Super Lanadmin不但可以多方式有效防止IP地址被盗用,从一定程度上来说,通过Super Lanadmin软件来防止IP地址盗用适合我校的校园网络管理。Super Lanadmin操控界面如示意图图8。
图8:SuperLanadmin操控界面
4 结束语
IP地址的管理是校园网络管理中的一个重要环节,通过以上几种IP地址防盗方法的应用,可以有效地解决我校校园网络IP地址的盗用问题。但仅从软件管理和交换机端口限制,仍然可能存在未经授权的用户使用授权的IP地址而造成IP地址冲突,侵犯了合法用户的权益;另一方面,尽管盗用者无法使用IP地址,但也会造成网络的混乱,甚至威胁到整个网络的安全运行。因此我们要加强用户的网络安全与网上职业道德教育,提高用户的网络安全意识和知识素质才是校园网络安全、稳定、正常运转的重要保证。
参考文献
1 王坤.IP监控与管理系统研究与实现[J].西南交通大学,2002(1)
2 华为3Com技术有限公司编著.华为3Com网络学院教材(V1.2)[M].2004.9
3 杨富国.计算机网络安全应用基础[M].北京:清华大学出版社出版社,2005.1
4 王智,校园网络中IP地址盗用与防范技术[J].新疆石河子工程技术学校,2006
5 朱爱春等.校园网络中的IP地址盗用与防范技术[J].中国海洋大学青岛学院信息工程系,2008
6 杜暖男等.基于ARP伪装技术的IP地址防盗用方案的研究[J].平顶山工业职业技术学院,2011(3)
7 吴军强.校园网中IP地址实用防盗技术研究[J].嘉兴学院数学与信息工程学院,2012
【关键词】 校园网络 IP地址 盗用防范
进入信息时代,许多大中专院校都组建了各自的校园网。校园网络中心在规划自己的内部网段时,为用户分配并制定了相应的网络IP地址资源,以保证通信数据的正常传输。在校园网络上,任何用户使用未经授权的IP地址的行为称为IP地址盗用,这会造成校园网络的安全隐患、网络资源损耗及IP地址冲突等问题。目前我校实现了行政楼、教学楼等区域的网络建设,随着校园网信息点的日益增多,IP分配方式及管理问题日益突出。针对校园网络的拓朴结构和规模、用户数量及应用状况,采用何种IP分配方式直接影响到校园网络管理的安全性。另一方面,由于我校开展了校企合作项目,加上年轻人对新鲜事物强烈的好奇心,常使用未经授权的IP地址,所以IP地址的防盗与防范措施成了首要问题。
1 IP地址盗用的基本途径及防范措施
1.1 IP地址盗用的基本途径。
1.1.1 静态修改IP地址。网络中的IP地址通常采用静态和动态分配两种方法,如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是网络管理中心分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改;而经过DHCP服务器动态分配的IP地址,网络管理人员无法确切的知道该IP的实际用户,又会带来其它管理问题。由于我校目前主要采用的是手动分配IP地址,以及划分了大量VLAN,所以使用此种方式盗用IP地址、盗用网络资源是最主要的。修改IP地址示意图如图1。
图1:手动修改IP地址
1.1.2 成对修改MAC地址和IP地址。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是由国际IEEE组织分配,是固化在网卡上的,一般不能随意改动。但现在的一些兼容网卡,其MAC地址可以使用网卡配置程序或者软件进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术防止IP盗用就无能为力了。手动修改MAC地址示意图如图2。
图2:使用万能软件进行MAC地址修改
1.1.3 IP电子欺骗。IP欺骗就是指伪造某台主机的IP地址的技术,通常需要用编程来实现。通过使用SOCK-ET编程或者使用“黑客”工具,发送带有假冒源IP地址的IP数据包,绕过上层网络软件,达到正常数据通信。当前,借助一些“黑客”工具就可以实现IP动态修改,即对于普通用户来说,达到IP欺骗并不是一件很困难的事。实施IP欺骗示意图如图3。
图3:使用软件IpMap进行IP欺骗
1.2 基本防范措施。
1.2.1 交换机控制。解决lP地址盗用首先推荐使用的是应用交换机进行控制,即在TCP/IP第二层(数据链路层)进行控制。使用交换机提供的端口的单位地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机访问都被拒绝。通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在高端交换机相对昂贵的今天并不是一个能够普遍采用的解决方案。
1.2.2 路由器隔离。路由器隔离具体的实现方法有两种:①使用静态路由表,即在路由器中建立一个MAC 地址与IP地址的对应表,只有“MAC-IP 地址对”合法匹配的机器才能得到正确的ARP应答;②通过SNMP协议定期扫描网络各路由器ARP表,获得当前IP-MAC对照关系,与存储的合法IP-MAC地址比较,不一致者即为非法访问。路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。
1.2.3 防火墙与代理服务器。使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题,这是一种应用层面上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请帐户和口令,即变IP管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是网络的应用。合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无帐户的用户即使盗用IP,也没有用户名和密码,不能使用外部网络。使用防火墙和代理服务器的缺点也是明显的:①由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;②对于大数量的用户群来说,增加了用户管理的难度,同时也给合法用户的使用带来了诸多不便。
1.2.4 添加上网行为管理设备。在主干网中购置添加上网行为管理设备最为安全、稳定、易管理,完全可以解决IP地址盗用,网络资源盗用等问题。现在市面上有很多上网行为管理设备,比如深信服AC系列,然而,这在上网行为管理设备相对昂贵的今天也不是一个能够普遍采用的解决方案。
2 临沧卫校校园网络现状
2.1 校园网络拓扑图。
2.2 网络硬件设备配置。
表1:临沧卫校校园网络硬件配置清单
2.3 内网vlan规划。考虑到整个网络的安全性,避免大范围网络风暴,提高网络传输效能以及便于更好管理,网络管理中心把整个校园网络划分为21个vlan,其中:vlan99为学校领导专用,vlan100为行政办公楼四楼除校领导办公室之外的各部门,vlan101为教务处,vlan102为财务科,vlan103为总务处,vlan104为实验楼,vlan105为学科及教研组,vlan106为一楼教室,vlan107为二楼教室,vlan108为三楼教室,vlan109为四楼教室,vlan110为五楼教室,vlan111为计算机机房,vlan112为多功能报告厅及电教室,vlan113为食堂,vlan115为A幢宿舍楼,vlan116为B幢宿舍楼,vlan117为C幢宿舍楼,vlan118为D幢宿舍楼,vlan119为“翼机通”专用,vlan1000为网络设备管理及服务器群。 3 临沧卫校校园网络IP地址的防盗解决方案
3.1 “端口+IP+MAC 地址绑定”。食堂、学生宿舍区的用户上网是我校网络安全稳定最大的隐患,所以针对我校实际,主要采用“端口+IP+MAC地址”绑定的技术解决方案。华为S2700-52P-EI交换机可以做到端口+IP+MAC 地址的绑定关系,华为S2700-52P-EI交换机可以支持基于MAC地址的802.1X认证。MAC地址的绑定可以直接实现对边缘用户的管理,提高整个网络的安全性、可维护性。这种方式具有很强的安全特性:防DOS的攻击,防止用户的MAC 地址的欺骗,对于更改MAC地址的用户(MAC地址欺骗的用户)可以实现强制下线。
“IP+MAC+端口”配置实例:
[4LouXinan] interface ethernet 0/0/1
[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind enable
[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan
[4LouXinan-Ethernet0/0/1] quit
[4LouXinan]user-bind static ip-address 192.168.100.1 mac-address 00-1E-90-BF-3E-15 interface Ethernet 0/0/1 vlan 100
图5:S2700交换机IP+MAC+端口配置实物图
“端口+IP+MAC 地址绑定”技术在一定程度上可以防止非法用户盗用IP资源,但如果非法用户使用编程或者软件同时修改IP地址和MAC地址,此种策略也就无能为力了。所以需要配合以下两种方案才能较为彻底地防范多种途径的IP盗用。
3.2 IP源防攻击。网络中常常存在针对IP 源地址进行欺骗的攻击行为,如攻击者仿冒合法用户发送IP报文给服务器,或者伪造其他用户的源IP地址进行通信,从而导致合法用户不能正常获得网络服务。针对此类攻击,在第一个方案基础上,我校网络管理起用了IP Source Guard的功能。IP Source Guard用于对接口转发的IP报文进行过滤,防止非法报文通过接口,提高了接口的安全性。网络中存在攻击者向服务器发送带有合法用户IP 和MAC 的报文,令服务器误以为已经学到这个合法用户的IP 和MAC,但真正的合法用户不能从服务器获得服务。如图2所示,HostA 与HostB 分别与Switch的Eth0/0/1 和Eth0/0/2接口相连。要求在Switch上配置IP Source Guard功能,使HostB不能仿冒HostA 的IP和MAC欺骗服务器,保证HostA 的IP报文能正常上送。
图6:IP Source Guard配置拓扑示意图
IP Source Guard配置实例:
[4LouXinan] interface Ethernet 0/0/1
[4LouXinan-Ethernet0/0/1] ip source check user-bind enable
[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm enable
[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm threshold 200
[4LouXinan-Ethernet0/0/1] quit
[4LouXinan] user-bind static ip-address 10.0.0.1 mac-address 00-1E-90-BF-3E-15 interface ethernet 0/0/1 vlan 100
图7:S2700交换机IP Source Guard配置实物图
3.3 局域网管理软件。我校校园网络通过交换机相应配置之后,还配合使用Super Lanadmin多方式防止IP盗用。Super Lanadmin不但可以多方式有效防止IP地址被盗用,从一定程度上来说,通过Super Lanadmin软件来防止IP地址盗用适合我校的校园网络管理。Super Lanadmin操控界面如示意图图8。
图8:SuperLanadmin操控界面
4 结束语
IP地址的管理是校园网络管理中的一个重要环节,通过以上几种IP地址防盗方法的应用,可以有效地解决我校校园网络IP地址的盗用问题。但仅从软件管理和交换机端口限制,仍然可能存在未经授权的用户使用授权的IP地址而造成IP地址冲突,侵犯了合法用户的权益;另一方面,尽管盗用者无法使用IP地址,但也会造成网络的混乱,甚至威胁到整个网络的安全运行。因此我们要加强用户的网络安全与网上职业道德教育,提高用户的网络安全意识和知识素质才是校园网络安全、稳定、正常运转的重要保证。
参考文献
1 王坤.IP监控与管理系统研究与实现[J].西南交通大学,2002(1)
2 华为3Com技术有限公司编著.华为3Com网络学院教材(V1.2)[M].2004.9
3 杨富国.计算机网络安全应用基础[M].北京:清华大学出版社出版社,2005.1
4 王智,校园网络中IP地址盗用与防范技术[J].新疆石河子工程技术学校,2006
5 朱爱春等.校园网络中的IP地址盗用与防范技术[J].中国海洋大学青岛学院信息工程系,2008
6 杜暖男等.基于ARP伪装技术的IP地址防盗用方案的研究[J].平顶山工业职业技术学院,2011(3)
7 吴军强.校园网中IP地址实用防盗技术研究[J].嘉兴学院数学与信息工程学院,2012