论文部分内容阅读
本文是江西省教育厅省级课题““网络安全与管理”课程项目教学改革的研究与实践”的研究成果。
摘要:信息产业时代最重要、最关键的组成部分就是网络,计算机网络技术的发展和应用对人类生活方式的影响越来越大。虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安全考虑得并不完备,存在着安全隐患,网络的安全形势日趋严峻。路由器作为因特网上最为重要的设备之一,路由器的安全将直接影响整个网络的安全。保护路由器的安全还是需要网管员配置相关的安全措施。这就是本课题研究的意义。
关键词:网络安全;SYSLOG;AAA
一、网络安全研究的现状
经过调查,得知目前国内有不少高职院校在相关计算机类专业中,比如:计算机网络技术、计算机信息管理和信息安全等专业,都开设有“网络安全与管理”或相近课程。但课程内容都沿袭着本科教学内容,偏重原理性知识;在教学方法与手段上,还基本上是按照本科院校的做法。课程教学内容与教学手段与高职院校的人才培养目标存在一定的差距。
为了使学生在毕业后能与所从事的专业岗位能力要求进行对接,我院在软件技术、计算机网络技术、计算机信息管理等专业中进行了项目教学方法的探索与实践,并积累了一定的经验。计算机网络的应用已经涉及到社会的方方面面,网络安全管理人才的需求也显得非常迫切。
二、配置路由器的Syslog,SSH服务
(一)技术简介
路由器密码配置:黑客可以利用各种不同方法发现路由器管理密码。他们可以利用用户的个人信息猜测密码,或嗅探包含明文配置文件的数据包,黑客也使用类似L0phtCrack和Cain& Abel的工具进行暴力攻击或猜测密码。所以,为了保护路由器安全,在使用密码时应遵守一些原则。这些原则可以减少通过猜测和黑客攻击获得密码的机会。
实施了密码和本地验证并不能阻止设备成为被攻击的目标。DoS攻击发起很多的连接请求,以至于设备不能为系统管理员提供正常的登录服务。字典攻击,用于获取设备的管理访问权限,会尝试数千的用户名和密码,其结果类似于DoS攻击,使得设备不能处理正常的用户请求。网络需要配置防护系统来检测和防止此类攻击。启动检测后,网络设备可以通过拒绝进一步的请求连接来防止反复的失败尝试登陆。思科的IOS登录高級特性在创建虚拟连接(如Telnet、SSH、HTTP)时,为思科IOS设备提供了更好的安全性,可以减少字典攻击和防止DoS攻击。为了获得更好的虚拟登录连接的安全性,应配置如下参数:
两次成功登录之间的延迟,如果检测到DoS攻击,应关闭登录,为登录建立系统日志。
(二)路由器远程管理
在启动路由器的远程管理时,最重要的要考虑通过网络发送信息的安全隐患。传统上,路由器的远程访问使用TCP端口23的Telnet。但Telnet是在安全不是问题的年代开发的,因此所有Telnet流量都使用文明传输。使用这个协议,关键数据很容易被攻击者截获,如路由器的配置信息。黑客可以利用协议的分析软件(如wireshark)抓取管理员计算机发送的数据包。如果获取了Telnet的初始流量,那么攻击者就可以知道管理员的用户名和密码。所以安全的SSH取代不安全的Telnet是趋势,SSH已经代替Telnet提供远程路由器的管理,它支持连接的机密性以及会话的完整性。其功能类似带外的Telnet连接,但其连接加密,运行于22号端口。由于验证和加密功能,SSH提供通过非安全网络的安全通信。
路由器系统日志: 系统日志是网络安全策略的重要内容。思科路由器可以根据配置的变化、ACL违规行为、接口状态和其他事件记录路由器的日志信息。思科路由器也可以发送日志信息到不同的设备上。通过日志,可以发现路由器的一些问题和故障。
(三)配置网络时间协议(NTP)
虽然在小型的网络中可以使用手工方法,但随着网络的发展,要确保所有的设备运行于同步的时间将变得困难。即使在小型的网络环境中,手工方法也并不理想。如果路由器重启,从哪里获得网络时间呢?好的方法是在网络中配置NTP。NTP可以使得网络中的所有路由器的时间与NTP服务器同步。
(四)实验设计
网络拓扑图中有三个路由器。在所有的路由器上配置NTP和Syslog,在R3上实现登录。
NTP协议能够利用NTP服务器同步路由器的时间。一个NTP客户端组,从统一的服务器获得时间和日期信息,使得它们有一致的时间设置,Syslog消息更容易分析。这帮助解决网络攻击问题。当NTP在网络中开启,它可以是设立一个私人的主时钟用来同步,或在互联网上利用NTP服务器。
配置路由器,以允许软件时钟由NTP时间服务器来同步,此外,定期更新路由硬件时钟信息从NTP服务器。否则,硬件时钟会逐渐不准确,软件时钟和硬件时钟彼将会失去同步。
Syslog服务器在本实验会提供消息记录。配置路由器,以确定远程主机(Syslog服务器)能够接受日志消息。
配置路由器的时间戳消息服务,显示正确的时间和日期的Syslog消息,在使用Syslog来监视网络攻击很重要。如果消息的正确时间和日期不知道,是很难确定网络问题有何引起。
R2可以看成ISP(Internet Service Provider),有两个远程网络连接到它:R1和R2。在R3的本地管理员可以实现路由器的管理以及解决问题,然而,R3作为一个管理角色,ISP需要能够访问到R3,实施偶尔的故障排除和更新。所以要提供一个安全的访问方式,现在主要使用SSH,而不使用不安全的telnet。使用CLI来配置SSH安全连接。SSH将所有通过网络的信息都进行加密,并且提供远程计算机的身份验证。SSH正在迅速取代telnet成为网络管理专业人员的工具。
三、路由器的AAA认证
网络必须设计为能够控制允许谁连接到网络,以及在连接到网络时允许做什么。这些设计规则在网络安全策略中定义。网络安全策略规定网络管理员、公司用户、远程用户、商业合作伙伴以及客户如何访问网络资源。网络安全策略还要求实现一个能够跟踪谁在何时登陆进网络以及在登陆进网络期间行为的记账。只使用用户模式或特权模式加口令的方法来管理网络接入是不够的,而且不具备良好的扩展性。使用认证、授权和记账(Authentication, Authorization and Accounting, AAA)协议则为实现可扩展的访问安全性提供了必要的机制。
【参考文献】
[1]张宏科,苏伟.路由器原理与技术[M].北京:高等教育出版社,2010
[2]Wendell Odom.Routers and Routing Basics[M].北京:人民邮电出版社,2008
[3]王达.路由器配置与管理完全手册-cisco篇[M].武汉华中科技大学出版社,2011
作者简介:
帅志军(1977-),男,江西南昌人,讲师,江西现代职业技术学院教师,硕士,主要研究方向:网络安全、硬件和软件。
王和平(1968-),男,江西吉安人,教授,江西现代职业技术学院信息工程分院计算机系主任,主要研究方向:网络安全、硬件和软件。
摘要:信息产业时代最重要、最关键的组成部分就是网络,计算机网络技术的发展和应用对人类生活方式的影响越来越大。虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安全考虑得并不完备,存在着安全隐患,网络的安全形势日趋严峻。路由器作为因特网上最为重要的设备之一,路由器的安全将直接影响整个网络的安全。保护路由器的安全还是需要网管员配置相关的安全措施。这就是本课题研究的意义。
关键词:网络安全;SYSLOG;AAA
一、网络安全研究的现状
经过调查,得知目前国内有不少高职院校在相关计算机类专业中,比如:计算机网络技术、计算机信息管理和信息安全等专业,都开设有“网络安全与管理”或相近课程。但课程内容都沿袭着本科教学内容,偏重原理性知识;在教学方法与手段上,还基本上是按照本科院校的做法。课程教学内容与教学手段与高职院校的人才培养目标存在一定的差距。
为了使学生在毕业后能与所从事的专业岗位能力要求进行对接,我院在软件技术、计算机网络技术、计算机信息管理等专业中进行了项目教学方法的探索与实践,并积累了一定的经验。计算机网络的应用已经涉及到社会的方方面面,网络安全管理人才的需求也显得非常迫切。
二、配置路由器的Syslog,SSH服务
(一)技术简介
路由器密码配置:黑客可以利用各种不同方法发现路由器管理密码。他们可以利用用户的个人信息猜测密码,或嗅探包含明文配置文件的数据包,黑客也使用类似L0phtCrack和Cain& Abel的工具进行暴力攻击或猜测密码。所以,为了保护路由器安全,在使用密码时应遵守一些原则。这些原则可以减少通过猜测和黑客攻击获得密码的机会。
实施了密码和本地验证并不能阻止设备成为被攻击的目标。DoS攻击发起很多的连接请求,以至于设备不能为系统管理员提供正常的登录服务。字典攻击,用于获取设备的管理访问权限,会尝试数千的用户名和密码,其结果类似于DoS攻击,使得设备不能处理正常的用户请求。网络需要配置防护系统来检测和防止此类攻击。启动检测后,网络设备可以通过拒绝进一步的请求连接来防止反复的失败尝试登陆。思科的IOS登录高級特性在创建虚拟连接(如Telnet、SSH、HTTP)时,为思科IOS设备提供了更好的安全性,可以减少字典攻击和防止DoS攻击。为了获得更好的虚拟登录连接的安全性,应配置如下参数:
两次成功登录之间的延迟,如果检测到DoS攻击,应关闭登录,为登录建立系统日志。
(二)路由器远程管理
在启动路由器的远程管理时,最重要的要考虑通过网络发送信息的安全隐患。传统上,路由器的远程访问使用TCP端口23的Telnet。但Telnet是在安全不是问题的年代开发的,因此所有Telnet流量都使用文明传输。使用这个协议,关键数据很容易被攻击者截获,如路由器的配置信息。黑客可以利用协议的分析软件(如wireshark)抓取管理员计算机发送的数据包。如果获取了Telnet的初始流量,那么攻击者就可以知道管理员的用户名和密码。所以安全的SSH取代不安全的Telnet是趋势,SSH已经代替Telnet提供远程路由器的管理,它支持连接的机密性以及会话的完整性。其功能类似带外的Telnet连接,但其连接加密,运行于22号端口。由于验证和加密功能,SSH提供通过非安全网络的安全通信。
路由器系统日志: 系统日志是网络安全策略的重要内容。思科路由器可以根据配置的变化、ACL违规行为、接口状态和其他事件记录路由器的日志信息。思科路由器也可以发送日志信息到不同的设备上。通过日志,可以发现路由器的一些问题和故障。
(三)配置网络时间协议(NTP)
虽然在小型的网络中可以使用手工方法,但随着网络的发展,要确保所有的设备运行于同步的时间将变得困难。即使在小型的网络环境中,手工方法也并不理想。如果路由器重启,从哪里获得网络时间呢?好的方法是在网络中配置NTP。NTP可以使得网络中的所有路由器的时间与NTP服务器同步。
(四)实验设计
网络拓扑图中有三个路由器。在所有的路由器上配置NTP和Syslog,在R3上实现登录。
NTP协议能够利用NTP服务器同步路由器的时间。一个NTP客户端组,从统一的服务器获得时间和日期信息,使得它们有一致的时间设置,Syslog消息更容易分析。这帮助解决网络攻击问题。当NTP在网络中开启,它可以是设立一个私人的主时钟用来同步,或在互联网上利用NTP服务器。
配置路由器,以允许软件时钟由NTP时间服务器来同步,此外,定期更新路由硬件时钟信息从NTP服务器。否则,硬件时钟会逐渐不准确,软件时钟和硬件时钟彼将会失去同步。
Syslog服务器在本实验会提供消息记录。配置路由器,以确定远程主机(Syslog服务器)能够接受日志消息。
配置路由器的时间戳消息服务,显示正确的时间和日期的Syslog消息,在使用Syslog来监视网络攻击很重要。如果消息的正确时间和日期不知道,是很难确定网络问题有何引起。
R2可以看成ISP(Internet Service Provider),有两个远程网络连接到它:R1和R2。在R3的本地管理员可以实现路由器的管理以及解决问题,然而,R3作为一个管理角色,ISP需要能够访问到R3,实施偶尔的故障排除和更新。所以要提供一个安全的访问方式,现在主要使用SSH,而不使用不安全的telnet。使用CLI来配置SSH安全连接。SSH将所有通过网络的信息都进行加密,并且提供远程计算机的身份验证。SSH正在迅速取代telnet成为网络管理专业人员的工具。
三、路由器的AAA认证
网络必须设计为能够控制允许谁连接到网络,以及在连接到网络时允许做什么。这些设计规则在网络安全策略中定义。网络安全策略规定网络管理员、公司用户、远程用户、商业合作伙伴以及客户如何访问网络资源。网络安全策略还要求实现一个能够跟踪谁在何时登陆进网络以及在登陆进网络期间行为的记账。只使用用户模式或特权模式加口令的方法来管理网络接入是不够的,而且不具备良好的扩展性。使用认证、授权和记账(Authentication, Authorization and Accounting, AAA)协议则为实现可扩展的访问安全性提供了必要的机制。
【参考文献】
[1]张宏科,苏伟.路由器原理与技术[M].北京:高等教育出版社,2010
[2]Wendell Odom.Routers and Routing Basics[M].北京:人民邮电出版社,2008
[3]王达.路由器配置与管理完全手册-cisco篇[M].武汉华中科技大学出版社,2011
作者简介:
帅志军(1977-),男,江西南昌人,讲师,江西现代职业技术学院教师,硕士,主要研究方向:网络安全、硬件和软件。
王和平(1968-),男,江西吉安人,教授,江西现代职业技术学院信息工程分院计算机系主任,主要研究方向:网络安全、硬件和软件。