学校宿舍网络安全探究

0.前言

如今，校园宿舍网呈现用户多且密度大、网络节点多、难以管理的特点。宿舍网的用户相对其他网络的用户分布要密集很多，而众多用户与不同宿舍楼之间的网络连接结构相似，但节点甚至比办公大楼、实验室等其他区域的网络节点还要多，管理起来工作量大。同时，不容忽视的是，学校拥有一大批活跃、求知欲强的学生用户，因此IP地址盗用等现象频频发生。在传统的IP和MAC地址绑定、流量计费的运营管理模式下，为了防止IP地址盗用现象，将大量IP和MAC地址绑定，不仅加大了服务中心工作人员的工作量，甚至造成了超负荷工作，工作人员对此有很大意见；同时，用户对不能正常使用网络的抱怨也时有发生。各种原因交织在一起最终导致了管理难的问题。因此，我们一直在寻找由难到易的宿舍网运营计费认证管理办法，需要它营造出一种方便、实用、快捷、易于管理的网络环境。

同时，由于宿舍区网络使用者知识能力等所限，被病毒、木马等威胁的实例也层出不穷，例如：局域网爆发ARP病毒，具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。这是因为局域网内有电脑运行ARP欺骗程序（比如：传奇、QQ盗号的软件等）发送ARP数据包，致使被攻击的电脑不能上网。为了有效防范宿舍区内病毒等的发生与蔓延，有必要认真研究解决对策。

1.宿舍网络安全简介

随着网络的快速发展和上网用户的急剧增多，网络中的不安全因素日益暴露无遗，主要表现在：

1）由于IP和MAC地址的可变性而导致的冒用合法用户入网问题。非法用户只要连接网线，对电脑进简单的网络配置就可以上网。由于IP和MAC盗用会导致合法用户不能上网，甚至非法入网者会以合法用户的名义从事非法勾当，对网络的安全管理造成很大的威胁；

2）操作系统和应用软件存在大量漏洞，这是造成网络安全问题的严峻的一个主要原因。国际权威应急组织CERT/CC统计，截至2004年以来漏洞公布总数16726个，并且利用漏洞发动攻击的速度也越来越快；

3）校园网用户安全意识不强及计算机水平有限。大部分学校普遍都存在重技术、轻安全、轻管理的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，甚至有些学校直接连接互联网，严重缺乏防范黑客攻击的意识。

学生宿舍网作为服务于教育、科研和行政管理的计算机网络，实现了校园内连网、信息共享，并与Internet互联。宿舍网连接的校内学生机，存在许多安全隐患，主要表现有：

1)宿舍网与Internet相连，面临着外网攻击的风险。

2)来自内部的安全威胁。

3)接入宿舍网的节点数日益增多，这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。

通过对宿舍网的安全设计，在不改变原有网络结构的基础上实现多种信息安全，保障宿舍网络安全，一个整体一致的内网安全体系，应该包括身份认证、授权管理、数据保密和监控审计四个方面，并且，这四个方面应该是紧密结合、相互联动的统一平台，才能达到构建可信、可控和可管理的安全内网的效果。

身份认证是内网安全管理的基础，不确认实体的身份，进一步制定各种安全管理策略也就无从谈起。内网的身份认证，必须全面考虑所有参与实体的身份确认，包括服务器、客户端、用户和主要设备等。其中，客户端和用户的身份认证尤其要重点关注，因为他们具有数量大、环境不安全和变化频繁的特点。

授权管理是以身份认证为基础的，其主要对内部信息网络各种信息资源的使用进行授权，确定谁能够在那些计算机终端或者服务器使用什么样的资源和权限。授权管理的信息资源应该尽可能全面，应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。

数据保密是内网信息安全的核心，其实质是要对内网信息流和数据流进行全生命周期的有效管理，构建信息和数据安全可控的使用、存储和交换环境，从而实现对内网核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样，所以要求数据保密技术必须具有通用性和应用无关性。

监控审计是宿舍网络安全不可缺少的辅助部分，可以实现对宿舍网络安全状态的实时监控，提供宿舍网络安全状态的评估报告，并在发生宿舍网络安全事件后实现有效的取证。

宿舍网络安全已经成为信息安全的新热点，其技术和标准也在成熟和演进过程中，我们有理由相信，随着同学们对宿舍网络安全认识的加深，用户宿舍网络安全管理制度的完善，整体一致的宿舍网安全解决方案和体系建设将成为宿舍网安全的主要发展趋势。

宿舍内部网络安全经常会发生IP盗用现象，恶意修改MAC地址，严重危害了正常的上网秩序，下面我们先从网卡开始探讨网络的安全问题。

2.网卡

2.1网卡的基本构造

网卡包括硬件和固件程式（只读存储器中的软件例程），该固件程式实现逻辑链路控制和媒体访问控制的功能，还记录唯一的硬件地址即MAC地址。网卡上一般有缓存。网卡须分配中断IRQ及基本I/O端口地址，同时还须配置基本内存地址（basememoryaddress）和收发器（transceiver），主要由网卡的控制芯片、晶体震荡器、BOOT插槽、EPROM、内接式转换器、RJ-45和BNC接头、信号指示灯等部分。

网卡的控制芯片是网卡中最重要元件，是网卡的控制中央，有如电脑的CPU控制着整个网卡的工作，负责数据的的传送和连接时的信号侦测。早期的10/100m的双速网卡会采用两个控制芯片（单元）分别用来控制两个不同速率环境下的运算，而现在较先进的产品通常只有一个芯片控制两种速度。

内接式转换器只要有BNC接头的网卡都会有这个芯片，并紧邻在BNC接头旁，它的功能是在网卡和BNC接头之间进行数据转换，让网卡能通过它从BNC接头送出或接收资料。

信号指示灯在网卡后方会有二到三个不等的信号灯，其作用是显示现在网络的连线状态，通常具备TX和RX两个信息。TX代表正在送出资料，RX代表正在接收资料，若看到两个灯同时亮则代表现在是处于全双工的运作状态，也可由此来辨别全双工的网卡是否处于全双工的网络环境中部分。

2.2网卡的工作原理

网卡的主要工作原理是整理计算机上发往网线上的数据，并将数据分解为适当大小的数据包之后向网络上发送出去。对于网卡而言，每块网卡都有一个唯一的网络节点地址，它是网卡生产厂家在生产时烧入ROM（只读存储芯片）中的，我们把它叫做MAC地址（物理地址），且保证绝对不会重复。发送数据时，网卡首先侦听介质上是否有载波（载波由电压指示），如果有，则认为其他站点正在传送信息，继续侦听介质。一旦通信介质在一定时间段内（称为帧间缝隙IFG=9.6微秒）是安静的，即没有被其他站点占用，则开始进行帧数据发送，同时继续侦听通信介质，以检测冲突。在发送数据期间,如果检测到冲突，则立即停止该次发送，并向介质发送一个阻塞信号，告知其他站点已经发生冲突，从而丢弃那些可能一直在接收的受到损坏的帧数据，并等待一段随机时间（CSMA/CD确定等待时间的算法是二进制指数退避算法）。在等待一段随机时间后，再进行新的发送。接收时，网卡浏览介质上传输的每个帧，如果其长度小于64字节，则认为是冲突碎片。如果接收到的帧不是冲突碎片且目的地址是本地地址，则对帧进行完整性校验，如果帧长度大于1518字节（称为超长帧，可能由错误的LAN驱动程序或干扰造成）或未能通过CRC校验，则认为该帧发生了畸变。通过校验的帧被认为是有效的，网卡将它接收下来进行本地处理。

2.3网卡的工作模式及功能

1.工作模式分为以下四种：

1)广播模式（BroadCastModel）:它的物理地址（MAC）地址是0Xffffff的帧为广播帧，工作在广播模式的网卡接收广播帧。

2）多播传送（MultiCastModel）：多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收，而组外主机却接收不到。但是，如果将网卡设置为多播传送模式，它可以接收所有的多播传送帧，交换机根据以太网帧中的源MAC地址来更新地址表。当一台计算机打开电源后，安装在该系统中的网卡会定期发出空闲包或信号，交换机即可据此得知它的存在以及其MAC地址。由于交换机能够自动根据收到的以太网帧中的源MAC地址更新地址表的内容，所以交换机使用的时间越长，学到的MAC地址就越多，未知的MAC地址就越少，因而广播的包就越少，速度就越快。由于交换机中的内存毕竟有限，能够记忆的MAC地址数量也是有限的。既然不能无休止地记忆所有的MAC地址，那么就必须赋予其相应的忘却机制。事实上，为交换机设定了一个自动老化时间（Auto－aging），若某MAC地址在一定时间内（默认为300秒）不再出现，那么，交换机将自动把该MAC地址从地址表中清除。当下一次该MAC地址重新出现时，将会被当作新地址处理。

3.4可网管交换机VLAN技术VLAN即虚拟局域网（VirtualLocalAreaNetwork的缩写），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组技术。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。

先来了解一下交换机是如何使用VLAN分割广播域的首先，在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口（Flooding）。例如，计算机A发送广播信息后，会被转发给端口2、3、4。

交换机收到广播帧后，转发到除接收端口外的其他所有端口。这时，如果在交换机上生成红、蓝两个VLAN；同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。再从A发出广播帧的话，交换机就只会把它转发给同属于一个VLAN的其他端口也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。同样，C发送广播信息时，只会被转发给其他属于蓝色VLAN的端口，不会被转发给属于红色VLAN的端口。

如果要更为直观地描述VLAN的话，我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个VLAN，也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机(如上图)。

3.5MAC和交换机端口的绑定在了解了交换机的基本知识之后，我们来在交换机上寻求一种防止盗号上网的方法将网卡的MAC地址与交换机的端口绑定，从在交换机上遏制盗号上网的现象。我们以思科的交换机为例。

switch#configt//进入到全局配置模式switch（config）#intf0/1//进入到0/1号端口switch（config-if）#switchportmodeaccess//设置交换机的端口模式为access模式，注意缺省是dynamic//dynamic模式下是不能使用Port-security功能switch（config-if）#switchportport-security//打开port-security功能switch（config-if）#switchportport-securityMAC-addressxxxx.xxxx.xxxx//xxxx.xxxx.xxxx就是你要关联的MAC地址。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-BasedNetworkAccessContro1)而定义的一个标准。

4.802.1x认证技术简介

4.1引言802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LANSwitch)，就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

4.2802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。它具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的问题，更加适合在宽带以太网中的使用。

网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

4.3802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。对于无线局域网来说，一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就打开这个端口，允许所有的报文通过；如果认证不成功就使这个端口保关闭，即只允许802.1x的认证协议报文通过。

802.1x认证体系分为请求者系统、认证系统和认证服务器系统三部分：

(1)请求者系统请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.lx认证，后文的认证请求者和客户端二者表达相同含义。

(2)认证系统认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。

(3)认证服务器系统认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。请求者和认证系统之间运行802.1x定义的EAPO(ExtensibleAuthenticationProtocoloverLAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如RADIUS)，以便穿越复杂的网络到达认证服务器；当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如RADIUS)，传递用户认证信息给认证服务器系统。

认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

4.4802.1x认证特点基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。

4.5802.1x认证流程基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息，认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性，基于EAP协议的认证系统可以使用多种不同的认证算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等认证方法。

以EAP-MD5为例，描述802.1x的认证流程。EAP-MD5是一种单向认证机制，可以完成网络对用户的认证，但认证过程不支持加密密钥的生成。

(1)客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入；(2)接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来；(3)客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名；(4)接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中，发送给认证服务器；(5)认证服务器产生一个Challenge，通过接入设备将RADIUSAccess-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge；(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证；(7)客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备；(8)接入设备将Challenge，ChallengedPassword和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证；(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束；(10)如果认证通过，用户通过标准的DHCP协议(可以是DHCPRelay)，通过接入设备获取规划的IP地址；(11)如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器；(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

4.6802.1x配置先配置switch到radiusserver的通讯全局启用802.1x身份验证功能Switch#configureterminalSwitch(config)#aaanew-modelSwitch(config)#aaaauthenticationdot1x{default}method1[method2...]

指定radius服务器和密钥switch(config)#radius-serverhostIP_addkeystring2、在port上起用802.1xSwitch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#dot1xport-controlautoSwitch(config-if)#end配置关键点：

1、要保证在交换机上设置的认证和计费端口号和RADIUS服务器一致；2、要保证在交换机上设置的认证和计费加密密码与RADIUS服务器一致；3、要是RADIUS服务器非直连，那么要保证RADIUS服务器与交换机是路由可达的。

有些时候，即使我们做了一系列的防范工作，还会有一些病毒和木马对我们的网络安全工作带来威胁。这就需要我们了解病毒等的基本知识，运用一些防火墙或杀毒软件阻止和消灭它们。

5.病毒、木马、防火墙5.1计算机病毒及特点计算机病毒是一种人为编写的程序。是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。其过程可分为：程序设计--传播--潜伏--触发、运行--实行攻击。计算机病毒的特点有传染性、隐蔽性、潜伏性、破坏性。

5.2计算机病毒的传播计算机病毒的传播途径主要有：

通过文件系统传播；通过电子邮件传播；通过局域网传播；通过互联网上即时通讯软件和点对点软件等常用工具传播；利用系统、应用软件的漏洞进行传利用系统配置缺陷传播，如弱口令、完全共享等；利用欺骗等社会工程的方法传播。

5.3防火墙与查杀软件防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙杀毒软件是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能。后两者同时具有黑客入侵，网络流量控制等功能。国内常用的杀毒软件有瑞星、金山、江民、趋势、东方微点和费尔斯特。

5.4病毒的清除

1.如果所使用的操作系统的文件已经感染病毒，那么每次启动系统时，病毒也会随之运行。系统启动完成后，病毒也被激活，驻留在内存中，监视系统的运行，并伺机进一步感染或者发作破坏。此时，不能在这种带毒系统下进行病毒清除工作，必须使用磁盘版的杀毒软件启动计算机系统，或者使用无毒的系统软盘启动机器，然后运行杀毒软件进行病毒清除工作。

2.蠕虫／黑客程序侵入系统时，一般要修改注册表，并将自身拷贝在硬盘中，或者用自身的程序替换操作系统中的一些核心文件。