校园网安全访问控制及基于流量的计费.pdfVIP

校园网安全访问控制及基于流量的计费 CERNET西南地区网络中心 电子科技大学信息中心 汪文勇 2007年4月12 日 提纲 校园网安全与认证计费现状 安全中的困惑和一些可行解决方案 种可行安全整体解决思路 校园网安全现状 n 计算机系统的漏洞 n 计算机蠕虫、病毒泛滥 n 外来的系统入侵、攻击等恶意破坏行为 n 内部用户的攻击行为 n 校园网P2P 的应用 安全问题之ARP 攻击 n ARP flooding q 瞬间发送大量的ARP数据包给交换机，填满交 换机的MAC表，导致交换机变成集线器，攻击 者从而利用嗅探工具监听网络中的数据包。 安全问题之ARP 攻击 n ARP spoofing q 欺骗主机的ARP报文（ARP 网关欺骗） n 病毒机器或攻击者发送仿冒的Sender IP和Target IP 为网关IP 的ARP 报文，所有主机收到这个报文后，更新主机的网关对应的ARP 表，造成后续报文不能发送到网关，而不能上网，因为所有的主 机内的ARP都被欺骗更新了，则整个网段都不能上网。 q 欺骗网关的ARP报文（ARP 主机欺骗） n 病毒机器或攻击者发送仿冒的Sender IP和Target IP 为某个主机IP 的 ARP报文，网关收到这个报文后，更新网关内的主机对应的ARP 表，造成后续报文不能返回到对应主机，而导致网络中断。 教育网络校园网认证计费现状 认证现状 l部署IPv6 的高校，在IPv6地址下没有认证 l部分高校在无线网络环境里没有进行身份认证 l部分高校宿舍网进行了身份认证，办公网没有认证 计费现状 l校园网需要运营，已被绝大多数学校认可 l很多学校采用包月计费，导致P2P 流量无法控制，侵蚀带宽 l有些学校采用流量计费，但单纯按流量给用户带来经济压力 提纲 校园网安全与认证计费现状 安全中的困惑和一些可行解决方案 种可行安全整体解决思路 安全中的困惑 n 如何控制移动的端点用户带来的风险？ q 端点设备：存在安全风险的端点设备接入到网络中，很容易对网 络内部或者其它设备造成损害，而笔记本用户的增加以及无线网 络的增加将会使外来设备更加难易控制。 q 端点用户：用户应该只能在允许的区域进入网络，并且获取相应 资源的访问权限。当用户随意在网络中穿越以及用户帐户不能很 好的保护时，我们正遭受各种安全威胁且无法确定身份。 端点带来的风险越来越突出，对于端点的控制需要从端点的设备和端 点的用户两个层面入手，而往往以前都只注重其中 个层面。 安全中的困惑二 n 网络病毒和系统漏洞威胁到业务的正常开展 q 网络中计算机病毒的感染率比例非常高，有78%的计算机都曾经感 染过病毒，很多电脑系统刚刚安装完就已经感染了病毒。 q 很多用户不按要求启用防病毒软件甚至将软件卸载，从而造成防病 毒软件不能很好的发挥应有的效用。 q 操作系统中的漏洞也不断被发现，从漏洞公布到出现攻击代码的时 间越来越短，有些漏洞会对系统产生致命的危害。 我们如何做到所有用户系统漏洞的及时有效更新，并且及时的启用防 病毒软件是很必要的问题。 安全中的困惑三 n 网络安全事件无法得到有效的检测和处理 q 缺少对网络中的攻击、扫描、入侵等安全事件进行检测发现的手段和机制。 q 发生安全事件之后无法追查定位到具体用户，无法进行处理。 q 没有专业安全知识，对安全事件的原理和影响不了解，不 如何进行处理。 如何为网络管理者提供 个能够有效将网络安全事件进行统 、有效管 理的平台？