教育城域网中校园网络安全初探.docx
《教育城域网中校园网络安全初探.docx》由会员分享,可在线阅读,更多相关《教育城域网中校园网络安全初探.docx(13页珍藏版)》请在冰点文库上搜索。
教育城域网中校园网络安全初探
教育城域网中校园网络安全初探
[摘要]:
二十一世纪是一个信息飞跃发展的时代,中小学校园网的建立无疑为学校现代化建设提供了一个良好的基础。
随着网络的发展,网络安全越来越受到人们的重视,文中阐述了目前教育城域网面临的威胁,结合本人在从事网络管理的一些经验体会,从设备安全、服务器安全、系统安全,代码、脚本安全,以及管理员的错误认识等方面入手,就技术的角度阐述校园网络安全建设与管理模式的一些探索。
[关键词]:
教育网安全漏洞管理
[Abstract]:
21stcenturyistheerafordevelopmentofaninformationleap,thesetting-upofcampusnetworkofthemiddleandprimaryschoolshasundoubtedlyofferedagoodfoundationformodernizationoftheschool.Withthedevelopmentofnetwork,theonlinesecurityispaidattentiontomoreandmorebypeople,explaineducationalcitylandthreatthatnetworkfaceatpresentinthearticle,combineIengagedinsomeexperienceofnetworkmanagementrealize,safefromapparatussecurity,serversecurity,system,thecodes,scriptsaresafe,andmistakeofadministratorknowrespectstartwith,explaincampusonlinesecurityconstructionwithsomeexplorationofmanagementmodeonangleoftechnology.[Keywords]:
EducationnetworkSafeLoopholeManage
概述
目前,大多数中小学校虽然接入了教育网,但网络建设经费投入严重不足,所以就将有限的经费投在关键设备上,对于网络安全建设一直没有比较系统的投入,致使校园网处在一个开放的状态,普遍都存在“重使用、轻技术、轻安全、轻管理”的倾向,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些学校甚至直接连接互联网,没有任何有效的安全预警手段和防范措施,这就给病毒、黑客提供了充分施展身手的空间。
而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患只要发生一次,对整个网络都将是致命性的。
到目前为止,还有很多学校对网络安全重视不够,或存在认为没发现设备有物理破坏的网就是安全的,这种错误认识导致教育网被黑客们称为练习的平台,“肉鸡”成群的评价。
校园网中web服务器通常对公众通常提供web服务功能,不只是校园网内的用户可以访问到,所有internet节点均可访问,这样校园网的安全威胁不仅仅是来自校内的,也有来自校外的,只有将技术和管理都重视起来,才能切实构筑一个安全的校园网。
其次,由于缺乏网络管理软件和网络监控、日志系统,使学校的网络管理极度艰难,缺乏上网的有效监控和日志,上网用户的身份无法唯一识别,存在极大的安全隐患。
作为教育部门,如何构筑相对可靠的校园网络安全体系问题,变得越来越突出了。
一般来说,构筑校园网络安全体系,要从两个方面着手:
一是采用先进的技术;二是不断改进管理方法。
从安全的角度来看,校园网的安全程度较低并不是由于黑客的技术水平日益提高造成的,根本原因还是来自于校园网内部,比如主管领导重视程度不够、缺乏网络相关知识,网络管理设备、软件投入不足,个别学校没有专门的网络管理员或管理员缺乏管理经验、技术太过陈旧等等原因才是导致整个校园网安全系数降低的根本原因。
本文以校园网在信息层上安全性问题进行简要的阐述,校园网实体安全性(如设备的散热、电磁干扰等)不在本文阐述的范围之内。
下面我从校园网接入设备安全、服务器安全、代码安全、系统安全、软件安全、网络划分安全,病毒木马防范等方面进行逐一阐述。
一、设备安全
1.接入级路由器、交换机等设备安全
交换设备是网络上的重要“器官”,任何一个设备出现问题必然引起整个网络的阻塞,各个学校往往在构建校园网时只注重网络的畅通,因而只对交换设备进行了简单的配置,忽视了后期加强路由器、交换机等设备的安全性配置。
1.1设备的密码安全
杜绝不设口令的帐号存在,尤其是超级用户帐号。
部分学校的路由器等设备在进行初始配置后,一直在使用初始密码登录,即使采用了其他手段防止非网管员登录,但这样还是存在隐患的。
(1)专家建议密码长度应该最佳长度在6—10位,密码复杂度应由字母、数字、特殊符号产生的无意义组合,并在40天左右更换一次密码。
(2)设备中的密码级别尽可能的不要使用明文密码,在设备支持的前提下对密码进行加密保存。
1.2设备的登录限制
大多数管理员为了方便配置、管理、查看设备运行情况都对设备开启的远程管理功能,比较典型的是开启了Telnet、SNMP服务,建议非必要、或者不能保证其安全性的前提下不要开启远程管理,如果一定要开启的话,要进行如下的配置:
(1)使用Telnet服务时,更改其使用端口、或者在路由器等设备中增添ACL列表,把该列表作用于登录列表上,网管机不和其他用户处于同一VLAN,尽量排除非网管IP试探性登录路由等设备的可能。
(2)在网内要使用基于SNMP协议的网络管理软件时,必须要开启设备的SNMP服务。
很多设备也是默认开启这个服务的,并初始设置了public(只读)和private(读写)两个共同体名称,这是绝对不可取的,笔者曾在城域网的使用网管软件进行扫描,默认使用这两个名称共同体的设备不占少数,安全隐患可想而知。
对此,第一、在使用SNMP协议时,尽可能的使用SNMPV3,因为V3支持加密,只得到共同体名称而没有密码还是没用;第二,在使用SNMPV1和SNMPV2时,对共同体的名称尽可能的使用无意义的字符串,万万不可使用如学校名称首字母等弱口令作为共同体名称;第三,在没有对设备进行SNMP写操作要求的情况下(如只监控,不操作),不要配置SNMP为读写(RW)属性、只读(RO)即可;第四、在SNMP中也引用ACL列表,这样只能ACL中规定的计算机才能通过SNMP协议获取信息。
如ACL中有access-list1permit172.27.1.1,我们在做SNMP时,可以这样写:
snmp-servercommunityxieru432rw1,这样只有172.27.1.1这台终端并且使用xieru432共同体名才能使用设备的SNMP服务。
1.3网络中进可能的使用三层或二层可网管型交换机
网络规模越大,管理上就要更科学才能方便的查找出了网络中存在或出现的问题,在校园中的办公子网中要尽可能使用可网管型二层或三层交换机,这样方便实现设备端口、IP地址、MAC地址的绑定,可以实现对上网的身份唯一识别,也预防了ARP欺骗类病毒或恶意软件的攻击。
1.4明确设备上的端口开、关状态
1.5使用硬件防火墙和配置接入路由设备限制校园网外部地址对内部网络的访问
二、服务器安全
校园网的建立,教育城域网内的各单位也开始建立自己内部的服务器,比较典型的有WWW服务器、FTP资源服务器、VOD视频服务器、邮件服务器、OA服务器、数据库服务器、网络监控日志服务器等等。
部分服务器不仅对内部网络服务,且要提供对外提供相应的服务,比如学校Web服务器是学校对外提供信息的窗口,Internet上的所有用户都可以通过学校门户网站了解学校的信息,同时也为源自外部的HACKER们敞开了一个可以尝试入侵的大门,故加强服务器的安全,尤其是对外(广域网)提供服务的服务器安全势在必行。
2.1使用正版操作系统,服务器尽可能选择安全性较高的操作系统
目前最流行的操作是微软的WINDOWS系列的操作系统,也正是因为流行,所以研究WINDOWS人也多,所出现的漏洞也就越多,能够掌握利用其漏洞攻击的‘黑客’也居多,所以笔者认为尽可能的使用如LINUX一类的系统能在很大程度上抵御外界的攻击。
在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。
因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。
最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。
如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。
所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
2.2断网安装系统、打全补丁
服务器安装操作系统时一定要断网安装,否则不能保证系统的纯净,无论使用哪种操作系统、在使用之前都应该在连网之前打全已公布的补丁,以保证在提供服务之前不被漏洞攻击。
同时,及时更新系统、打好补丁也很重要。
2.3在服务器安装正版、功能较强的杀毒软件和防火墙
个别管理员认为不用服务器上网就不用在服务器安装杀毒软件,对外网已经有了很强大的硬件防火强,就不需要软件防火墙了,这是一个错误的认识。
杀毒软件可以查杀网内的蠕虫病毒或检查管理员上传到服务器的文件资料是否含有病毒并按预先设置规则的处理,近几年流行的基于虚拟机的杀毒软件这点上做的很好。
硬件防火墙只能过滤来自外网(广域网向校园网)的非法访问,来自内网对服务器的攻击或服务器如果中了反弹式木马主动连接外网它是无能为力的,这时只能靠软件防火墙的规则来限制哪些软件可以访问外部,由此可见在服务器上安装软件防火墙还是很重要的。
2.4进行端口筛选、设置安全策略
服务器一般只提供是单一、或者个别的几个服务,不充当普通工作站上网使用,所以可以通过策略设置只允许几个提供服务的端口打开,其他端口全部筛选掉,这样即使中了某些反弹式木马病毒也连接不到外网,不会对服务器造成致命的影响。
在服务器没有必须提供远程登录的前提下,笔者认为最好关闭服务器的远程登录功能,如果要开启,一定要注意权限的设置,在安全策略里设置允许哪些用户远程登录,不允许哪些。
有的管理员为了管理方便,开启了服务器的3389端口,在WINDOWSNT服务器中表现为终端登录服务,笔者认为这个是不可取的,也是不必要的。
如果个别用户的权限设置不当,很容易留给黑客入侵的机会。
此外,通过3389端口连接尝试破解登录口令也是有可能的,建议可以通过FTP的形式在内网中对服务器中的系统文件外的资源进行管理,(FTP可以限制登录用户的IP,建议使用serv-u,因为它的权限独立于操作系统,安全性高)。
如果一定要开始3389终端服务,建议改变服务端口,给黑客造成服务器没有打开3389服务的假象,同时设置3389服务的IP连接限制。
2.5关闭常见的病毒、木马使用端口
关闭一些容易被病毒、木马利用的端口,如果TCP135、TCP137、TCP139、TCP445、UDP137、TCP25端口等等,也能在一定程度上提高服务器的安全性。
2.6服务器密码安全
一些网络管理人员,为了图方便,认为服务服务器只由自己一个人管理使用,常常对系统不设置密码。
这样,“入侵者”就能通过网络轻而易举的进入系统。
笔者曾经就发现并进入多个这样的系统。
服务器的密码设置可参看前面提到的设备密码安全。
2.7服务器上不要安全与提供服务无关、流氓软件等。
网上流传的很多小软件中捆绑了一些木马或远程控制程序,在安装软件的同时,这些软件也悄无声息的安装到系统内部(不是所有木马杀毒软件都能查出来的,一般捆绑的数据经过处理),令管理员很难发现,故尽量不要在服务器安装一些无服务器提供功能无关的软件,在必要的情况下,一定要分析好安装程序是否有捆绑程序或恶意软件再进行安装。
2.8权限设置安全
无论是提供哪种类型服务的服务器,权限的设置对安全性都至关重要,对于一般管理员来说,系统盘的权限默认都是设置好的,在对系统分区权限十分了解的情况下,最好不要修改系统盘的权限,否则可能会导致某些系统服务不能正常启动或运行,而对于提供网络服务的分区则要比较“吝啬”的设置权限,以web服务器中权限设置为例,网站的目录权限中一定不要设置给EVERYONE访问权限,只允许超级用户组或某个超级用户完全访问的权限,给予具有USER权限的IIS用户读取和运行和修改的权限,只给具有GUEST权限的IIS用户读取和运行的权限,个别需要写操作的数据库文件和上传目录再给予具有GUEST权限的IIS用户写权限。
总之,尽可能的授予最小目录访问权限。
三、代码、脚本安全
目前最容易被网络管理员忽视的就是web站点中的代码安全性问题了,往往管理员认为服务器上安装了杀毒软件、防火墙,设置较为强大的密码保护起来,系统就应该安全了,在学校网站下面挂了一些网上免费提供代码的小站,如“软件下载”,“动网论坛”代码修改的论坛等等。
这样是不可取的,实际上网站代码中的漏洞绝对是一个五星级安全隐患,外网入侵内网服务器七成以上都是从分析门户网站的代码开始,这种入侵不易发现,往往服务器被多只黑手摸过管理员还未察觉,笔者所在的教育城域网中就有很多服务器存在着这样的问题,一些黑客和一些爱好使用黑软的青年们通过对目标网站的扫描,从而得到后台数据库的绝对路径、权限,或得到后台管理员的相关权限,上传脚本木马,从而对得到系统的部分权限,再通过上传木马或远程控制端提权,从而彻底控制服务器。
被恶意入侵的服务器小则被删除服务器中的信息,或修改网站页面的内容,但现今的入侵往往不是这样样子,很少有黑客去修改别人网站的主页或把人家的服务器数据库清空,往往都是在入侵之后通过在线修改门户网站的主页面或者修改一个访问量比较大的页面,把自己的脚本木马挂到上面(俗称网站被挂马了),所有浏览过这个页面的计算机都会自动下载已经设置好的木马并运行,以不同的形式通知黑客所使用的计算机,成为黑客手中僵尸网络的一员。
黑客们从外网入侵内网往往使用的也是这个手段。
据统计世界范围内70%以上的中小型网站均采用ASP+ACCESS或ASP+SQLServer构建,PHP+MYSQL占20%,其他的不足10%。
这些脚本编写的代码中都不同程度的含有注入(SQLinjection)漏洞。
ASP编程门槛很低,新手很容易上路。
在短时间内,新手就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。
那么新手与老手就没区别了吗?
只不过外行人很难一眼就看出来罢了。
在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。
而在安全性方面,新手最容易忽略的问题就是SQLinjection漏洞的问题。
教育城域网里的这种漏洞就更普遍了,随便找几个网站,50%左右均在不同程度上存在着注入漏洞,其中不乏由市区级教育部门维护的网站。
下面就对网站中的代码安全进行一个简要的介绍。
3.1asp、jsp、php等脚本的SQL注入漏洞
3.1.1介绍SQL注入法
简要的介绍一下注入,导致SQL注入攻击的漏洞并非系统造成的,主要是程序员在编程中忽略了安全因素,可谓是:
“千里之堤,溃于蚁穴”。
但其安全原理并不复杂,拿我曾修改过的一个代码为例,其中含有最简单的表单注入,该脚本代码中在判断用户名和密码是否合法时使用的语句是:
………
rs.openselect*fromadminwhereusername='"&username1&"'andpassword='"&passwd1"'",conn,1
ifrs.boforrs.eofthen
转向用户名或密码错误页面
Else
通过验证,进入管理页面
………
看似和平常的几条语句,实际上就这一条语句,就使得用户不必输入密码绕过系统的验证直接“合法”的登录系统后台,原因如下:
Passwd1参数是从密码表单中传递过来的数据,正常情况下应该是我们输入的密码,在密码没有经过任何加密的情况下,我们传递这样一个参数(在密码框中输入)1'or'1'=1,原来的语句变成了这样rs.openselect*fromadminwhereusername='"&username1&"'andpassword='"1'or'1'=1"'",conn,1,这样就直接绕过了密码验证。
解决的办法要么是密码一定要加密,或者先取回用户名,再判断密码是否正确就解决了这样的问题。
这种漏洞虽然不多,但在教育网中还是存在的。
3.1.2SQL脚本注入的破坏力(猜解法)
脚本中传入参数中的特殊参数过滤不严,这些参数主要包括:
'";#&exec、insert、select、delete、from、update、count、xp_cmdshell、add、net、asc等等,在URL的后面使用这些参数配合查询数据使用,能够取的一些意想不到的结果,比如使用猜解法猜解sql数据库的名称:
http:
//xxx.xxx.xxx.xxx/a.asp?
p=yand(selectcount(*)frommaster.dbo.sysdatabasewherename>1anddbid=6)<>0,这里由于提交了name>1,而name字段一般是由一个字符型的字段,和数字比较的时候会出错,a.asp工作异常,从而返回第一个数据名称,以此类推,可以得到网站所使用的所有数据库名称,然后可以根据数据库得到字段名称,最后猜解字段的内容,得到网站后台密码。
若在脚本中过滤了这些参数,能对SQL注入起到很好的限制作用。
这种代码在网上也有很多,比较典型的就是枫网sql防注入通用代码。
3.1.3注入攻击与SQL数据库程序
SQL数据库用户的权限设置不当或过大也为注入攻击提供了便利,笔者曾经见过一个市级教育部门的大型网站数据库,该部门对多个网站进行维护,采用的都是SQL数据库,并且把数据库集中存放到一个数据库服务器上,其他WEB服务器都通过局域网在该数据库服务器进行读写操作,看起来这样比较安全(程序和数据分开存放),破坏了WEB服务器而不影响数据库服务器,恢复起来容易,但实际上如果所有网站中有一个具有注入漏洞,加之该数据库中权限设置不够明确、数据库服务器没有经过特殊的优化,按默认的安装、设置,这样通过注入可以得到一个对数据库操作的用户名和密码,如果权限设置的不是最小权限,则可以跨站跨库进行操作,或者通过SQL自带的远程系统管理xp_cmdshell对数据库所在的系统进行管理员级的远程操作,所以笔者认为在没有必要的情况下SQL服务器一要要关闭远程管理,并且在数据库用户权限设置上多花些时间,尽量达到最小的权限设置,同时数据库用户尽量使用SQL用户单一验证模式,不要把SQL的用户和系统的用户混用使用(配置SQL服务器的时候有选项)。
3.1.4另类解决注入的方法
对于注入,有的时候很难免,但换个角度,我们也可以通过其它的手段来减少注入给我们带来的隐患。
(1)网站除主站代码使用IIS默认的匿名用户访问外,其他站点或虚拟目录均使用不同的用户来访问服务器,实现的办法是在系统中创建具有最少权限(GUEST组)的用户,在设置不同虚拟目录分别采用不同的用户身份浏览,这样,即使其中的一个小站或虚拟目录被注入破解,甚至挂马,也不影响主站的运行或破坏主站。
(2)在代码中限制后台登录所使用的IP地址也不失为一个好办法。
(3)加密网站后台管理员密码,增加密码的复杂度,如有条件使用自己的加密算法,另对方无法破解,这样即使被非法获取了密码也没有用处。
(4)替换iis的500:
100错误默认提示页面为c:
\windows\help\iishelp\common\500.htm,这样无论asp运行中无论出现什么错误,服务器只提示http500错误,黑客无法从中得到有用的信息。
这一办法至少能让98%以上黑客束手无策。
3.1.5避免注入的重要性
注入看似需要复杂的脚本语言基础或数据库基础,但实际上上面的所有分析操作都可以通过操作傻瓜似的软件来完成,从而一个不懂脚本语言、不懂一点SQL的人可以使用软件在几分钟内分析整个网站,从而找到注入点,得到后台的管理员密码甚至得到服务器的控制权限,管理员一定要提高认识,不可小视那些只会使用‘黑软’捣乱的青年们。
一个网站如果被获取了后台的登录权限后,入侵者下一步要么考虑如何上传属于他自己的后门程序,以便以后方便从改站上下载内部资料或者利用门户网站的优势传播病毒木马,从而掌握更多的“肉鸡”,以满足自己的需要。
笔者曾测试过一个教育网中以盈利为目的的远程教育网站,该网站从页面美工到代码设计都十分特别,可以判断出整站代码是独立编写而不是使用的来自internet的免费资源,唯一不足的就是管理员从未考虑过网站代码的安全性,如果有人通过注入恶意获取数据库里的账号资料进行交易,至少也能让这个网站损失几万元,甚至失去用户的信任。
3.2代码中的上传文件格式过滤不严格
目前教育网网站中还有一个代码级漏洞比较严重,程序员在写程序时对上传的文件格式限制不严格,表现为一方面是在后台上传文件的时候限制不严格(可能考虑网页管理员不能对自己的服务器破坏),另一方面很多类似论坛的代码中本身允许用户提交flash、gif、rar等一些文件,往往很多程序在程序中只对扩展名进行了一个简单的上传限制或者干脆就没有限制,导致普通用户上传asp或其他脚本木马,从而入侵服务器。
简单的扩展名限制是不够的,黑客往往分析客户端和服务器端交换的数据,构造一个含有特殊字符或多个扩展名的文件上传,服务器只能接受有限个文件名长度,从而在上传的过程当中既绕过了扩展名的限制,也上传了非法的脚本木马文件。
解决的办法一个是在代码中限制上传文件名的格式和长度,再者关闭服务器非必要的FSO功能。
3.3管理页面
管理页面代码中尽量不要出现判断session<>""或者使用简单的cookie判断,都可以在不同程度上通过伪造session或cookie来绕过系统验证,最好对session变量特别命名,或者session和cookie二者配合使用。
php、jsp等脚本代码在不同程度上也存在着SQLinjection漏洞,在次不在赘述。
四、其他方面的安全
4.1管理员应该做的工作
(1)定期检查网络核心设备、服务器等运行状态,做好记录,对服务器中资源进行备份,对系统中的进程、钩子函数等定期查看,仅仅靠杀毒软件是不能防止病毒或木马入侵的,暂不说能够独立编写木马病毒的黑客有多少,现在的加密解密技术已经到了白日化的程度,很多爱好者都可以使用简单的工具对木马、病毒进行脱壳、加壳、修改特征码操作,我们的杀毒软件是防御性的、滞后病毒发展的,往往只能查杀大众化的、已经公开的木马、病毒,对修改后的、未广泛流行的木马病毒基本无能为力,所以只能靠管理员对系统的熟悉程度、网络知识的储备、独立的分析、维护才是上策。
(2)管理员不断更新掌握的知识,对已公开的漏洞要在第一时间内进行修补,升级硬件设备的IOS,打好服务器补丁。
4.2网络拓扑结构安全
在建立校园网时,通常就是先保证网络畅通,安全性以后再去加强,实际上这也是一个错误的认识,因为有些安全性的问题如果在规划校园网不去考虑,日后再想改变结构所进行的二次投入往往很大,得不偿失!
升级会员 