值得关注的校园网基础安全配置

值得关注的校园网基础安全配置
梁艺军;赵伟
【期刊名称】《中国教育网络》
【年(卷),期】2017(000)009
【总页数】2页(P75-76)
【作者】梁艺军;赵伟
【作者单位】中国人民大学信息技术中心;中国人民大学信息技术中心
【正文语种】中文
在学校信息化建设过程中，必须要保证校园网络的安全与稳定，网络是任何信息化建设的基础，网络安全稳定是一个关系到全校教学科研平稳运行的重要问题。

然而,随着数字校园的发展，校园网络频频遭受攻击，一直以来问题不断，今后也将面临更多的威胁。

虽然各学校高度重视，以确保网络的安全和稳定运行为己任，但是还应该找到具体的设置方法和策略，笔者根据自身工作中的经验教训，为此做一探讨，文中指令以广泛使用的Cisco设备为参考。

网络设备的配置就是要保证数据通信的畅通，网络安全配置就是要保证高校网络通信的安全，最大可能使计算机及其网络系统资源不受自然和人为有害因素的威胁和危害，即指计算机、网络系统的硬件、软件受到保护，不因偶然的或者恶意的原因而遭到破坏、更改和泄露，确保系统能连续可靠正常地运行，使网络服务不中断。

配置的实施人员在安全设置中起着举足轻重的作用，因此有必要论述清楚其职责。

高校应分别设立网络管理员队伍（或称系统管理员，下同）和网络安全审计员，并分别由不同的人员担任。

网络管理员可由各个院系部处中心自行任用，由信息化管
理部门统一管理和评价，人数多；信息安全管理人员可以兼任网络安全审计员，由信息化管理部门任命。

根据网络访问控制的授权：只有网络管理员才有权登录网络核心设备，网络管理员根据网络访问控制策略要求，进行网络设备参数设置，更新和维护等工作，对网络设备实行分级授权管理，按照岗位职责授予不同的管理级别和权限。

网络安全审计员对网络管理员的登录和操作内容进行审计，对网络配置与网络访问控制策略进行符合性检查，为网络设备安全运行提供预警信息。

网络设备部署位置的环境，网络设备的部署环境应满足相应的国家标准和规范，以保证网络设备的正常运行。

本文以Cisco配置命令为例，详细介绍基础的网络安全配置。

关闭不必要的服务
1.禁止TCP、UDP Small服务
路由器会提供一些基于TCP和UDP协议的小服务,如：echo、chargen和discard。

这些小服务很少被使用，而且容易被攻击者利用来越过包过滤机制。

可采用no service tcp-small-servers 和no service udpsamll-servers指令关闭这些服务。

2.禁止Finger服务
Finger服务可能被攻击者利用查找用户和口令攻击。

采用no ip finger和 no service finger指令关闭此服务。

3.禁止BOOTp服务
采用指令no ip bootp server禁用自启动服务。

4.禁止IP Source Routing
禁用源路由，防止路由信息泄露，指令：no ip source-route。

5.禁止IP Directed Broadcast
禁用定向广播，防止smurf攻击，比如no ip directed-broadcast指令。

6.WINS和DNS服务
如果没必要通过网络进行名字查询则禁止WINS和DNS服务，比如：no ip domainlookup指令。

7.ARP-Proxy服务
如果不需要ARP-Proxy服务则禁止它，否则容易引起路由表的混乱, 路由器默认
开启的，可采用no ip proxy-arp和no ip proxy-arp禁止。

设置特权口令
不要采用enable password设置密码，而采用enable secret命令设置，enable secret 命令用于设定具有管理员权限的口令，而enable password采用的加密算法比较弱。

而要采用enable secret命令设置。

并且要启用Service password-encryption，这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。

避免配置文件被不怀好意者看见，并窃取这些数据的明文。

登录要求
1.对CON端口的登录要求
控制CON端口的访问,给CON口设置高强度的登录密码，修改默认参数，配置认证策略。

2.对AUX端口的管理要求
除非使用拨号接入时使用AUX端口，否则禁止这个端口。

3.远程登录的安全要求
建议采用SSH协议来取代Telnet进行设备的远程登录。

SSH与Telnet一样提供远程连接手段。

但是SSH传送的数据（包括账号和密码）都会被加密，且密钥会
自动更新，极大提高了连接的安全性。

SSH可以非常有效地防止窃听、防止使用
地址欺骗手段实施的连接尝试。

（注意：只有支持并带有IPSec特征集的IOS才支持SSH。

并且Cisco IOS12.0-IOS12.2仅支持SSH-V1。

）
4.HTTP的登录要求
如非要采用HTTP服务，要求对HTTP服务进行严格的控制，如果必须选择使用HTTP进行管理，最好用ip http accessclass命令限定访问地址且用ip http authentication命令配置认证，修改HTTP的默认端口。

本机认证和授权
初始模式下，设备内一般建有没有密码的管理员账号，该账号只能用于Console
连接，不能用于远程登录。

建议用户应在初始化配置时为它们添加密码。

一般而言，设备允许用户自行创建本机登录账号，并为其设定密码和权限。

SNMP协议
1.SNMP服务器的开启
如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意在禁止时删除一些SNMP服务的默认配置。

2.更改SNMP TRAP协议端口
如开启SNMP协议，要求更改SNMP trap协议的标准端口号，以增强其安全性。

3.设置SNMP密码
如开启SNMP协议，要求设置并定期更改SNMP Community（至少半年一次），以增强其安全性，不建议开启SNMP rw特性。

4.开启SNMP
如开启SNMP协议，并且条件许可的话，建议启动v3以上版本，指令为SNMP-server host 10.0.0.1 version 3 auth MoreHardPublic。

同时启用基于MD5认
证和DES加密来保障SNMP通道安全的机制。

开启日志功能
为了实现对设备安全的管理，要求对设备的安全审计进行有效管理。

根据设备本身具有的属性和实际维护经验，建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志，同时提供SYSLOG服务器的设置方式。

比如Cisco设备将LOG信息分成八个级别，由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。

考虑到日志信息的种类和详细程度，并且日志开启对设备的负荷
有一定影响，在此建议获取有意义的日志信息，并将其发送到网管主机或日志服务器进行分析，建议将notifications及以上的LOG信息送到日志服务器。

其他安全要求
1.禁止从网络启动和自动从网络下载初始配置文件
使用no boot network和no service config禁止从网络启动和自动从网络下载
初始配置文件。

2.禁止未使用或空闲的端口
使用shutdown关闭未使用或空闲的端口。

3.banner的设置要求
对远程登录的banner的设置要求不能透漏设备和网络信息，并应包含非授权用户禁止登录的字样。

4.源地址路由检查
为了防止利用IP Spoofing手段假冒源地址进行的攻击对整个网络造成的冲击，
要求在所有的边缘路由设备（即直接与终端用户网络互连的路由设备）上，根据用户网段规划添加源路由检查。

(注意：该检查会对设备负荷造成影响，源路由检查功能更适用于网络接入层设备，汇聚层和核心层设备不建议使用。

)
5.黑洞路由
当上级设备与下级设备互连时，若下级设备使用缺省路由引导流出流量，而上级设
备使用静态路由或只接收下级设备宣告的汇聚路由来引导返回流量，常常会在互连链路上形成路由环路。

这是由于下级设备有部分明细路由实际上没有使用而没有路由记录，而此情况不被上级设备所知道。

当有流量指向这部分地址时，下级设备会根据最长匹配原则使用缺省路由记录发往上级设备，而上级设备又根据静态或汇聚路由记录发还给下级设备，由此反复直至该流量的TTL递减归0为止。

当网络受
到扫描攻击或恶意破坏时，大量的流量在此链路上循环将严重挤占带宽和设备资源，影响网络服务质量甚至导致网络瘫痪。

要求根据IP规划和实际配置情况，在有此类故障隐患的下级设备上添加黑洞路由，屏蔽暂时不用的网段。

这需要根据业务开展情况实时做出调整。

（注意：将对目标地址不在路由表中的包进行丢弃操作。

在CMNET核心层和汇
聚层网络设备中不实施该建议，配置时需要确定是否会与缺省路由存在冲突。

）6.CAR技术
CAR是Committed Access Rate的简写，意思是：承诺访问速率。

CAR主要有
两个作用：对一个端口或子端口(subinterface)的进出流量速率按某个标准上限进行限制；对流量进行分类，划分出不同的QoS优先级。

CAR除了可以限制某种流量的速率之外，还可以用来抵挡某些类型的网络攻击。

DOS网络攻击的一个特征
是网络中会充斥着大量带有非法源地址的ICMP包，我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。

建议在接入层面实施CAR，配置CAR后会对设备性能造成一定影响，所以慎重实施。