本科毕业设计---浅析常见网络安全问题及对策.doc

浅析常见网络安全问题及对策（计算机与软件学院）专业班级： 网络技术1001 学生姓名： 屈露 学生学号： 1297810030127 指导教师： 王燕波 日期： 2013/3/30 目录摘要3关键字3第一章 引言41.1网络安全概述41.2 网络安全体系结构41.3 网络安全技术简介5第二章 操作系统的安全62.1 实现主机系统的安全62.2 实现防火墙对网络的保护72.3 实现系统内部蜜罐功能15第三章 网络设备安全183.1 网络设备IOS安全183.2 Cisco交换机安全183.3 Cisco路由器安全20第四章 各种攻击及其防范对策214.1 IPC$入侵214.2 IP欺骗与防范254.3 网页病毒的制作与防范264.4 遇到密码破解的对策27第五章 结论28参考文献29致谢30摘要摘要：随着信息化进程的深入和因特网的迅速发展，人们的工作、学习和生活方式正在发生着巨大的变化。但是，紧随着信息化发展而来，网络安全问题也变的日益突出。针对这些问题，本文分析了计算机网络安全的现状与网络安全所面临的安全威胁。通过事例，研究了对计算机网络正常运行产生不利因素的防范措施，从不同角度了解影响计算机网络安全的情况，确保计算机网络的安全管理与有效运行，并提出了一些网络安全问题的方法和对策。关键字：计算机、网络安全、防范措施第一章 引言1.1网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受任何破坏、更改和泄漏，确保系统能连续可靠正常运行，确保网络服务不中断。从本质上讲，计算机网络安全就是网络上的信息安全。网络安全具有五个方面的特征：保密性、完整性、可用性、可控性、可审查性。其中保密性是要保证在网络上传输的信息不被泄漏，防止非法窃取，通常采用信息加密技术，来防止信息的泄漏。完整性是指数据未经授权不能进行改变的特性。可用性是被授权的实体可以访问并按需求使用的特性。可控性是指能够通过访问授权使用资源的人或实体对网络的使用方式以及对网络传播的内容进行控制，防止和控制非法信息或不良信息的传播。可审查性是指指出现的安全问题时提供的依据与手段。随着互联网和网络应用的飞速发展，网络应用日益普及并更加复杂，网络安全问题已经是互联网和网络应用发展中面临的重要问题。网络攻击行为越来越多且更加复杂，使网络安全的防御变的更加困难。黑客攻击行为，攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移。网上木马、间谍程序、钓鱼网站等的出现和日趋泛滥。手机、笔记本电脑等无线终端设备的处理能力和功能通用性的提高，使其日趋接近个人计算机，针对这些无线终端设备的网络攻击已经开始出现，并将进一步发展。总之，网络安全问题已经变得更加复杂，影响不断扩大。如果网络安全问题不加以防范，将会严重的影响到网络的应用。1.2 网络安全体系结构通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标，整个网络安全体系主要由物理安全、网络安全、系统安全、信息安全、用用安全和安全管理等几个方面组成。物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施及其他媒体免遭地震、火灾、水灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。系统安全主要是指操作系统、应用系统的安全性及网络硬件平台的可靠性。信息安全就是要保护网络中各个位置的敏感信息。在应用安全上，首先要考虑到通信的授权，传输的加密和审计记录。其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围。安全管理是指一些安全管理的策略。安全管理策略主要有：定义完善的安全管理模型；建立长远可实施的安全策略；彻底规范的安全防范措施；建立恰当的安全评估尺度，并且进行经常性的规划审核。当然还需建立高效的管理平台。1.3 网络安全技术简介防病毒技术、防火墙技术和入侵检测技术是网络安全领域的三大主流技术。1.3.1 防病毒技术在所有计算机安全威胁中，计算机病毒是最严重的，不仅发生的频率高、损失大，而且潜伏性强、覆盖范围广。因此，查杀病毒是必须的措施。单机防病毒、网络防病毒、网关防病毒、系统的防病毒的防病毒计划是目前主要的防病毒技术。单机防病毒与专业的防病毒服务器配合，定期或自动通过英特网连接产品官方服务器获得最新病毒定义，以实现动态防御与静态杀毒相结合。网络防病毒技术是目前主流安全防护技术之一，适用于各种规模的局域网。网络防病毒技术包括服务器模块和客户端模块，其中服务器主要为客户端提供统一部署和管理，如病毒库升级、远程部署等，而客户端则只需接受防病毒服务器的管理即可。网关防病毒技术主要有两个部分，一是如何对进出网关数据进行查杀；而是对要查杀的数据进行检测与清除。网关防病毒技术有基与代理服务器、基于防火墙协议还原、基于邮件服务器、基于信息渡船产品方式等几种实现形式。系统的防病毒计划重要包括制定系统和防病毒策略、部署多层防御战略、定期更新防病毒定义文件和引擎、定期备份文件等计划。1.3.2 防火墙技术 防火墙是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。 目前的防火墙产品主要有包过滤路由器、代理服务器以及电路层网关、屏蔽主机防火墙等类型。按照防火墙所采用的技术不同又可以分为包过滤、网络地址转换、代理型、检测型四种基本类型。1.3.3 入侵检测技术 入侵检测技术简单地说是指一种能够及时发现并报告系统中未授权或异常现象的技术。入侵检测的作用主要有如下几个方面：（1）若能迅速检测到入侵，则有可能在造成系统损坏或数据丢失之前识别并驱除入侵者。（2）若能迅速检测到入侵，可以减少损失，使系统迅速恢复正常工作，对入侵者造成威胁，阻止其进一步的行为。（3）通过入侵检测可以收集关于入侵的技术资料，可用于改进和增强系统抵抗入侵的能力。第二章 操作系统的安全2.1 实现主机系统的安全2.1.1禁止建立空链接(如果开放着IPC$的话，黑客可以通过一些工具与计算机建立连接，然后得到用户列表并进行暴力破解，因此禁止建立空连接很重要)如下图21图21 2.1.2 关闭不必要的端口和服务关闭不必要的端口（以关闭445端口为例），如下图22图22关闭不必要的服务（以关闭IPSEC Services为例），如下图23图232.1.3 禁止系统自动启动服务器共享，如下图24 图242.2 实现防火墙对网络的保护2.2.1 允许内部电脑访问Internet和外部FTP服务器第一步：打开ISA Server 管理窗口，在左窗格中依次展开“服务器名称”“配置”目录，并选中“网络”选项。这时右侧的任务窗格中默认打开“模版”选项卡，里面列出了系统内置的五种模版，单击“边缘防火墙”模版，如下图25。 图25第二步：打开“网络模版向导”，在欢迎页中单击“下一步”按钮。如下图26图26第三步：点击下一步，打开“内部网络IP 地址”对话框，确认向导正确识别了内部网络的IP 地址。在该对话框中，用户可以通过添加IP地址、添加适配器或添加专用地址来添加更多的IP地址。添加到“地址范围”列表框中的IP地址将被允许访问外部网络（Internet），确认内部IP地址范围无误后单击“下一步”继续，如下图27所示：图27第四步：打开“选择一个防火墙策略”对话框，在“选择一个防火墙策略”列表中选中一个防火墙策略。本例选中“允许无限制的访问”选项，该策略将允许内部网络和VPN客户端网络中的计算机无限制访问Internet。设置完毕单击“下一步”按钮，如下图28所示：图28第五步：点击下一步，单击完成按钮。如下图29图29第六步：返回ISA Server管理窗口。在左窗格中单击“防火墙策略”选项，这时可以在右窗格中看到新建的策略规则。最后依次单击“应用”“确定”按钮保存更改并更新配置，如下图210，211所示：图210图211第七步：出于安全考虑，ISA Server 服务器默认不允许FTP上传（即不能向位于外部网络的FTP服务器），用户必须手动取消FTP的“只读”属性才能实现FTP上传。在上述创建的“无限制的Internet访问”策略规则上单击右键，选择“配置FTP”快捷命令。在打开的“配置FTP协议策略”对话框中取消选中“只读”复选框，并依次单击“确定”“应用”“确定”按钮保存更改并更新设置，如下图212所示：图2122.2.2具体策略(使ccc和xp能够ping通bbb，使ccc能够telnet bbb，而xp不能telnet bbb)第一步：bbb上未安装ISA之前ccc能够ping通bbb如下图213所示：图213第二步：在bbb上安装ISA2004，如下图214所示图214第三步：bbb上安装了ISA2004后，bbb能够ping同ccc和xp,而ccc和xp不能ping通bbb。在bbb上创建策略，使ccc和xp能够ping通bbb。如下图215，216，217所示：图215图216图217第四步：创建策略使ccc能够telnet bbb而xp不能telnet bbb，如下图218所示：图218第五步：Ccc能够telnet bbb ,而xp不能telnet bbb，如下图219，220所示：图219图2202.3 实现系统内部蜜罐功能第一步：单击“开始”“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。第二步：在弹出的“组件服务”对话框中，选择“计算机”选项。第三步：在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。第四步：在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。第五步：选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。第六步：单击“确定”按钮，设置完成，重新启动后即可关闭80端口。关闭了80端口，如下图221所示：图221第七步：服务器类型选iis服务后开始监听，如下图222所示：图222第八步：bbb(192.168.1.42)访问192.168.1.1，访问到虚拟web，如下图223所示图223第九步：aaa上日志文件检测到192.168.1.42的访问，如下图所示：224图224第三章 网络设备安全3.1 网络设备IOS安全3.1.1 登录密码安全（以交换机为例）为交换机SI配置Enable密码，如下图31图313.1.2 终端访问限制安全（以交换机为例），如下图32图323.2 Cisco交换机安全（S1只能学到一个MAC地址，如果违规就将接口关闭）3.2.1 交换机端口安全 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口地址绑定可以实现对用户进行严格的控制、保证用户的安全接入和防止常见的内网的网络攻击。在S1上配置（让S1的端口fa0/2只能学到一个mac地址）的命令如下图33所示：图33 3.2.2 VLAN安全VLAN的主要作用：一是提高网络安全性，阻止未经授权的VLAN访问，二是提高网络传输效率，将广播隔离在子网之内。在局域网使用VLAN可以降低移动和变更的管理成本，控制广播、增强安全性、网络监督和管理的自动化。3.2.2.1 划分VLAN并配置VTP并将电脑加入到相应的VLAN如下拓扑图34图34第一步：连线并且配置中继链路S1(config)#interface fa0/4S1(config-if)#switchport mode trunk S2(config)#interface fa0/4S2(config-if)#switchport mode trunk 查看和检验的命令S2#show interfaces trunk第二步：配置域名S1(config)#vtp domain syhS2(config)#vtp domain syh 第三步：在交换机S1上创建一个VLAN第四步：把端口加到VLAN中S2(config)#interface fa0/1S2(config-if)#switchport mode acceS2(config-if)#swi acc vlan 10S2(config-if)#exitS2(config)#inter fa0/2S2(config-if)#swi mo accS2(config-if)#swi acc vlan 20S2(config-if)#exiS2(config)#interfac fa0/3S2(config-if)#swi mo accS2(config-if)#swi acc vlan 30第五步：S1为VTP服务器，S2为VTP客户S1(config)#vtp mode serverS2(config)#vtp mode client3.3 Cisco路由器安全3.3.1 路由器ACL安全3.3.1.1拓扑图如下图35所示图353.3.1.2 安全策略1只允许PC3（192.168.3.2）访问服务器的web站点（192.168.1.3），其他都拒绝.其配置命令如下图36所示：图363.3.1.3安全策略2拒绝来自因特网的PING、telnet，其它都允许。其配置命令如下图37所示：图373.3.2 路由器物理访问安全 路由器是局域网中的主要设备之一，也是网络安全的前沿关口。如果路由器连自身的安全都没有保障，整个网络也就毫无安全可言。因此在网络安全管理上，必须对路由器进行合理规划、配置，采取必要的安全措施，避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。 维护路由器一直是网络管理员最重要的工作之一，除确保管理员身份外，还应建立完善的记录备案机制，通常情况下可以从为路由器间的协议交换增加认证功能、物理安全防范、静止远程访问、保护路由器口令、阻止查看路由器当前的用户列表、防止包嗅探等方面加以控制。 严格控制CON端口的访问，可以采取下列措施：1、如果可以开机箱的，则可以切断与CON口互联的物理线路；2、可以改变默认的连接属性，例如修改波特率；3、配合使用访问控制列表控制对CON的访问；4、为CON口设置高强度的密码。第四章 各种攻击及其防范对策4.1 IPC$入侵第一步：建立IPC$连接（目标主机的ip:172.5.211.105）如下图41所示：图41第二步：映射对方默认共享C盘，如下图42所示：图42第三步：在我的电脑上会出现网络驱动器，如下图43图43第四步：编写一个批处理文件（其目的是为了留下后门帐号），并拷贝到对方的电脑上，然后增加计划任务执行批处理文件，如下图44批处理命令：（保存为adduser.bat）net user nebulastest 123456 /add /增加用户nebulastest，密码123456net localgroup administrators nebulastest /add /为用户nebulastest赋予管理员权限图44第五步：删除当前IPC$链接，使用新用户和新密码建立IPC$链接，如下图45所示：图312第六步：使用telnet（其格式是：在命令行输入telnet 目标主机的ip）进行登陆：（前提:目标电脑已经开启telnet服务）如下图46所示：图46第七步：登陆后的界面（获得了目标主机的shell），如下图47所示：图474.2 IP欺骗与防范4.2.1 IP欺骗第一步：ipmap安装成功提示，如下图48图48第二步：启动ipmap，如下图49图494.2.2 IP欺骗防范IP欺骗的防范措施主要有以下三个：（1）抛弃基于地址的信任策略放弃以地址为基础的验证。不允许r*类远程调用命令的使用；删除rhosts文件；清空/etc/hosts.equiv文件。这将迫使所有用户使用其他远程通信手段，如telnet、ssh、skey等（2）阻止伪冒ip地址采用访问控制列表（ACL）可也阻止这类ip地址进入内网在进站ACL拒绝的私有地址的进入（黑客冒充私有一般）ip access-list exitingress-antispoofdeny ip 10.0.0.0 0.255.255.255 anypermit ip any any建立策略防止自己网络中用户仿冒其他网络的ip（3)使用加密方法通信时要求加密传输和验证。IPSEC是intenet协议安全，它使用很强的密码系统提供认证和加密服务，提供两个网关之间的安全通道的能力，数据在发送者的网送处加密，在接受者处的网关处解密4.3 网页病毒的制作与防范4.3.1 网页病毒的制作第一步：代码编辑，我们使用写字板编辑如下代码：<html><body><% Dim fso Set fso=Server.CreatedObject("Scripting.FilesystemObject") fso.CreateTextFile("d:myfile") response.write("新建文件myfile") set fso=nothing%></body></html>第二步：执行脚本编写的代码。要执行上述代码，首先要配好IIS服务和我web服务器第三步：当web服务器配置完成，将上述编辑好的代码保存到web服务器的路径中，如“c:Inetpubwwwroottext.asp”.第四步：打开IE浏览器，在地址栏中输入“HTTP:/localhost/text.asp”，运行脚本。这时，如果脚本没有语法错误则会在网页中输出“新建文件myfile”,并且在d盘根目录下建立了一个文件myfile4.3.2 网页病毒的防范自定义安全级别。打开IE，在Internet选项中选择“工具”“安全”“自定义安全级别”把“ActiveX的插件和控件”的一切设为禁用。如下图410所示：图4104.4 遇到密码破解的对策4.4.1 对称密钥密码体制 所谓对称密钥密码体制是指加密和解密密钥是一样的。 对称密钥密码体制在应用中的缺陷：密钥管理的麻烦、不能提供法律依据、缺乏自动检测保密密钥泄密的能力。4.4.2 公钥密码体制所谓公钥密码体制是指加密和解密是不同的，密钥是一对。一个是公开的，一个是秘密的。公钥密码应用上的缺陷：公钥算法一般比较复杂、加解密速度慢。网络上的加密普遍采用公钥和私钥密码相结合的混合加密体制：加解密采用传统密码，密钥传送采用公钥密码。这样既解决了密钥管理的困难，又解决了加解密速度的问题。4.4.3 密码体制的应用（虚拟专用网），VPN的过程如下图411所示：图411要通过Internet建立VPN，不仅只是对两端传送的数据进行加密，还需要对用户的身份进行认证。用户认证涉及认证算法或公钥证书。VPN还需要建立访问控制能力，只有合法的用户才能访问内部网，不同用户的访问权限也会不一样。第五章 结论 有网络连接的地方，就会有网络安全问题的存在。网络安全问题是网络发展的核心和灵魂。在本次毕业设计中，主要浅析了一些简单的网络安全的问题及其防范的措施。在此设计过程中，通过实践和参考了许多有关方面的资料，也对以前所学的关于网络方面的知识有了更深的了解，当完成这个设计之后，我们感受到网络的无穷魅力同时也发现自己掌握的网络知识是如此欠缺并对网络知识产生了一进步了解加深的渴望。在这次设计中虽然遇见了很多问题，但通过查询资料，请教同学，问题都不同程度的解决了。通过这次课题，我学到了很多，与此同时也巩固了我的已学知识，提高了我们的思维能力，加强了我们解决困难和应对困难的能力。参考文献1 曹晟 陈峥，计算机网络安全实验教程，第一版，北京，清华大学出版社，2011年2 刘晓辉，网络安全设计、配置与管理大全，第一版，北京，电子工业出版社，2009年3 谢希仁，计算机网络(第5版)，第5版，北京，电子工业出版社，2009年4 李涛,网络安全概论，第1版,北京,电子工业出版社 ,2004年5 牛冠杰，网络安全技术实践与代码详解，人民邮电出版社.，2010年6 杨波，现代密码学（第2版），清华大学出版社，2010年7 Greg Holden著 王斌 孔璐译 防火墙与网络安全入侵检测和VPNs，清华大学出版社，2009年8 龚涛 鲁立， 网络操作系统基于Windows Server 2003，机械工业出版社，2010年9 David Hucaby著 王兆文译， CCNP SWITCH（642-813）认证考试指南，人民邮电出版社，2010年10 Todd Lammle著 程代伟 徐宏 池亚平译， CCNA学习指南，第三版，电子工业出版社，2009年致谢 首先诚挚的感谢指导老师XXX老师，在XXX老师的悉心指导下，我不但顺利完成了论文，还学到了很多知识，使我在以后的学习和工作中了解懂得了更多，给了我很大的帮助。另外我还要感谢我的同学，在完成论文的同时她们给了我很大的帮助和支持，让我能更快的完成论文。30