周绯菲 潘 杰 郝晓冰 王观海 王文杰 何 文
摘 要:为解决中型局域网用户主机普遍存在的具有容易被蠕虫病毒利用的严重安全漏洞的问题,通过对某单位校园网的安全设计工程安全方案的研究,提出采用将计费网关与漏洞扫描技术相结合的方式,解决用户主机的补丁包升级、漏洞扫描以及漏洞主机提示等问题.结果表明该技术对于其他中小型规模的局域网具有一定的参考价值.
关键词:局域网; 漏洞扫描; 补丁升级; 校园网
中图分类号:TP309.7; TP393.08文献标志码:A
Technology combined with local area networks
cost gateway and leak scanning
ZHOU Feifei1, PAN Jie2, HAO Xiaobing3, WANG Guanhai3,
WANG Wenjie4, HE Wen1
(1.Department of Computer, Beijing Communication Management Institute, Beijing 100020, China;
2. Merchant Marine College, Shanghai Maritime Univ., Shanghai 200135, China; 3. Library, Yanshan Univ.,
Qinhuangdao Hebei 066004, China; 4. Graduate School, Chinese Academy of Sciences, Beijing 100049, China)
Abstract: In order to solve the serious security leak problem easily imposed by worms in middle or small scale LAN, a technology combined with local area networks cost gateway and leak scanning is proposed based on the study of the safety program in the safe project engineering of a campus network. In this technology, problems such as updating the patch package of the main computers of client in the campus network, scanning serious leak, notifying the computers which have serious leaks, and so on, have been solved. The result shows that it has some referencing value to other middle-scale or small-scale campus networks or enterprise networks.
Key words: local area network; leak scanning;patch updating; campus network
0 引 言
随着网络技术的不断发展,几乎所有的企事业单位都拥有局域网,局域网的安全问题变得更加突出.由于局域网的终端用户普遍缺乏安全意识,不能及时为操作系统安装最新的补丁包,使得用户主机存在严重的操作系统漏洞,经常被蠕虫病毒[1-3]利用缓冲区溢出等方式远程入侵并在局域网范围内广泛传播,造成大量局域网主机无法正常使用以及网络服务无法正常进行的情况.如何保证客户端主机补丁包及时升级、及时发现网络中的漏洞主机,对保证局域网的安全非常重要.
1 网络级漏洞扫描技术的原理
网络级漏洞扫描技术是网络安全扫描技术中的核心技术,与防火墙、入侵检测等技术不同,其从另一个角度解决网络安全问题.标准的网络系统漏洞库是根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验所形成.相应的匹配规则在此基础上构成,由扫描程序自动进行漏洞扫描.该方法可用来检查网络中的目标主机是否存在漏洞(通过端口扫描后得知目标主机开启的端口以及端口上的网络服务),并将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在.这种技术效率较高、误警率较低,符合局域网的安全需要.
2 病毒警告技术的整体规划
除将子网更加细化以降低蠕虫病毒的危害范围外,使用微软公司的SUS服务器,并且与校园网做联动:在核心交换机与防火墙之间加入计费网关;核心交换机采用端口镜像技术,并将镜像端口与流量监控主机相连;安装微软的自动升级服务器,保证校园网服务器的操作系统每天升级;利用编写的Perl代码以及微软的kb工具对校园网的各个客户端每天进行补丁扫描,防止蠕虫病毒的入侵与蔓延.通过在核心交换机网络出口处布置的入侵检测系统(或者sniffer),可以检测出中了蠕虫病毒并且对网络性能有极大影响的机器,然后通知用户及时处理.如果中毒主机的用户对通知不予理会,那么这台中毒主机将不能访问因特网.通过该方案,可以使用户在最短的时间内发现病毒,并在计费网关登录页面处进行页面跳转,暂时中止用户上网,直至用户按照网络中心提供的方法将病毒清除干净为止.图1为拓扑结构.
为提醒校园网用户能及时安装补丁,利用微软提供的1个安全补丁扫描程序,在每天更新这个扫描程序的前提下,编制代码使之定时(每天12:00)
扫描校园网全网的机器,检查其是否安装安全补丁,把扫描结果保存到数据库packip的machine表单中.然后在校园网几个访问最频繁的网页上,通过后台脚本读取访问网站的用户IP,根据保存在数据库中的数据,判断是否安装安全补丁.如果没有安装,则在醒目位置提醒用户到升级服务器上及时安装补丁.首先将通知程序和漏洞扫描的数据库连接在一起.通知程序可以改变计算机IP的状态(如中毒或流量异常等),漏洞扫描可以判断IP所对应的计算机是否有漏洞.当用户需要访问因特网上的站点时,首先登录计费网关.计费网关是否允许访问需要1个判断程序,即从刚才的machine表单中提取数据.如果此IP所对应的主机有漏洞,提示安装补丁,但可访问因特网;如果该IP所对应的主机中毒,则跳转到相关页面,告诉用户如何处理,等清除病毒后再次进行判断,直至病毒被清除干净为止;如果此IP不在数据库表单里或者此IP对应的主机没有中毒,则可正常访问因特网.
3 计费网关与漏洞扫描相结合的技术设计技术设计流程见图2.
判断是否中毒,可选择使用sniffer或snort等流量监测技术在核心交换机的镜像端口处对所有进出核心交换机的网络流量进行查看:当网络中存在大量使用蠕虫端口的数据包时,可认为网络中有主机中了蠕虫病毒(网络安全管理人员手工将machine表单中问题主机的virus字段设为非空的其他值).
使用计费网关后,用户访问因特网会有个登录页面,在这个登录页面的代码中有个判断该IP所对应的主机是否中毒的语句,即判断machine表单中该主机的virus字段是否为空.如果为空,则正常访问因特网,否则将进行页面跳转直至病毒被清除(病毒被清除后,该主机用户联系校园网安全管理人员,由其对该主机再次进行监控,确保其清除病毒后手工将machine表单中该主机的virus字段设置为空,该用户可重新访问因特网).由于在核心交换机的各端口处已经做端口与MAC地址的绑定,因此即使中毒主机用户手工改动本机的IP地址或MAC地址也无济于事.4 详细设计
(1)建立数据库、表单.先建立数据库packip,在这个数据库中建立event和machine 2个表单.event表单存放扫描的时间和扫描过的主机,machine表单存放用kb.exe进行漏洞扫描时发现的主机.在machine表单中,state字段表示是否安装补丁;manualstate字段表示若没有安装补丁,则在计费网关的登录页面有提示;forceurl字段表示页面跳转标记;virus字段表示病毒标记,为空时表示无病毒.
(2)编写代码.使用perl编写securitypack代码.[4]利用微软提供的软件对全网进行扫描,把发现漏洞的结果存放至数据库中.图3是漏洞扫描程序设计流程.
在18台实验机器上用securitypack扫描后的结果见图4.表明10.161.0.6,10.161.0.112,10.161.0.92,10.161.0.44,10.161.0.73,10.161.0.28,10.161.0.7和10.161.0.59这几台主机没有及时安装补丁包(state字段为open),存在严重安全漏洞.
5 结束语
通过将计费网关与漏洞扫描技术相结合的方法,解决网络级漏洞扫描以及对未将补丁包更新的用户进行提示的问题,收到良好效果,对其他中小型规模的局域网具有一定的参考意义.
参考文献:
[1]谭毓安. 网络攻击防护编码设计[M]. 北京: 北京希望电子出版社, 2002: 20-35.
[2]ROCKY K, CHANG C. Defending against flooding-based distributed denial-of-service attacks: a tutorial[J]. IEEE Commun Mag, 2002(10): 42-51.
[3]ZHENG H. Internet worm research[R]. Tianjin: College of Information Technologies Science in Nankai University. 2003: 12-15.
[4]RANDAL L, OLSON S E, CHRISTIANSEN T. Learning PERL for WIN32[M]. 北京: 中国电力出版社, 2000: 22-45.
(编辑 陈锋杰)