各高校校园网管理与安全技术调研论述--ZT
近日,各高校频繁出现DISKGEN等病毒,ARP欺骗严重,故昨天在北大进行了网络安全的研讨会,本人经过分析研究结合各高校情况的会议纪要,进行收集整理,名为会议记录报告需要上交,但发现确实有一些很实际的大家都需要知道的一些安全知识,病毒特征,样本分析后的记录,与大家共享,避免在自己的计算机中出现类似情况,语言不通顺属于常理,请见谅
各高校校园网管理与安全技术调研论述
----produced by hnwg
首先是针对北大,因为北大在各方面都具有一定的权威性,虽然是文科类院校,但从这么低级的技术角度和国家对北大的重视程度上看,无论从经费和人员都是很顶尖的,故而在北大ARP欺骗防治技术上有很多可以吸取经验的地方。
北大校园网桌面用户安全和ARP防治技术
概要:1. 安全现状
2. 桌面防病毒系统
3. 防病毒软件选择
4. 防治ARP欺骗
目前北大正在应用的杀毒软件是 Symantec 企业版 10.1
申请的10000点
实际应用15000点
花费费用 40—50万人民币
实际使用企业版时
优点:资源占用少,稳定
有隔离机制避免误删文件
简单:适合初级用户使用
误判率低(与病毒更新库更新速度有关)
适合办公用
问题:木马病毒防范较弱
脱壳差
以防为主,无主动防御措施
其它杀毒软件介绍
Kaspersky:
优点: 脱壳能力强—适合国内现状,可以解决多次加壳问题
主动防御—实时监控进程及注册表修改等
病毒库更新快,但误判率微高
缺点: 内存,CPU占用率高
适合学生用户、
稳定性差
LICENCE控制严格!
MCAFEE:
访问/扫描/实时监控
缓冲区溢出保护功能,以截取API函数方式
可以定制访问保护规则,功能强,配置灵活
指定端口,文件,文件夹,共享资源等,主动防治入侵
适合人群为 有一定计算机基础的人
NOD 32
优点: 软件体积小
消耗资源少
速度快(杀毒引擎)
简单,易用
稳定,安静
虚拟机制好,预测性好(预测未知病毒能力强)
病毒库小(基因码方式)
缺点: 以防为主,无主动防御
适合初级用户及爱好者
防病毒软件选型
企业版:
优点: 集中管理,统计报表,便于LICENSE管理
病毒库统一校内更新
经济,更新及时,节约出口带宽
缺点: 策略集中,不灵活
校外更新困难(利用技术手段可以解决—如VPN)
流动用户多,LICENCE管理是个难题
对于校园网络松散管理模式,套装产品,防火墙,IPS功能策略无法统一定制管理和监控
用户的多样性也就使得防病毒软件需要多样性的需求:
对于一般不了解计算机知识或者计算机基础知识薄弱的人群建议使用的杀毒软件有:
SYMANTEC 或者 NOD32
这两款软件都是以防为主的,对于中毒的用户一般建议直接重新安装系统
对于有一定计算机基础知识的人,或者病毒软件爱好者的人群适合使用:
Kaspersky: 或者 MCAFEE
这两款软件能够主动防御,且可以定制访问策略等
对于办公区用户应该使用简单易用的杀毒软件,如:
SYMANTEC 或者 NOD32
北大新一轮订购杀毒软件计划,如果预算可以达到,他们将做如下定制
SYMANTEC 0.5万个点
NOD 32 0.5万个点
Kaspersky: 1万个点
MACFEE 0.5万个点
使用期: 3年授权
(北大就是有钱啊,全方位,多功能,多定制·····)
北大钱老师的意见是:
不能过于寄希望于防病毒软件,要有一定的辅助安全措施推广
如,360安全卫士,系统还原,虚拟机机制,影子系统等
但这些辅助安全机制需要具备一定计算机基础知识的人才可以顺利使用
北大对于防病毒机制的理想方案:
1.全自动方式
2.程序自动分析,辨别和封禁
存在的问题是:
准确性不高,容易误封
共享HUB后,用户发现次端口用不了,会自行将网线插至另一端口,导至管理混乱,或者封一端口,整个寝室不能正常使用,不能有针对性的*某台机器
单MAC对应多口的问题:学生使用笔记本电脑,也出现上述问题后,自行换别的端口,早成很多无辜端口被封,造成管理混乱
解决方式一: 系统辅助,人工确认
疑似病毒主机获得
用户自行报告,通过电话,BBS等方式
网管定期搜索
解决方式二: 静态绑定,减少扩散
在路由器上,静态MAC绑定
DHCP中已经分配的IP池中进行MAC绑定
程序每五分钟操作一次
封禁特定病毒网段
还有其他防范就是,增加ARP防火墙,开发ARP防护客户端等
桌面系统主要依靠 Anti ARP 金山ARP防火墙 360ARP防火墙等
北大对于用户中了ARP后的处理方式
1.建议格式化硬盘,重新安装操作系统
2.安装后,不打开其他盘符及文件进行操作
3.连接网络后安装补丁,安装防病毒软件
4.进行整机查毒杀毒操作。
清华大学是著名高校,更是富得流油~他们发现病毒早,预防的也快,但是中毒也是很深的····
清华大学校园网病毒防范介绍及近期病毒案例分析
概要:
1.现行ARP欺骗肆虐,查找ARP肆虐元凶
2.研究病毒的多种传播手段
3.研究病毒的自我保护功能
4.研究病毒的高度可重复感染性
清华大学郑老师以近期的磁碟机病毒变种为例进行研究及探讨
2月27日 在清华第一次发现磁碟机病毒,当时出现的反应有:
1.网络时断时续
2.网页浏览时弹出虚假QQ广告
3.局域网内发现大量ARP
4.一个局域网内有8台主机同事进行ARP欺骗
5.所有杀毒软件均无法杀掉病毒
6.知道3月7日才有杀毒软件能够进行查杀及免疫
样本分析:
1.病毒使用新技术,病毒特征不明显
2.传播速度快、
3.生存能力强
4.可重复感染,不能免疫
5.病毒本身功能齐全(如自动下载其他木马等)危害用户计算机
传播手段:
1.网页浏览器—主要传播手段
2.第三方软件传播 如:FLASH realplayer pdf
3.移动存储介质传播WINDOWS自动播放功能进行传播,病毒在感染后在检查是否人为关闭自动播放功能,如果是,病毒将自动开启系统的自动播放功能,便于传播。
4.通过所有 .exe 文件进行传播,对现有得到执行文件进行加壳加密避免被杀毒软件查杀
5.感染所有RAR文件,过程如下:解压缩文件—感染—进行打包还原
6.通过ARP欺骗网页劫持进行传播
7.木马下载器—感染病毒后,系统会通过木马下载器下载其他木马
这个病毒生存能力强:
1. 注册全局:HOOK,扫描等用安全关键字(非常短,哪怕是安全的安都会被扫描),让程序崩溃,自动关闭相关软件
2. 通过系统延迟或者重启方式在C盘生成高优先级的底层驱动程序并在系统启动项加载检测病毒主程序是否在正常工作,同事卸载其他安全软件在系统中的驱动
完成改驱动程序被病毒删除。
3.监视并修复注册表,关闭查看系统隐藏功能
4.进入不了安全模式,一但进入则蓝屏
5.删除注册表中所有启动项
6.监视并删除image file execution options项和子键,防治用户通过镜像还原
7.延时启动功能,病毒感染后不马上发作,有潜伏期
8.同时加载两个病毒,互相监视,一但其中一个被终止,另一个会马上启动它,如果都被阻击,系统会自动重启
多种方式导致重复感染率高
1.各磁盘中创建autoruan.inf和pagefile.pif,使得用户只要双击系统中的盘符就会感染
2.加壳,导致文件无法使用
3.ARP欺骗劫持
4.其他木马自动下载
变种更新迅速,功能多样化,给校园网的挑战:
1.传统防御失效
2.杀毒软件被动
3.表现形式不固定
4.网络层可控因素小
5.用户端风险和操作难的问题
清华解决方案
1.局域网内防范,监听
2.采用趋势杀软
3.用户安全培训
4.及时的安全通告
5.普通用户的安全意识培训
6.针对特定用户的专题安全培训
清华郑老师的一些解决思路:
1.多元化控制
2.更有效的防范、
3.需要终端用于参与度高
4.安全知识讲座,宣传海报
上海交大是第一个有网络应急小组的学校,我在本单位也是负责网络应急小组的,但相比之下还是发现交大,财大气粗,有自己专门的开发人员自己开发了很多软件,非常好,但不共享,据说要卖····
上海交大ARP病毒的防范
概要:
1.发现与分析
2.针对性控制策略
遇到的一些问题及解决方法:
•发现与分析—长期全面检测
•深入一线进行分析
•针对性确定控制策略
•黑洞路由控制
一般解决方案
扫描获取三层交换机的ARP信息
对中毒用户进行在线告警(上交大自己研发的用户告警系统)
利用TCP劫持来视线网页重定向
用户端浏览器弹出告警网页,不耽误用户继续使用的情况下告知用户尽快杀毒处理
用户离线隔离:
1.在接入层交换机上视线
2.不同类型交换机开发不同的接口
3.SNMP等操作自动关闭对应接入交换机端口
大规模ARP欺骗控制策略
三月初,各高校都有DISKGEN ARP欺骗的传播,在交大ARP 有90%以上的有DISKGEN病毒,经过更详细的磁碟机监测,病毒网站域名解析结果随时会变,封IP简单,封域名难,通过动态路由协议在其他位置上进行控制,LIUNX+ZEBRA软件路由器,使脚本定时动态解析域名,自动生成相关路由命令,能够降低人工干预频率
上海交通大学 ARP欺骗校内防治讨论
概要:
讨论ARP欺骗单向双向以及其他传输方式,包括有线网络静态IP地址分配及无线动态IP地址分配,赖老师讲到,现有的交换机能够防范ARP的很少,或者只能在端口绑定MAC/IP ,缺点:部分设备配置绑定的就口不能同事配ACL ,出现意外则影响IPV6 NATIVE的应用,对于三层交换机,SNMP检查设备ARP表,对问题MAC端口进行封禁,缺点是部分交换机的静态ARP条目有上限,用户流量不记账,三层交换机默认不检查用户源IP/MAC,解决:三层交换机降两层使用,多划分VLAN 独立网络。
中山大学的老师都还是很和蔼的,也是很低调的,有自己很特例独行的一套,偶然间打开中山的安全类宣传网页,也是耳目一新,很是独特,我这边也要按照这个模式进行发展,可以借鉴的地方很多
中山大学
防毒软件还是防毒服务?ARP欺骗木马治理与对策
概要:
专业的防病毒服务支持
•防毒软件产品
•CSIRT现场事件相应服务
•帮助与支持,知识库形式
•风险分析,威胁管理
•披露与公告
•教育与培训
•安全意识培养
正确认识防病毒软件
•防病毒软件不是万能的
•反病毒软件需要配合其他辅助工具
•防御工具
•清理工具
•修复工具
正确使用防病毒软件
高校安全部门提供一线服务与支持
要与防病毒软件厂家共享信息
要对防病毒软件产品做出贡献
提高意识取得信任是关键
•提升意识和信任需要精密策划与长时间积累有关
•安全意识教育,提升用户安全意识
ARP 欺骗木马治理与对策
对《ARP欺骗围堵下载器安装木马的补充》
用DNS PROXY过滤
效果很好
ARP木马的治理方法
预防措施(主动)
相应措施(被动)
保护措施(半主动)
安全管理(战略)
需要各学校成员能够做到共享机制
协作与信息共享
病毒样本分析共享
恶意站点域名管理共享
