3网络与信息安全

网络与通信安全中国信息安全产品测评认证中心（CNITSEC）网络与通信安全（培训稿）课程内容网络协议与安全威胁网络安全控制交换机设备安全配置路由器设备安全配置第一部分网络协议与安全威胁四层协议链路层设驱动备程序及接口卡网络层传输层应用层IP、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet工作模式链路层网络层传输层应用层邮寄物品邮寄类型和申请邮件封装邮寄线路四层协议与网络攻击链路层网络层传输层应用层网络窃听攻击地址欺骗攻击拒绝服务攻击信息扫描攻击服务系统攻击第二部分网络安全控制OSI网络参考模型网络组成结构网络系统路由器资源子网通信线路主机通信子网主机网络系统通信线路网络通信子系统WANLANOSI网络参考模型通信模式上层用户：上层协议站，是通信的信源和信宿；通信功能：为实现通信所能提供的特定操作和控制机制，如数据传送、流量控制、差错控制、应答机制、数据包的拆分与重组等；通信服务：是通信功能的外部表现，为上层用户提供通信支持；通信介质：本层以下所有协议层，是本层以下通信结构的抽象表示；通信子系统通过本层的通信功能和下层的通信服务，实现本层不同通信实体之间的通信，并为上层协议提供通信服务。通信介质协议站1协议站2上层用户1上层用户2通信服务访问通信协议通信功能通信子系统下层通信服务通信实体1通信实体2理论依据互联基础设施域支撑基础设施域局域计算接入域局域计算服务域服务和管理对象•检测和响应、KMI、应急和恢复•处理•计算•存储•本地接入•远程接入理论依据美国总统关键基础设施保护委员会关于加强SCADA网络的21条建议美国国家安全局IATFDMTF的分布式管理方法和模型软件行为学…安全域综述—概念&理解一般常常理解的安全域（网络安全域）是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。如果理解广义的安全域概念则是，•具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括：•网络区域•主机和系统•人和组织•物理环境•策略和流程•业务和使命等安全域综述—安全域的意义基于网络和系统进行安全检查和评估的基础安全域的分割是抗渗透的防护方式基于网络和系统进行安全建设的部署依据安全域边界是灾难发生时的抑制点，防止影响的扩散安全区域的划分原则需求牵引：业务层面的需求（不同业务、不同部门的安全等级需求不同）以及网络结构层面的需求（安全域在逻辑上可以和网络层次结构对应）；与现有网络结构，网络拓扑紧密结合，尽量不大规模的影响网络布局（考虑到用户需求和成本等因素）与业务需求一致性原则，安全域的范围，边界的界定不能导致业务与实际分离；统一安全策略：安全域的最重要的一个特征是安全策略的一致性，所以划分安全域的的前提是具备自上而下（纵向的），自内而外（横向的）的宏观上的安全策略规划；部署实施方便：最少化安全设备原则，合理的安全域划分可以减少冗余设备，精简开支；等级保护的需要；为集中化的安全管理服务。安全控制接入区域逻辑隔离业务处理区域业务终端区域业务处理区域横向骨干接入区域逻辑隔离业务处理区域业务终端区域业务处理区域核心数据区域ⅡⅡⅢⅢⅣⅣⅣⅣⅤⅤCCCCCCCCCCCC纵向骨干安全边界安全边界将需要保护的资源、可能的风险和保障的需求结合起来可以在通信路径上完成访问控制的授权、范围、期限。安全边界的设计•良好的清晰度以便进行审查和测试•具备简洁性以便能够迅速自动化执行减轻维护人员的工作量•具备现实性以便采用成熟的技术和产品安全边界可采用的安全技术包括隔离、监控、检测、评估、审计、加密等。可作为安全边界的设备交换机路由器防火墙入侵检测网关VPNEtc…….第三部分交换机设备安全配置配置内容关闭不必要的设备服务使用强口令或密码加强设备访问的认证与授权升级设备固件或OS使用访问控制列表限制访问使用访问控制表限制数据包类型交换机-针对CDP攻击说明•Cisco专用协议，用来发现周边相邻的网络设备•链路层帧，30s发送一次，目标MAC：01:00:0C:CC:CC:CC•可以得到相邻设备名称，操作系统版本，接口数量和类型，接口IP地址等关键信息•在所有接口上默认打开危害•任何人可以轻松得到整个网络信息•可以被利用发起DoS攻击：对策•如不需要，禁止CDP•禁止User-End端口的CDP交换机-针对STP攻击说明•SpanningTreeProtocol•防止交换网络产生回路•RootBridge•BPDU--bridgeID,pathcost,interface攻击•强制接管rootbridge，导致网络逻辑结构改变，在重新生成STP时，可以导致某些端口暂时失效，可以监听大部份网络流量。•BPDUFlood：消耗带宽，拒绝服务对策•对User-End端口，禁止发送BPDU交换机-针对VTP攻击作用•VlanTrunkingProtocol•统一了整个网络的VLAN配置和管理•可以将VLAN配置信息传递到其它交换机•动态添加删除VLAN•准确跟踪和监测VLAN变化模式•Server,Client,Transparent脆弱性•Domain：只有属于同一个Domain的交换机才能交换Vlan信息setvtpdomainnetpower•Password：同一domain可以相互通过经MD5加密的password验证，但password设置非必需的，如果未设置password，可能构造VTP帧，添加或者删除Vlan。对策•设置password•尽量将交换机的vtp设置为Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty第四部分路由器设备安全配置配置内容关闭不必要的设备服务使用强口令或密码加强设备访问的认证与授权升级设备固件或OS使用访问控制列表限制访问使用访问控制表限制数据包类型路由器-发现路由通过tracertroute命令最后一个路由容易成为DoS攻击目标路由器-猜测路由器类型端口扫描操作系统堆栈指纹登陆旗标（banner）其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示路由器-缺省帐号设备用户名密码级别bay路由器user空用户Manager空管理员bay350T交换机NetlCs无关管理员baysuperStackIIsecuritysecurity管理员3com交换机adminsynnet管理员readsynnet用户writesynnet管理员debugsynnet管理员techtechmonitormonitor用户managermanager管理员securitysecurity管理员cisco路由器(telnet)c(Cisco2600s)管理员(telnet)cisco用户enablecisco管理员(telnet)ciscoroutersshivaroot空管理员Guest空用户Webrampwradmintrancell管理员MotorolaCableRoutercablecomrouter管理员路由器-密码Cisco路由器的密码•弱加密•MD5加密–Enablesecret5路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB轮循(Polling-only)和中断(Interupt-base)Snmp网管软件•禁用简单网络管理协议–nosnmp-serverenable•使用SNMPv3加强安全特性–snmp-serverenabletrapssnmpauthmd5•使用强的SNMPv1通讯关键字–snmp-servercommunityname保证路由器密码安全使用加密的强密码•servicepassword-encryption•enablesecretpa55w0rd使用分级密码策略•enablesecret6pa55word•privilegeexec6show使用用户密码策略•usernamepasswordpassprivilegeexec6show控制网络线路访问•access-list8permit192.168.0.10•access-list8permit***.***.***.***•access-list8denyany•linevty04•access-class8in设置网络连接超时•Exec-timeout50Cisco路由器安全配置降低路由器遭受应用层攻击•1禁止CDP(CiscoDiscoveryProtocol)。如：–Router(Config)#nocdprun–Router(Config-if)#nocdpenable•2禁止其他的TCP、UDPSmall服务。–Router(Config)#noservicetcp-small-servers–Router(Config)#noserviceudp-samll-servers•3禁止Finger服务。–Router(Config)#noipfinger–Router(Config)#noservicefinger•4建议禁止HTTP服务。–Router(Config)#noiphttpserver•如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。Cisco路由器安全配置•5禁止BOOTp服务。–Router(Config)#noipbootpserver•6禁止IPSourceRouting。–Router(Config)#noipsource-route•7建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。–Router(Config)#noipproxy-arp–Router(Config-if)#noipproxy-arp•8禁止IPDirectedBroadcast。–Router(Config)#noipdirected-broadcastCisco路由器安全配置•9禁止ICMP协议的IPUnreachables,Redirects,MaskReplies。–Router(Config-if)#noipunreacheables–Router(Config-if)#noipredirects–Router(Config-if)#noipmask-reply•10建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如：–Router(Config)#nosnmp-servercommunitypublicRo–Router(Config)#nosnmp-servercommunityadminRW•11如果没必要则禁止WINS和DNS服务。–Router(Config)#noipdomain-lookup•如果需要则需要配置：–Router(Config)#hostnameRouter–Router(Config)#ipname-server219.150.32.xxx•12明确禁止不使用的端口。如：–Router(Config)#interfaceeth0/3–Router(Config)#shutdownCisco路由器安全配置认证与日志管理使用AAA加强设备访问控制日志管理•loggingon•loggingbuffered36000Cisco路由器安全配置禁用IPUnreachable报文禁用ICMPRedirect报文•noipredirect禁用定向广播•noipdirected-broadcast禁用ARP代理•noipproxy-arp使用IP验证•Ipverifyunicastreverse-path