Cisco安全解决方案

安全威胁cisco安全解决方案安全连接：VPN技术威胁防卫：防火墙(PIX,ASA,FWSM,IPS,IDS)信任和身份识别：NAC(networkadmincontrol)(网络准入机制，什么情况下可以接入网络),ACS,802.1x技术安全管理：MARS(managementanalyzereportsystem)安全实现的三个步骤1.integratedsecurity集成的安全：把安全功能整合到网络设备上，使得网络安全不依赖于边界2.collaborativesecuritysystem互操作性的安全系统：把不同设备整合到一起，协同工作，共同对应安全事件3.adaptivethreatdefense自适应的威胁防范：能够自动发现安全威胁(由IPS,AV等对控制服务器发出告警，由控制服务器指示网络设备做出反应，隔离威胁流量)（反病毒，蠕虫，垃圾邮件，攻击…）网络攻击的分类1.reconnaissance侦测:扫描2.accessattacks:提升或者获取权限访问机密信息3.DoS:是系统不能正常提供服务4.编写木马，病毒，蠕虫；针对应用层漏洞的攻击；威胁网络管理流量reconnaissance侦测攻击：packetsniffer,portscan,pingsweep,internetinformationqueries（通过英特网获取信息）sniffer：大多需要将网卡设置为promiscuousmode混杂模式目标：监听流量中明文内容，如telnet,ftp,snmp,pop,http等如果用以太网口抓包，需要保证攻击者和目标在同一冲突域内sniffer的防御方法：1.使用更加有效的认证方式。如果密码是明文的话，尽量使用OTP一次性密码（如使用tokencard,S/key软件）2.尽量使用加密方式，ipsec,ssh,ssl等3.antisniffertool。用来比较正常响应时间和实际响应时间，来发现是否存在中间人攻击4.使用switch架构，而不是hubpoarscan分类：1.全连接扫描：向开放的端口建立完整的TCP连接2.半连接扫描：向端口发送连接请求SYN，收到ACK响应就认为端口是开放的（比全连接扫描更加隐蔽）3.基于奇特的TCP标志位组合的扫描：[TCP标志位有SYN,ACK,FIN,RESET,PUSH(push整个数据包很紧急),URT(urgent数据包中的某个位置很紧急)]例如6个标志位全为1，全为0，或者一开始就发送FIN消息等。LINUX,UNIX收到奇异标志位的话，会中止会话，这样就能够得知端口是否开放[扫描工具NmapWin,blue’sportscanner]poarscan,pingsweep的防御方法：1.扫描来自外网的话，防火墙可以限制2.针对来自内网的扫描，只能通过IPS,IDS进行internetinformationqueries：通过whois数据库或者googleaccessattacks：密码猜解，信任关系漏洞，端口重定向，中间人攻击，利用程序缓存溢出漏洞密码猜解：通过sniffer或者木马或者字典/暴力破解或者网络钓鱼手段[WIN:SAM;Linux:shawsd数据库中中存着用户密码文件，可以获取后做离线破解]防御方法：不同系统不使用相同密码；尝试多次后所定账户；密码不使用明文方式存放；使用强壮的密码[DMZ主机和内网主机之间不应该建立域信任关系]portredirection端口重定向：利用攻破DMZ主机后安全端口重定向程序，使外网-内网的访问可以绕过防火墙的限制中间人攻击：可以进行数据包窃听和篡改防御方法：使用IPsec加密DoS：目标可以是消耗网络带宽，或者消耗主机资源常用手段是ipspoofing地址欺骗，例如同步泛洪（SYNflood），pingsmurf(源地址是假的，目的地址是网络广播地址)[不同的DDoS方法大同小异，只是client-handler-agent之间的通讯机制可能不同，例如TCP/UDP通讯（可用通过ACL防御），ICMPtunnel]防御方法：1.在路由器和防火墙上防止反地址欺骗，例如在防火墙外口设置访问控制列表，过滤掉一些明显虚假的源地址流量（例如子网地址，组播地址，全0，全1地址）[对内部也可以利用ACL，例如，三层交换机下连一个末端网段192.1.1.0/24，设置ACL只允许源地址是192.1.1.0/24的数据从接口进入，防止网段下的主机对他人进行地址欺骗]2.防DoS功能。例如，在路由器或者防火墙上使用SYNproxy功能（由防火墙与用户建立TCP连接，只有当TCP连接完全建立时才转交给服务器）3.通过ISP做流量限速virus，必须通过用户执行文件触发防御方法：安装防病毒软件，及时更新；部署主机级的个人防火墙；系统及时补丁worm，会自我复制，不需要触发。worm程序三个部分：检查漏洞机制，复制传播机制防御方法：隔离；免疫（在未受感染的主机上消除漏洞）；隔离（把受感染主机从网络上断开）；处理感染主机Trojanhorse，伪装成合法程序的恶意软件应用层攻击：利用应用程序的漏洞进行攻击；利用常规端口绕开防火墙监控工具：Netcat(可以监听端口，在端口被连接时完成端口重定向，或打开应用程序)对管理程序的攻击使用安全的管理工具（SSH,IPsec,SSL等）；用ACL过滤发送管理性流量的源不安全的管理工具：SNMP(它的string是明文的)，syslog（告警内容是明文的），tftp\ftp（都是明文的），ntp（英特网上很多NTPserver都没有认证机制）防御方法：书5-44