CISP网络与通信安全

信息安全技术网络安全2003-12cnitsec今天的主题第一章网络安全基础(模型,基础知识)第二章网络设备安全管理(物理上安全,设置上安全等)第三章网络中面临的威胁•针对网络设备的攻击(不同的设备,不同的漏洞)•拒绝服务（DoS）攻击(DOS,DDOS)•欺骗攻击(IP地址欺骗等)•网络嗅探(协议,端口)第四章网络设备的安全配置第五章对网络威胁采取的策略第六章IPSec与VPN技术cnitsec第一章网络安全基础cnitsecINTERNET的美妙之处在于你和每个人都能互相连接(工作,学习,电子商务等)INTERNET的可怕之处在于每个人都能和你互相连接(面临着威胁,例如:病毒)cnitsec网络基础cnitsecOSI参考模型ISO/OSI网络体系结构即开放系统互联参考模型（OpenSystemInterconnectReferenceModel）。是ISO（国际标准化组织）根据整个计算机网络功能划分七层.网络体系结构分层的目的(为了更好的规划网络,更好的达到网络的互联性,更好的解决问题,更好的构架网络而建立)OSI参考模型的层次划分•应用层•表示层•会话层•传输层•网络层•数据链路层•物理层cnitsecOSI层次划分原则层次分明性应该把层次分成理论上需要的不同等级，减少过多的层次；当在数据处理过程中需要不同级别抽象时，则设立一个层次；在需要不同的通信服务时，可在同一层内再形成子层次，不需要时也可绕过该子层次。独立性一个层次内的功能或协议更改时不影响其它各层；互联性只为每一层建立与其相邻的上一层和下一层的接口；cnitsecOSI层次划分原则功能模块化性每一层都应该较好地履行其特定的功能；成熟性每一层的功能选定都基于已有成功经验的国际标准协议；简明性每一层的界面都应该选在服务描述最少、通过接口的信息流量最少的地方；把类似的功能集中在同一层内，使之易于局部化；cnitsecTCP/IP协议层次模型TCP/IP协议分层并不完全对应OSI模型•应用层–TelnetFTPDNSSMTP•传输层–TCPUDP•网络层–IPICMPARPRARP•网络接口层–X.25ARPnetcnitsecTelnetSMTPDNSFTPUDPTCPIP以太网无线网络令牌网ARPNETTCP/IP模型与潜在风险应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏cnitsec常见黑客攻击方式应用层：应用程序和操作系统的攻击与破坏传输层：拒绝服务攻击网络层：拒绝服务攻击和数据窃听风险硬件设备与数据链路：物理窃听与破坏(物理维护,介质保护,OPENBOOT)cnitsec网络安全的语义范围保密性完整性可用性(CIA三元组基本安全法则)可控性cnitsec第二章网络设备安全管理cnitsec局域网的特性局域网典型特性•高数据传输率•短距离•低误码率(广域网络高误码率)常用的局域网介质访问控制技术•载波监听多路访问/冲突检测(CSMA/CD)技术•令牌控制技术•光纤分布数据接口(FDDI)技术cnitsec局域网安全管理良好的网络拓扑规划(IP地址规划,路由区域设计等)对网络设备进行基本安全配置(口令和不必要的服务关闭)合理的划分VLAN(防一端口属多VLAN)分离数据广播域(不同部门)绑定IP地址与Mac地址(防止盗用IP)配置防火墙和IDS设备使用内容监控(NETFLOW)与病毒过滤cnitsec良好的网络规划网络安全规划原则•合理的分配地址(规划表)•合理的网络逻辑结构(拓扑及协议的选择)•通过VLAN分隔逻辑网络•通过域或工作组确定用户权限(操作系统)•建立良好的网络安全制度(文档等)cnitsec网络设备安全配置关闭不必要的设备服务(STP,CDP等)使用强口令或密码加强设备访问的认证与授权(AAA口令)升级设备固件(对功能的提升)或OS(补丁)使用访问控制列表限制访问(名称,扩展,基本)使用访问控制表限制数据包类型(二层)cnitsec广域网的概念和特性广域网是覆盖地理范围相对较广的数据通信网络。网络的规模和分类：•局域网(LAN，localareanetwork)可覆盖一个建筑物或一所学校;•城域网(MAN，metropolitanareanetwork)可覆盖一座城市;•(WAN，wideareanetwork)可覆盖多座城市、多个国家或洲。cnitsec广域网的构成和种类广域网的构成(设备及基本构架)广域网的种类–X.25–帧中继–ATMcnitsec广域网安全管理良好的网络拓扑规划(协议选择等)对网络设备进行基本安全配置(口令,加密)确保路由协议安全(路由协议加密,防恶意路由信息介入)使用ACL进行数据过滤使用AAA加强访问控制和认证cnitsec交换机-Vlan穿越对策•将所有user-end端口都从vlan1中排除(缺省VLAN的有很多服务没有关掉.)•将trunk接口划分到一个单独的vlan中，该vlan中不应包含任何user-end接口cnitsec交换机-针对CDP攻击说明•Cisco专用协议，用来发现周边相邻的网络设备•链路层帧，30s发送一次，目标MAC：01:00:0C:CC:CC:CC•可以得到相邻设备名称，操作系统版本，接口数量和类型，接口IP地址等关键信息•在所有接口上默认打开危害•任何人可以轻松得到整个网络信息•可以被利用发起DoS攻击：对策•如不需要，禁止CDP•禁止User-End端口的CDPcnitsec交换机-针对STP攻击说明•SpanningTreeProtocol•防止交换网络产生回路•RootBridge•BPDU--bridgeID,pathcost,interface攻击•强制接管rootbridge，导致网络逻辑结构改变，在重新生成STP时，可以导致某些端口暂时失效，可以监听大部份网络流量。•BPDUFlood：消耗带宽，拒绝服务(间隔时间)对策•对User-End端口，禁止发送BPDU(或用参数进行控制)cnitsec交换机-针对VTP攻击作用•VlanTrunkingProtocol•统一了整个网络的VLAN配置和管理•可以将VLAN配置信息传递到其它交换机•动态添加删除VLAN•(通过VTP更新信息)准确跟踪和监测VLAN变化模式•Server,Client,Transparentcnitsec交换机-针对VTP攻击脆弱性•Domain：只有属于同一个Domain的交换机才能交换Vlan信息setvtpdomainnetpower•Password：同一domain可以相互通过经MD5加密的password验证，但password设置非必需的，如果未设置password，入侵者恶意添加或者删除Vlan。对策•设置password•尽量将交换机的vtp设置为Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty(不去管VTP信息,只是转发)cnitsec路由器-发现路由通过tracertroute命令最后一个路由容易成为DoS攻击目标(产生大量的数据包,使响应者消耗资源)cnitsec路由器-猜测路由器类型端口扫描CDP其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示(给入侵者带来有用信息)cnitsec路由器-缺省帐号设备用户名密码级别bay路由器user空用户Manager空管理员bay350T交换机NetlCs无关管理员baysuperStackIIsecuritysecurity管理员3com交换机adminsynnet管理员readsynnet用户writesynnet管理员debugsynnet管理员techtechcnitsec路由器-缺省帐号monitormonitor用户managermanager管理员securitysecurity管理员cisco路由器(telnet)c(Cisco2600s)管理员(telnet)cisco用户enablecisco管理员(telnet)ciscoroutersshivaroot空管理员Guest空用户Webrampwradmintrancell管理员MotorolaCableRoutercablecomrouter管理员cnitsec路由器-密码Cisco路由器的密码(选择手工安装模式就可以没有缺省密码)•弱加密•MD5加密–Enablesecret5cnitsec路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIBSnmp网管软件读写权限关掉不必要的服务SNMP对管理人员有用,同时也为黑客提供方便.cnitsec路由器-针对snmp攻击利用读、写口令字下载配置文件针对SNMP的暴力破解程序CISCOSNMP越权访问可写口令字……cnitsec第三章网络存在的威胁cnitsec网络中面临的威胁cnitsec拒绝服务攻击定义DoS（DenialofService）拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。DDoS（DistributedDenialofservice）分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。cnitsecDDoS攻击示意图分布式拒绝服务攻击示意图cnitsecDoS攻击举例SynFloodUdpFloodIcmpPingFloodcnitsecSynFloodSYNFlood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击），是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的一种攻击方式。cnitsecSynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方正常的三次握手建立通讯的过程cnitsecSynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接cnitsecUdpFloodUDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪cnitsecUdpFlood禁止相关服务(RIP禁止对所有端口转发)与网络设备配合(FWACL)cnitsecIcmpPingFloodPing是通过发送ICMP报文,不能很好处理过大的Ping包，导致出现:占去许多带宽,塞满网络.如TFN2K会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。cnitsecIcmpFlood禁止相关服务与网络设备配合(CISCO设备最新功能用命令去禁止)cnitsec应用级别的拒绝服务包含在操作系统或应用程序中与安全相关的系统缺陷而引起的拒绝服务问题，这些缺陷大多是由于错误的程序编制，粗心的源代码审核.典型代表是pcanywhere的拒绝服务问题cnitsec应用级别的拒绝服务PCAnywhere存在因端口扫描导致的DoS攻击描述:在遭受到nmap2.30BETA21的TCPSYN扫描之后,PcAnyWhere将停止响应，只有重新启动服务才能正常运行。cnitsec应用级别的拒绝服务升级相关软件(补漏洞)与安全产品配合(IDS,FW,ACL,ROUTE-MAP策略控制)cnitsecTrinoo介绍影响平台:Linux,So