CISP网络与通信安全jya.pptx

信息安全技术信息安全技术网络安全网络安全2003-122003-122003-122003-12cnitseccnitsec今天的主题第一章第一章第一章第一章 网络安全基础网络安全基础网络安全基础网络安全基础(模型模型模型模型,基础知识基础知识基础知识基础知识)第二章第二章第二章第二章 网络设备安全管理网络设备安全管理网络设备安全管理网络设备安全管理(物理上安全物理上安全物理上安全物理上安全,设置上安全等设置上安全等设置上安全等设置上安全等)第三章第三章第三章第三章 网络中面临的威胁网络中面临的威胁网络中面临的威胁网络中面临的威胁 针对网络设备的攻击针对网络设备的攻击针对网络设备的攻击针对网络设备的攻击(不同的设备不同的设备不同的设备不同的设备,不同的漏洞不同的漏洞不同的漏洞不同的漏洞)拒绝服务（拒绝服务（拒绝服务（拒绝服务（DoSDoS）攻击）攻击）攻击）攻击(DOS,DDOS)(DOS,DDOS)欺骗攻击欺骗攻击欺骗攻击欺骗攻击(IP(IP地址欺骗等地址欺骗等地址欺骗等地址欺骗等)网络嗅探网络嗅探网络嗅探网络嗅探(协议协议协议协议,端口端口端口端口)第四章第四章第四章第四章 网络设备的安全配置网络设备的安全配置网络设备的安全配置网络设备的安全配置第五章第五章第五章第五章 对网络威胁采取的策略对网络威胁采取的策略对网络威胁采取的策略对网络威胁采取的策略第六章第六章第六章第六章 IPSecIPSec与与与与VPNVPN技术技术技术技术cnitseccnitsec 第一章第一章 网网 络络 安安 全全 基基 础础cnitseccnitsecINTERNETINTERNET的美妙之处的美妙之处在于在于你和每个人你和每个人都能互相连接都能互相连接(工作工作,学习学习,电子商务等电子商务等)INTERNETINTERNET的可怕之处的可怕之处在于在于每个人都能和你每个人都能和你互相连接互相连接(面临着威胁面临着威胁,例如例如:病毒病毒)cnitseccnitsec网络基础cnitseccnitsecOSI参考模型n nISO/OSIISO/OSI网络体系结构网络体系结构网络体系结构网络体系结构 即即即即开放系统互联参考模型开放系统互联参考模型开放系统互联参考模型开放系统互联参考模型（Open System Interconnect Reference Open System Interconnect Reference ModelModel）。是）。是）。是）。是ISOISO（国际标准化组织）根据整个计算机网络功能划分七层（国际标准化组织）根据整个计算机网络功能划分七层（国际标准化组织）根据整个计算机网络功能划分七层（国际标准化组织）根据整个计算机网络功能划分七层.n n网络体系结构分层的目的网络体系结构分层的目的网络体系结构分层的目的网络体系结构分层的目的 (为了更好的规划网络为了更好的规划网络为了更好的规划网络为了更好的规划网络,更好的达到网络的互联性更好的达到网络的互联性更好的达到网络的互联性更好的达到网络的互联性,更好的解决问题更好的解决问题更好的解决问题更好的解决问题,更好的构架更好的构架更好的构架更好的构架网络而建立网络而建立网络而建立网络而建立)n nOSIOSI参考模型的层次划分参考模型的层次划分参考模型的层次划分参考模型的层次划分 应用层应用层 表示层表示层 会话层会话层 传输层传输层 网络层网络层 数据链路层数据链路层 物理层物理层 cnitseccnitsecOSI层次划分原则 层次分明性层次分明性n n应该把层次分成理论上需要的不同等级，减少过多的应该把层次分成理论上需要的不同等级，减少过多的层次；层次；n n当在数据处理过程中需要不同级别抽象时，则设立一当在数据处理过程中需要不同级别抽象时，则设立一个层次；个层次；n n在需要不同的通信服务时，可在同一层内再形成子层在需要不同的通信服务时，可在同一层内再形成子层次，不需要时也可绕过该子层次。次，不需要时也可绕过该子层次。独立性独立性n n一个层次内的功能或协议更改时不影响其它各层；一个层次内的功能或协议更改时不影响其它各层；互联性互联性n n只为每一层建立与其相邻的上一层和下一层的接口；只为每一层建立与其相邻的上一层和下一层的接口；cnitseccnitsecOSI层次划分原则 功能模块化性功能模块化性n n每一层都应该较好地履行其特定的功能；每一层都应该较好地履行其特定的功能；成熟性成熟性n n每一层的功能选定都基于已有成功经验的国际标准协每一层的功能选定都基于已有成功经验的国际标准协议；议；简明性简明性n n每一层的界面都应该选在服务描述最少、通过接口的每一层的界面都应该选在服务描述最少、通过接口的信息流量最少的地方；信息流量最少的地方；n n把类似的功能集中在同一层内，使之易于局部化；把类似的功能集中在同一层内，使之易于局部化；cnitseccnitsecTCP/IP协议层次模型n nTCP/IP协议分层并不完全对应协议分层并不完全对应OSI模型模型应用层应用层应用层应用层 Telnet FTP DNS SMTPTelnet FTP DNS SMTP传输层传输层传输层传输层 TCP UDP TCP UDP 网络层网络层网络层网络层 IP ICMP ARP RARPIP ICMP ARP RARP网络接口层网络接口层网络接口层网络接口层 X.25 ARPnetX.25 ARPnetcnitseccnitsecTelnetSMTPDNSFTPUDPTCPIP以太网以太网无线网络无线网络令牌网ARPNETTCP/IP模型与潜在风险应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏cnitseccnitsec常见黑客攻击方式n n应用层：应用程序和操作系统的攻击与破坏应用层：应用程序和操作系统的攻击与破坏应用层：应用程序和操作系统的攻击与破坏应用层：应用程序和操作系统的攻击与破坏n n传输层：拒绝服务攻击传输层：拒绝服务攻击传输层：拒绝服务攻击传输层：拒绝服务攻击n n网络层：拒绝服务攻击和数据窃听风险网络层：拒绝服务攻击和数据窃听风险网络层：拒绝服务攻击和数据窃听风险网络层：拒绝服务攻击和数据窃听风险n n硬件设备与数据链路：物理窃听与破坏硬件设备与数据链路：物理窃听与破坏硬件设备与数据链路：物理窃听与破坏硬件设备与数据链路：物理窃听与破坏 (物理维护物理维护物理维护物理维护,介质保护介质保护介质保护介质保护,OPENBOOT),OPENBOOT)cnitseccnitsec网络安全的语义范围n n保密性保密性 n n完整性完整性n n可用性可用性(CIA三元组基本安全法则三元组基本安全法则)n n可控性可控性 cnitseccnitsec 第二章第二章 网络设备安全管理网络设备安全管理cnitseccnitsec局域网的特性n n 局域网典型特性高数据传输率高数据传输率短距离短距离低误码率低误码率(广域网络高误码率广域网络高误码率)n n常用的局域网介质访问控制技术载波监听多路访问载波监听多路访问/冲突检测冲突检测(CSMA/CD)(CSMA/CD)技技术术令牌控制技术令牌控制技术光纤分布数据接口光纤分布数据接口(FDDI)(FDDI)技术技术cnitseccnitsec局域网安全管理n n良好的网络拓扑规划(IP地址规划,路由区域设计等)n n对网络设备进行基本安全配置(口令和不必要的服务关闭)n n合理的划分VLAN(防一端口属多VLAN)n n分离数据广播域(不同部门)n n绑定IP地址与Mac地址(防止盗用IP)n n配置防火墙和IDS设备n n使用内容监控(NETFLOW)与病毒过滤cnitseccnitsec良好的网络规划n n网络安全规划原则合理的分配地址合理的分配地址(规划表规划表)合理的网络逻辑结构合理的网络逻辑结构(拓扑及协议的选择拓扑及协议的选择)通过通过VLANVLAN分隔逻辑网络分隔逻辑网络通过域或工作组确定用户权限通过域或工作组确定用户权限(操作系统操作系统)建立良好的网络安全制度建立良好的网络安全制度 (文档等文档等)cnitseccnitsec网络设备安全配置n n关闭不必要的设备服务(STP,CDP等)n n使用强口令或密码n n加强设备访问的认证与授权(AAA口令)n n升级设备固件(对功能的提升)或OS(补丁)n n使用访问控制列表限制访问(名称,扩展,基本)n n使用访问控制表限制数据包类型(二层)cnitseccnitsec广域网的概念和特性n n广域网是覆盖地理范围相对较广的数据通信网络。n n网络的规模和分类：局域网局域网(LAN(LAN，local area network)local area network)可覆盖一可覆盖一个建筑物或一所学校个建筑物或一所学校;城域网城域网(MAN(MAN，metropolitan area network)metropolitan area network)可覆盖一座城市可覆盖一座城市;(WAN(WAN，wide area network)wide area network)可覆盖多座城市、可覆盖多座城市、多个国家或洲。多个国家或洲。cnitseccnitsec广域网的构成和种类n n广域网的构成(设备及基本构架)n n广域网的种类 X.25 X.25 帧中继帧中继 ATMATMcnitseccnitsec广域网安全管理n n良好的网络拓扑规划(协议选择等)n n对网络设备进行基本安全配置(口令,加密)n n确保路由协议安全(路由协议加密,防恶意路由信息介入)n n使用ACL进行数据过滤n n使用AAA加强访问控制和认证cnitseccnitsec交换机-Vlan穿越n n对策将所有将所有user-enduser-end端口都从端口都从vlan1vlan1中排除中排除 (缺省缺省VLANVLAN的有很多服务没有关掉的有很多服务没有关掉.).)将将trunktrunk接口划分到一个单独的接口划分到一个单独的vlanvlan中，该中，该vlanvlan中不应包含任何中不应包含任何user-enduser-end接口接口cnitseccnitsec交换机-针对CDP攻击cnitseccnitsec交换机-针对STP攻击n n说明说明 Spanning Tree ProtocolSpanning Tree Protocol 防止交换网络产生回路防止交换网络产生回路 Root BridgeRoot Bridge BPDU-bridge ID,path cost,interfaceBPDU-bridge ID,path cost,interfacen n攻击攻击 强制接管强制接管root bridgeroot bridge，导致网络逻辑结构改变，在重新生成，导致网络逻辑结构改变，在重新生成STPSTP时，可以导致某些端口暂时失效，可以监听大部份网络流时，可以导致某些端口暂时失效，可以监听大部份网络流量。量。BPDU FloodBPDU Flood：消耗带宽，拒绝服务：消耗带宽，拒绝服务(间隔时间间隔时间)n n对策对策 对对User-EndUser-End端口，禁止发送端口，禁止发送BPDU(BPDU(或用参数进行控制或用参数进行控制)cnitseccnitsec交换机-针对VTP攻击n n作用Vlan Trunking ProtocolVlan Trunking Protocol统一了整个网络的统一了整个网络的VLANVLAN配置和管理配置和管理可以将可以将VLANVLAN配置信息传递到其它交换机配置信息传递到其它交换机动态添加删除动态添加删除VLANVLAN(通过通过VTPVTP更新信息更新信息)准确跟踪和监测准确跟踪和监测VLANVLAN变变化化n n模式Server,Client,TransparentServer,Client,Transparentcnitseccnitsec交换机-针对VTP攻击n n脆弱性脆弱性 DomainDomain：只有属于同一个：只有属于同一个DomainDomain的交换机才能交的交换机才能交换换VlanVlan信息信息 set vtp domain netpowerset vtp domain netpower PasswordPassword：同一：同一domaindomain可以相互通过经可以相互通过经MD5MD5加密加密的的passwordpassword验证，但验证，但passwordpassword设置非必需的，如设置非必需的，如果未设置果未设置passwordpassword，入侵者恶意添加或者删除，入侵者恶意添加或者删除VlanVlan。n n对策对策 设置设置passwordpassword 尽量将交换机的尽量将交换机的vtpvtp设置为设置为TransparentTransparent模式：模式：set set vtp domain netpower mode transparent password vtp domain netpower mode transparent password sercetvty(sercetvty(不去管不去管VTPVTP信息信息,只是转发只是转发)cnitseccnitsec路由器-发现路由n n通过tracertroute命令n n最后一个路由容易成为DoS攻击目标(产生大量的数据包,使响应者消耗资源)cnitseccnitsec路由器-猜测路由器类型n n端口扫描n nCDPn n其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示 (给入侵者带来有用信息)cnitseccnitsec路由器-缺省帐号设备用户名密码级别bay路由器user空用户Manager空管理员bay 350T交换机NetlCs无关管理员bay superStack IIsecuritysecurity管理员3com交换机adminsynnet管理员readsynnet用户writesynnet管理员debugsynnet管理员techtechcnitseccnitsec路由器-缺省帐号monitormonitor用户managermanager管理员securitysecurity管理员cisco路由器(telnet)c(Cisco 2600s)管理员(telnet)cisco用户enablecisco管理员(telnet)cisco routersshivaroot空管理员Guest空用户Webrampwradmintrancell管理员Motorola CableRoutercablecomrouter管理员cnitseccnitsec路由器-密码n nCisco路由器的密码(选择手工安装模式就可以没有缺省密码)弱加密弱加密MD5MD5加密加密 Enable secret 5Enable secret 5cnitseccnitsec路由器-SNMPn nSNMPSNMPn n版本版本 SNMPv1,SNMPv2,SNMPv3SNMPv1,SNMPv2,SNMPv3n nSnmp AgentSnmp Agentn nMIBMIBn nSnmpSnmp网管软件网管软件n n读写权限读写权限n n关掉不必要的服务关掉不必要的服务 SNMPSNMP对管理人员有用对管理人员有用,同时也为黑客提供方便同时也为黑客提供方便.cnitseccnitsec路由器-针对snmp攻击n n利用读、写口令字下载配置文件n n针对SNMP的暴力破解程序n nCISCO SNMP越权访问可写口令字n ncnitseccnitsec 第三章第三章 网络存在的威胁网络存在的威胁cnitseccnitsec网络中面临的威胁cnitseccnitsec拒绝服务攻击n n定义DoS DoS（Denial of Service Denial of Service）拒绝服务攻击是用来显著降低系统提供服务的质量或拒绝服务攻击是用来显著降低系统提供服务的质量或拒绝服务攻击是用来显著降低系统提供服务的质量或拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。可用性的一种有目的行为。可用性的一种有目的行为。可用性的一种有目的行为。DDoS DDoS（Distributed Denial of Distributed Denial of s serviceervice）分布式拒绝服务攻击使用了分布式客户服务器功能，分布式拒绝服务攻击使用了分布式客户服务器功能，分布式拒绝服务攻击使用了分布式客户服务器功能，分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量加密技术及其它类的功能，它能被用于控制任意数量加密技术及其它类的功能，它能被用于控制任意数量加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生的远程机器，以产生的远程机器，以产生的远程机器，以产生 随机匿名随机匿名随机匿名随机匿名 的拒绝服务攻击和远的拒绝服务攻击和远的拒绝服务攻击和远的拒绝服务攻击和远程访问。程访问。程访问。程访问。cnitseccnitsecDDoS攻击示意图n n分布式拒绝服务攻击示意图分布式拒绝服务攻击示意图cnitseccnitsecDoS攻击举例n nSyn Floodn nUdp Floodn nIcmp Ping FloodcnitseccnitsecSyn Floodn nSYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击），是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的一种攻击方式。cnitseccnitsecSyn FloodSYN（我可以连接吗？）（我可以连接吗？）ACK（可以）（可以）/SYN（请确认！）（请确认！）ACK（确认连接）（确认连接）发起方发起方应答方应答方正常的三次握手建立通讯的过程正常的三次握手建立通讯的过程cnitseccnitsecSyn FloodSYN（我可以连接吗？）（我可以连接吗？）ACK（可以）（可以）/SYN（请确认！）（请确认！）攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN请求请求为何还为何还没回应没回应就是让就是让你白等你白等不能建立正常的连接不能建立正常的连接cnitseccnitsecUdp Floodn nUDPUDP攻击的原理是使两个或两个以上的系攻击的原理是使两个或两个以上的系统之间产生巨大的统之间产生巨大的UDPUDP数据包。首先使这数据包。首先使这两种两种UDPUDP服务都产生输出，然后让这两种服务都产生输出，然后让这两种UDPUDP服务之间互相通信，使一方的输出成服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生流量。当多个系统之间互相产生UDPUDP数据数据包时，最终将导致整个网络瘫痪。如果涉包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会及的主机数目少，那么只有这几台主机会瘫痪瘫痪cnitseccnitsecUdp Floodn n禁止相关服务(RIP禁止对所有端口转发)n n与网络设备配合(FW ACL)cnitseccnitsecIcmp Ping Floodn nPing是通过发送ICMP报文,不能很好处理过大的Ping包，导致出现:占去许多带宽,塞满网络.n n如TFN2K会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。cnitseccnitsecIcmp Floodn n禁止相关服务n n与网络设备配合(CISCO设备最新功能用命令去禁止)cnitseccnitsec应用级别的拒绝服务n n包含在操作系统或应用程序中与安全相关的包含在操作系统或应用程序中与安全相关的系统缺陷而引起的拒绝服务问题，这些缺陷系统缺陷而引起的拒绝服务问题，这些缺陷大多是由于错误的程序编制，粗心的源代码大多是由于错误的程序编制，粗心的源代码审核审核.n n典型代表是典型代表是pcanywherepcanywhere的拒绝服务问题的拒绝服务问题cnitseccnitsec应用级别的拒绝服务n nPCAnywhere PCAnywhere 存在因端口扫描导致的存在因端口扫描导致的 DoS DoS 攻击攻击描述描述:n n在遭受到在遭受到nmap 2.30BETA21nmap 2.30BETA21的的TCP SYN TCP SYN 扫描之后扫描之后,PcAnyWherePcAnyWhere将停止响应，只有重新启动服务才能将停止响应，只有重新启动服务才能正常运行。正常运行。cnitseccnitsec应用级别的拒绝服务n n升级相关软件(补漏洞)n n与安全产品配合(IDS,FW,ACL,ROUTE-MAP策略控制)cnitseccnitsecTrinoo介绍n n影响平台影响平台:Linux,Solaris,Unix:Linux,Solaris,Unix n n风险级别风险级别:高高n n攻击类型攻击类型:基于网络，基于主机的基于网络，基于主机的 Trin00 Trin00 是一种是一种分布式拒绝服务的工具。攻击者使用该工具可以分布式拒绝服务的工具。攻击者使用该工具可以控制多个主机，利用这些主机向其他主机发送控制多个主机，利用这些主机向其他主机发送UDP floodUDP flood。Trin00Trin00控制者可以给控制者可以给Trin00Trin00主机守护主机守护程序制造多种请求。程序制造多种请求。使用使用UDPUDP包开始包开始floodflood主机主机 使用使用UDPUDP包终止包终止floodflood主机主机 修改主机主流程序的修改主机主流程序的UDP floodUDP flood配置配置cnitseccnitsecTrinoo介绍n nTrinooTrinoo的攻击方法是向被攻击目标主机的随机的攻击方法是向被攻击目标主机的随机端口发出全零的端口发出全零的4 4字节字节UDPUDP包，在处理这些超包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对服务，乃至崩溃。它对IPIP地址不做假地址不做假.n n通讯端口是：通讯端口是：(要在相应策略控制里封掉要在相应策略控制里封掉)攻击者主机到主控端主机：攻击者主机到主控端主机：27665/TCP27665/TCP 主控端主机到代理端主机：主控端主机到代理端主机：27444/UDP27444/UDP代理端主机到主服务器主机：代理端主机到主服务器主机：31335/UDP31335/UDPcnitseccnitsecTFN介绍n n影响平台影响平台:Linux,Solaris,Unix:Linux,Solaris,Unix n n风险级别风险级别:高高n n攻击类型攻击类型:基于网络，基于主机的基于网络，基于主机的Tribe Flood Tribe Flood Network,TFN,Network,TFN,是一种分布式拒绝服务的工具，是一种分布式拒绝服务的工具，使用该工具可以使攻击者利用多个主机，一次使用该工具可以使攻击者利用多个主机，一次floodflood一个目标。有三种不同类型的一个目标。有三种不同类型的floodflood：ICMP Echo floodICMP Echo flood UDP FloodUDP Flood SYN FloodSYN FloodcnitseccnitsecTFN介绍n nTFNTFN客户机和服务器使用客户机和服务器使用ICMP echoICMP echo 互相发送响应包进行通讯。互相发送响应包进行通讯。n nTFNTFN由主控端程序和代理端程序两部分由主控端程序和代理端程序两部分组成，具有伪造数据包的能力组成，具有伪造数据包的能力。cnitseccnitsecTFN2K介绍n n影响平台影响平台:Linux,Solaris,Unix:Linux,Solaris,Unix n n风险级别风险级别:高高n n攻击类型攻击类型:基于网络，基于主机的基于网络，基于主机的Tribe Flood Tribe Flood Network 2000(TFN2k)Network 2000(TFN2k)是一种分布式拒绝服是一种分布式拒绝服务的工具，可以实施多种类型的务的工具，可以实施多种类型的floodflood攻击一攻击一个主机。个主机。TFN2kTFN2k由由客户端和主机驻留程序客户端和主机驻留程序组成。组成。客户端客户端控制一个多个控制一个多个主机主流程序主机主流程序，主机主流，主机主流程序对程序对目标主机目标主机进行进行floodflood。客户端可以使用。客户端可以使用UDPUDP、TCPTCP或或ICMPICMP与主机主流程序进行通讯，与主机主流程序进行通讯，并可以并可以隐藏欺骗发包的源隐藏欺骗发包的源IPIP地址地址。cnitseccnitsecTFN2K介绍n nTFN2KTFN2K是由是由TFNTFN发展而来的，在发展而来的，在TFNTFN所具有所具有的特性上，的特性上，TFN2KTFN2K又新增一些特性，它的又新增一些特性，它的主主控端和代理端控端和代理端的网络通讯是经过的网络通讯是经过加密加密的，中的，中间还可能混杂了许多虚假数据包，而间还可能混杂了许多虚假数据包，而TFNTFN对对ICMPICMP的通讯的通讯没有加密没有加密。并且。并且TFN2KTFN2K可配置可配置的代理端进程端口。的代理端进程端口。cnitseccnitsecDDoS攻击特性n nDDDDo oS S攻击将越来越多地采用攻击将越来越多地采用IPIP欺骗的技术；欺骗的技术；n nDDDDo oS S攻击呈现由单一攻击源发起进攻，转变攻击呈现由单一攻击源发起进攻，转变为由为由多个攻击源多个攻击源对单一目标进攻的趋势对单一目标进攻的趋势;n nDDDDo oS S攻击将会变得越来越智能化，试图躲过攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系火墙防御体系;n n针对路由器的弱点的针对路由器的弱点的DDDDo oS S攻击将会增多攻击将会增多;n nDDDDo oS S攻击利用路由器的攻击利用路由器的多点传送功能多点传送功能可以将可以将攻击效果扩大若干倍攻击效果扩大若干倍;n n基于不同协议的攻击基于不同协议的攻击:-采用采用半连接技术半连接技术SYNSYN攻击，和针对攻击，和针对TCP/IPTCP/IP协协议先天缺陷的的议先天缺陷的的ACKACK攻击。攻击。-采用采用ICMPICMP攻击。攻击。-采用采用UDPUDP攻击。攻击。cnitseccnitsecIP欺骗n n原理原理 IPIP是网络层的一个非面向连接的协议，伪造是网络层的一个非面向连接的协议，伪造IPIP地址地址相对容易。相对容易。TCPTCP三次握手三次握手 DoSDoS攻击攻击 序列号取样和猜测序列号取样和猜测n n预防预防 抛弃基于地址的信任策略抛弃基于地址的信任策略 进行包过滤进行包过滤 加密加密 使用随机化初始序列号使用随机化初始序列号cnitseccnitsecARP欺骗n n实现简易实现简易 指定指定ARPARP包中的源包中的源IPIP、目标、目标IPIP、源、源MACMAC、目标、目标MACMACn n危害危害 嗅探嗅探 导致导致windows 9xwindows 9x、NT IPNT IP冲突死机冲突死机 FloodingFlooding 导致网络异常导致网络异常cnitseccnitsec共享环境下的嗅探技术n n原理在以太网中是基于广播方式传送数据在以太网中是基于广播方式传送数据 网卡置于混杂模式下可以接收所有经的数据网卡置于混杂模式下可以接收所有经的数据n n工具Sniffer proSniffer pro、IRISIRIS、tcpdumptcpdump、snoopsnoopcnitseccnitsec 第四章第四章 网络设备的安全配置网络设备的安全配置cnitseccnitsec路由交换设备安全配置n n关闭不必要的设备服务关闭不必要的设备服务n n使用强口令或密码使用强口令或密码n n加强设备访问的认证与授权加强设备访问的认证与授权n n升级设备固件或升级设备固件或OSOSn n使用访问控制列表限制访问使用访问控制列表限制访问n n使用访问控制表限制数据包类型使用访问控制表限制数据包类型cnitseccnitsecCisco路由交换的安全配置n n使用加密的强密码使用加密的强密码 service password-encryptionservice password-encryption enable secret pa55w0rdenable secret pa55w0rdn n使用分级密码策略使用分级密码策略(07)(07)enable secret 6 pa55wordenable secret 6 pa55word privilege exec 6 showprivilege exec 6 shown n使用用户密码策略使用用户密码策略 user name password pass privilege exec 6 showuser name password pass privilege exec 6 showcnitseccnitsecCisco路由交换安全配置n n控制网络线路访问控制网络线路访问access-list 8 permit 192.168.0.10access-list 8 permit 192.168.0.10access-list 8 deny anyaccess-list 8 deny anyline vty 0 4line vty 0 4access-class 8 inaccess-class 8 inn n设置网络连接超时设置网络连接超时Exec-timeout 5 0Exec-timeout 5 0以上措施可以保证路由器的密码安全cnitseccnitsecCisco路由交换安全配置n n禁用交换机禁用交换机HTTPHTTP服务器服务器 no ip http serverno ip http servern n禁用禁用CDPCDP发掘协议发掘协议 no cdp runno cdp runn n禁用交换机禁用交换机NTPNTP服务器服务器 no ntp enableno ntp enable 如果用了如果用了,需要验证需要验证Ntp authenticate-key 10 md5 ntpkeyNtp authenticate-key 10 md5 ntpkeyNtp server seattle key 10Ntp server seattle key 10n n禁用低端口简单服务禁用低端口简单服务 no service-udp-small-servicesno service-udp-small-services no service-udp-small-servicesno service-udp-small-servicesn n禁用禁用FingerFinger服务服务 no service fingerno service finger以上措施可以降低路由器遭受应用层攻击的风险cnitseccnitsecCisco路由交换安全配置n n禁用简单网络管理协议禁用简单网络管理协议no snmp-server enableno snmp-server enablen n使用使用SNMPv3SNMPv3加强安全特性加强安全特性snmp-server enable traps snmp auth md5snmp-server enable traps snmp auth md5n n使用强的使用强的SNMPv1SNMPv1通讯关键字通讯关键字snmp-server communitynamesnmp-server communityname以上三者不可同时使用，如果必要使用SNMP安全性123cnitseccnitsecCisco路由交换安全配置n n认证与日志管理认证与日志管理 logging logging 设置与不同的服务相关联设置与不同的服务相关联 logging logging 的不同级别的不同级别n n使用使用AAAAAA加强设备访问控制加强设备访问控制 AAAAAA概念概念n n日志管理日志管理 logging onlogging on logging server 1.1.1.1logging server 1.1.1.1cnitseccnitsecCisco路由交换安全配置n n禁用禁用IP UnreachableIP Unreachable报文报文n n禁用禁用ICMP RedirectICMP Redirect报文报文 no ip redirectno ip redirectn n禁用定向广播禁用定向广播 no ip directed-broadcastno ip directed-broadcastn n禁用禁用ARPARP代理代理 no ip proxy-arpno ip proxy-arpn n使用使用IPIP验证验证 Ip verify unicast reverse-pathIp verify unicast reverse-pathn n禁用禁用IPIP源路由选项源路由选项 no ip source-routeno ip source-routecnitseccnitsecCisco路由交换安全配置n n启用启用TCPTCP截获特性防止截获特性防止DoSDoS攻击攻击创建截获访问控制列表创建截获访问控制列表起用起用TCPTCP截获特性截获特性设置门限制设置门限制设置丢弃模式设置丢弃模式cnitseccnitsecCisco路由交换安全配置n n使用访问控制列表限制访问地址使用访问控制列表限制访问地址n n使用访问控制列表限定访问端口使用访问控制列表限定访问端口n n使用访问控制列表过滤特定类型数据包使用访问控制列表过滤特定类型数据包n n使用访问控制列表限定数据流量使用访问控制列表限定数据流量n n使用访问控制列表保护内部网络使用访问控制列表保护内部网络cnitseccnitsec 第五章第五章 对网络威胁采取的策略对网络威胁采取的策略cnitseccnitsec拒绝服务攻击的防御策略cnitseccnitsec第一种是缩短第一种是缩短SYN TimeoutSYN Timeout时间，由于时间，由于SYN FloodSYN Flood攻击的效果取攻击的效果取决于服务器上保持的决于服务器上保持的SYNSYN半连接数，这个半连接数，这个值值=SYN=SYN攻击的频度攻击的频度 x x SYN TimeoutSYN Timeout，所以通过缩短从接收到，所以通过缩短从接收到SYNSYN报文到确定这个报文报文到确定这个报文无效并丢弃该连接的时间，例如设置为无效并丢弃该连接的时间，例如设置为2020秒以下（过低的秒以下（过低的SYN SYN TimeoutTimeout设置可能会影响客户的正常访问），可以成倍的降低服设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷务器的负荷.第二种方法是设置第二种方法是设置SYN CookieSYN Cookie，就是给每一个请求连接的，就是给每一个请求连接的IPIP地址地址分配一个分配一个CookieCookie，如果，如果短时间内连续受到某个短时间内连续受到某个IPIP的重复的重复SYNSYN报文报文，就认定是受到了攻击，以后从这个就认定是受到了攻击，以后从这个IPIP地址来的包会被一概丢弃。地址来的包会被一概丢弃。Syn Flood 解决办法cnitseccnitsec动态分析动态分析受到攻击时在线分析