防火墙、IDS、VPN原理简介要点课件.ppt

《防火墙、IDS、VPN原理简介要点课件.ppt》由会员分享，可在线阅读，更多相关《防火墙、IDS、VPN原理简介要点课件.ppt（62页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙、IDS、VPN原理简介Layer 2安全风险问题安全风险问题防火墙防火墙IDS/IPS蠕虫病毒蠕虫病毒VPN其他其他ARP Spoof-Switch下环境网络窃听攻击者攻击者B 发起发起ARP spoof攻击攻击A:192.168.0.1xx-xx-xx-43-00-01xx-xx-xx-43-00-01C:192.168.0.3xx-xx-xx-43-00-03xx-xx-xx-43-00-03 交换机环境下用交换机环境下用ARP SpoofARP Spoof实现的窃听实现的窃听ARPARP协议没有任何验证方式协议没有任何验证方式攻击者攻击者B B发送发送Gratuitous ARP

2、 REPLYGratuitous ARP REPLY广播包，宣传自己的广播包，宣传自己的IPIP地址时地址时192.168.0.3,192.168.0.3,源源MACMAC地址是地址是XX-XX-XX-XX-XX-43-00-02XX-43-00-02；主机于是更新了自己的主机于是更新了自己的ARPARP缓存，以为缓存，以为IPIP地址为地址为192.168.0.3192.168.0.3的的MACMAC地址是地址是XX-XX-XX-43-XX-XX-XX-43-00-0200-02，主机主机A A发送给主机发送给主机C C的信息被误导向攻击者的信息被误导向攻击者B B如果攻击者如果攻击者B B

3、模拟网络出口路由器发动模拟网络出口路由器发动ARPARP攻击，内部网络的所有出口信息都将被监听攻击，内部网络的所有出口信息都将被监听MAC FloodingSwitch下环境网络窃听交换机环境用交换机环境用MAC FloodingMAC Flooding实现窃听实现窃听 SwitchSwitch根据自身维护的地址表来判断它应该把有某个根据自身维护的地址表来判断它应该把有某个MACMAC地址的数据包发送到哪一个端口。地址的数据包发送到哪一个端口。这张地址表是动态的，且大小是有上限的这张地址表是动态的，且大小是有上限的 如如果果某某人人发发送送大大量量错错误误的的地地址址信信息息而而使使SWITC

4、HSWITCH维维护护的的地地址址表表“溢溢出出”，“真真实实的的帧帧”到到达达SwitchSwitch后，后，SwitchSwitch会发现没有目的会发现没有目的MACMAC地址对应的地址对应的portport条目，于是就进行条目，于是就进行floodingflooding。这时在同一个这时在同一个switchswitch上的攻击者就可以进行上的攻击者就可以进行sniffersniffer DSINFFER DSINFFER可以在可以在1 1分钟内在一个交换机上生成分钟内在一个交换机上生成155,000155,000个个MACMAC条目条目攻击者发起攻击者发起MAC flooding攻攻击击

5、A:192.168.0.1xx-xx-xx-43-00-01xx-xx-xx-43-00-01C:192.168.0.3xx-xx-xx-43-00-03xx-xx-xx-43-00-03 802.1x802.1xPortal认证带浏览器的客户机Quidway S3500交换机RADIUS serverPortal serverPortal协议Radius协议端点安全的基本功能检查隔离修复监控管理检查客户端的安全状态和防御能力操作系统版本、补丁（HotFix）防病毒软件版本、病毒库版本病毒检查安全配置检查隔离不符合安全策略、防御力低的终端通过802.1x、VPN、Portal认证阻断非法用户通

6、过VLAN、ACL限制“危险”用户的访问权限（隔离区）高强度身份验证防止交叉感染防止交叉感染防止病毒爆发防止病毒爆发确保用户合法确保用户合法具有抵抗力具有抵抗力强制修复系统补丁、升级防病毒软件通知用户修复系统漏洞安全策略实施自动或强制手工进行补丁、病毒库的升级提高抵抗力提高抵抗力增强安全性增强安全性实时监控用户的安全状态定时病毒扫描定时检查安全配置全程安全监控全程安全监控掌握安全状态掌握安全状态安全事件实时上报及时隔离“危险”用户集中、统一的用户管理接入策略服务策略可控的安全可控的安全可视的安全可视的安全安全策略集中监控日志分析端端点点准准入入防防御御组网应用局域网接入InternetCAMS

7、非法用户无法通过身份验证，拒绝接入网络未知安全状态，只允许接入隔离区未使用安全客户端的用户隔离区隔离区不符合安全策略的用户安全状态不合格，在隔离区内修复安全联动交换机通过对接入用户的安全状态评估与强制修复，确保了接入终端的自防御能力阻止了来自网络内部的威胁、提高了内部网络的安全性，适合LAN或WLAN接入补丁服务器病毒服务器Layer 2安全风险问题安全风险问题防火墙防火墙IDS/IPS蠕虫病毒蠕虫病毒VPN其他其他防火墙基本介绍防火墙的概念防火墙基本介绍防火墙的概念防火墙：一种网络设备，可以保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信连接受信网络区

8、域连接不受信网络区域在连接受信网络区域和非在连接受信网络区域和非受信网络区域之间的区域，受信网络区域之间的区域，一般称为一般称为DMZ防火墙的基本特征防火墙的基本特征经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。防火墙和路由器的差异防火墙和路由器的差异A的报文如何能最快的到的报文如何能最快的到B？网络网络A如何和网络如何和网络B互联互通？过来一个报文立刻转发一个报文。互联互通？过来一个报文立刻转发一个报文。交流路由信息交流

9、路由信息这个访问是否允许到这个访问是否允许到B？这个？这个TCP连接是合法连接吗？这个访问是否是一个攻击行为？连接是合法连接吗？这个访问是否是一个攻击行为？路由器的特点：1、保证互联互通。2、按照最长匹配算法逐包转发。3、路由协议是核心特性。防火墙的特点：1、逻辑子网之间的访问控制，关注边界安全2、基于连接的转发特性。3、安全防范是防火墙的核心特性。防火墙的分类防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙代理型防火墙状态检测防火墙状态检测技术状态检测技术状态防火墙通过检测基于状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防连接的连接

10、状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个火墙。在状态防火墙中，会维护着一个Session表项，通过表项，通过Session表项就可以决定哪些表项就可以决定哪些连接是合法访问，哪些是非法访问。连接是合法访问，哪些是非法访问。状态防火墙对应用协议的支持状态防火墙对应用协议的支持状态检测对某些特殊协议（例如状态检测对某些特殊协议（例如FTP），还可以针对报文中的内容动态决定是否允许其他通），还可以针对报文中的内容动态决定是否允许其他通道可以通过防火墙。道可以通过防火墙。防火墙主要规格介绍性能衡量指标防火墙主要规格介绍性能衡量指标防火墙性能的指标主要有以下几点：吞吐量 其

11、中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完整TCP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度很慢，在用户量较大的情况下非常容易造成防火墙处理能力急剧下降并发连接数目 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。防火墙主要规格介绍安全防范特性防火墙主要规格介绍安全防范特性Dos攻击防范功能 包括对ICMP Flood、UDP Flood、SYN Flood、分片攻击等D

12、os攻击方式进行检测，丢弃攻击报文，保护网络内部的主机不受侵害。防止常见网络层攻击行为 防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、Tear Drop等常见的网络攻击行为，主动发现丢弃报文。针对畸形报文的防范 通过一些畸形报文，如果超大的ICMP报文，非法的分片报文，TCP标志混乱的报文等，可能会对网络造成比较验证的危害，防火墙应该可以识别出这些报文。针对ICMP重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。防火墙主要规格介绍业务支持防火墙主要规格介绍业务支持地址转换：由于防火墙的位置处于边界，因此一般防火墙都提供地址转换特性。为了保证地址转换的良好工作，地址

13、转换特性还需要支持丰富的ALG特性ACL规则设定：通过ACL设定防火墙的各种访问规则状态过滤：支持对各种常用协议进行状态过滤QoS：防火墙应该具有QoS业务支持能力防火墙主要规格介绍高可靠性防火墙主要规格介绍高可靠性Layer 2安全风险问题安全风险问题防火墙防火墙IDS/IPS蠕虫病毒蠕虫病毒VPN其他其他192.168.0.100主机扫描原理主机扫描原理192.168.0.1(UP)192.168.0.5(UP)192.168.0.7(DOWN)ICMP请求报文ICMP应答报文ICMP应答报文ICMP差错报文端口扫描原理端口扫描原理(SYN扫描）扫描）192.168.0.100Port23

14、(Open)Port52(Close)Port80(Open)Port21(Open)Port111(Close)SYN报文SYNACK报文RST报文SYNACK报文SYNACK报文RST报文扫描攻击演示（端口扫描）攻击方法攻击方法nmap-sS 192.168.5.5 -p 1-65535nmap-sT 192.168.5.5nmap-sF 192.168.5.5 nmap-sU 192.168.5.5nmap-sP 192.168.5.1-255检测方法检测方法配置flowset，使受保护主机在单位时间内如有若干个端口遭受探测，则表明有探测，默认设置为1秒内50个端口。相关工具相关工具Nm

15、apUnicode解码漏洞原理解码漏洞原理l漏洞发现l该漏洞是由国内著名黑客组织绿盟成员袁哥首先发现的，并在2000年10月11日公布到网上，由于利用方便简单，引起了广泛的关注。l涉及版本lMicrosoftIIS4.0MicrosoftWindowsNT4.0SP6a以下lMicrosoftIIS5.0-MicrosoftWindows2000ServerSP2以下-MicrosoftWindows2000ProfessionalSP2以下-MicrosoftWindows2000DatacenterServerSP2以下-MicrosoftWindows2000AdvancedServer

16、SP2以下Unicode解码漏洞原理解码漏洞原理lIIS如何解析如何解析unicode编码编码对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”，它会首先将其解码变成:0 xc10 xhh，然后尝试打开这个文件，Windows系统认为0 xc10 xhh可能是Unicode编码，因此它会首先将其解码。l解码原则解码原则 0 x00=%hh (0 xc1-0 xc0)*0 x40+0 xhh%c0%hh-(0 xc0-0 xc0)*0 x40+0 xhh%hh 0 x80%c1%hh-(0 xc1-0 xc0)*0 x40

17、+(0 xhh-0 x80)%c0%hh-(0 xc0-0 xc0)*0 x40+(0 xhh-0 x80)Unicode解码漏洞原理解码漏洞原理l利用利用unicode解码方式构造解码方式构造/或或因为符号/的ASCII码是5c,而符号的ASCII码是2f,利用刚才介绍的编码方式，我们可以构造出这两个字符如下:%c1%1c-(0 xc1-0 xc0)*0 x40+0 x1c=0 x5c=/%c0%2f-(0 xc0-0 xc0)*0 x40+0 x2f=0 x2f=%c1%9c-(0 xc1-0 xc0)*0 x40+(0 x9c-0 x80)=0 x5c=/%c0%af-(0 xc0-0

18、xc0)*0 x40+(0 xaf-0 x80)=0 x2f=l欺骗欺骗IIShttp:/IP/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dir+c:http:/IP/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:通过以上变化，我们成功绕过了IIS的检查，顺利执行cmd.exe命令。只于为什么用scripts目录？这时因为默认iis这个目录具有可执行权限，所以选择它了，如果具有其他的一些可执行目录都可以，不过要注意它的目录深度，可能需要足够的.%c1%1c.或者.%c0%2f.了。Unicode解码

19、漏洞攻击解码漏洞攻击Web服务器演示服务器演示攻击方法攻击方法发送带有%c1%1c,%c0%2f,%c1%9c,%c0%af等一种或几种字符串组合的URI请求，在IIS5.0以下的版本中会引出Unicode解码漏洞，通过该漏洞可以使攻击者逃避IIS的./或.检查，如成功攻击Web服务器可获得系统的Web用户权限。检测方法检测方法检查所有发向Web服务器服务端口（默认80）的并带有%c1%1c,%c0%2f，%c1%9c,%c0%af等攻击特征串的URI数据流，由于通常攻击者会首先使用dir命令查看磁盘文件用于探测，我们可再加上dir字符串用于更准确匹配，不过这也会增加漏报的可能性。相关工具相关

20、工具自动化演示工具病毒攻击（例子震荡波）演示病毒攻击（例子震荡波）演示攻击方法攻击方法震荡波病毒利用WindowsLSASS进程的一个远程溢出漏洞进行攻击，病毒会扫描Windows主机的445端口，如果打开则发送溢出攻击数据包，如溢出成功，病毒获得system权限，并在系统中打开9996端口，并通过FTP上传病毒体到目标机，并运行之继续传播。如果溢出失败，则LSASS服务瘫痪，系统提示60秒后自动重启。检测方法检测方法检查发向受保护主机445端口的所有数据报，如发现和震荡波特征字向匹配，则记录日志告警。震荡波B变种特征字如下：|90909090eb105a4a33c966b97d0180340

21、a99e2faeb05e8ebffffff|或|9000900090009000eb0010005a004a003300c9006600b9007d000100800034000a009900e200fa00eb000500e800eb00ff00ff00ff|相关工具相关工具震荡波病毒样本，GHOST，98光盘IDS产品组成CommonIntrusionDetectionFramework(CIDF)阐述了入侵检测系统（IDS）的通用模型，是当前IDS的典型结构。它将一个入侵检测系统分为以下组件：事件产生器（Eventgenerators）事件分析器（Eventanalyzers）响应单元（

22、Responseunits）事件数据库（Eventdatabases）事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件IDS产品类型NIDSHIDS优点优点一个一个NIDS不需要改变服务器等主机不需要改变服务器等主机的配置的配置 不会影响业务系统的性能不会影响业务系统的性能HIDS对分析对分析“可能的攻击行

23、为可能的攻击行为”非常有用。非常有用。HIDS通常情况下比通常情况下比NIDS误报率要低，因为检测在主机上误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得运行的命令序列比检测网络流更简单，系统的复杂性也少得多。多。另外另外HIDS是安装在服务器上的，即网络会话的终点，加密是安装在服务器上的，即网络会话的终点，加密的会话在这里也完成了解密，所以没有的会话在这里也完成了解密，所以没有NIDS没法对付隐含在没法对付隐含在加密会话中的攻击的问题。加密会话中的攻击的问题。缺点缺点NIDS为了性能目标通常采用特征检为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻

24、测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。算与分析时间的攻击检测。NIDS没法检测出加密会话中入侵行没法检测出加密会话中入侵行为为主机入侵检测系统安装在我们需要保护的设备上。主机入侵检测系统安装在我们需要保护的设备上。主机入侵检测系统的另一个问题是它依赖于服务器固有的主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。日志与监视能力。全面部署主机入侵检测系统代价较大，企业中很难将所有全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护主机用主机入侵检测

25、系统保护，只能选择部分主机保护 主机入侵检测系统除了监测自身的主机以外，不监测网络主机入侵检测系统除了监测自身的主机以外，不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。而增加。IDS技术实现原理特征检测技术特征检测技术协议匹配字符串匹配大小匹配逻辑匹配异常检测异常检测操作模型方差多元模型系统状态模型时间序列分析IDS技术的部署IDS技术部署的流量监控问题HUBSWITCHTAPIDS Sensor的负载均衡IDS OR IPS?设备故障？性能？误报和漏报DOS攻击？安全攻击介绍安全攻击介绍p已知的操作系统和应用漏洞攻击

26、IIS UNICODE解码漏洞p缓冲区溢出震荡波、IIS WebDav缓冲区溢出p蠕虫CodeRed、SQL Slammerp木马p端口扫描SYNC 扫描等等，工具：NMAPpDDoS攻击SYNC FLOODpIP分段攻击TearDrop，工具：Nessus网络层次越高资产价值越大L5-L7:Application LayerL4:Transport LayerL3:Network LayerL2:Lnk LayerL1:Phy.LayerSecEngine IPS深入到业务和应用进行保护深入到业务和应用进行保护RouterTraditionalFirewallTCP/IP StackNICO

27、SesWeb ServersWeb ApplicationFrameworksApplications风险越高越迫切需要被保护ApplicationDataSessionIDHTTPRequest/RespondTCPConnectionIPPacketEthernetPacketBitonWireLayer 2安全风险问题安全风险问题防火墙防火墙IDS蠕虫病毒蠕虫病毒VPN蠕虫病毒的特点普通病毒普通病毒蠕虫病毒蠕虫病毒存在形式存在形式寄存文件独立程序传传染机制染机制宿主程序运行主动攻击传传染目染目标标本地文件网络计算机入侵代码入侵代码传播机制传播机制负荷（负荷（Payload）Probe,P

28、enetrate,Persist,Propagate,Paralyze蠕虫病毒的防治限制（限制（Containment）免疫（免疫（Inoculation）隔离（隔离（Quarantine）治疗（治疗（Treatment）为所有的系统及时打上漏洞补丁（中心补丁服务器为所有的系统及时打上漏洞补丁（中心补丁服务器)使用使用HIDS保护系统保护系统用用NIDS来检查蠕虫的活动来检查蠕虫的活动用访问控制来限制蠕虫传播用访问控制来限制蠕虫传播用用PVLAN来保护关键服务器来保护关键服务器用网管工具来追踪被感染的主机用网管工具来追踪被感染的主机通过通过CAR来限制蠕虫流量来限制蠕虫流量全网部署病毒扫描措施

29、全网部署病毒扫描措施“DayZero”Anti-Virus!Layer 2安全风险问题安全风险问题防火墙防火墙IDS蠕虫病毒蠕虫病毒VPN其他其他L2TP VPN GRE VPN IPSEC VPN-IKEDiffie-Hellman密钥交换算法开发于20世纪70年底开发主要功能是使通讯的双方只需交换密钥对的公开部分（可以在不安全通道上进行公开交换的部分），就可以通过该算法生成一个公共的密钥。用作对称加密算法的密钥（因为双方生成的密钥是相同的）。Diffie-Hellman密钥交换算法双方协商一个生成数“g”和一个大素数“P”，具体的g和P的数值是根据双方选择的DH算法组来确定的。1PeerA

30、选择一个随机数a作为自己的私有密钥，然后生成一个公开密钥XaXa=(gExpa)modP2PeerB选择一个随机数b作为自己的私有密钥，然后生成一个公开密钥XbXb=(gExpb)modP3PeerA和PeerB分别向对方交换自己的公开密钥Xa和Xb。4PeerA生成会话密钥Ka=（XbExpa）modP=(gExpab)modP5PeerB生成会话密钥Kb=(XaExpb)modP=(gExpab)modP可以看到Ka=KbDH算法的安全性是基于在有限域中计算离散对数的难度，Xa和Xb虽然是在不安全通d道上交流的，黑客即使可以截获Xa和Xb，也无法推算出Ka和Kb。Generator g=3

31、“Large prime”(Using a small prime for this example)P=101Peer A Diffie-Hellman Private Keya=7(Random Number)Peer A Diffie-Hellman Public Key Xa=37 mod 101=2187 mod 101=66Peer B Diffie-Hellman Private Keyb=10(Random Number)Peer B Diffie-Hellman Public KeyXb=310 mod 101=59049 mod 101=65Peer A Session K

32、eyKa=657 mod 101=4902227890625 mod 101=17Peer B Session Key Kb=6610 mod 101=1568336880910795776 mod 101=17This may also be written as Ka=Kb=3(7*10)mod 101=17Diffie-Hellman密钥交换算法IKE第一阶段 主模式6个消息IKE 第一阶段 野蛮模式（3个消息）IKE第二阶段 快速模式3个消息IPSECIPSEC 有两个协议族有两个协议族AHESPIPSEC的功能的功能私有性私有性 在传输数据包之前将其加密在传输数据包之前将其加密.以保

33、证数据的私有性；以保证数据的私有性；完整性完整性 在目的地要验证数据包保证该数据包在传输过程中没有被修改；在目的地要验证数据包保证该数据包在传输过程中没有被修改；真实性真实性 验证所有受验证所有受IPSec保护的数据包；保护的数据包；防重放防重放 防止数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复防止数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。的数据包，它通过报文的序列号实现。传输模式隧道模式IPSEC VPN NAT 穿越通讯双方是否支持NAT穿越检测两个设备之间十分存在NAT设备UDP封装draft-ietf-ipsec-nat-t-ik

34、e-07.pdfdraft-ietf-ipsec-nat-t-ike-07.pdfL2TP+IPSEC处理并剥去数据链路层报头和报尾；处理并剥去IPheader；使用IPSecESPAuthtrailer认证IP载荷和IPSecESP报头；使用IPSecESPheader解密数据包的加密部分；处理UDPheader并将L2TP数据包发给L2TPLNS；L2TP使用L2TPheader中的TunnelID和CallID确定特定的L2TP遂道；使用PPPheader确定PPP载荷，并将它转发给适当的协议驱动器进行处理SSL VPNHandshake Protocol简单易用的SSL VPN SSLSSL加密加密 明文明文 SecurID SecurID 数字证书数字证书 SecKey SecKey 用户认证用户认证业务系统认证服务器p不需要客户端支持，方便用户使用 p硬件SSL加速，提高系统处理能力p支持多种用户接入认证，灵活接入控制p可管理性，用户日志记录和权限控制等内部局域网络SSL VPN演示Provision By PurposeCoreSAMNetwork ConnectLayer 2安全风险问题安全风险问题防火墙防火墙IDS蠕虫病毒蠕虫病毒VPN其他其他其他议题WLANURL过滤过滤防病毒防病毒防垃圾邮件防垃圾邮件安全策略安全策略安全部署安全部署