防火墙VPN原理简介

防火墙、IDS、VPN原理简介Layer2安全风险问题防火墙IDS/IPS蠕虫病毒VPN其他ARPSpoof-Switch下环境网络窃听攻击者B发起ARPspoof攻击A:192.168.0.1xx-xx-xx-43-00-01C:192.168.0.3xx-xx-xx-43-00-03交换机环境下用ARPSpoof实现的窃听ARP协议没有任何验证方式攻击者B发送GratuitousARPREPLY广播包，宣传自己的IP地址时192.168.0.3,源MAC地址是XX-XX-XX-43-00-02；主机于是更新了自己的ARP缓存，以为IP地址为192.168.0.3的MAC地址是XX-XX-XX-43-00-02，主机A发送给主机C的信息被误导向攻击者B如果攻击者B模拟网络出口路由器发动ARP攻击，内部网络的所有出口信息都将被监听MACFlooding－Switch下环境网络窃听交换机环境用MACFlooding实现窃听Switch根据自身维护的地址表来判断它应该把有某个MAC地址的数据包发送到哪一个端口。这张地址表是动态的，且大小是有上限的如果某人发送大量错误的地址信息而使SWITCH维护的地址表“溢出”，“真实的帧”到达Switch后，Switch会发现没有目的MAC地址对应的port条目，于是就进行flooding。这时在同一个switch上的攻击者就可以进行snifferDSINFFER可以在1分钟内在一个交换机上生成155,000个MAC条目攻击者发起MACflooding攻击A:192.168.0.1xx-xx-xx-43-00-01C:192.168.0.3xx-xx-xx-43-00-03802.1x客户端PAE设备端PAERADIUS服务器EAPOL-StartEAP-Response/IdentityEAP-Response/MD5ChallengeEAP-Request/IdentityRADIUSAccess-Challenge(EAP-Request/MD5Challenge)RADIUSAccess-Accept(EAP-Success)握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]......EAPOL-Logoff端口被授权端口非授权EAPOLEAPORRADIUSAccess-Request(EAP-Response/Identity)EAP-Request/MD5ChallengeRADIUSAccess-Request(EAP-Response/MD5Challenge)EAP-Success802.1xPortal认证带浏览器的客户机QuidwayS3500交换机RADIUSserverPortalserverPortal协议Radius协议端点安全的基本功能检查隔离修复监控管理检查客户端的安全状态和防御能力操作系统版本、补丁（HotFix）防病毒软件版本、病毒库版本病毒检查安全配置检查隔离不符合安全策略、防御力低的终端通过802.1x、VPN、Portal认证阻断非法用户通过VLAN、ACL限制“危险”用户的访问权限（隔离区）高强度身份验证防止交叉感染防止病毒爆发确保用户合法具有抵抗力强制修复系统补丁、升级防病毒软件通知用户修复系统漏洞安全策略实施自动或强制手工进行补丁、病毒库的升级提高抵抗力增强安全性实时监控用户的安全状态定时病毒扫描定时检查安全配置全程安全监控掌握安全状态安全事件实时上报及时隔离“危险”用户集中、统一的用户管理接入策略服务策略可控的安全可视的安全安全策略集中监控日志分析端点准入防御组网应用——局域网接入InternetCAMS非法用户无法通过身份验证，拒绝接入网络未知安全状态，只允许接入隔离区未使用安全客户端的用户隔离区不符合安全策略的用户R安全状态不合格，在隔离区内修复安全联动交换机通过对接入用户的安全状态评估与强制修复，确保了接入终端的自防御能力阻止了来自网络内部的威胁、提高了内部网络的安全性，适合LAN或WLAN接入补丁服务器病毒服务器Layer2安全风险问题防火墙IDS/IPS蠕虫病毒VPN其他防火墙基本介绍－防火墙的概念防火墙：一种网络设备，可以保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信连接受信网络区域连接不受信网络区域在连接受信网络区域和非受信网络区域之间的区域，一般称为DMZ防火墙的基本特征经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。防火墙和路由器的差异A的报文如何能最快的到B？网络A如何和网络B互联互通？过来一个报文立刻转发一个报文。交流路由信息这个访问是否允许到B？这个TCP连接是合法连接吗？这个访问是否是一个攻击行为？路由器的特点：1、保证互联互通。2、按照最长匹配算法逐包转发。3、路由协议是核心特性。防火墙的特点：1、逻辑子网之间的访问控制，关注边界安全2、基于连接的转发特性。3、安全防范是防火墙的核心特性。防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙代理型防火墙状态检测防火墙状态检测技术用户A初始化一个telnet会话用户A的telnet会话返回报文被允许其它telnet报文被阻塞创建Session表项状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。状态防火墙对应用协议的支持FTPClient192.168.0.1PORT192,168,0,1,89,3200PortcommandOKRETRsample.txt150OpeningASCIIconnectionFTPServer19.49.10.10FTP主动模式状态检测防火墙192.168.0.1:22787（打开数据通道）SYN200PortcommandOKRETRsample.txt150OpeningASCIIconnectionthreewayhandshakethreewayhandshake创建一个临时规则表：允许19.49.10.10可以访问192.168.0.1:22787PORT192,168,0,1,89,3由于创建了一个临时规则，因此访问可以通过状态检测对某些特殊协议（例如FTP），还可以针对报文中的内容动态决定是否允许其他通道可以通过防火墙。防火墙主要规格介绍－性能衡量指标防火墙性能的指标主要有以下几点：吞吐量其中吞吐量业界一般都是使用1K～1.5K的大包衡量防火墙对报文的处理能力的。每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度很慢，在用户量较大的情况下非常容易造成防火墙处理能力急剧下降并发连接数目由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。防火墙主要规格介绍－安全防范特性Dos攻击防范功能包括对ICMPFlood、UDPFlood、SYNFlood、分片攻击等Dos攻击方式进行检测，丢弃攻击报文，保护网络内部的主机不受侵害。防止常见网络层攻击行为防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、TearDrop等常见的网络攻击行为，主动发现丢弃报文。针对畸形报文的防范通过一些畸形报文，如果超大的ICMP报文，非法的分片报文，TCP标志混乱的报文等，可能会对网络造成比较验证的危害，防火墙应该可以识别出这些报文。针对ICMP重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。防火墙主要规格介绍－业务支持地址转换：由于防火墙的位置处于边界，因此一般防火墙都提供地址转换特性。为了保证地址转换的良好工作，地址转换特性还需要支持丰富的ALG特性ACL规则设定：通过ACL设定防火墙的各种访问规则状态过滤：支持对各种常用协议进行状态过滤QoS：防火墙应该具有QoS业务支持能力防火墙主要规格介绍－高可靠性IntranetInternetFW2FW1LB1LB2IntranetIntranetInternetInternetFW2FW1LB1LB2Layer2安全风险问题防火墙IDS/IPS蠕虫病毒VPN其他192.168.0.100主机扫描原理192.168.0.1(UP)192.168.0.5(UP)192.168.0.7(DOWN)ICMP请求报文ICMP应答报文ICMP应答报文ICMP差错报文端口扫描原理(SYN扫描）192.168.0.100Port23(Open)Port52(Close)Port80(Open)Port21(Open)Port111(Close)SYN报文SYN＋ACK报文RST报文SYN＋ACK报文SYN＋ACK报文RST报文扫描攻击演示（端口扫描）•攻击方法nmap-sS192.168.5.5-p1-65535nmap-sT192.168.5.5nmap-sF192.168.5.5nmap-sU192.168.5.5nmap-sP192.168.5.1-255•检测方法配置flowset，使受保护主机在单位时间内如有若干个端口遭受探测，则表明有探测，默认设置为1秒内50个端口。•相关工具NmapUnicode解码漏洞原理漏洞发现该漏洞是由国内著名黑客组织绿盟成员袁哥首先发现的，并在2000年10月11日公布到网上，由于利用方便简单，引起了广泛的关注。涉及版本MicrosoftIIS4.0MicrosoftWindowsNT4.0SP6a以下MicrosoftIIS5.0-MicrosoftWindows2000ServerSP2以下-MicrosoftWindows2000ProfessionalSP2以下-MicrosoftWindows2000DatacenterServerSP2以下-MicrosoftWindows2000AdvancedServerSP2以下Unicode解码漏洞原理IIS如何解析unicode编码对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”，它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，Windows系统认为0xc10xhh可能是Unicode编码，因此它会首先将其解码。解码原则0x00=%hh0x40%c1%hh-(0xc1-0xc0)*0x40+0xhh%c0%hh-(0xc0-0xc0)*0x40+0xhh%hh0x80%c1%hh-(0xc1-0xc0)*0x40+(0xhh-0x80)%c0%hh-(0xc0-0xc0)*0x40+(0xhh-0x80)Unicode解码漏洞原理利用unicode解码方式构造‘/’或‘\’因为符号‘/’的ASCII码是5c,而符号‘\’的ASCII码是2f,利用刚才介绍的编码方式，我们可以构造出这两个字符如下:%c1%1c-(0xc1-0xc0)*0x40+0x1c=0x5c=‘/’%c0%2f-(0xc0-0xc0)*0x40+0x2f=0x2f=‘\’%c1%9c-(0xc1-0xc0)*0x40+(0x9c-0x80)=0x5c=‘/’%c0%af-(0xc0-0xc0)*0x40+(0xaf-0x80)=0x2f=‘\’欺骗IIS