搜索
网络安全教程曹志雷2004-052网络安全体系结构网络安全攻击防火墙技术入侵检测技术网络安全策略网络安全案例参考资料目录3网络安全必要性网络安全体系结构伴随互联网发展重要信息变得非常容易被获取个人数据重要企业资源政府机密网络攻击变的越来越便利黑客(crack)技术在全球范围内共享易用型操作系统和开发环境普及4重点安全管理安全体系物理安全网络安全信息安全环境安全媒体安全设备安全反病毒审计监控安全检测访问控制备份恢复传输安全储存安全用户鉴权内容审计网络安全体系结构5访问控制传输安全用户鉴权安全检测出入控制存取控制安全扫描入侵检测口令机制智能卡主体特征传输数据加密数据完整鉴别防抵赖数字证书控制表技术攻击技术口令技术加密技术安全协议网络安全体系结构6可运营IP网络的安全需求网络安全体系结构网络安全管理网络结构安全,路由的稳定性,各节点设备的安全,设备操作的安全以及网络安全政策实施。信息安全管理信息传输的安全,计费/认证信息的安全,信息服务器的安全。接入安全控制身份认证,用户隔离,访问控制。业务安全开展增对不同的业务采取具体的措施,譬如高速上网业务需要保证用户之间的隔离,专线业务需要保证QoS,虚拟专线业务需要保证QoS和信息安全。7安全策略防护入侵检测黑名单身份认证数据加密访问控制用户隔离告警策略更改ASPF日志P2DR(Policy、Protection、Detection、Response)模型是网络安全管理基本思想,贯穿IP网络的各个层次网络安全体系结构VRP网络安全模型——P2DR8IP网络的安全模型网络安全体系结构实时的动态检测:包括设备日志、动态防火墙以及专用入侵检测等技术。有效的攻击响应:包括告警等自动响应以及策略更改、黑名单等手动响应操作。基本的预防防护:包括用户隔离、身份认证、访问控制、数据加密、动态防火墙等技术。核心的策略管理:包括网管和策略管理技术。9•企业接入安全•专网安全•安全VPN业务•丰富的电子商务应用安全业务管理层面应用层面安全管理安全技术VRP平台安全结构基础层面•防火墙•内容过滤•用户认证•CA认证•访问控制•地址转换/隐藏•数据加密•入侵检测•安全日志•……网络安全体系结构10接入层汇聚层骨干层基本增强高级Vlan技术分级分权管理Vlan技术流控防火墙技术web认证分级分权管理VPN/MPLSIPSECEAPoE认证CA安全策略管理路由保护分级分权管理CA安全策略管理安全策略管理Web/PPPoE认证防火墙技术(增强)ASPF技术安全日志专用防火墙IDC二层防火墙安全日志简单防火墙安全日志网络安全关键技术的应用网络安全体系结构11用户隔离和识别网络安全体系结构关键技术:接入/汇聚层设备支持VLAN的划分;VLAN数量应不受4096的限制;支持VLANID与IP地址或MAC地址的捆绑;采用2.5层的vlan聚合技术(如代理ARP等),解决vlan浪费IP地址的问题。能够解决的安全问题:防止用户之间利用二层窃取信息,利用vlan技术直接将用户从二层完全隔离;VlanID与IP地址和MAC地址的捆绑,防止用户进行IP地址欺骗,在安全问题发生时便于快速定位。12流控技术网络安全体系结构关键技术:接入报文合法性验证、流分类、流量监管和控制(CAR)、路由转发、队列调度。能够解决的安全问题:可以防止外部通过流量攻击接入用户,同时也可以对接入用户进行流量限制。13认证技术网络安全体系结构关键技术:PPPoE、WEBPortal认证和EAPoE。能够解决的安全问题:解决对用户的认证、授权和计费。对于固定用户,可以通过VlanID进行认证和授权,但经常需要移动的用户,不能通过vlanID进行认证和授权,必须有相应的帐号。同时,单纯利用vlan技术不能解决用户按时长计费的要求,只能适用于包月制。14防火墙/ASPF技术网络安全体系结构关键技术:包过滤防火墙技术;状态防火墙技术(ASPF);专用防火墙技术。能够解决的安全问题:防火墙技术运用在汇聚层设备,主要保护接入用户,包括阻止用户的非授权业务,阻止外部对接入用户的非法访问等;ASPF技术可以保护接入用户和网络设备本身免受恶意攻击,但是ASPF技术的采用会带来设备性能的下降;另外在城域数据中心一般采用专用防火墙。15安全日志网络安全体系结构关键技术:网管技术;设备安全日志。能够解决的安全问题:对网络攻击提供分析检测手段。16策略管理网络安全体系结构关键技术:LDAP协议;RADIUS+协议;策略服务器技术。能够解决的安全问题:通过对策略的管理和分配,能够实现全网范围内的网络安全。17VPN技术网络安全体系结构关键技术:目前有多种形式的VPN,对于运营商主要是VPDN和VPRN。VPDN技术比较明朗,主要是L2TP,VPRN技术包括GRE和MPLS,目前MPLS被普遍看好。MPLS技术又包括扩展BGP和VR两种方式。能够解决的安全问题:VPN主要运用在一些安全性较高的组网业务中,例如企业之间可以通过VPN互联;城域网络本身计费、网管等可以通过VPN组成虚拟专网,保证安全性;另外VoIP应用,GPRS应用也都可以通过VPN,保证QoS和安全性。18IPSec技术网络安全体系结构关键技术:IPSec技术是目前最重要的加密技术。IPSec在两个端点之间通过建立安全联盟(SA)进行数据传输。SA定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。IPSec有隧道和传输两种工作方式。能够解决的安全问题:与VPN技术结合保证用户数据传输的私有性、完整性、真实性和防重放性19网络安全体系结构关键技术:CA技术是安全认证技术的一种,它基于公开密钥体系,通过安全证书来实现。安全证书由CA中心分发并维护。网络设备对CA中心的支持包含两方面的内容,其一是针对CA中心的管理功能完成与CA中心的交互;其二即是网络设备作为通信实体的认证功能。能够解决的安全问题:网络设备通过对CA的支持可以实现相互之间的认证,保证路由信息和用户数据信息的安全。CA技术20网络安全体系结构网络安全攻击防火墙技术入侵检测技术网络安全策略网络安全案例参考资料目录21网络攻击分类网络安全攻击报文窃听(PacketSniffers)IP欺骗(IPSpoofing)服务拒绝(DenialofService)密码攻击(PasswordAttacks)中间人攻击(Man-in-the-MiddleAttacks)应用层攻击(ApplicationLayerAttacks)网络侦察(NetworkReconnaissance)信任关系利用(TrustExploitation)端口重定向(PortRedirection)未授权访问(UnauthorizedAccess)病毒与特洛伊木马应用(VirusandTrojanHorseApplications)22报文窃听(PacketSniffers)网络安全攻击报文窃听是一种软件应用,该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。可以轻易通过解码工具(sniffers/netxray等)获得敏感信息(用户密码等)。23报文窃听(PacketSniffers)网络安全攻击24报文窃听(PacketSniffers)网络安全攻击减轻危害的方法:验证(Authentication):采用一次性密码技术(one-time-passwordsOTPs)交换型基础设施:用交换机来替代HUB,可以减少危害。防窃听工具:使用专门检测网络上窃听使用情况的软件与硬件。加密:采用IPSecurity(IPSec)、SecureShell(SSH)、SecureSocketsLayer(SSL)等技术。25IP欺骗(IPSpoofing)网络安全攻击IP欺骗是指网络内部或外部的黑客模仿一台可靠计算机会话(IP协议头中源IP地址欺骗)IP欺骗通常会引发其他的攻击--DoS。实现与攻击目标双向通讯办法--更改网络上的路由表。26IP欺骗(IPSpoofing)网络安全攻击减轻危害的方法:访问控制:拒绝任何来自外部网络而其源地址为内部网络的流量。如果某些外部地址也可靠,此方法无效。RFC2827过滤:防止一个网络的用户欺骗其他网络。27服务拒绝(DenialofService)网络安全攻击DoS(DenyOfService)就是攻击者通过使你的网络设备崩溃或把它压跨(网络资源耗尽)来阻止合法用户获得网络服务,DOS是最容易实施的攻击行为。DoS主要包括pingofdeath、teardrop、UDPflood、TCPSYNFlood、land攻击、smurf攻击等。28服务拒绝(DenialofService)网络安全攻击DDoS(DistributedDenialOfService)黑客侵入并控制了很多台电脑,并使它们一起向主机发动DoS攻击,主机很快陷于瘫痪,这就是分布式拒绝服务攻击——DDoS(DistributedDenialOfService)。29死亡之ping(pingofdeath)—DoS网络安全攻击一般网络设备对包的最大处理尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷(PayLoad)生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方宕机。30网络安全攻击死亡之ping(pingofdeath)—DoS31死亡之ping(pingofdeath)—DoS网络安全攻击减轻危害的方法:现在所有的标准TCP/IP都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击。对操作系统进行升级和打补丁32泪滴(teardrop)—DoS网络安全攻击利用那些在TCP/IP堆栈实现中信任IP分片中的IP协议首部所包含的信息来实现攻击。IP分片含有指示该分片所包含的是原数据报文的哪一段信息,某些设备在收到重叠IP分段报文时会崩溃或严重异常。33泪滴(teardrop)—DoS网络安全攻击34泪滴(teardrop)—DoS网络安全攻击减轻危害的方法服务器应用最新的服务包,或者在设置防火墙时对分片进行重组,而不是转发它们。35网络安全攻击各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的数据。通过伪造与主机的Chargen服务的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台设备之间的足够多的无用数据流,从而导致带宽不足的严重问题。UDP洪水(UDPflood)—DoS36UDP洪水(UDPflood)—DoS网络安全攻击减轻危害的方法关掉不必要的TCP/IP服务对防火墙进行配置阻断来自Internet的对这些服务的请求在路由器或防火墙上进行源地址过滤37网络安全攻击TCPSYNflood—DoS38网络安全攻击在TCP协议中,SYN置位的报文表示请求建立一个连接。当服务器端收到SYN置位的报文时,将预留资源并向客户端回应一个报文,表示连接请求被允许。按照正常的流程,客户端应当返回一个报文表示连接已经建立。SYNflooding攻击一方面伪造源地址,另一方面即使不伪造源地址,也不给予响应。而一个TCP连接在发送报文到目的地址失败的情况下,会试图再进行多次重传,这样越发加重了网络的负担。SYNflooding攻击采用伪造源地址并创建许多的SYN报文的方式,在很短的时间内将特定目标的内存或其他资源消耗殆尽。这种攻击使得特定网络上的HTTP或FTP服务器保持大量的会话连接,从而让合法的用户不能访问该资源。TCPSYNflood—DoS39TCPSYNflood—DoS网络安全攻击防御:在防火墙上过滤来自同一主机的后续连接。40Lan