园区网安全技术培训课件(ppt-98张)

hhy980344@163.com第十章园区网安全技术交换今日汗水，路由明朝辉煌hhy980344@163.com教学目标•了解常见的网络安全隐患及常用防范技术；•熟悉交换机端口安全功能及配置•掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。hhy980344@163.com本章内容•网络安全隐患•交换机端口安全•IP访问控制列表hhy980344@163.com课程议题网络安全隐患hhy980344@163.com常见的网络攻击•网络攻击手段多种多样，以下是最常见的几种0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫针对网络服务器漏洞的攻击拒绝服务攻击基于缓冲区溢出的攻击与ActiveCode相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击hhy980344@163.com攻击不可避免•网络攻击原理日趋复杂，但攻击却变得越来越简单易操作hhy980344@163.com额外的不安全因素DMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部个体外部/组织内部个体内部/组织hhy980344@163.com现有网络安全体制现有网络安全防御体制IDS/IPS68%杀毒软件99%防火墙98%ACL71%hhy980344@163.com现有网络安全体制VPN虚拟专用网防火墙包过滤防病毒入侵检测hhy980344@163.com园区网的常见安全隐患•网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏，它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事件。•园区网络安全隐患包括：•意外事故、人为行为（如使用不当、安全意识差等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。•非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。•人为但属于操作人员无意的失误造成的数据丢失或损坏。•来自园区网外部和内部人员的恶意攻击和破坏。hhy980344@163.com园区网安全解决方案的整体思路•将关键设备放在物理上安全的空间里•制定一个完善的安全机制•制定一个严格的安全策略•可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。•宣传教育hhy980344@163.com课程议题园区网常见攻击hhy980344@163.com网络攻击对各网络层次的影响hhy980344@163.com二层交换机工作原理MAC地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.4444•未知单播帧，广播帧：•执行广播操作Floodinghhy980344@163.com二层攻击和防范•网络攻击对二层交换机产生的严重影响有：•MAC攻击；•DHCP攻击；•ARP攻击；•IP/MAC欺骗攻击；•STP攻击hhy980344@163.com三层攻击和防范•网络攻击对三层交换机产生的严重影响有：•MAC攻击；•DHCP攻击；•ARP攻击；•IP/MAC欺骗攻击；•DoS/DDoS攻击；•IP扫描攻击；hhy980344@163.comMAC攻击•MAC地址：链路层唯一标识00.d0.f8.00.07.3cFF.FF.FF.FF.FF.FF前3个字节：IEEE分配给网络设备厂商后3个字节：网络设备厂商自行分配，不重复，生产时写入设备广播MAC地址接入交换机MAC地址表：空间有限MACPORTA1B2C3hhy980344@163.comMAC攻击PCAMACAPCBMACBPCCMACCMAC攻击：每秒发送成千上万个随机源MAC报文交换机MAC地址表很快被不存在的地址占满，没有空间学习合法的MACB和C流量：C－B单播流量在交换机内部以广播方式在所有端口转发，非法者也能够接收这些报文hhy980344@163.comMAC攻击•交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部的MAC地址表；•使得单播包在交换机内部变得像广播包一样向同一VLAN的所有端口转发；•每个连接在交换机端口的客户端都会收到该数据包，交换机变成了一个HUB，用户的信息传输也没有了安全保障。hhy980344@163.comDHCP攻击•DHCP协议PCClientDHCPServer有DHCP服务器吗？DHCPDiscover（广播）DHCPOffer（单播）我是DHCP服务器DHCPRequest（广播）DHCPACK（单播）我需要你说的IP地址你可以使用这个IP•DHCP协议相关标准请查阅RFC2131hhy980344@163.comDHCP攻击•DHCP的弱点•DHCP无验证机制•DHCP攻击•攻击者伪装DHCP服务器为网络分配地址•攻击者可以发动一个DHCPDoS攻击hhy980344@163.comDHCP攻击•恶意用户通过更换MAC地址方式向DHCPServer发送大量的DHCP请求，以消耗DHCPServer的可分配IP地址资源为目的；•使得合法用户的IP地址请求无法实现。PCClientDHCPServerDHCP攻击之一：恶意DHCP请求攻击者不断变化MAC地址IPPool被耗尽hhy980344@163.comDHCP攻击•非法DHCPServer，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息；•不仅导致合法用户的正常通信受到影响；还可能导致合法用户的信息被发往非法DHCPServer，严重影响用户的信息安全。DHCP攻击之二：伪装DHCPServerClient发出的DHCP请求报文非法的DHCP响应报文Client访问某个PC的报文PCClientDHCPServer攻击者伪装成DHCPServerhhy980344@163.comARP攻击•ARP的作用•将IP地址映射到MAC地址hhy980344@163.comARP攻击•ARP的弱点•ARP无验证机制，请求者不能判断收到的ARP应答是否合法ARP攻击之一：ARP欺骗UnicastARPReply：10.1.1.1MAC=0000-0000-000Fhhy980344@163.comARP攻击•ARP中间人攻击•攻击者不但伪造网关，而且进行数据重定向ARP攻击之二：ARP中间人UnicastARPReply：10.1.1.1MAC=0003-0003-0003UnicastARPReply：10.1.1.2MAC=0003-0003-0003hhy980344@163.comARP攻击•ARP流量攻击•利用攻击软件，发送大量ARP请求和响应，报文中的IP地址和MAC均为伪造，随机填入。ARP攻击之三：ARP流量攻击hhy980344@163.comIP/MAC欺骗攻击•MAC欺骗/IP欺骗•盗用合法用户的MAC地址和IP地址，侵入网络，使得正常用户无法上网10.1.1.200-02-00-02-00-02Router/GatewayAttacker10.1.1.200-02-00-02-00-02地址冲突MAC地址表不稳定hhy980344@163.comIP/MAC欺骗攻击•SYNFlood•不断修改IP地址，发送TCPSYN连接，攻击服务器AttackerServerTCPSYNSYN/ACK下一个SYN下一个SYN下一个SYN下一个SYN客户端无确认包，服务器处于半连接状态，很快TCP缓存资源被耗尽hhy980344@163.comSTP攻击•STP攻击•发送虚假BPDU，扰乱网络拓扑和链路架构，充当网络根节点，获取信息•防范•使用交换机具备的BPDUGuard功能，可以禁止网络中直接接用户的端口或接入交换机的下连端口收到BPDU，从而防止用户发送非法BPDU；•对于接入交换机，如果没有冗余链路，尽量不要开启生成树协议。hhy980344@163.comDoS/DDoS攻击•DoS/DDoS（拒绝服务攻击/分布式拒绝服务攻击）•指故意攻击网络协议的缺陷或者直接通过野蛮手段耗尽攻击目标的资源，目的是让目标计算机或网络无法提供正常的服务，甚至系统崩溃。•SYNFlood：当前最流行的DoS与DDoS攻击方式，利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽。•SYN-Telnet：向被攻击者发送大量的TCP＝23的数据包（持续线速）•ICMPFlood：传统的DDoS攻击方式，利用大量64KB的ICMPecho报文阻塞对方网络。hhy980344@163.comDoS/DDoS攻击•被DDoS攻击时的现象•被攻击主机有大量等待的TCP连接•网络中充斥大量无用的数据包，源地址伪造•制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯•利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常客户端请求•严重时会导致服务挂起，甚至系统宕机•网络严重瘫痪hhy980344@163.com课程议题交换机端口安全hhy980344@163.com交换机端口安全概述•交换机的端口安全•交换机二层端口上的安全特性•只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络•限制端口接入的设备数量，防止用户将过多的设备接入到网络中•配置端口安全存在以下限制：•安全端口必须是Access端口，而非Trunk端口•安全端口不能是聚合端口（AggregatePort）•安全端口不能是镜像（SPAN）的目的端口。hhy980344@163.com交换机端口安全概述•利用交换机的端口安全功能实现•防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。•交换机端口安全的基本功能•限制交换机端口的最大连接数•端口的安全地址绑定hhy980344@163.com交换机端口安全概述•如果用户操作超出端口安全允许的操作范围，这种现象称之为违例。•当违例产生时，有下面3种违例的处理模式：•Protect：安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包；•Restrict：交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMPTrap报文，给网络管理系统；•Shutdown：交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMPTrap报文，而且将端口关闭。hhy980344@163.com端口安全的配置–打开接口的端口安全功能–设置接口上安全地址的最大个数–配置处理违例的方式Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#switchportport-securitymaximumnumberSwitch(conifg-if)#switchportport-securityviolation{protect|restrict|shutdown}hhy980344@163.com配置安全端口上的安全地址–配置安全端口上的安全地址–当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使用如上命令手工将其恢复为UP状态–使用err-disabled命令后所有的违例端口都会被恢复–设置端口从“err-disabled”状态自动恢复所等待的时间Switch(conifg-if)#switchportport-securitymac-addressmac-address[ip-addressip-address]Switch(conifg)#errdisablerecoverySwit