《3网络与信息安全精编版》由会员分享,可在线阅读,更多相关《3网络与信息安全精编版(43页珍藏版)》请在金锄头文库上搜索。
1、网络与通信安全,中国信息安全产品测评认证中心(CNITSEC) CISP-网络与通信安全(培训稿),课程内容,网络协议与安全威胁 网络安全控制 交换机设备安全配置 路由器设备安全配置,第一部分网络协议与安全威胁,四层协议,链路层,设驱动备程序及接口卡,网络层,传输层,应用层,IP、ICMP、IGMP,TCP、UDP,Mail、FTP、HTTP、Telnet,工作模式,链路层,网络层,传输层,应用层,邮寄物品,邮寄类型和申请,邮件封装,邮寄线路,四层协议与网络攻击,链路层,网络层,传输层,应用层,网络窃听攻击,地址欺骗攻击,拒绝服务攻击,信息扫描攻击,服务系统攻击,第二部分网络安全控制,OSI网
2、络参考模型网络组成结构,网络系统,L3 L2 L1,L7 L6 L5 L4 L3 L2 L1,L3 L2 L1,路由器,资源子网,通信线路,主机,通信子网,主机,网络系统,通信线路,L1 L2 L3,L1 L2 L3,L4 L5 L6 L7,网络通信 子系统,WAN,LAN,OSI网络参考模型通信模式,上层用户:上层协议站,是通信的信源和信宿; 通信功能:为实现通信所能提供的特定操作和控制机制,如数据传送、流量控制、差错控制、应答机制、数据包的拆分与重组等; 通信服务:是通信功能的外部表现,为上层用户提供通信支持; 通信介质:本层以下所有协议层,是本层以下通信结构的抽象表示; 通信子系统通过本
3、层的通信功能和下层的通信服务,实现本层不同通信实体之间的通信,并为上层协议提供通信服务。,通信介质,协议站1,协议站2,上层用户1,上层用户2,通信服务,访问,通信协议,通信功能,通信子系统,下层通信服务,通信实体1,通信实体2,理论依据,互联基础设施域,支撑基础设施域,局域计算 接入域,局域计算 服务域,服务和管理对象,检测和响应、KMI、应急和恢复,处理 计算 存储,本地接入 远程接入,理论依据,美国总统关键基础设施保护委员会关于加强SCADA网络的21条建议 美国国家安全局IATF DMTF的分布式管理方法和模型 软件行为学 ,安全域综述概念&理解,一般常常理解的安全域(网络安全域)是指
4、同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。 如果理解广义的安全域概念则是, 具有相同业务要求和安全要求的IT系统要素的集合。 这些IT系统要素包括: 网络区域 主机和系统 人和组织 物理环境 策略和流程 业务和使命等,安全域综述安全域的意义,基于网络和系统进行安全检查和评估的基础 安全域的分割是抗渗透的防护方式 基于网络和系统进行安全建设的部署依据 安全域边界是灾难发生时的抑制点,防止影响的扩散,安全区域的划分原则,需求牵引:业务层面的需求(不同业务、不同部门的安全等级需求不同)以及网络结构层面的需求(安
5、全域在逻辑上可以和网络层次结构对应);与现有网络结构,网络拓扑紧密结合,尽量不大规模的影响网络布局(考虑到用户需求和成本等因素)与业务需求一致性原则,安全域的范围,边界的界定不能导致业务与实际分离; 统一安全策略:安全域的最重要的一个特征是安全策略的一致性,所以划分安全域的的前提是具备自上而下(纵向的),自内而外(横向的)的宏观上的安全策略规划; 部署实施方便:最少化安全设备原则,合理的安全域划分可以减少冗余设备,精简开支; 等级保护的需要; 为集中化的安全管理服务。,安全控制,接入区域,逻 辑 隔 离,业务处理区域,业务终端区域,业务处理区域,横向骨干,接入区域,逻 辑 隔 离,业务处理区域
6、,业务终端区域,业务处理区域,核心数据区域,纵向骨干,安全边界,安全边界将需要保护的资源、可能的风险和保障的需求结合起来 可以在通信路径上完成访问控制的授权、范围、期限。 安全边界的设计 良好的清晰度以便进行审查和测试 具备简洁性以便能够迅速自动化执行减轻维护人员的工作量 具备现实性以便采用成熟的技术和产品 安全边界可采用的安全技术包括隔离、监控、检测、评估、审计、加密等。,可作为安全边界的设备,交换机 路由器 防火墙 入侵检测 网关 VPN Etc.,第三部分交换机设备安全配置,配置内容,关闭不必要的设备服务 使用强口令或密码 加强设备访问的认证与授权 升级设备固件或OS 使用访问控制列表限
7、制访问 使用访问控制表限制数据包类型,交换机-针对CDP攻击,说明 Cisco专用协议,用来发现周边相邻的网络设备 链路层帧,30s发送一次,目标MAC:01:00:0C:CC:CC:CC 可以得到相邻设备名称,操作系统版本,接口数量和类型,接口IP地址等关键信息 在所有接口上默认打开 危害 任何人可以轻松得到整个网络信息 可以被利用发起DoS攻击: 对策 如不需要,禁止CDP 禁止User-End端口的CDP,交换机-针对STP攻击,说明 Spanning Tree Protocol 防止交换网络产生回路 Root Bridge BPDU-bridge ID, path cost, inte
8、rface 攻击 强制接管root bridge,导致网络逻辑结构改变,在重新生成STP时,可以导致某些端口暂时失效,可以监听大部份网络流量。 BPDU Flood:消耗带宽,拒绝服务 对策 对User-End端口,禁止发送BPDU,交换机-针对VTP攻击,作用 Vlan Trunking Protocol 统一了整个网络的VLAN配置和管理 可以将VLAN配置信息传递到其它交换机 动态添加删除VLAN 准确跟踪和监测VLAN变化 模式 Server, Client, Transparent 脆弱性 Domain:只有属于同一个Domain的交换机才能交换Vlan信息 set vtp doma
9、in netpower Password:同一domain可以相互通过经MD5加密的password验证,但password设置非必需的,如果未设置password,可能构造VTP帧,添加或者删除Vlan。 对策 设置password 尽量将交换机的vtp设置为Transparent模式:set vtp domain netpower mode transparent password sercetvty,第四部分路由器设备安全配置,配置内容,关闭不必要的设备服务 使用强口令或密码 加强设备访问的认证与授权 升级设备固件或OS 使用访问控制列表限制访问 使用访问控制表限制数据包类型,路由器-发
10、现路由,通过tracertroute命令 最后一个路由容易成为DoS攻击目标,路由器-猜测路由器类型,端口扫描 操作系统堆栈指纹 登陆旗标(banner) 其它特征:如Cisco路由器1999端口的ack分组信息,会有cisco字样提示,路由器-缺省帐号,路由器-密码,Cisco路由器的密码 弱加密 MD5加密 Enable secret 5,路由器-SNMP,SNMP 版本 SNMPv1,SNMPv2,SNMPv3 Snmp Agent MIB 轮循(Polling-only)和中断(Interupt-base) Snmp网管软件 禁用简单网络管理协议 no snmp-server enab
11、le 使用SNMPv3加强安全特性 snmp-server enable traps snmp auth md5 使用强的SNMPv1通讯关键字 snmp-server communityname,保证路由器密码安全,使用加密的强密码 service password-encryption enable secret pa55w0rd 使用分级密码策略 enable secret 6 pa55word privilege exec 6 show 使用用户密码策略 user name password pass privilege exec 6 show 控制网络线路访问 access-list
12、 8 permit 192.168.0.10 access-list 8 permit *.*.*.* access-list 8 deny any line vty 0 4 access-class 8 in 设置网络连接超时 Exec-timeout 5 0,Cisco路由器安全配置,降低路由器遭受应用层攻击 1 禁止CDP(Cisco Discovery Protocol)。如: Router(Config)#no cdp run Router(Config-if)# no cdp enable 2 禁止其他的TCP、UDP Small服务。 Router(Config)# no ser
13、vice tcp-small-servers Router(Config)# no service udp-samll-servers 3 禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4 建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。,Cisco路由器安全配置,5 禁止BOOTp服务。 Router(Config)# no ip bootp server 6
14、禁止IP Source Routing。 Router(Config)# no ip source-route 7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。 Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp 8禁止IP Directed Broadcast。 Router(Config)# no ip directed-broadcast,Cisco路由器安全配置,9 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。 Router(C
15、onfig-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply 10 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如: Router(Config)# no snmp-server community public Ro Router(Config)# no snmp-server community admin RW 11 如果没必要则禁止WINS和DNS服务。 Router(Config)# no ip domain-look
16、up 如果需要则需要配置: Router(Config)# hostname Router Router(Config)# ip name-server 219.150.32.xxx 12 明确禁止不使用的端口。如: Router(Config)# interface eth0/3 Router(Config)# shutdown,Cisco路由器安全配置,认证与日志管理 使用AAA加强设备访问控制 日志管理 logging on logging buffered 36000,Cisco路由器安全配置,禁用IP Unreachable报文 禁用ICMP Redirect报文 no ip redirect 禁用定向广播 no ip directed-broadcast 禁用ARP代理 no ip proxy-arp
