《局域网安全管理攻击技术》由会员分享,可在线阅读,更多相关《局域网安全管理攻击技术(78页珍藏版)》请在金锄头文库上搜索。
1、局域网安全管理课程内容u局域网的运行维护与几个网络管理工 具的使用举例uIP地址与MAC地址的管理与监控u常见网络病毒的边界防御方法u数据备份与恢复技术基础1 局域网的运行维护常用网管工具的使用举例1.1 网络管理的基本知识u刺激网络管理需求的因素: 网络规模日益扩大 设备种类日益繁多 维护的复杂性和成本不断提高 对网管人员的要求不断提高u网管需求: 提供维护效率 了解全网性能 网络管理智能化 网络用户的使用情况 客户网络管理的需求网络管理功能u故障管理:对网络环境中问题和故障 进行定位u配置管理:通过网络管理实现对网络 设备的配置u安全管理:提供登录用户安全级别, 视图浏览权限等u性能管理:
2、网络管理系统向用户提供 被管设备相关的性能参数u计费管理:监视和记录用户对网络资 源的使用,对其收取合理费用u基于UDP通信模型代理被管系统被管对象执行操作管理者通知SNMPMIB网络管理系统模型1.2 SNMP协议栈uSNMP被广泛接纳并被通信设备厂家使用的工 业标准uSNMP被设计成与下层协议无关,所以它可在 IP、IPX、AppleTalk、OSI以及其他用到的传 输协议上被使用uSNMP保证管理信息在任意两点间传送,只要 IP可达且无防火墙限制uSNMP定义基本的功能集收集被管设备的数据uSNMP目前有三个版本V1、V2、V3,其中 V1/V3应用普遍SNMP协议栈SNMP操作模型Re
3、questResponseUDP Port162UDP Port161TrapNMS被管设备AgentSNMP操作模型uSNMP的数据收集方法:网管工作站NMS向 被管设备发送各种查询报文,同时接收被管 设备的响应和Trap报文u网管代理SNMP-Agent是常驻被管设备内的 一个实时进程,处理来自网管工作站的请求 报文,然后从设备上的相关模块取出管理变 量(OID)的数值,形成响应报文,回送网 管站u紧急情况下(如物理接口Up/Down状态变化 或阈值条件满足),网管代理主动发Trap报 文通知NMS1.3 常用网管软件的使用uSolarwinds ToolsuMRTGuSniffer Pr
4、oSolarwinds Tools的使用u启动该软件后出现的是如左图的工具条 ,上面会列出能够使用的所有工具。u网络浏览功能-选择其中的Discovery-IP Network BrowserCisco设备的配置浏览与编辑功能uCisco tools菜单的config editor/viewer功能MAC地址发现功能uDiscover菜单的MAC Address Discovery 命令MRTG软件的使用uMRTG(Multi Router Traffic Grapher ,多路 由器通信图示器)作为一个监控工具,可以以 图形方式表示通过SNMP设备的网络通信的状 况。就像该工具名称所称呼的那
5、样,它显示从 路由器和其它网络设备处获得的网络通信应用 信息及其他统计信息。它产生HTML格式的页 面和GIF格式的图,提供了通过Web浏览器显 示可视的网络性能信息的功能。网络性能是网 络管理最重要的一个方面。使用该工具使我们 更方便地查明设备和网络的性能问题。MRTGu一个正常的学生宿舍主干交换机日流量图川大出口路由器故障分析图川大出口路由器故障分析图病毒攻击导致流量异常图10M交换机限制流量图管理工具使用三uSniffer Pro的安装相对简单,最后 有一个注册过程,前面的步骤都可 以随便填写,最后的Serial Number 填写read it.txt文件中的SN即可。u Sniffe
6、r Pro的使用2 IP地址与MAC地址 的管理与监控如何防止ip地址盗用2.1 IP地址盗用问题u企业内联网普通用户随意使用或有意盗 用IP地址的现象比较普遍,这种现象一 般不会对用户上网造成影响,但对于网 络管理员来说却是比较大的安全隐患。u采取切实有效的措施来加强对内联网网 络资源的管理,杜绝安全隐患,是企业 网络安全管理急需解决的问题。2.2 IP地址盗用问题的解决u此类问题常见的解决办法有三种:u1、采用二层交换机上一个端口对应一个 mac地址的方法。u2、采用三层交换机上ip地址和mac地址 绑定的技术。u3、利用PPPoE或802.1x技术进行用户认 证。2.1.1 二层交换机上
7、端口绑定macu目前一般的二层可管理交换机都支持此 功能,比如华为最低端的S2016及其同档 系列产品,均可进行此类设置。uSwitchAinterface Ethernet 0/1 SwitchA-Ethernet0/1mac-address max- mac-count 1u此语句意味着该端口只能学习一个mac 地址,那么只有一个连接到这个端口的 用户可以接入网络。2.1.1 二层交换机上端口绑定macu优点:对于网管人员来说,可以尽量减 少非法用户接入网络,避免网络接入费 用的流失。u缺点:无法保证接入用户之间互相盗用 ip地址。2.2.2 ip地址与mac地址绑定u此项操作需在三层交换
8、机上完成。在三 层交换机上将所有用户的ip地址和mac地 址一一对应绑定,在cisco交换机4506上 ,其语句为(config)#arp ip_add MAC_add arpau其他尚未分配出去的ip地址全部和全0的 mac地址作绑定。2.2.2 ip地址与mac地址绑定u具体实现:可以在三层交换机上获取全 部已分配的ip地址和mac地址,做成excel 表格,转换为文本文件后,在交换机的 配置模式下,一次复制粘贴到交换机上 。2.2.2 ip地址与mac地址绑定u优点:此方法可以较好的避免非法用户 上网,以及ip地址盗用情况的发生。u缺点:人工干预过多,方式不灵活,用 户更换网卡或同一用户
9、换用不同电脑时 ,也需要网管人员的协助。此外,登记 所有主机mac地址的过程较繁锁,如果直 接从交换机上察看当前用户情况,会有 漏掉用户的可能,而且无法保证当时正 在上网的用户都是合法用户。2.2.3 采用认证方法uPPPoE或802.1x认证都是基于用户的,以PPPoE为例说 明,这个协议是为了满足越来越多的宽带上网设备( 即 ADSL , 无线等 )和越来越快的网络之间的通讯而最新 制定开发的标准,它基于两个广泛接受的标准即:局 域网Ethernet和PPP点对点拨号协议。对于最终用户来 说不需要用户了解比较深的局域网技术只需要当作普 通拨号上网就可以了,对于服务商来说在现有局域网 基础上
10、不需要花费巨资来做大面积改造,设置IP地址 绑定用户等来支持专线方式。这就使得PPPoE 在宽带 接入服务中比其他协议更具有优势。因此逐渐成为宽 带上网的最佳选择。 PPPoE的实质是以太网和拨号网 络之间的一个中继协议,他继承了以太网的快速和 PPP拨号的简单,用户验证,IP分配等优势。 2.2.3 采用认证方法u优点:可以完全解决ip盗用,非法用户 的问题,不留后遗症。u缺点:要添加新设备,或者对现有设备 要进行升级,并且对用户不透明,需要 用户学习接入网络的方法。3 常见网络病毒的边界防御方法把冲击波挡在园区网之外最近两年来病毒的主要特征u2003年的冲击波,2004年的震荡波都属于同一
11、 类型的混合型威胁:既具有传统蠕虫病毒的“ 自身拷贝、修改注册表、向外扩散感染其他主 机”的特点,又具有传统黑客攻击手段的“根据 操作系统某一漏洞发起主动攻击”的特征。u冲击波之后出现的welchia病毒,从设计目的上 看是为了帮助中了冲击波病毒的主机消灭该病 毒,帮助未中毒的主机打上补丁,但实际上起 到了更对网络传输更大的破坏作用。对此类病毒的预防方法u个人用户:保持良好的windows update 习惯,常打补丁;安装较好的杀毒软件 ,并及时更新病毒库。u除了个人用户可以使用的这些方法外, 作为网管的我们,应该在网络边界上做 好功课,把病毒挡在园区网络的大门之 外。u为此,我们要看看这些
12、病毒的发作过程 。案例:2004-5-1发作的震荡波病毒u发布日期:2004-05-01 u影响系统:Windows 2000, Windows Server 2003, Windows XP u蠕虫别名:W32/Sasser.worm McAfee 震荡 波瑞星 u蠕虫信息: W32.Sasser蠕虫是一个利用微软 操作系统的Lsass缓冲区溢出漏洞进行传播的 蠕虫。由于该蠕虫在传播过程中会发起大量 的扫描,因此对个人用户使用和网络运行都 会造成很大的冲击。特征u1.在系统中创建一个互斥体以保证系统中在任 何时候有且只有一个蠕虫进程在运行。u 2.将自身拷贝为%Windir%avserve.
13、exe或者 %Windir%avserve2.exe(注意%windir%是个变 量,它根据系统版本和安装路径不同而有所不 同,通常情况是c:windows或者c:winnt)u 3.修改注册表,在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWin dowsCurrentVersionRun 项中添加 “avserve.exe“=“%Windir%avserve.exe“值这 个操作保证蠕虫在系统重新 启动后能够自动运 行。 特征u4.利用AbortSystemShutdown函数(系 统意外中断错误重起函数)使系统重新 启动u 5.开启一个FTP服务在TCP 55
14、54端口, 用来向其他被感染的机器传送蠕虫程序特征u6.产生随机的网络地址,尝试连接这些地址的 TCP 445端口并发送攻击程序,一旦攻 击成功, 蠕虫会在被攻击的机器的TCP 9996端口上创建 一个远程的shell,然后利用 这个远程的shell执 行命令让被攻击的机器连接到发起攻击的机器 的FTP 5554端口 上下载蠕虫文件并运行。这 个被下载来的蠕虫文件名是由4-5个随机的阿拉 伯数字 和_up.exe组成的(如23423_up.exe) u7.发起128个线程对上面产生的IP地址进行扫描 。新的变种会发起1024个线程扫描。蠕虫的 这 个操作会占用大量的系统资源,可能使CPU的 负
15、载到达100%无法响应系统的正常请求。注意u我们看到上面提到的第6、7个步骤,实 际上就是一个中了毒的主机如何寻找下 一个受害者的过程。如果我们能让这个 过程中止在网络的边界上,那么我们就 可以让园区网络外肆虐的病毒无法影响 我们内部的网络。方法u在出口路由器上设置ACL的包过滤规则。u在华为路由器上,可以使用以下规则 rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule den
16、y tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996方法u在思科路由器上,相应的规则变为access-list 101 deny tcp any any eq 445access-list 101 deny tcp any any eq 5554access-list 101 deny tcp any any eq 9995access-list 101 deny tcp any any eq 9996关于冲击波的边界防御例子u下面是一些华为路由器上对冲击波病毒的防御 acl语句 rule deny icmp source any destination any rule deny udp source any destination any destination- port eq 69 rule
