《NGN承載網(wǎng)安全》PPT課件

NGN承載網(wǎng)安全基礎,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊,NGN承載網(wǎng)安全概述,傳統(tǒng)PSTN網(wǎng)絡的特點NGN網(wǎng)絡的特點和風險NGN網(wǎng)絡安全需求,NGN承載網(wǎng)安全概述,傳統(tǒng)PSTN網(wǎng)絡的特點終端傻瓜化：簡單，一般不具備復雜的功能；資源控制：網(wǎng)絡對每個用戶的資源使用嚴格控制(64K/128K等)；呼叫接納控制：在大量用戶同時使用網(wǎng)絡的情況下，支持的用戶數(shù)取決于網(wǎng)絡的帶寬。多級組網(wǎng)：整個網(wǎng)絡由多級構成，存在接入層、匯聚層設備；一般出現(xiàn)問題時也只是影響局部用戶，破壞力有限；,NGN承載網(wǎng)安全概述,NGN網(wǎng)絡的特點和風險終端智能化傾向：終端的能力較強；引入軟終端：軟終端的使用導致在NGN網(wǎng)絡中引入了許多IP網(wǎng)的固有安全問題，如DOS攻擊等；資源不受控：比如一個語音終端可以使用超過128Kbps的流量；平面組網(wǎng)結構：大部分NGN網(wǎng)絡架構是終端/AG等設備直接接入，軟交換直接對終端可見，報文可以直達軟交換等設備。軟交換等設備容易受攻擊；,NGN承載網(wǎng)安全概述,NGN網(wǎng)絡的特點和風險IP網(wǎng)絡常見的攻擊：DOS攻擊，包括SYNFlooding，UDPFlooding，ICMPFlooding；DOS攻擊在NGN網(wǎng)絡中的新類型：信令報文泛洪攻擊(SignalingFlooding)媒體流泛洪攻擊(MediaFlooding),NGN承載網(wǎng)安全概述,NGN網(wǎng)絡的安全需求防范DOS攻擊，尤其是信令報文的DOS攻擊隱藏NGN網(wǎng)絡拓撲：NGN核心設備對終端不直接可見；對終端資源進行限制：比如對呼叫占用的帶寬進行限制；防范通常IP網(wǎng)絡的攻擊；其他：如防止終端非法漫游等。,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術,NGN承載網(wǎng)安全規(guī)劃,根據(jù)不同的功能、安全級別劃分區(qū)域,NGN承載網(wǎng)安全規(guī)劃,在不同的區(qū)域之間設置訪問控制策略,A15020MGC與USBS之間的私有協(xié)議；A2CMCclient與CMC1300之間的私有協(xié)議；D3CMCclient與CMC1300之間的私有協(xié)議。,NGN承載網(wǎng)安全規(guī)劃,其他注意事項策略具有單向性，A-B，B-A雙向都需要設置；策略中應該只允許業(yè)務需要的報文通過，拒絕其他所有報文；安全策略應該不斷完善和更新，隨著上層應用的變化而變化的，而不是一成不變的。,NGN承載網(wǎng)安全規(guī)劃,典型的兩種規(guī)劃方式方式A1.所有NGN網(wǎng)絡核心設備都安置在防火墻后端，得到安全保護。2.防火墻負荷較大，除了NGN信令消息流以外，還包括部分媒體流（主要為視頻會議媒體流和錄音通知媒體流）。方式B1.所有NGN網(wǎng)絡主要純信令核心設備都安置在防火墻后端。2.防火墻負荷較小，主要為NGN信令消息流，僅當需要遠程維護時才會有用于操作堡壘PC的媒體流穿過防火墻。3.MCU和媒體服務器未受防火墻保護，相關的業(yè)務安全程度較低（主要為視頻會議業(yè)務和錄音通知相關業(yè)務）。,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊,相關TCP/IP知識,為什么分層,相關TCP/IP知識,OSI七層模型,相關TCP/IP知識,TCP/IP五層模型,相關TCP/IP知識,TCP/IP協(xié)議棧,相關TCP/IP知識,TCP/IP協(xié)議數(shù)據(jù)封裝,相關TCP/IP知識,應用層協(xié)議文件傳輸：FTP、TFTP郵件服務：SMTP、POP3網(wǎng)絡管理：SNMP、Telnet網(wǎng)絡服務：HTTP、DNS語音服務：SIP、H.323、H.248,相關TCP/IP知識,傳輸層協(xié)議,相關TCP/IP知識,TCP/UDP報文格式,相關TCP/IP知識,TCP/UDP的端口號傳輸層協(xié)議用端口號來標識和區(qū)分各種上層應用程序。,相關TCP/IP知識,網(wǎng)絡層協(xié)議,相關TCP/IP知識,IP報文格式,相關TCP/IP知識,ARP地址解析協(xié)議,相關TCP/IP知識,ICMP協(xié)議,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊,防火墻核心技術介紹,防火墻的定義,一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。,防火墻核心技術介紹,簡單包過濾防火墻包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包過濾防火墻簡單，但是缺乏靈活性，對一些動態(tài)協(xié)商端口沒有辦法設置規(guī)則。另外包過濾防火墻每包需要都進行策略檢查，策略過多會導致性能急劇下降。狀態(tài)檢測防火墻狀態(tài)檢測是一種高級通信過濾。它檢查應用層協(xié)議信息并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。代理型防火墻代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對Client來說防火墻是一個Server，對Server來說防火墻是一個Client。代理型防火墻安全性較高，但是開發(fā)代價很大。對每一種應用開發(fā)一個對應的代理服務是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務，只能針對某些應用提供代理支持。,防火墻的分類,防火墻核心技術介紹,簡單包過濾防火墻,應用層,表示層,會話層,傳輸層,網(wǎng)絡層,鏈路層,物理層,應用層,表示層,會話層,傳輸層,網(wǎng)絡層,鏈路層,物理層,鏈路層,物理層,優(yōu)點：速度快，性能高對應用程序透明,缺點：不能根據(jù)狀態(tài)信息進行控制不能處理網(wǎng)絡層以上的信息,網(wǎng)絡層,應用層,TCP層,IP層,網(wǎng)絡接口層,IP,101010101,TCP,ETH,101010101,應用層,TCP層,IP層,網(wǎng)絡接口層,101010101,只檢查報頭,101001001001010010000011100111101111011,001001001010010000011100111101111011,簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關應用層控制很弱,簡單包過濾防火墻的工作原理,防火墻核心技術介紹,狀態(tài)檢測防火墻,應用層,表示層,會話層,傳輸層,鏈路層,物理層,應用層,表示層,會話層,傳輸層,鏈路層,物理層,應用層,表示層,會話層,傳輸層,鏈路層,物理層,抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表,網(wǎng)絡層,網(wǎng)絡層,網(wǎng)絡層,根據(jù)通信和應用程序狀態(tài)確定是否允許包的通行在數(shù)據(jù)包進入防火墻時就根據(jù)狀態(tài)表進行識別和判斷，無需重復查找ACL,應用層,TCP層,IP層,網(wǎng)絡接口層,IP,101010101,TCP,ETH,101010101,應用層,TCP層,IP層,網(wǎng)絡接口層,101010101,只檢查報頭,101001001001010010000011100111101111011,001001001010010000011100111101111011,不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關應用層控制很弱,建立連接狀態(tài)表,狀態(tài)檢測包過濾防火墻的工作原理,防火墻核心技術介紹,應用代理技術介紹,應用層,表示層,會話層,傳輸層,鏈路層,物理層,應用層,表示層,會話層,傳輸層,鏈路層,物理層,應用層,表示層,會話層,傳輸層,鏈路層,物理層,優(yōu)點：安全性高提供應用層的安全,缺點：性能差只支持有限的應用對用戶不透明,FTP,HTTP,SMTP,網(wǎng)絡層,網(wǎng)絡層,網(wǎng)絡層,應用層,TCP層,IP層,網(wǎng)絡接口層,IP,101010101,TCP,ETH,101010101,應用層,TCP層,IP層,網(wǎng)絡接口層,101010101,只檢查數(shù)據(jù),101001001001010010000011100111101111011,001001001010010000011100111101111011,不檢查IP、TCP報頭不建立連接狀態(tài)表網(wǎng)絡層保護比較弱,應用代理防火墻的工作原理,防火墻核心技術介紹,防火墻的基本工作流程傳統(tǒng)包過濾防火墻,防火墻核心技術介紹,防火墻的基本工作流程狀態(tài)檢測防火墻,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊,NAT技術,基本原理修改數(shù)據(jù)包的源地址/端口和目的地址/端口，并生成一張轉換對應關系表,NAT技術,三種實現(xiàn)方式靜態(tài)地址轉換(StaticNAT)動態(tài)地址轉換(DynamicNAT)復用地址轉換(OverloadingNAT),NAT技術,三種實現(xiàn)方式靜態(tài)地址轉換(StaticNAT)1.一對一地址轉換2.手工配置私有地址和公有地址的對應關系，一經(jīng)配置，地址轉換表永久存在。3.NAT轉換表：-,NAT技術,三種實現(xiàn)方式動態(tài)地址轉換(DynamicNAT)1.多對多地址轉換2.配置一個地址池，當需要地址轉換的時候隨機從地址池中選取一個地址。3.NAT轉換表：--。,NAT技術,三種實現(xiàn)方式復用地址轉換(OverloadingNAT)1.一對多地址轉換，PAT，EasyIP2.多個私有地址使用同一個公有地址進行地址轉換，在tcp和udp中使用(ip,port)實現(xiàn)復用，在icmp中可以使用(ip,id)實現(xiàn)復用。3.NAT轉換表：，1024-，32768，1025-，32769。,NAT技術,具有NAT功能時數(shù)據(jù)包的轉發(fā)流程,ALG技術,ALG(ApplicationLevelGateway)NAT主要是通過對數(shù)據(jù)包的ip頭中的ip地址和tcp(udp)頭端口號進行修改，但是當一些應用協(xié)議的payload位中包含端口號或者ip地址的時候，常規(guī)的nat無法實現(xiàn)轉換。因此需要有一種方法能讀取到payload中的地址和端口，ALG是解決這種特殊應用穿越NAT的一種常用方式，該方法按照地址轉換規(guī)則，對載荷中的IP地址和端口號進行替換，從而實現(xiàn)對該應用的透明中繼。,ALG技術,普通NAT時ftp的數(shù)據(jù)通信無法建立,FTPClient,NAT,FTPServer0,,控制連接三次握手,控制連接三次握手,Port,10,3,RETRtest.txt,RETRtest.txt,syn0,2563,Port,10,3,X,ALG技術,使用了ALG后可以對port命令修改，并產(chǎn)生相應的NAT表項,FTPClient,NAT,FTPServer0,,控制連接三次握手,控制連接三次握手,Port,10,3,Port,20,4,,2563-,5124,RETRtest.txt,RETRtest.txt,syn,5124,syn,2563,數(shù)據(jù)傳送,ALG技術,其他的一些ALG應用ICMPDNSH323SIP,ALG技術,ALG技術對訪問控制的增強1.它檢查應用層協(xié)議信息并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄；2.能夠對某些攻擊進行過濾；3.不能對所有的應用進行智能的報文過濾。,ALG技術,ALG技術對訪問控制的增強工作原理針對單通道連接時：對于TCP數(shù)據(jù)包，因為TCP有狀態(tài)機的概念，因此其工作過程為：1.收到syn報文時建立一條相應的session表項2.收到后續(xù)的報文時檢測acl，并更新session狀態(tài)3.收到fin，rst報文后刪除session表項對于udp數(shù)據(jù)包，因為udp沒有狀態(tài)機的概念，因此收到第一個報文認為發(fā)起連接，收到第一個返回報文認為連接建立,Session表項和ACL的刪除取決于空閑超時,ALG技術,ALG技術對訪問控制的增強工作原理針對多通道連接時：1.主控制通道的處理和單通道的tcp一致2.其他控制通道或者數(shù)據(jù)通道的session和acl則需要檢測主控制通道在應用層中的信息來建立3.典型的應用有ftp、h323、rstp、sip,ALG技術,ALG技術對訪問控制的增強一些注意事項1.有些網(wǎng)絡質(zhì)量不是很好，數(shù)據(jù)包的響應時間比較長，有可能超過session表項的超時時間，導致數(shù)據(jù)包被丟棄;2.必須保證狀態(tài)表項的完整性和及時更新，數(shù)據(jù)包出去和返回的通路必須一致.,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊,常見網(wǎng)絡攻擊,單報文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip-fragment,常見網(wǎng)絡攻擊,分片報文攻擊TearDropPingofdeath拒絕服務類攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscan,常見網(wǎng)絡攻擊,Fraggle特征：UDP報文，目的端口7（echo）或19（CharacterGenerator）目的：echo服務會將發(fā)送給這個端口的報文再次發(fā)送回去CharacterGenerator服務會回復無效的字符串攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請求，會導致受害者被回應報文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會造成網(wǎng)絡帶寬被占滿原理：過濾UDP類型的目的端口號為7或19的報文,常見網(wǎng)絡攻擊,IPSpoof特征：地址偽冒目的：偽造IP地址發(fā)送報文原理：對源地址進行路由表查找，如果發(fā)現(xiàn)報文進入接口不是本機所認為的這個IP地址的出接口，丟棄報文,常見網(wǎng)絡攻擊,Land特征：源目的地址都是受害者的IP地址，或者源地址為127這個網(wǎng)段的地址目的：導致被攻擊設備向自己發(fā)送響應報文，通常用在synflood攻擊中配置：firewalldefendlandenable防范原理：對符合上述特征的報文丟棄,常見網(wǎng)絡攻擊,Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送pingecho目的：使受害者被網(wǎng)絡上主機回復的響應淹沒原理：丟棄目的地址為廣播地址的報文,常見網(wǎng)絡攻擊,TCPflag特征：報文的所有可設置的標志都被標記，明顯有沖突。比如同時設置SYN、FIN、RST等位目的：使被攻擊主機因處理錯誤死機原理：丟棄符合特征的報文,常見網(wǎng)絡攻擊,Winnuke特征：設置了分片標志的IGMP報文，或針對139端口的設置了URG標志的報文目的：使被攻擊設備因處理不當而死機原理：丟棄符合上述特征報文,常見網(wǎng)絡攻擊,Ip-frag特征：同時設置了DF和MF標志，或偏移量加報文長度超過65535目的：使被攻擊設備因處理不當而死機原理：丟棄符合上述特征報文,常見網(wǎng)絡攻擊,Teardrop特征：分片報文后片和前片發(fā)生重疊目的：使被攻擊設備因處理不當而死機或使報文通過重組繞過防火墻訪問內(nèi)部端口原理：防火墻為分片報文建立數(shù)據(jù)結構，記錄通過防火墻的分片報文的偏移量，一點發(fā)生重疊，丟