3網(wǎng)絡(luò)與信息安全ppt課件

1、網(wǎng)絡(luò)與通訊平安中國信息平安產(chǎn)品測評(píng)認(rèn)證中心CNITSECCISP-網(wǎng)絡(luò)與通訊平安培訓(xùn)稿課程內(nèi)容網(wǎng)絡(luò)協(xié)議與平安要挾網(wǎng)絡(luò)平安控制交換機(jī)設(shè)備平安配置路由器設(shè)備平安配置第一部分網(wǎng)絡(luò)協(xié)議與平安要挾四層協(xié)議鏈路層設(shè)驅(qū)動(dòng)備程序及接口卡網(wǎng)絡(luò)層傳輸層運(yùn)用層IP、ICMP、IGMPTCP、UDPMail、FTP、Telnet任務(wù)方式鏈路層網(wǎng)絡(luò)層傳輸層運(yùn)用層郵寄物品郵寄類型和懇求郵件封裝郵寄線路四層協(xié)議與網(wǎng)絡(luò)攻擊鏈路層網(wǎng)絡(luò)層傳輸層運(yùn)用層網(wǎng)絡(luò)竊聽攻擊地址欺騙攻擊回絕效力攻擊信息掃描攻擊效力系統(tǒng)攻擊第二部分網(wǎng)絡(luò)平安控制OSI網(wǎng)絡(luò)參考模型網(wǎng)絡(luò)組成構(gòu)造 網(wǎng)絡(luò)系統(tǒng)L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L

2、2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器 資源子網(wǎng)通訊線路 主機(jī) 通訊子網(wǎng) 主機(jī)網(wǎng)絡(luò)系統(tǒng)通訊線路L1L2L3L1L2L3L4L5L6L7L4L5L6L7 網(wǎng)絡(luò)通訊 子系統(tǒng)L4L5L6L7L1L2L3WANLANOSI網(wǎng)絡(luò)參考模型通訊方式上層用戶：上層協(xié)議站，是通訊的信源和信宿；通訊功能：為實(shí)現(xiàn)通訊所能提供的特定操作和控制機(jī)制，如數(shù)據(jù)傳送、流量控制、過失控制、應(yīng)對(duì)機(jī)制、數(shù)據(jù)包的拆分與重組等； 通訊效力：是通訊功能的外部表現(xiàn)，為上層用戶提供通訊支持； 通訊介質(zhì)：本層以下一切協(xié)議層，是本層以下通訊構(gòu)造的籠統(tǒng)表示；通訊子系統(tǒng)經(jīng)過本層的通訊功能和下層的通訊效力，實(shí)現(xiàn)本層不同通訊實(shí)

3、體之間的通訊，并為上層協(xié)議提供通訊效力。通訊介質(zhì)協(xié)議站1協(xié)議站2上層用戶1上層用戶2通訊效力訪問通訊協(xié)議通訊功能通訊子系統(tǒng)下層通訊效力通訊實(shí)體1通訊實(shí)體2實(shí)際根據(jù)互聯(lián)根底設(shè)備域支撐根底設(shè)備域局域計(jì)算接入域局域計(jì)算效力域效力和管理對(duì)象檢測和呼應(yīng)、KMI、應(yīng)急和恢復(fù)處置計(jì)算存儲(chǔ)本地接入遠(yuǎn)程接入實(shí)際根據(jù)美國總統(tǒng)關(guān)鍵根底設(shè)備維護(hù)委員會(huì)關(guān)于加強(qiáng)SCADA網(wǎng)絡(luò)的21條建議美國國家平安局IATFDMTF的分布式管理方法和模型軟件行為學(xué)平安域綜述概念&了解普通經(jīng)常了解的平安域網(wǎng)絡(luò)平安域是指同一系統(tǒng)內(nèi)有一樣的平安維護(hù)需求，互置信任，并具有一樣的平安訪問控制和邊境控制戰(zhàn)略的子網(wǎng)或網(wǎng)絡(luò)，且一樣的網(wǎng)絡(luò)平安域共享一樣的

4、平安戰(zhàn)略。假設(shè)了解廣義的平安域概念那么是，具有一樣業(yè)務(wù)要求和平安要求的IT系統(tǒng)要素的集合。這些IT系統(tǒng)要素包括：網(wǎng)絡(luò)區(qū)域主機(jī)和系統(tǒng)人和組織物理環(huán)境戰(zhàn)略和流程業(yè)務(wù)和使命等平安域綜述平安域的意義基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)展平安檢查和評(píng)價(jià)的根底平安域的分割是抗浸透的防護(hù)方式基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)展平安建立的部署根據(jù)平安域邊境是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，防止影響的分散平安區(qū)域的劃分原那么需求牽引：業(yè)務(wù)層面的需求不同業(yè)務(wù)、不同部門的平安等級(jí)需求不同以及網(wǎng)絡(luò)構(gòu)造層面的需求平安域在邏輯上可以和網(wǎng)絡(luò)層次構(gòu)造對(duì)應(yīng)；與現(xiàn)有網(wǎng)絡(luò)構(gòu)造，網(wǎng)絡(luò)拓?fù)鋰?yán)密結(jié)合，盡量不大規(guī)模的影響網(wǎng)絡(luò)規(guī)劃思索到用戶需求和本錢等要素與業(yè)務(wù)需求一致性原那么，平安域的范

5、圍，邊境的界定不能導(dǎo)致業(yè)務(wù)與實(shí)踐分別；一致平安戰(zhàn)略：平安域的最重要的一個(gè)特征是平安戰(zhàn)略的一致性，所以劃分平安域的的前提是具備自上而下縱向的，自內(nèi)而外橫向的的宏觀上的平安戰(zhàn)略規(guī)劃；部署實(shí)施方便：最少化平安設(shè)備原那么，合理的平安域劃分可以減少冗余設(shè)備，精簡開支；等級(jí)維護(hù)的需求；為集中化的平安管理效力。平安控制接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處置區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處置區(qū)域橫向骨干接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處置區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處置區(qū)域中心數(shù)據(jù)區(qū)域CCCCCCCCCCCC縱向骨干平安邊境平安邊境將需求維護(hù)的資源、能夠的風(fēng)險(xiǎn)和保證的需求結(jié)合起來可以在通訊途徑上完成訪問控制的授權(quán)、范圍、期限。平安邊境的設(shè)計(jì)良好的明晰度

6、以便進(jìn)展審查和測試具備簡約性以便可以迅速自動(dòng)化執(zhí)行減輕維護(hù)人員的任務(wù)量具備現(xiàn)實(shí)性以便采用成熟的技術(shù)和產(chǎn)品平安邊境可采用的平安技術(shù)包括隔離、監(jiān)控、檢測、評(píng)價(jià)、審計(jì)、加密等。可作為平安邊境的設(shè)備交換機(jī)路由器防火墻入侵檢測網(wǎng)關(guān)VPNEtc.第三部分交換機(jī)設(shè)備平安配置配置內(nèi)容封鎖不用要的設(shè)備效力運(yùn)用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問的認(rèn)證與授權(quán)晉級(jí)設(shè)備固件或OS運(yùn)用訪問控制列表限制訪問運(yùn)用訪問控制表限制數(shù)據(jù)包類型交換機(jī)-針對(duì)CDP攻擊闡明Cisco公用協(xié)議，用來發(fā)現(xiàn)周邊相鄰的網(wǎng)絡(luò)設(shè)備鏈路層幀，30s發(fā)送一次，目的MAC：01:00:0C:CC:CC:CC可以得到相鄰設(shè)備稱號(hào)，操作系統(tǒng)版本，接口數(shù)量和類型，接口I

7、P地址等關(guān)鍵信息在一切接口上默許翻開危害任何人可以輕松得到整個(gè)網(wǎng)絡(luò)信息可以被利用發(fā)起DoS攻擊：phenoelit.de/irpas/對(duì)策如不需求，制止CDP制止User-End端口的CDP交換機(jī)-針對(duì)STP攻擊闡明Spanning Tree Protocol防止交換網(wǎng)絡(luò)產(chǎn)生回路Root BridgeBPDU-bridge ID, path cost, interface攻擊強(qiáng)迫接納root bridge，導(dǎo)致網(wǎng)絡(luò)邏輯構(gòu)造改動(dòng)，在重新生成STP時(shí)，可以導(dǎo)致某些端口暫時(shí)失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。BPDU Flood：耗費(fèi)帶寬，回絕效力對(duì)策對(duì)User-End端口，制止發(fā)送BPDU交換機(jī)-針對(duì)V

8、TP攻擊作用Vlan Trunking Protocol一致了整個(gè)網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳送到其它交換機(jī)動(dòng)態(tài)添加刪除VLAN準(zhǔn)確跟蹤和監(jiān)測VLAN變化方式Server, Client, Transparent脆弱性Domain：只需屬于同一個(gè)Domain的交換機(jī)才干交換Vlan信息 set vtp domain netpowerPassword：同一domain可以相互經(jīng)過經(jīng)MD5加密的password驗(yàn)證，但password設(shè)置非必需的，假設(shè)未設(shè)置password，能夠構(gòu)造VTP幀，添加或者刪除Vlan。對(duì)策設(shè)置password盡量將交換機(jī)的vtp設(shè)置為Transpa

9、rent方式：set vtp domain netpower mode transparent password sercetvty第四部分路由器設(shè)備平安配置配置內(nèi)容封鎖不用要的設(shè)備效力運(yùn)用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問的認(rèn)證與授權(quán)晉級(jí)設(shè)備固件或OS運(yùn)用訪問控制列表限制訪問運(yùn)用訪問控制表限制數(shù)據(jù)包類型路由器-發(fā)現(xiàn)路由經(jīng)過tracertroute命令最后一個(gè)路由容易成為DoS攻擊目的路由器-猜測路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標(biāo)banner其它特征：如Cisco路由器1999端口的ack分組信息，會(huì)有cisco字樣提示路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶Manager空

10、管理員bay 350T交換機(jī)NetlCs無關(guān)管理員bay superStack IIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員readsynnet用戶writesynnet管理員debugsynnet管理員techtechmonitormonitor用戶managermanager管理員securitysecurity管理員cisco路由器(telnet)c(Cisco 2600s)管理員(telnet)cisco用戶enablecisco管理員(telnet)cisco routersshivaroot空管理員Guest空用戶Webrampwradmin

11、trancell管理員Motorola CableRoutercablecomrouter管理員路由器-密碼Cisco路由器的密碼弱加密MD5加密Enable secret 5路由器-SNMPSNMP版本 SNMPv1,SNMPv2,SNMPv3Snmp AgentMIB輪循(Polling-only)和中斷(Interupt-base)Snmp網(wǎng)管軟件禁用簡單網(wǎng)絡(luò)管理協(xié)議no snmp-server enable運(yùn)用SNMPv3加強(qiáng)平安特性snmp-server enable traps snmp auth md5運(yùn)用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-server communitynam

12、e保證路由器密碼平安運(yùn)用加密的強(qiáng)密碼service password-encryptionenable secret pa55w0rd運(yùn)用分級(jí)密碼戰(zhàn)略enable secret 6 pa55wordprivilege exec 6 show運(yùn)用用戶密碼戰(zhàn)略u(píng)ser name password pass privilege exec 6 show控制網(wǎng)絡(luò)線路訪問access-list 8 permit 0access-list 8 permit *.*.*.*access-list 8 deny anyline vty 0 4access-class 8 in設(shè)置網(wǎng)絡(luò)銜接超時(shí)Exec-timeo

13、ut 5 0Cisco路由器平安配置降低路由器蒙受運(yùn)用層攻擊1 制止CDP(Cisco Discovery Protocol)。如： Router(Config)#no cdp run Router(Config-if)# no cdp enable2 制止其他的TCP、UDP Small效力。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers3 制止Finger效力。 Router(Config)# no ip finger Router(Config)# no

14、service finger4 建議制止HTTP效力。 Router(Config)# no ip server 假設(shè)啟用了HTTP效力那么需求對(duì)其進(jìn)展平安配置：設(shè)置用戶名和密碼；采用訪問列表進(jìn)展控制。Cisco路由器平安配置5 制止BOOTp效力。 Router(Config)# no ip bootp server6 制止IP Source Routing。 Router(Config)# no ip source-route7 建議假設(shè)不需求ARP-Proxy效力那么制止它，路由器默許識(shí)開啟的。 Router(Config)# no ip proxy-arp Router(Config-

15、if)# no ip proxy-arp8制止IP Directed Broadcast。 Router(Config)# no ip directed-broadcastCisco路由器平安配置9 制止ICMP協(xié)議的IP Unreachables, Redirects, Mask Replies。 Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply10 建議制止SNMP協(xié)議效力。在制止時(shí)必需刪除一些SNMP效力的默許配置。如：

16、 Router(Config)# no snmp-server community public Ro Router(Config)# no snmp-server community admin RW11 假設(shè)沒必要那么制止WINS和DNS效力。 Router(Config)# no ip domain-lookup 假設(shè)需求那么需求配置： Router(Config)# hostname Router Router(Config)# ip name-server 219.150.32.xxx12 明確制止不運(yùn)用的端口。如： Router(Config)# interface eth0/3

17、Router(Config)# shutdownCisco路由器平安配置認(rèn)證與日志管理運(yùn)用AAA加強(qiáng)設(shè)備訪問控制日志管理logging onlogging buffered 36000Cisco路由器平安配置禁用IP Unreachable報(bào)文禁用ICMP Redirect報(bào)文no ip redirect禁用定向廣播no ip directed-broadcast禁用ARP代理no ip proxy-arp運(yùn)用IP驗(yàn)證Ip verify unicast reverse-path禁用IP源路由選項(xiàng)no ip source-routeCisco路由器平安配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲

18、訪問控制列表起用TCP截獲特性設(shè)置截獲方式設(shè)置門限制設(shè)置丟棄方式Cisco路由器平安配置運(yùn)用訪問控制列表限制訪問地址運(yùn)用訪問控制列表限定訪問端口運(yùn)用訪問控制列表過濾特定類型數(shù)據(jù)包運(yùn)用訪問控制列表限定數(shù)據(jù)流量運(yùn)用訪問控制列表維護(hù)內(nèi)部網(wǎng)絡(luò)DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率Interface xxRete-limit output access-group 102 256000 8000 8000 conform-action transmit exceed-action dropAccess-list 102 permit icmp any any echoAccess-list 102 permit icmp any any echo-replyDDoS預(yù)防方法限制SYN數(shù)據(jù)包銜接速率Interface xxRete-limit input access-group 103 8000 8000 8000 conform-action transmit exceed-action dropAccess-list 103 deny tcp any host xx.xx.xx.xx established Access-l