網(wǎng)路安全與管理

網(wǎng)路安全與管理資料來源松博梁仁楷臺大計資邵喻美臺大計資李美雯1大綱虛擬私人網(wǎng)路VPN無線網(wǎng)路結(jié)合VPN遠(yuǎn)端遙控維護(hù)NATSNMP網(wǎng)路攻擊防火牆EMAILOPENRELAY2VPN虛擬私人網(wǎng)路連線（VirtualPrivateNetwork）VPN的虛擬通道用戶端電腦變成好像直接在公司的內(nèi)部網(wǎng)路中VPN伺服器用戶端電腦網(wǎng)際網(wǎng)路公司內(nèi)部區(qū)域網(wǎng)路Internet3VPN通訊協(xié)定PPTP(Point-to-PointTunnelingProtocol)只有在網(wǎng)際網(wǎng)路建立的VPN才能夠使用PPTP通訊協(xié)定。電腦透過VPN伺服器來傳送資料時，會先將不同通訊協(xié)定的封包封裝成PPP封包，等到另一端接受到後，再由遠(yuǎn)端VPN伺服器來還原封包L2TP(LayerTwoTunnelingProtocol)L2TP和PPTP相似，唯一不同的是L2TP也具備了身分驗證、資料加密和資料壓縮的功能4WindowsServerVPN安裝兩張網(wǎng)路卡，一張內(nèi)部IP、一張外部IP系統(tǒng)管理工具/路由及遠(yuǎn)端存取按精靈指示安裝遠(yuǎn)端存取（撥號或VPN）設(shè)定用戶端位址分派設(shè)定可撥入VPN連線的使用者5VPN用戶端電腦設(shè)定WindowsXP6VPN用戶端電腦設(shè)定7用VPN管控?zé)o線網(wǎng)路設(shè)成無線網(wǎng)路專用IP的網(wǎng)路卡連接AP，運用VPN管制無線網(wǎng)路存取設(shè)成內(nèi)部IP的網(wǎng)路卡連接集線器，管制內(nèi)部區(qū)域網(wǎng)路8無線網(wǎng)路overVPN規(guī)劃兩張網(wǎng)路卡，一張設(shè)內(nèi)部區(qū)域網(wǎng)路IP

例如35,

MASK:一張設(shè)無線網(wǎng)路專用IP

例如

MASK:無線用戶端電腦配置好相對的無線網(wǎng)路專用IP(例如192.168.1.X)，這部分可以在無線AP的DHCP功能上做設(shè)定9遠(yuǎn)端遙控WindowsTerminalWindowsServer內(nèi)建,二個人用pcAnywhere一個人用,二邊都要有人.被控端可以在防火牆內(nèi)NetMeetingWindows內(nèi)建,一個人用,二邊都要有人VNC一個人用10NAT網(wǎng)路位址轉(zhuǎn)譯譯Internet集線器ADSLModemNAT集線器外部IP架設(shè)設(shè)Web站外部IP架設(shè)設(shè)FTP站設(shè)定外部IP設(shè)定內(nèi)部IP內(nèi)部IP11WindowsServerNAT安裝兩張網(wǎng)路路卡，一張內(nèi)內(nèi)部IP、一一張外部IP系統(tǒng)管理工具具/路由及遠(yuǎn)端存存取按精靈指示安安裝網(wǎng)路位址轉(zhuǎn)譯譯選擇對外連線線介面設(shè)定用戶端位位址分派12WindowsServerNAT13SNMP資料來源:臺臺大計資邵邵喻美簡單網(wǎng)路管理理協(xié)定（SimpleNetworkManagementProtocol）「要求/回應(yīng)應(yīng)」協(xié)定：GET，SET遠(yuǎn)端管理TCP/IP網(wǎng)網(wǎng)路上的設(shè)備備對不同網(wǎng)路節(jié)節(jié)點進(jìn)行讀取取及寫入狀態(tài)態(tài)資訊在UDP上執(zhí)執(zhí)行Port161:sendingandreceivingrequestsPort162:receivingtrapsfrommanageddevices14SNMP工作作原理SNMPManager:配備網(wǎng)網(wǎng)管軟體的系系統(tǒng),通常常是電腦系統(tǒng)統(tǒng)+管理程式式SNMPAgent:網(wǎng)路設(shè)備備上的管理對對應(yīng)程式SNMPcommunity:alogicalrelationshipbetweenanSNMPagentandoneormoreSNMPmanagers.15MIB–ManagementInformationBase定義網(wǎng)路設(shè)備備各種資訊的的儲存結(jié)構(gòu)Name(OID)TypeandsyntaxencodingMIB-II所有網(wǎng)路設(shè)備備皆提供的MIB標(biāo)準(zhǔn)各家廠商也會會提供proprietaryMIB有許多MIBstandardsATMMIB、FrameRelayDTEInterfaceTypeMIB、BGPVersion4MIB、、RADIUSAuthenticationServerMIB、、MailMonitoringMIB、、DNSServerMIB16OID:.erface.ifNumber.0...017SNMP&MIB相相關(guān)工具18192021網(wǎng)管系統(tǒng)網(wǎng)路管理掌握網(wǎng)路主機(jī)機(jī)狀況加速故障排除除減少網(wǎng)管人員員的負(fù)擔(dān)網(wǎng)管系統(tǒng)商業(yè)軟體系統(tǒng)統(tǒng)整合型系統(tǒng)：：收集MIB資料，統(tǒng)計計分析，繪圖圖，事件通知知功能多樣化，，價格昂貴免費軟體網(wǎng)管系統(tǒng)的一一部份功能22網(wǎng)路攻擊資料來源:臺臺大計資李美雯雯網(wǎng)路監(jiān)監(jiān)聽網(wǎng)路掃掃描漏洞利利用密碼破破解惡意程程式植植入DoS/DDoS攻攻擊23網(wǎng)路監(jiān)監(jiān)聽取得攻攻擊或或入侵侵目標(biāo)標(biāo)的相相關(guān)資資訊Sinffer攔截網(wǎng)網(wǎng)路上上的封封包DistributedNetworkSnifferClient將將收集集的資資訊傳傳給Server24網(wǎng)路掃掃描遠(yuǎn)端掃掃描目目標(biāo)主主機(jī)的的系統(tǒng)統(tǒng)取得目目標(biāo)主主機(jī)的的資訊訊利用系系統(tǒng)漏漏洞入入侵網(wǎng)路管管理者者重視視此問問題25漏洞利利用利用程程式或或軟體體的不不當(dāng)設(shè)設(shè)計或或?qū)嵶鲎隼寐┞┒慈∪〉脵?quán)權(quán)限，，進(jìn)而而破壞壞系統(tǒng)統(tǒng)緩衝區(qū)區(qū)溢位位(bufferoverflow)網(wǎng)路安安全網(wǎng)網(wǎng)站公公佈漏漏洞訊訊息26密碼破破解利用系系統(tǒng)弱弱點入入侵取取得密密碼檔檔利用破破解程程式破破解使使用者者密碼碼密碼的的破解解速度度取得使使用者者密碼碼可入入侵該該主機(jī)機(jī)取得系系統(tǒng)管管理者者密碼碼可操操控該該主機(jī)機(jī)27惡意程程式碼碼植入入-1病毒(Virus)自我複複製性性與破破壞性性後門程程式(Backdoor)動機(jī)遠(yuǎn)端遙遙控建立管管理者者權(quán)限限之帳帳號更改主主機(jī)的的系統(tǒng)統(tǒng)啟動動檔28惡意程程式碼碼植入入-2利用電電子郵郵件/MSN植植入木木馬程程式駭客利利用木木馬程程式聆聆聽的的port遠(yuǎn)端端遙控控更改木木馬程程式名名稱與與聆聽聽的port29DoS/DDoS攻攻擊DoS攻擊擊(DenialofService)-阻絕絕服務(wù)務(wù)攻擊擊DDoS攻攻擊(DistributedDenialofService)-分分散式式阻絕絕服務(wù)務(wù)攻擊擊2000年年二月月份知知名網(wǎng)網(wǎng)站(Yahoo,amazon,ebay,CNN,E-trade)被攻攻擊2001年年七月月份美美國白白宮網(wǎng)網(wǎng)站被被攻擊擊30DoS攻擊擊DoS:系系統(tǒng)資資源被被佔用用，使使得系系統(tǒng)無無法提提供正正常服服務(wù)系統(tǒng)資資源包包括主主機(jī)的的CPU使使用率率，硬硬碟空空間，，網(wǎng)路路頻寬寬DoS攻擊擊利用用同時時傳送送大量量封包包，造造成網(wǎng)網(wǎng)路或或伺服服器癱癱瘓31DDoS攻攻擊DDoS攻攻擊是是多層層次的的DoS攻攻擊入侵其其他主主機(jī)，，安裝裝攻擊擊程式式具備遠(yuǎn)遠(yuǎn)端遙遙控的的功能能控制在在同一一時間間內(nèi)發(fā)發(fā)動DoS攻擊擊32防禦機(jī)機(jī)制防火牆牆(Firewall)的架架設(shè)入侵偵偵測系系統(tǒng)(IntrusionDetectionSystem)的的架設(shè)設(shè)IPSpoof的的防治治伺服器器的妥妥善管管理網(wǎng)路流流量的的即時時分析析33防火牆牆的架架設(shè)-1防火牆牆架設(shè)設(shè)的位位置必須熟熟知攻攻擊或或入侵侵的手手法防火牆牆影響響網(wǎng)路路效率率規(guī)劃DMZ(De-MilitarizedZone)區(qū)區(qū)防火牆牆的缺缺點無法阻阻擋新新的攻攻擊模模式無法阻阻擋層層出不不窮的的新病病毒34防火牆牆的架架設(shè)-2無法防防範(fàn)來來自內(nèi)內(nèi)部的的破壞壞或攻攻擊無法阻阻擋不不經(jīng)過過防火火牆的的攻擊擊35DMZ區(qū)示示意圖圖36入侵偵偵測系系統(tǒng)依照偵偵測方方法分分為:AnomalyDetection:建立使使用者者與系系統(tǒng)的的正常常使用用標(biāo)準(zhǔn)準(zhǔn)比對標(biāo)標(biāo)準(zhǔn)值值，以以判斷斷是否否有入入侵行行為MisuseDetection:將各種種已知知的入入侵模模式或或特徵徵建成成資料料庫比對資資料庫庫的pattern，以以判斷斷是否否有入入侵行行為37入侵偵偵測系系統(tǒng)(cont.)相關(guān)關(guān)功功能能:攻擊擊程程式式多多數(shù)數(shù)為為OpenSource，，可可建建立立封封包包過過濾濾的的pattern阻隔隔可可能能的的攻攻擊擊來來源源對可可能能的的來來源源攻攻擊擊下下““停停止止攻攻擊擊””指指令令38IPSpoof的的防防治治IPSpoof:偽偽造造封封包包的的來來源源IP位位址址以送送RAWSocket方方式式偽偽造造來來源源IP位位址址防治治方方式式:在在router或或防防火火牆牆設(shè)設(shè)定定ACL管管理理規(guī)規(guī)則則禁止止外外來來封封包包的的來來源源位位址址是是內(nèi)內(nèi)部部網(wǎng)網(wǎng)路路的的位位址址禁止止非非內(nèi)內(nèi)部部網(wǎng)網(wǎng)路路位位址址的的封封包包流流到到外外部部39伺服服器器的的妥妥善善管管理理管理理不不善善的的伺伺服服器器=駭駭客客攻攻擊擊跳跳板板系統(tǒng)統(tǒng)管管理理者者應(yīng)應(yīng)做做好好系系統(tǒng)統(tǒng)的的修修補(bǔ)補(bǔ)工工作作網(wǎng)路路管管理理人人員員評評估估校校園園網(wǎng)網(wǎng)路路安安全全與與否否:弱點點評評估估工工具具掃描描工工具具40SNMPv1安安全全漏漏洞洞41SNMPv1安安全全漏漏洞洞更改改SNMP預(yù)預(yù)設(shè)設(shè)群群組組名名稱稱預(yù)設(shè)設(shè)名名稱稱:snmp-servercommunitypublicROsnmp-servercommunityprivateRW以防防火火牆牆或或routerACL過過濾濾SNMP連連線線過濾濾或或阻阻擋擋SNMP相相關(guān)關(guān)的的161、162、1993等等TCP/UDPport的的存存取取access-list101denytcpanyanyeq161logaccess-list101denyudpanyanyeq161logaccess-list101permitipanyany42SNMPv1安安全全漏漏洞