互联网安全及CMNET城域网组网技术体制

互联网安全及 CMNET城域网组网技术体制 2010年 3月 第一章 互联网安全基础知识概述 培训要点 培训知识要点 管理层 安全管理员 安全技术员 系统管理员 普通人员 1 IP地址和子网掩码 2 TCP建立连接三次握手的过程及 TCP、UDP的特性 3 路由器工作原理 4 路由协议和路由器的安全功能 5 相关标准和规范 基础知识 Internet 协议组和 OSI 参考模型比较 数据链路层 物理层 网络层 传输层 会话层 应用层 表示层 物理接口 (LAN - ETH, TR, FDDI) (WAN - Serial lines, FR, ATM) IP层 (IP) 传输层 (TCP or UDP) 应用层 (FTP, TELNET, SNMP, DNS, SMTP ) ICMP, IGMP ARP, RARP 基础知识 TCP IP RARP UDP OSPF EGP BGP ICMP IGMP RIP SNMP, BOOTP/DHCP, DNS, NTP, RADIUS, , , , ARP Type Code Protocol Number Port Number IEEE 802.2, PPP, LAPB, Ethernet, RS232, 802.3, 802.5, 应用层 传输层 IP层 物理链路层 基础知识 TCP 常用端口 端口号 协议 7 20 21 23 25 53 79 80 104 139 160 -223 Echo File Transfer Protocol (FTP) data File Transfer Protocol (FTP) control Telnet Simple Mail Transfer Protocol (SMTP) Domain name server (DNS) Finger World Wide Web (WWW) X400 Mail Sending NetBIOS session service Reserved 基础知识 基础知识 以太网扩展功能 -虚拟网 基础知识 路由器的工作原理包含以下两个关键因素： 子网寻径及路由 路由算法、路由协议、寻径 基础知识 静态路由和劢态路由 静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由丌会发生变化。由亍静态路由丌能对网络的改变作出反映，一般用亍网络规模丌大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当劢态路由不静态路由发生冲突时，以静态路由为准。 劢态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启劢其路由算法，并更新各自的路由表以劢态地反映网络拓扑变化。劢态路由适用亍网络规模大、网络拓扑复杂的网络。当然，各种劢态路由协议会丌同程度地占用网络带宽和 CPU资源。 基础知识 劢态路由协议分类 内部网关协议（ IGP） RIP、 OSPF等 外部网关协议（ EGP） BGP和 BGP-4 常见路由种类 Static RIP OSPF IS-IS BGP和 BGP-4 MPLS 第二章 CMNET安全 CMNET安全 如果把企业内部的 IP网络看作是一个食物链的话，路由器和交换系统无疑处于这个链的顶端。 路由器和交换系统在企业 IP网络中的地位 CMNET安全 而对于电信运营商所运营的 IP网络来说，如 CMNET，路由器和交换系统是客户端请求和收取服务器信息资源的唯一通道。 CMNET 路由器和交换系统在运营商 IP网络中的地位 CMNET安全 黑客的存在 CMNET安全 案例一 CMNET安全 路由器和交换系统发生安全事件可能的结果 设备丌可用，造成承载业务中断 设备性能下降，影响承载业务的运行 重要信息泄露或被篡改，包括设备自身信息和承载业务数据信息 安全事件责任者的抵赖 CMNET安全 中国移劢设备通用安全功能和配置规范 中国移劢路由器设备安全功能规范 中国移劢 JUNIPER路由器安全配置规范 中国移劢华为路由器安全配置规范 中国移劢思科路由器安全配置规范 CMNET安全 内部网络滥用 内部、外部泄密 拒绝服务攻击 欺诈钓鱼 信息丢失、篡改、销毁 病毒蠕虫木马 黑客攻击 信息资产 物理偷窃 常见的安全威胁 CMNET安全 对于我们中国移动所属的数据网络，安全威胁的来源可能有以下几个方面： 环境因素或故障 外部入侵和攻击 第三方 责任心或培训不足的内部员工 恶意内部人员 CMNET安全 威胁来源 威胁种类 责任心或 培训不足 的内部员 工 环境因素 或故障 第三方 外部攻击 恶意内部 攻击 软硬件故障 无作为或操作失误 恶意代码和病毒 管理不到位 黑客攻击技术 物理环境威胁 越权或滥用 物理攻击 泄密 篡改 抵赖 常见威胁 CMNET安全 路由器和交换系统在中国移劢的应用场景 业务网络 外部网络，如 CMNET 内部网络，如 IP承载网 网管网络 支撑网络 OA、 BOSS、 MDCN等 业务系统 如彩铃、彩信、 MDC、 POC等 CMNET安全 请思考： 问题 1：不同应用场景下的各类网络有何特点？ 问题 2：不同应用场景下的路由器和交换系统所面临的安全威胁是否相同？ 问题 3：不同应用场景下的路由器和交换系统进行的安全防护重点分别应该是什么？ CMNET安全 国干 CMNET 省干路由器 省干路由器 地市CMNET Internet 其它 ISP网络 地市CMNET 省级业务网络 省级业务网络 地市业务网络 地市业务网络 案例一 CMNET网络拓补示意图 CMNET安全 CMNET威胁分析 威胁来源 威胁种类 责任心或 培训不足 的内部员 工 环境因素 或故障 第三方 外部攻击 恶意内部 攻击 软硬件故障 无作为或操作失误 恶意代码和病毒 管理不到位 黑客攻击技术 物理环境威胁 越权或滥用 物理攻击 泄密 篡改 抵赖 MDCN安全 案例二 省内 MDCN网络数据承载示意图 省公司网管网络 省公司 OA网络 省公司 BOSS网络 市公司网管网络 市公司 OA网络 市公司 BOSS网络 MDCN MDCN安全 威胁来源 威胁种类 责任心或 培训不足 的内部员 工 环境因素 或故障 第三方 外部攻击 恶意内部 攻击 软硬件故障 无作为或操作失误 恶意代码和病毒 管理不到位 黑客攻击技术 物理环境威胁 越权或滥用 物理攻击 泄密 篡改 抵赖 MDCN威胁分析 安全防护的目的 第三章 互联网安全管理 安全管理工作 路由器和交换系统的安全管理工作可大概分为以下几部分 设备初始化安全管理 日志安全管理 设备授权访问管理 配置管理 设备冗余管理 设备初始化管理 1 为确保设备的使用安全，路由器、交换机设备在入网启用前应当遵循一定的安全规范进行相应的安全性配置，其中应重点关注如下三个方面。 端口及服务最小化 安全补丁及时加载 包过滤规则设定 设备初始化管理 2 端口及服务最小化 未使用的设备端口应及时关闭。 路由器除了提供 Telnet进程登录服务外，还提供很多二层、三层的服务。路由器运行的服务越多，安全隐患就越大。很多服务路由器通常是丌需要的，应该根据各种服务的用途，实现服务最小化，关闭路由器上丌必要的服务，减少安全隐患。 设备初始化管理 3 常见路由器服务功能以及应对措施 服务名称 服务功能 建议措施 HTTP server 允许管理员通过 Web页面远程管理路由器 关闭 TCP small servers 标准的 TCP服务，例如 echo、 Chargen等 关闭 UDP small servers 标准 UDP服务，例如 echo、 discard等 关闭 Bootp server 允许其他路由器使用本路由器的文件进行启动 关闭 IP directed broad 允许路由器转发其他网段的直接广播包 关闭 -cast SNMP 远程网管使用、数据集采、状态采集 根据实际情况，缺 省使用，及时更改 SNMP口令 IP source-route 允许路由器处理带源路由选项标记的流 关闭 丼例 举例： Smurf攻击 Smurf攻击是一种强力的拒绝服务攻击方法，主要是利用IP协议的直接广播特性。对路由器而言， 对于列表中提到的 IP Directed-broadcast服务，如果没有关闭，由于该服务的功能是允许路由器转发其他网段的直接广播包，可能成为黑客攻击的中间代理，即广播包的扩散器，因此，建议，如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播。 安全补丁 安全补丁 曾经在某 IT杂志上公布， C公司宣布其路由器、交换机所有 xx版本的操作系统软件存在一个漏洞。此漏洞可使攻击者截取和修改出入路由器和交换机的 TCP数据。 显而易见，该漏洞影响是广泛的，属于严重隐患，由于 C公司及时发布了安全版本，所以几乎没有用户因此受到攻击。 因此，建议如无特殊情况在设备启用时，路由器交换机网络操作系统应当尽量采用厂家的最新版本，并将所有安全补丁打上。更重要的是，在今后的设备运行过程中，也应当及时进行补丁加载，始终保持最新版本。 包过滤规则 包过滤规则 在路由器启用前，应当根据当时的网络环境制定合理的包过滤规则，对某些病毒、木马的特定端口进行封闭。严格的配置仅传递允许进入网络的的数据包。总之，配置完善的包过滤规则并在今后的运行维护过程中随时更新可以降低安全事件发生的概率。 安全日志管理 日志安全管理 对网络维护者而言，日志是 设备运行的性能监测、安全审计以及安全事件发生后的追踪与调查等的重要依据 .因此在日常的维护中应注意开启设备的重要日志功能。 路由器交换机作为重要的网络设备，其安全性至关重要，因此建立强大、完善的日志系统是必须的。通过日常对日志文件的审查，可以预先发现许多安全攻击并及时采取措施将安全事件的发生可能性降至最低。 安全日志管理 操作日志 登陆日志：异常分析 命令操作日志：分析异常操作 标准系统日志：非法攻击留下的日志痕迹 运行状态 CPU资源监控 内存占用监控 磁盘空间监控 系统日志 端口状态 异常路由交互信息 . 安全日志管理 为保证在突发事件发生时，能够通过分析日志快速解决问题，日志的备份、存放等日常安全管理是必须的。 对于设备日志，应当遵照相关安全规范定期进行备份，保留规定时间，并对备份介质进行妥善保管 由于路由交换设备内存有限，一些日志信息存储后掉电就会丢失，有条件的情况下，应建立日志服务器，采用日志服务器可以获取更加丰富的端口状态、运行状态以及异常故障等信息，轻松掌握网络情况。 安全日志管理 建立日志服务器之后，同时应当对服务器自身进行安全加固，例如：安装防病毒软件、定期进行系统补丁以及对访问进行严格控制等，来保障日志安全。 设备授权访问管理 设备授权访问管理包括： 账号口令管理 应当对路由交换系统所有密码进行加密，基于角色按需分配的权限管理给予能够操作者完成工作的最低权限的许可。并采取增强口令强度、设置口令有效期、删除停止使用的帐号等手段，提高帐号口令管理效能。 访问管理 为防止非法授权访问，应当采用相应限制措施 设备授权访问管理 账号口令管理应关注以下几点： 应按照用户分配账号。避免丌同用户间共享账号，避免用户账号和设备间通信使用的账号共享。 用户口令足够强壮，符合复杂度要求。 设备密码使用加密模式存放，禁用明文存放密码。 SNMP服务启用时，禁止使用 public、 private等公用 community，如需提供 RW权限的 community，需保证 community的安全性。 访问管理 访问管理应关注以下几点 ： 本地访问 对路由交换系统 Consle设置访问密码，对 Console口与终端的会话配置较短闲置时间后自动退出 局域网访问 交换机端口进行 vlan划分、端口绑定等措施，路由器上采用 IP地址与 MAC地址绑定 进程访问 传统的远程访问服务程序 telnet,在网络上用明文传送口令和数据，容易被截获。同时其安全验证方式也存在弱点，容易遭受“中间人”（ man-in-the-middle）攻击。因此，应当采用 Ssh（ Secure Shell）等安全远程访问方式，其将所有传输数据进行加密，保证了传输安全，同时在安全验证方面也有所提高。同时设备的 VTY端口应 限制登录的 IP地址范围。 路由协议访问 路由器尽可能采用安全的路由协议版本，以及在启用路由协议接口之间设置MD5认证，防止信息外漏。 配置管理 配置管理 路由器及交换机的配置文件安全是不容忽视的，通常设备配置应当定期备份，并保存在安全的介质中，原则上备份介质应当至少两份，一份与设备放置一处，以备应急使用，另一份应当放置在异地的安全位置。在发生安全事故时，可以取出备份文件，将系统恢复到已知状态。 此外，配置文件应当尽可能不通过公共网络进行传输，特殊情况下应当对传输进行加密 配置管理 配置管理的目标 保密性 完整性 可用性 HUAWEI（ 1） 编号：安全要求 -设备 -通用 -配置 -12 要求内容 ：设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP地址。 操作指南 ： 1 参考配置操作 info-center logbuffer channel 4 2 补充操作说明 在系统模式下进行操作 。 检测方法 ： 1.判定条件 对设备的操作会记录在日志中 。 2.检测操作 display logbuffer HUAWEI（ 2） 编号：安全要求 -设备 -通用 -配置 -13 要求内容 ：设置 SNMP访问安全限制，只允许特定主机通过 SNMP访问网络设备。操作指南 ： 1 参考配置操作 snmp-agent community read XXXX01 acl 2000 2 补充操作说明 无 检测方法 ： 1.判定条件 通过设定 acl来成功过滤特定的源才能进行访问 。 2.检测操作 display current-configuration 安全性分析 ： 限制远程终端会话有助于防止黑客获得系统逻辑访问 。 HUAWEI（ 3） 编号：安全要求 -设备 -华为路由器 -配置 -3 要求内容 ：静态口令必须使用不可逆加密算法加密后保存于配置文件中。 操作指南 ： 1 参考配置操作 super password level 3 cipher NC55QK=/Q=QMAF41! local-user 8011 password cipher NC55QK=/Q=QMAF41! 检测方法 ： 1. 判定条件 用户的加密口令在 buildrun中显示的密文 。 2. 检测操作 display current-configuration configuration aaa 安全性分析 ： 由系统直接经过不可逆加密算法处理成密文 ， 这种加密后的数据是无法被解密， 只有重新输入明文 ， 并再次经过同样不可逆的加密算法处理 ， 得到相同的加密密文并被系统重新识别后 ， 才能真正解密 ,更加保证系统的安全性 。 HUAWEI（ 4） 编号：安全要求 -设备 -华为路由器 -配置 -4-可选 要求内容 ：设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。 操作指南 ： 1 参考配置操作 #对远程登录用户先用 RADIUS服务器进行认证 ， 如果没有响应 ， 则不认证 #认证服务器 IP地址为 6， 无备用服务器 ， 端口号为默认值 1812 # 配置 RADIUS服务器模板 。 Router radius-server template shiva # 配置 RADIUS认证服务器 IP地址和端口 。 Router-radius-shivaradius-server authentication 6 1812 #