网络基础篇.ppt

从网络安全到安全网络 主讲人 王华敏 咸宁市网络安全培训 二00六年十一月 武汉华禹网络科技有限公司 学习目标 系统了解网络安全结构了解安全技术发展趋势理解基本的安全配置学习基本的灾难恢复和应急响应机制 培训内容 第一篇网络基础第二篇网络安全分析第三篇公共密钥PKI认证第四篇防火墙技术第五篇入侵检测第六篇虚拟专网VPN第七篇恶意代码第八篇网络安全配置第九篇灾难恢复与应急响应第十篇软件技术简述 OSI层次模型TCP IP层次模型网络接入技术网络安全标准网络安全发展趋势 主要内容 INTERNET的美妙之处在于你和每个人都能互相连接INTERNET的可怕之处在于每个人都能和你互相连接 网络基础 OSI参考模型 applications Presentation Session Physical Transport Link S MIME SET SecureRPC SSL TLS 应用 Presentation 会话 物理 传输 链路 PPPCHAP EAPL2TP PPTP IPSEC OSI层次结构 网络 Network OSI层次划分原则 应该把层次分成理论上需要的不同等级 减少过多的层次 每一层都应该较好地履行其特定的功能 每一层的功能选定都基于已有成功经验的国际标准协议 每一层的界面都应该选在服务描述最少 通过接口的信息流量最少的地方 把类似的功能集中在同一层内 使之易于局部化 当在数据处理过程中需要不同级别抽象时 则设立一个层次 一个层次内的功能或协议更改时不影响其它各层 只为每一层建立与其相邻的上一层和下一层的接口 在需要不同的通信服务时 可在同一层内再形成子层次 不需要时也可绕过该子层次 TCP IP层次模型 应用 表示 会话 物理 传输 链路 网络 OSI层次结构 应用 传输 网络 TCP IP层次结构 链路 并不严格对应 TCP IP协议层次模型 TCP IP协议分层并不完全对应OSI模型应用层TelnetFTPDNSSMTP传输层TCPUDP网络层IPICMPARPRARP数据链路层X 25ARPnet 网络接入技术 局域网接入以太网 FDDI ATM拨号接入ModemISDN接入xDSL接入ADSL VDSLDDN专线接入光纤接入有源光接入 无源光接入 网络安全标准 标准化组织 1 国际标准化组织 ISO 5000多2 Internet体系结构委员会 IAB IETF IRTF RFC1421 1424 RFC1510 3 国家标准委员会美国国家标准协会 ANSI 等等4 美国国家标准技术研究所 NIST FIPSPUB SPECPUB DES FIPSPUB140 1 CC EES FPKI GKMI AES5 美国国防部 DoD NCSC TCSEC Rainbow系列6 国际电信联盟 ITU X 400 X 5007 电气和电子工程师学会 IEEE P1363 网络安全标准 标准标准的发展 1 安全体系结构和框架标准 设计其它类标准的基础 参考2 安全技术标准 广泛适用的技术规范 与分层 具体应用无关3 层安全协议标准 各层独立于应用的协议规范4 具体应用安全标准5 安全管理标准6 安全测评标准低层安全协议 TLSP NLSP SDE IPSEC TLS高层安全标准 ASN 1 通用高层安全标准GULS 网络安全标准 信息安全标准分类 1 安全体系结构和框架标准 设计其它类标准的基础 参考2 安全技术标准 广泛适用的技术规范 与分层 具体应用无关3 层安全协议标准 各层独立于应用的协议规范4 具体应用安全标准5 安全管理标准6 安全测评标准低层安全协议 TLSP NLSP SDE IPSEC TLS高层安全标准 ASN 1 通用高层安全标准GULS 网络安全标准 信息安全标准分类 1 安全策略 系统实施的安全策略 2 标识 访问控制标志与客体相联系 3 识别 单独的主体必须被识别 4 责任 审计信息必须被有选择地保存和保护起来 使影响安全的行为可以被追踪 5 保证 计算机系统必须包括硬件 软件机制 这些机制能够独立地评估以确定系统能否执行上述四项要求 6 持续的保护 能够执行这些基本需求的可信机制 必须被连续地保护以抵御篡改和未授权的修改 网络安全标准 信息安全六个方面 1 密码算法 2 封装和数字签名 3 实体认证 4 密钥管理 5 安全标签 6 其他安全技术标准 网络安全标准 信息安全技术标准 网络安全技术发展趋势 三大网络安全基础设施 网络的三大安全防线防火墙入侵检测系统防病毒产品 网络 单机 安全服务 安全服务在整个安全体系中占有重要地位安全咨询安全风险评估安全培训技术支持 系统维护等 网络安全结构 明确目标 网络安全结构 安全服务 网络结构模型 网络结构模型 网络结构模型 网络结构模型 网络结构模型 网络结构模型 网络结构模型 网络结构模型 准入控制系统 传统网络环境 准入控制系统 准入控制后的网络环境 准入控制系统结构 培训内容 第一篇网络基础第二篇网络安全分析第三篇公共密钥PKI认证第四篇防火墙技术第五篇入侵检测第六篇虚拟专网VPN第七篇恶意代码第八篇网络安全配置第九篇灾难恢复与应急响应第十篇软件技术简述 网络安全威胁TCP IP安全性利用木马攻击拒绝服务攻击 主要内容 Internet的安全问题的产生 Internet起于研究项目 安全不是主要的考虑少量的用户 多是研究人员 可信的用户群体可靠性 可用性 计费 性能 配置 安全 Securityissuesarenotdiscussedinthismemo 网络协议的开放性与系统的通用性目标可访问性 行为可知性攻击工具易用性Internet没有集中的管理权威和统一的政策安全政策 计费政策 路由政策 安全的级别 Public Internal Confidential Secret WebSiteData MarketingData PayrollData TradeSecrets 网络安全的语义范围 保密性信息不泄露给非授权用户 实体或过程 或供其利用的特性完整性数据未经授权不能进行改变的特性 即信息在存储或传输过程中保持不被修改 不被破坏和丢失的特性 可用性可被授权实体访问并按需求使用的特性 即当需要时能否存取所需的信息 例如网络环境下拒绝服务 破坏网络和有关系统的正常运行等都属于对可用性的攻击 可控性对信息的传播及内容具有控制能力 总线型拓朴结构故障诊断 隔离困难终端须是智能的星型拓朴扩展困难对中央节点依赖太大容易出现瓶颈环型拓朴单节点故障引起全网故障诊断故障困难扩展困难树型拓朴对根节点依赖过大 网络安全威胁 网络拓朴安全 陷门 后门 逻辑炸弹 远程遥控 远程维护 非法通信 贪婪程序操作系统I O非法访问 访问控制混乱 不完全的中介 操作系统陷门TCP IP协议网络软件与网络服务协议和服务交互机制存在的问题规模引起的复杂性和人的局限性 网络安全威胁 网络软件漏洞 网络安全威胁 人为威胁 一 可分为二种 以操作失误为代表的无意威胁以计算机犯罪为代表的恶意攻击智能性严重性隐蔽性多样性 网络安全威胁 人为威胁 二 恶意攻击表现集团行为信息战 伊拉克的 沙漠风暴 商业间谍黑客大战个人攻击窃听 流量分析 破坏完整性 重发 假冒 拒绝服务资源的非授权使用 干扰 电子邮件 病毒 几十万种 诽谤 TCP IP模型安全性 TCP IP模型安全性 链路层 接收不属于本节点数据包原理许多网卡设为混杂模式可以接收所有数据帧解决方案网络分段 利用交换机 动态集线器和桥等设备对数据流进行限制 链路层加密和禁用混杂节点等 TCP IP模型安全性 链路层 MAC欺骗原理通过底层I O操作修改寄存器中的MAC地址解决方案追踪综合布线排除非授权机器 确保线路上已授权的机器使用自身的MAC地址 TCP IP模型安全性 链路层 ARP欺骗原理指定ARP包中的源IP 目标IP 源MAC 目标MACArp send c危害嗅探导致windows9x NTIP冲突死机Flooding导致网络异常工具ARPWatch TCP IP模型安全性 网络层 IP欺骗原理IP是网络层的一个非面向连接的协议 伪造IP地址相对容易 TCP三次握手DoS攻击序列号取样和猜测预防抛弃基于地址的信任策略进行包过滤加密使用随机化初始序列号 TCP IP模型安全性 网络层 IP碎片包IGMPNuke攻击ICMP攻击IP地址扫描 pingofdeath pingflooding smurf ICMP重定向报文 ICMP主机不可达和TTL超时报文路由欺骗RIP路由欺骗IP源路由欺骗 TCP IP模型安全性 传输层 TCP初始序号预测TCP端口扫描Land攻击TCP欺骗TCP会话劫持SYNfloodingRST和FIN攻击WinnukeUDPflooding TCP IP模型安全性 应用层 电子邮件攻击DNS欺骗Finger针对http服务的攻击缓冲区溢出攻击 拒绝服务攻击DOS举例 DOS指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源 目的是让目标计算机或网络无法提供正常的服务 使目标计算机停止响应 甚至崩溃 SYNFlood是当前最流行的DoS 拒绝服务攻击 与DDoS 分布式拒绝服务攻击 的方式之一 这是一种利用TCP协议缺陷 发送大量伪造的TCP连接请求 从而使得被攻击方资源耗尽 CPU满负荷或内存不足 的攻击方式 拒绝服务攻击DOS 发起方 应答方 正常的三次握手建立通讯的过程 拒绝服务攻击DOS 攻击者 受害者 伪造地址进行SYN请求 不能建立正常的连接 拒绝服务攻击DOS 防范策略 优化路由和网络结构 调整路由表 应用路由器的带宽分频技术 优化可能成为攻击目标的主机 禁止所有不必要的服务 检测DDoS攻击 根据异常情况分析访问量突然剧增 经过sniffer分析 有大量的非正常的包 如没有正常的tcp三次握手 或者是三次握手后没有正常的关闭连接 或者大量的广播包 或者大量的icmp包 这说明极其有可能是遭受DDoS攻击 外部访问突然变慢 或者访问不到 可是主机的访问量却不大 这很有可能是路由器的配置出现问题 询问一下是否有人对路由器等设备进行过操作 或者你的对等ISP的线路出现问题 主机突然反应很迟钝 这要经过sniffer进行侦听 这有两种可能 一种是流量确实很大 有可能是遭受DoS攻击 还有就是应用程序编写有误 导致系统资源耗尽 检测DDoS攻击 使用DDoS检测工具使用工具可以发现攻击者植入系统的代理程序 并可以把它从系统中删除 使用ngrep监听工具 经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击 targa3 SYNflood UDPflood ICMPflood和smurf 它还有一个循环使用的缓存用来记录DNS和ICMP请求 如果ngrep发觉有攻击行为的话 它会将其缓存中的内容打印出来并继续记录ICMP回应请求 假如攻击者通过ping目标主机的手段来铆定攻击目标的话 在攻击过程中或之后记录ICMP的回应请求是一种捕获粗心的攻击者的方法 由于攻击者还很可能使用其他的服务来核实其攻击的效果 例如web 所以对其他的标准服务也应当有尽量详细的日志记录 DDoS攻击的对策 与网络服务提供商协作能否与上一级的网络主干服务提供商进行良好的合作是非常重要的事情 DDoS攻击对带宽的使用是非常严格的 无论使用什么方法都无法使自己的网络对它的上一级进行控制 最好能够与网络服务供应商进行协商 请求他们帮助实现路由的访问控制 以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率 最好请求服务提供商帮监视网络流量 并在遭受攻击时允许访问他们的路由器 DDoS攻击的对策 安装IDS和监控异常流量 在防卫攻击方面 安装IDS可以发现是否有入侵行动正在进行 立即对入侵行动进行报警 以最快时间内对入侵做成反应 此外 也要时常监控网络流量 注意是否有异常的流量产生 优化对外提供服务的主机对于潜在的有可能遭受攻击的主机也要同样进行设置保护 在服务器上禁止一切不必要的服务 打补丁 进行安全配置 此外 用防火墙对提供服务的主机进行保护 对访问量大的主机进行负载均衡 将网站分布在多个不同的物理主机上 这样每一台主机只包含了网站的一部分 防止了网站在遭受攻击时全部瘫痪 DDoS攻击的对策 立即启动应付策略 尽可能快的向回追踪攻击包如果发现攻击并非来自内部应当立即与服务提供商取得联系 由于攻击包的源地址很有可能是被攻击者伪装的 因此不必过分的相信该地址 应当迅速的判断是否遭到了拒绝服务攻击 因为在攻击停止后 只有很短的一段时间您可以向回追踪攻击包 这最好和安全公司或组织一道来追查攻击者 与信息安全监察部门联系由于系统日志属于电子证据 可以被非法修改 所以一旦攻击发生 应该及时与信息安全监察部门联系 及时提供系统日志作为证据保全 以利于追查和起诉攻击者 便于日后用法律手段追回经济损失 DDoS预防方法 限制ICMP数据包出站速率InterfacexxRete limitoutputaccess group10225600080008000conform actiontransmitexceed actiondropAccess list102permiticmpanyanyechoAccess list