网络管理与安全.ppt

第8章网络管理与安全 本章学习目标 8 1网络管理主要了解网络管理协议及网络管理的五大功能8 2网络安全主要了解目前网络中存在的安全隐患 网络安全防御技术等 第8章网络管理与安全 8 1网络管理1 网络管理功能2 网络管理系统组成3 网络管理协议4 常用网络管理工具8 2网络安全1 网络安全隐患2 网络安全防御技术 一 网络管理功能 在OSI系统管理标准中 将开放系统的网络管理功能划分为5大功能领域 1 配置管理配置管理是最基本的网络管理功能 主要用于配置和优化网络 配置管理就是在网络建立 扩充 改造以及业务的开展过程中 对网络的拓扑结构 资源配备 使用状态等配置信息进行定义 监测和修改 2 故障管理故障管理的功能是迅速发现和纠正故障 动态维护网络的有效性 故障管理主要功能有报警监测 故障定位 故障隔离 故障恢复以及维护故障日志 一 网络管理功能 3 性能管理性能管理保证有效地运营网络并提供约定的服务质量 性能管理包括性能监测功能 性能分析功能和性能管理控制功能 4 计费管理计费管理的功能是正确地计算和收取用户使用网络服务的费用 进行网络资源利用率的统计和网络的成本效益核算 计费管理主要提供费率管理功能和账单管理功能5 安全管理安全管理的作用是提供信息的保密 认证和完整性保护机制 使网络中的服务 数据和系统免受侵扰和破坏 安全管理主要包含 风险分析功能 安全服务功能 告警 日志和报告功能以及网络管理系统保护功能 二 网络管理系统组成元素 1 网络管理工作站一个网络系统中可以有一个或几个网络管理工作站2 代理被管理者称为代理 agent 网上具有多个被管理部件 代理处理管理工作站发出的请求 返回管理工作站需要的数据 也要向管理工作站发出警告信息 3 管理信息库管理信息库 MIB 是网络管理系统需要管理数据的集合 4 网络管理协议网络管理协议是管理者与被管理者之间的操作规范 而具体的操作对象是管理信息的集合 管理信息库 MIB 二 网络管理系统组成元素 一个网络管理协议必须包括以下功能 读取 管理工作站读取代理上的管理信息库的某个值设置 管理工作站设置代理上的管理信息库的某个值通报 代理通知管理工作站有重大事件发生 网络管理系统的基本工作流程为 1 在被管理部件上预置代理 2 网络管理者使用网络管理协议从代理的MIB中读取被管网络部件的管理信息 并存入自己的MIB 3 管理软件通过对MIB的分析处理 达到网络监控管理目的 三 网络管理协议 目前常用的网络管理协议主要有 SNMP RMON CMIP TMN 基于Web的网络管理协议1 SNMP 简单网络管理协议 SNMP是目前TCP IP网络中应用最广泛的协议 其前身是简单网关监控协议 SGMP 用来对通信线路进行管理 随后对其改进并加入了符合Internet定义的SMI和MIB体系结构 改进后的协议就是SNMP 三 网络管理协议 一 SNMP 简单网络管理协议 1 SNMP体系结构 网络管理者 网络管理站 三 网络管理协议 SNMP的四种操作 UDP端口162 SNMP管理进程 SNMP代理进程 UDP端口161 UDP端口161 UDP端口161 Get request Get next request set request Get respose Get respose Get respose trap 三 网络管理协议 SNMP的四种操作 Get操作 用来提取特定的网络管理信息Get next操作 通过遍历操作来提供强大的管理信息的提取能力Set操作 用来对管理信息进行控制 修改 设置 Trap操作 用来报告重要的事件 三 网络管理协议 SNMP管理信息结构和安全控制SNMP的网络管理由MIB 管理信息结构 SMI 及SNMP本身3部分组成 三 网络管理协议 2 RMON 远程监控 RMON监视器和RMON客户机软件结合 进行网络性能监视三 CMIP 公共管理信息协议 是ISO提供用来代替SNMP的一个重要标准 用于支持管理者与代理之间的通信 四 网络管理工具 1 Windows系统本身带有的网络监视工具 如在Windows2000的 性能 中 能够监视大量的网络组件性能 能够以图表 日志等形式提供给网络管理员查看 也支持错误警告等 还有Windows中的 网络监视器 组件 该组件能够收集本机收到和发送的网络包 通过对这些网络包的分类 统计 比较 可以预防 诊断和解决多种网络性能问题 四 网络管理工具 2 Internet控制消息协议ICMPPing3 网络分析仪或探测器网络分析仪或探测器是监测和解决响应时间问题的常用工具 探测仪通常是一个用于监测网络性能的专用硬件设备 例如 RMON2探测仪可以分析现有网络业务并报告所连网段的使用率 顶层会话者和会话 这些报告都被上层协议分开 探测仪可捕捉分组并分析分组的头信息 用于深入分析网络段的活动 探测仪关于网络段利用率和错误数的报告可以帮助网络专业人员准确确定网络时延和问题 四 网络管理工具 常用于监视网络故障的网络监视工具 HP的OpenViewIBM的NetViewSUN的NetManager其他常用工具 Ping Traceroute Netstat CiscoWorks等 8 2网络安全 网络安全隐患网络安全防御技术 1 网络安全隐患 Internet技术的飞速增长手段多样的网络攻击 网络的普及使学习网络进攻变得容易攻击工具更加 人性化 复杂程度 Internet技术的飞速增长 时间 返回 第一代引导性病毒 第二代宏病毒DOS电子邮件有限的黑客攻击 第三代网络DOS攻击混合威胁 蠕虫 病毒 特洛伊 广泛的系统黑客攻击 下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫 波及全球的网络基础架构地区网络多个网络单个网络单台计算机 周 天 分钟 秒 影响的目标和范围 1980s 1990s 今天 未来 安全事件对我们的威胁越来越快 网络安全的演化 返回 手段多样的网络攻击 返回 攻击不可避免 攻击工具体系化 返回 网络的普及使学习网络进攻变得容易 全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现年轻人对网络攻击的好奇心 返回 大量的攻击工具随手拾来 攻击工具更加 人性化 返回 导致的结果 人人都可以说 返回 现有网络安全防御体制 入侵检测系统IDS68 杀毒软件99 防火墙98 ACL71 现有网络安全体制 返回 VPN虚拟专用网 防火墙 包过滤 防病毒 入侵检测 2 现有网络安全技术 返回 课程议题 一 防范交换机端口安全 FF FF FF FF FF FF 广播MAC地址 00 d0 f8 00 07 3c 前3个字节 IEEE分配给网络设备制造厂商的 后3个字节 网络设备制造厂商自行分配的 不重复 生产时写入设备 MAC地址 链路层唯一标识 接入交换机 MACPortA1B2C3 MAC地址表 空间有限 MAC攻击 返回 攻击 MAC地址表空间是有限的 MAC攻击会占满交换机MAC地址表 使得单播包在交换机内部也变成广播包 向所有端口转发 每个连在端口上的客户端都可以收到该报文 交换机变成了一个Hub 用户的信息传输也没有安全保障了 MAC攻击 返回 交换机 PCAMACA PCBMACB PCCMACC MACPortA1X1Y1 交换机MAC地址表空间很快占满 没有空间学习合法的MACB MACC 流量C B MAC攻击 返回 交换机 攻击者 MAC攻击 返回 交换机端口安全功能 利用交换机的端口安全功能 防止局域网内部攻击 如MAC地址攻击 ARP攻击 IP MAC地址欺骗等 交换机端口安全的基本功能1 限制交换机端口的最大连接数 控制网络的恶意扩展和接入例 在学校宿舍网内限制端口最大连接数为1 可以防止学生随意购买小型交换机或HUB扩展网络 对网络造成破坏 2 端口的安全地址绑定 解决局域网中IP地址冲突 ARP欺骗等问题例 在学校宿舍网内端口地址绑定 可以解决学生随意更改IP地址 造成IP地址冲突 或者学生利用黑客工具 进行ARP地址欺骗 返回 交换机端口安全内容 如果安全端口收到不属于端口上安全地址的包时 一个安全违例将产生 当安全违例产生时 可以选择多种方式来处理违例 Protect 安全端口将丢弃未知名地址的包 不是该端口的安全地址中的任何一个 RestrictTrap 当违例产生时 将发送一个Trap通知 Shutdown 当违例产生时 将关闭端口并发送一个Trap通知 返回 端口安全配置示例 配置fa1 3端口安全功能 设置最大地址个数为8 违例方式为protect Switch config interfacefa1 3Switch config if switchportport securitySwitch config if switchportport securitymaximum8Switch config if switchportport securityviolationprotect 端口安全配置示例 配置fa0 3安全功能 绑定MAC为00d0 f800 073c IP为192 168 12 202Switch config interfacefa0 3Switch config if switchportport securitySwitch config if switchportport securitymac address00d0 f800 073cip address192 168 12 202 防范ARP攻击 RFC规定 PC在发ARP请求 任何一台PC都可以向其它PC通告 自己就是 给攻击者带来漏洞 ARP协议 PCA PCB PCC PCD ARP请求 非法ARP响应 IPAMACC ARP欺骗 ARP欺骗利用ARP漏洞 发送虚假ARP请求报文和响应报文 报文中的源IP和源MAC均为虚假的 扰乱网中各PC以及网关中保存的ARP表 使得合法PC通讯中断 流量流入攻击者手中 PCB 攻击者 发送ARP欺骗 192 168 10 1MACA 192 168 10 3MACC 192 168 10 2MACB 发送ARP响应 告诉 192 168 10 1对应的MAC是MACC ARP表刷新 192 168 10 1对应的是MACC 发送到网关的流量均到攻击者手中MACC 发送ARP响应 告诉 192 168 10 2对应的MAC是MACC ARP表刷新 192 168 10 2对应的是MACC ARP欺骗 防范ARP欺骗 ARP欺骗的防范利用端口ARP检查安全功能 检查ARP报文中的源IP和源MAC是否和绑定的一致 防止非法信息点冒充 造成网络通讯混乱 注意 该功能在1x端口下不支持 将在V1 6版本中支持 2005 3月 PCB 攻击者 发送ARP欺骗 192 168 10 1MACA 192 168 10 3MACC 192 168 10 2MACB 发送ARP响应 说 192 168 10 1对应的MAC是MACC 发送ARP响应 说 192 168 10 2对应的MAC是MACC ARP攻击 防范 端口ARP检查接口上配置port securityarp check 802 1x链路层验证机制协议 IEEE802定义的局域网 不提供认证 用户接入Switch 就可以访问局域网资源 这是一个安全隐患 IEEE802 1X是IEEE标准委员会 针对以太网的安全缺陷而制定的标准 一种基于端口的控制技术 在LAN对接入设备进行认证 802 1x 802 1x 认证者 交换机 恳请者 EAPOL EAPOL ExtensibleAuthenticationProtocoloverLAN 认证服务器 IEEE802 1x是基于端口访问控制标准 为LAN连接到局域网设备 或用户认证的手段 IEEE802 1X协议的目标 802 1X是一个基于端口认证协议 对用户进行认证策略 802 1X认证目的 就是确定一个端口是否可用 对于一个端口 如果认证成功 那么就 打开 这个端口 允许文所有的报文通过 如果认证不成功 就使这个端口保持 关闭 此时只允许802 1X的认证报文 EAPOL ExtensibleAuthenticationProtocoloverLAN 通过 交换机802 1X配置注意事项 只有支持802 1x的产品 才能进行以下设置 802 1x既可以在二层下又可以在三层下的设备运行 要先设置认证服务器的IP地址 才能打开802 1x认证 打开端口安全的端口不允许打开802 1x认证 AggregatePort不允许打开802 1x认证 交换机端口防范 交换机端口安全 端口静态绑定交换机整机绑定IP和MAC地址802 1x检查IP报文中源IP和源MAC是否和交换机中管理员设定的是否一致 不一致 报文丢弃 并发送告警信息 课程议题 三 软件防火墙 访问列表列表 ISP 1 什么是访问列表 ACL对经过设备的数据包 根据一定的规则 进行数据包的过滤 FTP RG S2126 RG S3512G RG S4009 RG NBR1000 Internet RG S2126 不同部门所属VLAN不同 技术部VLAN20 财务部VLAN10 隔离病毒源 隔离外网病毒 2 为什么要使用访问列表 3 访问列表的组成 定义访问列表的步骤第一步 定义规则 哪些数据允许通过 哪些不允许 第二步 将规则应用在设备接口 上 访问控制列表的分类 1 标准 2 扩展 3 命名 标准 扩展 访问控制列表规则元素源IP 目的IP 源端口 目的端口 协议 服务 4 访问列表规则的应用 访问列表对流经接口的数据包进行控制 1 入栈应用 in 2 出栈应用 out 1 定义标准ACLRouter config access list permit deny 源地址 反掩码 Switch config Ipaccess list permit deny 源地址 反掩码 2 应用ACL到接口Router config if ipaccess group name in out access list1permit172 16 3 00 0 0 255 access list1deny0 0 0 0255 255 255 255 interfaceserial0ipaccess group1out 172 16 3 0 172 16 4 0 F0 S0 F1 Internet172 17 0 0 IP标准访问列表配置 3 只允许172 16 3 0网络中的计算机访问互联网络 IP标准访问列表配置技术 4 阻止192 168 0 45主机通过E0访问网络 而允许其他的机器访问Router config access list1denyhost192 168 0 45Router config access list1permitanyRouter config interfaceethernet0Router config if ipaccess group1in 0表示检查相应的地址比特1表示不检查相应的地址比特 0 0 0 0 0 0 0 0 9 反掩码 通配符 通配符掩码是一个32比特位 其中0表示 检查相应的位 1表示 不检查相应的位 在IP子网掩码中 数字1和0用来决定是网络 还是主机的IP地址 通配符掩码与子网掩码工作原理是不同的 如表示172 16 0 0这个网段 使用通配符掩码应为0 0 255 255 在通配符掩码用255 255 255 255表示所有IP地址 全为1说明所有32位都不检查 这是可以用any来取代 0 0 0 0的通配符掩码则表示所有32位都要进行匹配 这样只表示一个IP地址 可以用host表示 10 ACL分类 扩展访问列表 扩展ACL可以根据数据包内的源 目的地址 应用服务进行过滤 邮件server WEBserver 冲击波 MSBlaster 病毒 蠕虫病毒 大量ICMP扫描 导致网络阻塞利用ACL关闭ICMP服务 以及相应端口 益处 抑制蠕虫攻击 控制蠕虫蔓延 保证网络带宽 配置示例 access list101denytcpanyanyeq135阻止感染病毒的PC向其它正常PC的135端口发布攻击代码 access list101denyudpanyanyeqtftp限制目标主机通过tftp下载病毒 access list101denyicmpanyany阻断感染病毒的PC向外发送大量的ICMP报文 防止其堵塞网络 接入交换机RG S2126G防病毒配置RG 2126G 2 config ipaccess listextendeddeny wormsRG 2126G 2 config ext nacl denytcpanyanyeq135RG 2126G 2 config ext nacl denytcpanyanyeq136RG 2126G 2 config ext nacl denytcpanyanyeq137RG 2126G 2 config ext nacl denytcpanyanyeq138RG 2126G 2 config ext nacl denytcpanyanyeq139RG 2126G 2 config ext nacl denytcpanyanyeq445RG 2126G 2 config ext nacl denyudpanyanyeq135RG 2126G 2 config ext nacl denyudpanyanyeq136RG 2126G 2 config ext nacl denyudpanyanyeqnetbios nsRG 2126G 2 config ext nacl denyudpanyanyeqnetbios dgmRG 2126G 2 config ext nacl denyudpanyanyeqnetbios ssRG 2126G 2 config ext nacl denyudpanyanyeq445RG 2126G 2 config ext nacl permitipanyanyRG 2126G 2 config ext nacl exitRG 2126G 2 config interfacerangefa0 1 24RG 2126G 2 config if range ipaccess groupdeny wormsin 访问列表的验证 显示全部的访问列表Router showaccess lists显示指定的访问列表Router showaccess lists显示接口的访问列表应用Router showipinterface 访问列表的注意事项 1 在进行规则匹配时 从上至下 匹配成功马上停止 不会继续匹配下面的规则 2 所有访问列表默认规则是拒绝所有数据包3 处理方式只有允许通过和拒绝通过4 锐捷路由器只能编写编号方式的规则5 锐捷交换机只能编写命名方式的规则6 一个端口在某一方向只能应用一组访问列表 课程议题 四 硬件防火墙 Server Client 防火墙 Firewall 防火墙类似一堵城墙 将服务器与客户主机进行物理隔离 并在此基础上实现服务器与客户主机之间的授权互访 互通等功能 防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问 另一方面允许内部网络的用户对因特网进行Web访问或收发E mail等 防火墙也可以作为一个访问因特网的权限控制关口 如允许组织内的特定的人可以访问因特网 现在的许多防火墙同时还具有一些其他特点 如进行身份鉴别 对信息进行安全 加密 处理等等 防火墙的工作模式路由模式网桥模式防火墙的接口类型Internal内部网络External外部网络DMZ demilitarizedzone 非军事停火区 防火墙应用 路由器 HTTP服务器 DNS服务器 Email服务器 防火墙 DMZ区 DemilitarizedZone 内部专用网络 防火墙管理器 外部网络 防火墙安装方式之一 防火墙安装方式之二 防火墙安装方式之三 防火墙网络地址转换 202 11 196 16 内部网络地址192 168 0 x 外部网络 Internet地址 网络地址转换 课程议题 四 SPAN 交换式端口分析器 端口镜像 端口镜像 网络监测的必备利器 网络管理员 被怀疑者 端口镜像 当用户需要知道网络中某个交换机端口正在干什么的时候 就是使用端口镜像的时候 镜像端口 监控端PC3 PC1 PC2 S2126G或1926F 端口镜像 将交换机流经指定端口的数据 在正常传输的情况下 复制一份由某个特定端口发出 从而起到监控该端口的作用 镜像端口 监控端PC3 PC1 PC2 S2126G或1926F 在网络中经常可能会有一些非法的数据包传输 反动言论 病毒等 网管员无法判断和追踪该数据 端口镜像 就是将交换机凡是流经指定端口的数据 在正常传输的情况下 复制一份由某个特定端口发出 从而起到监控该端口的作用 利用端口镜像可以监控网络中的指定端口 当出现问题时 网管员可以有据可查 并可以进行流量的分析 从而更加灵活的管理网络 在构建交换园区网的时候 经常用一些抓包工具对数据包进行分析 进行入侵检测 交换式端口分析器 SPAN 分析经过某个本地端口或VLAN的流量信息 SPAN发送一份流量的拷贝 给连接安全设备的交换机端口 SPAN的3种模式 1 SPAN 源端口和目标端口都处于同一交换机 并且源端口可以是一个或多个交换机端口 2 基于VLAN的交换式端口分析器 VSPAN SPAN的一种变体 源端口不是物理端口 而是VLAN 3 远程交换式端口分析器 RSPAN 源端口和目标端口处于不同的交换机 视频服务器 计费 上网监控 虚拟服务器 Internet 端口镜像 Internet 端口镜像 监控上网内容是否合法 统计内容送往当地公安 最近网络非常慢 查查这个端口是不是有问题 网络管理员 网吧行业被要求必须将实时上网内容统计上报当地监管部门 政府 企业部门往往在网络很慢 充斥病毒的时候 实时监测交换机端口是否工作正常 交换机端口安全 课程议题 五 交换机安全特性 地址绑定 端口安全地址内置防DoS攻击防扫描六元素绑定流量控制技术 IP地址的修改非常容易 而MAC地址存储在网卡的EEPROM中 而且网卡的MAC地址是唯一确定的 因此 为了防止内部人员 进行非法IP盗用 例如盗用权限更高人员的IP地址 以获得权限外的信息 可以将内部网络的IP地址 与MAC地址绑定 盗用者即使修改了IP地址 也因MAC地址不匹配 而盗用失败 而且由于网卡MAC地址的唯一确定性 可以根据MAC地址 查出使用该MAC地址的网卡 进而查出非法盗用者 地址绑定 交换机端口安全地址 通过限制允许访问交换机上某个端口的MAC地址以及IP 可选 来实现严格控制对该端口的输入 当你为安全端口打开了端口安全功能并配置了一些安全地址后 则除了源地址为这些安全地址的包外 这个端口将不转发其它任何包 此外 你还可以限制一个端口上能包含的安全地址最大个数 如果你将最大个数设置为1 并且为该端口配置一个安全地址 则连接到这个口的工作站 其地址为配置的安全地址 将独享该端口的全部带宽 为了增强安全性 你可以将MAC地址和IP地址绑定起来作为安全地址 仿DoS攻击DoS是DenialofService的简称 即拒绝服务 造成DoS的攻击行为 被称为DoS攻击 其目的是使计算机或网络 无法提供正常的服务 最常见的DoS攻击有 计算机网络带宽攻击和连通性攻击 带宽攻击 指以极大通信量冲击网络 使得所有可用网络资源都被消耗殆尽 最后导致合法用户请求就无法通过 连通性攻击 指用大量的连接请求冲击计算机 使得所有可用的操作系统资源都被消耗殆尽 最终计算机无法再处理合法用户的请求 分布式拒绝服务攻击 DDOS DDoS攻击手段是在传统的DoS攻击基础之上 产生的一类攻击方式 单一的DoS攻击一般是采用一对一方式的 当攻击目标CPU速度低 内存小或者网络带宽小等等各项性能指标不高它的效果是明显的 随着计算机与网络技术的发展 计算机的处理能力迅速增长 内存大大增加 同时也出现了千兆级别的网络 这使得DoS攻击的困难程度加大了 目标对恶意攻击包的 消化能力 加强了不少 例如你的攻击软件每秒钟可以发送3 000个攻击包 但我的主机与网络带宽每秒钟可以处理10 000个攻击包 这样一来攻击就不会产生什么效果 这时侯分布式的拒绝服务攻击手段 DDoS 就应运而生了 你理解了DoS攻击的话 它的原理就很简单 如果说计算机与网络的处理能力加大了10倍 用一台攻击机来攻击不再能起作用的话 攻击者使用10台攻击机同时攻击呢 用100台呢 DDoS就是利用更多的傀儡机来发起进攻 以比从前更大的规模来进攻受害者 分布式拒绝服务攻击 DDOS 防扫描防扫描功能 可自动监测各种恶意扫描行为 实施报警或者采取其他安全措施 如禁止网络访问等 此特性可将很多未知的新型病毒 扼制在大规模爆发之前发生 端口ARP检查无论合法者或非法用户 盗用其他合法用户的IP地址想上网时 交换机都会利用端口ARP检查功能 即检查ARP报文中 该用户使用的IP是否和交换机端口绑定的IP MAC地址是否一致 不一致则便丢弃该用发出的ARP报文 来有效杜绝IP地址盗用现象 屏幕上不会再出现有IP地址和他冲突的提示框 保证合法者正常上网 而不会再抱怨 VLAN2 ARP查询广播报文 PC1 盗用IP地址的用户 PC2 合法者 STAR S2126G 防IP地址盗用 ARPSpoofing ARP欺骗 PCB 攻击者 发送ARP欺骗 MACA PCCMACC MACB A想向B发送数据时 A向网络中广播询问B的MAC地址 PCA C向A发送回应信息 我