网络安全高级应用-总结.doc

一、 TCP/IP高级技术IP数据包结构：首部（固定20B）和数据（可变，最大40B）1. 标识-数据包id，标明数据包是否属于同一数据流标志-是否允许分片（3个比特位），第二位为0，表示允许分片；为1表示不允许分片；第三位为0，表示没有分片；为1表示还有分片。分片偏移-表示重组的先后顺序。协议（Protocol）：标识了上层所使用的协议。以下是比较常用的协议号： 1 ICMP 2 IGMP 6 TCP 17 UDP 88 IGRP 89 OSPF2. ICMP头部总长度为8B报文的类型： 类型8：回送请求； 类型0：回送应答； 代码1：主机不可达； 常见 类型3：终点不可达 代码3：端口不可达。 类型4：源点抑制； 类型11：超时；类型5：改变路由； 类型12：参数问题；IP分片的原理：当数据的总长度大于MTU（最大传送单元，默认：以太网1500B,PPP链路296B）值时，会被分片，将每个分片加一个IP包头，封装成帧格式，传输过程可以被再分片，到达目的地后会根据OFFSET值进行分片重装！ 3. TCP协议内的几种控制位：URG：紧急指针有效位； ACK：确认序列号； PSH：要求接受方尽快将数据段送达应用层； RST：重新建立TCP连接； SYN：请求连接； FIN：请求断开。TCP的mss（maxmum segment size）最大报文段长度 表示可以被重点接受的TCP报文段长度！一般地：MSS=MTU-20-204. 滑动窗口的原理：跟对方先协商一下，一次最多能处理多少个数据包；控制发送端根据接受端的能力来发送数据。如果之前没有协商，发送的数据包过多，会被丢弃，浪费带宽。5. 滑动窗口的好处：使传输更加有效，同时也控制数据的流动，使得接受端不致因数据量过大而瘫痪。6. TCP的计时器的类型：1、重传计时器：主要用于重传丢失的报文段； 2、持久计时器 3、保活计时器（和持久计时器一样，当PC突然断电时，一般都会使用这两种计时器） 4、时间等待计时器：在TCP连接终止期间使用的。UDP协议：UDP是一个无连接的、不保证可靠性的四层协议，首部结构简单，传输中只花费最小开销。7.死亡之ping的工作原理：发送一个数据包（大于65535字节），PC机一下处理不过来，就会放到缓冲区，当缓冲区满时，会导致缓冲区溢出，最后导致系统宕机。8.泪滴攻击的原理：修改分片的偏移量，使分片重叠，导致系统重组不成功，直至CPU资源耗尽。 9.SYN Flood泛洪的原理：根据tcp三次握手的原理来进行攻击；攻击者伪造虚假的源IP向目标主机发送SYN请求，而目标主机回复SYN请求后，得不到确认，产生大量半连接，造成正常用户无法访问。二、Cisco防火墙1.防火墙的分类：1、硬件防火墙；2、软件防火墙；3、芯片级防火墙。2.硬件防火墙和软件防火墙的区别：1、硬件防火墙功能强大，且明确是为抵制威胁而设计的；2、硬件防火墙的漏洞少。3.Cisco 防火墙的型号及区别：ASA5505、ASA5510、ASA5520、ASA5540、ASA5550、ASA5580。 区别：ASA5505是二层接口，需要进入VLAN配置，其他的都是三层接口。4.ASA支持三种主要的远程管理接入方式：telnet、SSH、ASDM。5.nat-control的作用：高安全级别访问低安全级别都需要进行nat转换，否则丢弃7. 从低级别访问高级别须配置静态NAT，因为静态NAT是双向的！8. 三、IPsec VPN（一）1.VPN的定义：虚拟专用网2.VPN可以“保护”网络实体之间的通信：1、使用加密技术防止数据被窃听； 2、数据完整性验证防止数据被破坏、篡改。 3、通过认证机制实现通信方身份确认，来防止通信数据被截获和回放。3.VPN的模式：1、传输模式；2、隧道模式。 VPN的类型：1、站点到站点的VPN；2、远程访问VPN4.VPN的加密算法：1、对称加密（密钥可能被窃听，速度快）；2、非对称加（计算复杂，效率低，传输速度慢，安全）5.对称加密的算法：1、DES（56位密钥）2、3DES（3个56位密钥）3、AES（支持128、192、256位密钥，最安全的一种）6.非对称加密的算法：1、RSA算法2、DSA（数字签名算法）3、DH算法（支持组1 768，组2 1024，组3 1536）7.对称加密的原理：有一个共享密钥，使用同一个共享密钥进行加密，进行解密。8.非对称加密的原理：PC1会发送自己的公钥给PC2，然后PC2会用PC1发来的公钥进行数据加密，然后发送过去，PC1会用自己的私钥解密。9.数据报文验证：1、身份验证；2、报文完整性验证。10.数据报文验证的算法：1、MD5；2、SHA11.IPsec：阶段1的建立过程：1、协商采用何种方式建立管理连接； 2、通过DH算法共享密钥信息； 3、对等体彼此进行身份验证。12：IPsec：阶段2的建立过程：1、定义对等体间需要保护何种流量； 2、定义用来保护数据的安全协议； 3、定义传输模式（默认是隧道模式）； 4、定义生存周期。13：在主模式中，这三个任务是通过六个数据报文完成的：1、前两个数据包用于协商对等体间的管理连接使用何种安全策略（交换ISAKMP/IKE传输集）； 2、中间的两个数据包通过DH算法产生并交换加密算法和HMAC功能所需的密钥； 3、最后两个数据包使用预共享密钥等方式执行对等体间的身份验证。注意：前四个报文为明文传输，从第五个数据报文开始为密文传输，而前四个数据包通过各种算法最终产生的密钥用于第5、第6个数据包以及后续数据的加密。14：ESP和AH的区别：ESP只对数据进行身份验证，AH对整个数据包进行验证，AH不支持加密功能，而ESP支持加密功能。四、IPsec VPN（二）1：nat豁免的作用：VPN的流量不需要做NAT转换。2.路由器与ASA防火墙的区别：1、默认配置区别； 2、路由器默认是开始IPsec的，而ASA防火墙默认是关闭的； 3、配置预共享密钥不同； 4、ASA默认是不允许从同一个接口进入再流出，流量无法通过具有相同级别的两个流量进入或流出。3.AH协议不能与NAT设备一同工作，AH也不能和PAT一起工作（AH对整个数据包进行验证） ESP协议不能与PAT设备一同工作，ESP对IP数据进行验证。4：为了解决ESP与PAT一同工作，需要配置NAT-T 改变端口号（4500-数据连接，500-管理连接）5.管理连接所处的状态：MM_NO_STATE-ISAKMP SA建立的初始状态； MM_SA_SETUP-对等体之间ISAKMP策略协商成功后处于该状态； MM_KEY_EXCH-对等体通过DH算法成功建立共享密钥，此时还没有进行设备验证； MM_KEY_AUTH-对等体成功进行设备验证，之后会过渡到QM_IDIE状态； QM_IDIE-管理连接成功建立，即将过渡到阶段2的数据连接建立过程。6.故障排查：1：完全没有debug信息：1、路由器未配置或配置错误； 2、防火墙的crypto map配置错误； 3、防火墙的crypto map未应用在接口； 4、ACL未配置； 5、Transform-set 配置不匹配； 6、peer +IP地址配置不正确。 2：管理连接建立不成功：1、防火墙的IKE协议未启用； 2、预共享密钥双方不匹配； 3、与共享密钥的地址配置错误； 4、阶段1传输不匹配。 3：数据连接建立不成功：1、阶段2的传输集配置错误； 2、路由器的crypto map 配置错误； 3、路由器的ACL配置错误。网络安全第五章一， Easy VPN和SSL VPN它们都属于远程访问VPN远程访问VPN包含了：1远程IPsee VPN Easy VPN DVTI(动态虚拟隧道接口)2远程SSL VPN （DVTI属于下一代远程IPsec VPN 概述）主要讲：Easy VPN 的工作原理有两个组件：VPN服务器：它定义好VPN策略，连接时将策略发送到客户端，降低了Client部署的复杂性增加了可拓展行和灵活性VPN client：软甲和硬件之分软件：安装在PC机上的Cisco VPN client 可直接访问内部网络硬件：可以说router或ASA有三种模式1，client made(pat)模式，远程主机不使用服务器的IP地址池地址而采用硬件客户端的PAT配置。网络扩展模式（net work mode）:不使用NAT和PAT，客户端能直接访问目标网段主机网络扩展PLUS模式：它比2，增加了以个新特点，可以为loopback口请求IP，用于故障排查。IPsec VPN特点：1， 更适合做站点到站点的VPn2， 远程访问时需要配置客户端软件3， 不易解决NAT穿越及防火墙穿越等问题SSL VPN特点：1， 不需要安装客户端，另需要一个web浏览器2， 可以轻易穿越nat和防火墙，应为ssl处于传输层和应用层中间。3， 只有基于web的应用程序可以和ssl一起工作它有两个组件Ssl vpn 服务器Ssl vpn 客户端有三种部署方法1，无client模式：只需启用、用户名，密码。和web vpn 基于网页内容的访问和对网页资源的安全访问还可通过cifs （command interface file system）2，瘦客户端（也称端口转发模式）：提供基于tcp的远程访问，如PoP3，smtp，ssh等他扩展了网页浏览的加密功能通过Java applet传输4， 胖客户端又称tunnel mode或full tunnel client mode：需下载ssl vpn client软件svc。支持所有应用程序的3层访问。配置命令Ios 上的 esasy vpn配置一， 定义aaa启动aaaR1（config）#aaa net-model启用aaa登陆身份验证列表名为vpn-authen验证方法为本地R1(config)#aaa authentication login vpn authen local启用网络授权，授权列表名为VPN author方法为本地（local）R1（config）#aaa authorication network vpn_author local当验证方法为local时，需在路由器上定义用户名和密码Username benet password cisco二定义阶段1的参数，easy VPN 多了一个阶段1.5的认证阶段一参数Crypto isakrnp policy 10Encryption aes 128Hash shaAuthentication pre-shareGroup 2Exit三定义1.5认证 设置aaa服务器1. 定义IP地址池Ip local pool vpn_pool 0 （地址范围）2. 定义acl用于分离隧道，指既可以访问公网，也可以走vpn用pertnit指定vpn流量用Deny指定公网流量Access-list 101 perinit ip（指向服务器IP） any（指向clientIP）这里的acl是反向配置3. 定义esasy vpn组及参数（即定义组策略）crypto isakmp client configuration groupkey group keypool vpn_poolacl 101exit4. 定义传输器Crypto ipsec transform-set esp-aes esp-sha-hmae vpn_transform5. 定义动态map 只需一条传输器因为无法确定对端的IP和匹配流量Crypto dynamic-map vpn_dymap 10Set transform-set vpn_transformExit6. 定义静态的ranp，将动态map引入其中Crypto map mymap client auehentication list vpn_author 指定使用aaa来授权用户Crypto map mymap client confoguratnonAddress respond 指定有客户端发起IKE模式Crypto map mymap 1000 ipsec-isukmp dynami vpn_dymap 引用动态map应用到接口R1（config-if）#crypto map mymapShow crypto session detail 查看会话信息Easy vpn 硬件客户端配置1. 建立连接配置文件Crypto ipsec client ezvpn myeasyvpn2. 配置自动或手动发起连接，默认为自动这里也配置自动Connect auto3. 指定此client属于服务器上的哪个组和这个组的预共享密钥Group vpn_group key groupkey4. 指定client的连接模式client|network-txter network-lolusMode network-extension5. 指定client连接到的IP地址Peer x.x.x.x6. 指定用户名和密码Username benet password cisco7. 应用到接口，分别为进方向和出方向两个都要应用Crypto ipsec client ezvpn myeasyvpn inside/outside还要输入一个XAUTH认证（另在服务器的vpn组模式中输入sare-password）Crypto ipsec client ezvpn xauth链路建立成功Show crypto ipsec client ezvpn清除IPsec隧道（特权模式下）Clear crypto ipsec client ezvpnEASY VPN基于ASA的配置ASA配置简化许多，因为它默认启用aaa服务器一定义XATH验证Username benet password cisco二定义阶段一参数Crypto isakmp enable outside 开启isakmp/IKECrypto isakmp policy 10Encryption aesHash shaAuthentication pre-shareGroup 2Exit2.定义Ip地址池Ip local pool vpn_pool 03.定义acl用于分离隧道Access-list aplit_tunel permitted ip反向配置 any4.定义组策略Group-policy vpn_group_policy internal组策略属性Group-poliay vpn_gourp_policy attributes(config-gourp-policy)#spliit-tunnel-policy tunnelspecofied 启用隧道（config-group-policy）#split-tccnnel-network-list value split-tunnelExit5.建立隧道组，asa的一个特点。Tunnel-group vpn-group type (ipsec-ra)远程访问Tunnel-group vpn-group general-actributes通用属性指定IP地址池（config-group-general）#address-pool vpn-pool引用组策略（config-group-general）#default-group-policy vpn_group_policyExit配置隧道组Ipsec属性（config）#tunnel-group vpn_group ipsec-attributes配置一个预共享key(config-tunnel-ipsec)pre-shared-key groupkeyExit定义传输集Crypto ipsec transform-stt vpn_transform esp-aes esp-sha-hmac定义动态mapCrypto olynamic_map vpn-dymap 10 setTransform-set vpn_transform定义静态map,引入动态mapCrypto map my map 1000 ipsec-isakmp dynamicVpn-dymap将map应用到接口Crypto 马匹mymap int outsideSSLVPN基于ASA的配置一定义XAUTH(用户验证)Username cisco password cisco二在outside口启用webvpn和sslvpn（config）#webvpn（config-webvpn）#enable outside指定SVC的位置 如果没有用tftp上传SVC image disko：/文件名启用sslvpnSvc enableExit定义地址池Ip local pool VPN_pool -00定义Acl用于分离隧道 正掩码+反向配置Access-list split_tunnel permit ip any定义组策略Group-policy vpn_group_policy internalGroup-policy vpn_gourp_policy attributesVpn-tunnel-protocol webvpn svcSplit-tunnel-policy tumnlspecifoedSplit-tunnel-network-lise ralue split_tunnel/一下配置在组策略中启用ssl vpn（config-group-policy）#webvpn提示是否安装svc软件SVC ask enableExitExit建立隧道组Tunnel-group vpn-group type webvpnTunnel-group vpn-group general-attributesAddress-pool vpn-poolClefanlt-group-policy vpn-gourp-policy配置隧道组的属性Tunnel-group vpn_group webvpn_attributes组的别名为grousGroup-alias groups enableExit配置在登陆页面出现下拉列表Webvpn(config-wev vpn)#tunntl-group-list enableExit五ssl vpn基于IOS的配置1， 安装svc软件R1#format disk：R1#copy tftp disk：R1（config）#webvpn install svc disk：/定义AAA创建SSL VPN用户Aaa net-modelAaa authen tication login vpn-authen localUsername cisco password cisco启用webvpn 启用签名证书Wevvpn gateway vpn_gateway /定义webvpn虚拟网关 路由器自动产生签名证书（config-webvpn-gateway）#ip address x.x.x.x port 443（config-webvpn-gateway）#in service 启用虚拟网关Exit定义地址池Ip local pool vpn_pool 00如果地址池与内网不在同一网段需创建一个loopback口建立webvpn环境R1#webvpn context vpn_context 相当于tunnel-groupR1（config-webvpn-contoxt）gateway vpn_gateway domainAaa outhen tication list vpn_authenInservice 启用webvpn环境Exit定义组策略Webvpn context vpn_contextPolicoy group vpn_group_policyFunctions sc_enable 启用svcSvc address_pool vpn_poolSvc split includeExit（config-webvpn-context）#default-group-policy vpn-group-policy /制定默认组策略Exit测试pc机上增加本地连接2Show webvpn session context all查看vpn会话信息网络安全第六章802.1x简介它提供了基于2层端口的访问控制方法集中管理功能和AAA 服务器结合使用可提供端口的认证、授权、计费功能，它应用于ISP、校园网等网络中、以及无线网络中、802.1X组件1.客户端：支持802.1x的设备、如计算机XP、win2003等2、交换机：负责转发验证信息、并在客户端通过验证后、授予其访问网络的权限3、验证服务器：负责验证客户端身份、他上边安装了EAP（Extensible Authentication Protocol）的扩展的RADIS服务器、可通过ACS（Cisco专有的）或者IAS（Internet验证服务）来实现。AAA安全服务简介AAA是（Authentication验证）（Authorization授权）（Accouting统计）验证：用户是谁？授权：用户可以做什么？统计：用户做过什么？AAA服务器主要用RADIUS协议和TACACS+协议RADIUS（Remote Authentication Dial In User） Service远程验证拨入用户服务开放式协议TACACS+（Terminal Access Contronller Access Contronl System）终端访问控制器访问控制系统、是Cisco设计的私有协议！802.1X只支持RADIUS、 不支持TACACS+TADIUS使用UDP（旧）1645验证 授权(新)18121645统计 1813RADIUS只对密码进行加密TACACS+对整个报文进行加密所以TACACS+比RADIUS更安全802.1X工作原理交换机端口状态：1、 授权状态、所有流量都转发2、 非授权状态：除了EAPOL、CDP、STP外不允许任何流量转发！802.1X的配置PC(802.1X认证客户端)交换机(802.1X认证服务器)（RADIUS客户端）ACS server（RADIU服务器）1、搭建RADIUS服务器1) 安装Cisco ACS软件2) 输入:2002打开ACS软件3) 设置管理员账号 （administrator control）4) 配置RADIUS 添加客户端（交换机）（network configuration）5) 添加用户 （user setup）6) 配置RADIUS的属性（interface configuration）7) 重点选项 RADIUS（IETF） 64.65.81交换机上配置802.1X启用AAA aaa new-madel配置RADIUS服务器Radius-server host 服务器ip auth-port1812 acct-port 1813 key 密码配置802.1X认证认证列表为默认列表default、认证方法为group radvusaaa couthentication dotlx default group radius 配置802.1X授权将ACS中的VSA属性传送给交换机racliusserver vsa send authentication 通过RADIUS为网络相关服务进行授权aaa authorization network default group radius 启用802.1XDotlx system-auth-control在端口上启用认证(config-if)#dotlx port control (auto 通过认证授权) （force-authorized强制授权） （force-unauthorized从不对客户端进行认证） Show dotlx all/接口名查看相关信息配置AAA后、Telnet将被限制、可以配置一个本地用户名密码进行本地认证配置如下：Username cisco secret cisco123Aaa authentication login default localLine vty 0 4Login authentication defaultExit员工更覅密码设置1、 可以在桌面上安装2、 先安装IIS和CA 再安装UCP802.1X常见故障身份认证问题IP地址和端口问题是否授权认证参数是否正确密钥是否匹配网络安全第七章AAA服务器的高级应用（分两类1、2）1、 使用AAA服务器对通过ASA的流量进行授权（分三类）a) AAA穿越代理的原理b) ASA穿越代理的配置c) AAA服务器下发ACL配置2、 通过AAA为远程接入VPN进行授权（分两类）a)Easy VPN与AAA服务器b)SSL VPN与AAA服务器AAA服务器可以实现集中管理、快捷地管理企业网络ASA穿越代理的原理如图：过程：1、PC发起到DMZ区域web服务器的链接请求给ASA2、ASA检查是否匹配穿越代理流量、若匹配则发送一个认证提示给PC3、用户输入账户凭据、提交认证4、ASA将账号信息发送给ACS服务器进行认证、通过后返回一个授权和认证信息5、认证通过后、若PC有访问web的权限则可以访问ASA穿越代理的配置1、 用ACL来定义触发认证的流量Access-list http extended permit tcp any 目标网段 e9 802、 配置AAA服务器aaa-server server