ccna_安全_01

CCNA 安全,第一章: 现代网络安全威胁,目标：,1、介绍网络安全的演进.2、介绍网络安全的驱动者.3、介绍网络安全组织.4、介绍网络安全领域.5、介绍网络安全策略.6、介绍病毒、蠕虫和特洛伊木马.,目标：,7、介绍怎样消除病毒、蠕虫和特洛伊木马.8、介绍怎样对网络攻击归类.9、介绍侦查攻击.10、介绍接入攻击.11、介绍拒绝服务攻击.12、介绍怎样消除网络攻击.,现代网络安全威胁,1.1 一个安全网络的基本原则1.2 病毒、蠕虫和特洛伊木马1.3 攻击方法,1.1一个安全网络的基本原则,1.1 一个安全网络的基本原则,1.1.1 网络安全的演进1.1.2网络安全的驱动者1.1.3网络安全的组织1.1.4网络安全领域1.1.5网络安全策略,1.1.1 网络安全的演进,2001年7月,蠕虫“红色代码”攻击了全球的Web服务器，超过35万台主机受到了感染,1.1.1 网络安全的演进,“需要是发明之母.”,1.1.1 网络安全的演进,1.1.1 网络安全的演进,内部威胁 能产生比外部威胁更大的 破坏.,1.1.1 网络安全的演进,机密性完整性可用性,1.1.2 网络安全的驱动者,黑客白帽黑帽,黑客技术是网络安全的驱动力之一,1.1.2 网络安全的驱动者,黑客:1960年代: 飞客（盗用电话线路）,John Draper1980年代: 战争拨号器1990年代: 驾驶攻击（移动设备）,1.1.2 网络安全的驱动者,1.1.2 网络安全的驱动者,网络安全职业,1.1.3网络安全组织, ,1、网络安全组织- SANS（系统管理、审计、网络、安全组织）,2、网络安全组织- CERT（计算机应急反应组）,Systems Security Certified Practitioner (SCCP),Certification and Accreditation Professional (CAP),Certified Secure Software Lifecycle Professional (CSSLP),Certified Information Systems Security Professional (CISSP)全球广泛认可,(ISC)2颁发的信息安全认证（念作I-S-C-squared）:,3、网络安全组织- ISC2（国际信息系统安全认证联盟）,1.1.4 网络安全领域,ISO/IEC 17799,1.1.4 网络安全领域,1.1.5 网络安全策略,(SDN),1.1.5 网络安全策略,思科自防御网络,1.1.5 网络安全策略,1.1.5 网络安全策略,综合全面 言简意赅,1.2 病毒、蠕虫和特洛伊木马,1.2 病毒、蠕虫和特洛伊木马,1.2.1 病毒1.2.2 蠕虫 1.2.3 特洛伊木马1.2.4 消除病毒、蠕虫和特洛伊木马,1.2.1 病毒,病毒 是一种附着在合法程序或可执行文件上的恶意代码,1.2.2 蠕虫,蠕虫 是一种特别危险的恶意代码，它们能在被感染的计算机内存里面进行自我复制并感染网络中的其他主机。,1.2.2 蠕虫,蠕虫攻击存在三个主要部分: 启用漏洞传播机制 有效载荷,1.2.2 蠕虫,蠕虫和病毒的5个基本的攻击阶段:,探测,渗透,持续,传播,瘫痪,1.2.3 特洛伊木马,特洛伊木马 是一款恶意软件，它伪装成用户需要的功能执行恶意代码。,1.2.4 消除病毒、蠕虫和特洛伊木马,病毒和特洛伊木马 倾向于利用本地根缓冲区溢出. 蠕虫 例如SQLSlammer 和红色代码则利用远程根缓冲区溢出。,1.2.4消除病毒、蠕虫和特洛伊木马,消除病毒和特洛伊木马攻击的主要手段是防病毒软件.,1.2.4消除病毒、蠕虫和特洛伊木马,蠕虫比病毒更依赖网络.对蠕虫感染的反应可以被分解为4个阶段: Containment（抑制）Inoculation（接种）Quarantine（隔离）Treatment（治疗）,1.2.4消除病毒、蠕虫和特洛伊木马,案例 ( SQL Slammer 蠕虫):,1.2.4消除病毒、蠕虫和特洛伊木马,基于主机的入侵预防系统Host-based intrusion prevention system (HIPS) 思科安全代理Cisco Security Agent (CSA)思科网络准入控制Cisco Network Admission Control (NAC)思科安全监视、分析和响应系统Cisco Security Monitoring, Analysis, and Response System (MARS),1.3 攻击方法,1.3 攻击方法,1.3.1 侦查攻击1.3.2 接入攻击1.3.3 拒绝服务攻击1.3.4 消除网络攻击,1.3.1 侦查攻击,本课程将网络攻击分为3个主要类别.,1.3.1 侦查攻击,侦查攻击使用多种工具获得网络接入: 报文嗅探器Packet sniffersPing扫描 Ping sweeps 端口扫描Port scans 互联网信息查询 Internet information queries,1.3.1 侦查攻击,报文嗅探器是一种软件应用程序.使用混杂模式 的网络适配卡捕获所有经过局域网的网络报文。 有的网络应用程序以不加密的明文方式分发网络报文.,有很多免费和共享的报文嗅探器.,1.3.1 侦查攻击,1.3.1 侦查攻击,要记住：侦查攻击通常是进一步攻击的前奏. 在ISRs上运行的Cisco IOS安全映像支持基于网络的安全预防功能.,1.3.2 接入攻击,共有5种类型接入攻击:密码攻击 信任利用 端口重定向 中间人攻击缓冲区溢出,1.3.2 接入攻击,密码攻击密码攻击常用的方法:蛮力攻击特洛伊木马报文嗅探器,1.3.2 接入攻击,信任利用,1.3.2 接入攻击,端口重定向,1.3.2 接入攻击,中间人攻击,1.3.2 接入攻击,缓冲区溢出,1.3.2 接入攻击,检查接入攻击:审阅日志检查失败登录次数是否异常带宽利用率检查中间人攻击进程负载检查缓冲区溢出攻击,1.3.3 拒绝服务攻击,拒绝服务（DoS）攻击是一种网络攻击拒绝服务（DoS）攻击会损害网络、主机或应用进程的可用性。 发生拒绝服务（DoS）攻击的原因有两个: 主机或应用进程在处理非预期情况时失败。 网络、主机或应用进程不能处理非常大的数据。,1.3.3 拒绝服务攻击,Dos,1.3.3 拒绝服务攻击,DDos 分布式 Dos,1.3.3 拒绝服务攻击,死亡侦测（Ping of Death）黑客在一个大于最大报文尺寸65,535 字节的IP报文中发送一个回声请求 ping -t -l 65550 ,1.3.3 拒绝服务攻击,放大攻击（Smurf Attack）,1.3.3 拒绝服务攻击,TCP SYN Flood,拒绝服务攻击- 电子邮件攻击,发送自身的拷贝给邮件列表中的每一个人。Email 炸弹.,1.3.3 拒绝服务攻击,拒绝服务攻击 物理设施 攻击,剪断你的 线缆! 影响电源!破坏 设备!,1.3.3 拒绝服务攻击,社会工程（行贿、美人计等）攻击,攻击者常用工具,下面是一小部分网络攻击者流行使用的工具：The following are a few of the most popular tools used by network attackers:枚举工具 (dumpreg, netview and netuser)端口/地址 扫描器 (AngryIP, nmap, Nessus)漏洞扫描器 (Meta Sploit, Core Impact, ISS)报文嗅探器 (Snort, Wire Shark, Air Magnet)Root kits（是一种技术，病毒也在使用，杀毒软件也在使用 ）密码破解工具 (Cain, WepCrack)恶意代码 (worms, Trojan horse, time bombs)System hijack（渗透工具） tools (netcat, MetaSploit, Core Impact),1.3.3 拒绝服务攻击,1.3.4消除网络攻击,消除侦查攻击能使用以下方法. 通过强认证来保证合法者访问.使用加密让报文嗅探器失效.使用反嗅探工具来探测报文嗅探器攻击.使用交换式基础结构（减少直接冲突域范围）.使用防火墙和IPS.,1.3.4消除网络攻击,一些可以有效消除接入攻击的技术：强密码安全策略最小信任原则加密