局域网安全评估与加固方法建议书.doc

1、目 录引言21局域网安全现状4局域网存在安全因素原因4局域网端口攻击方式与特点5局域网病毒攻击方式与特点72.局域网安全加固策略与方法8路由器、交换机安全加固策略与方法8服务器安全加固策略与方法推荐8服务器防数据监听解决办法推荐9Windows 客户端防攻击解决办法9公司局域网防范ip盗用解决办法10公司局域网防病毒解决办法推荐10（附件一）路由器安全加固实施步骤示例：11（附件二）服务器与PC安全加固实施步骤示例：15（附件三）网络硬件添加后拓扑图示例：16局域网现状拓扑结构图 局域网目前正在工作的网络与主机、PC机统计如下现有WINDOWS主机XX台;地址192.168.XX 255.25

2、5.255.0现有WINDOWS PC机XX台;192.168.0.XX 现有HP-UX主机XX台; 192.168.28.XX 现有CISCO 路由器1台; 现有CISCO 交换机3台; 40 42 48 局域网安全现状局域网安全漏洞扫描结果内网Windows主机与PC机普遍存在安全漏洞如下表：(192.168.0.XX)主机分析: 192.16

3、8.0.XX主机地址开放端口/服务服务漏洞192.168.0.XXnetbios-ssn (139/tcp)发现netbios-ssn NETBIOS Session Service192.168.0.XXepmap (135/tcp)发现epmap DCE endpoint resolution192.168.0.XXmicrosoft-ds (445/tcp)发现microsoft-ds Microsoft-DS192.168.0.XXnetbios-dgm (138/tcp)发现netbios-dgm NETBIOS Datagram Service192.168.0.XXsmb (13

4、9/tcp)发现netbios-ssn NETBIOS Session Service192.168.0.XXnetbios-ns (137/udp)发现netbios-ns NETBIOS Name Service内网HP-UX主机(192.168.28.XX)普遍存在的安全漏洞主机地址端口/服务服务漏洞192.168.28.XXtelnet (23/tcp)发现telnet server192.168.28.XXepmap (135/tcp)发现epmap service192.168.28.XXdiscard (9/tcp)发现discard service192.168.28.XXsu

5、nrpc (111/tcp)发现sunrpc service192.168.28.XXnetbios-ssn (139/tcp)发现netbios-ssn192.168.28.XXsnmp (161/udp)发现Snmp口令: public192.168.28.XXsmb (139/tcp)发现SMB server192.168.28.XXDCE/e1af8308-5d1f-11c9-91a4-08002b14a0fa (135/tcp)发现(DCE) services192.168.28.XXnetbios-ns (137/udp)发现SAMBA server局域网端口攻击方法 23 端口T

6、elnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。 25 端口smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。 53 端口DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通

7、讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。 111 端口sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon,

8、IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。 135端口 oc-serv MS RPC end-point mapper Microsoft 在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了

9、被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。 137端口NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139端口NetBIOSFile and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic

10、 s cripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。 143端口IMAP 和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。 161端口SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配

11、置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播 （cable modem, DSL）查询sysName和其它信息。 局域网病毒攻击方式与特点计算机网络的基

12、本构成包括网络服务器和网络节点站（包括工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播； （2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器； （3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中 （4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具

13、有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。（1）感染速度快 在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。（2）扩散面广 由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。（3）传播的形式复杂多样 计算机病毒在网络上一般是通过工作站到服务器到工作站的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。局域网安全加固策略与方法路由器

14、、交换机安全加固策略与方法推荐 1、 IP安全策略实施访问控制列表。阻止网络入侵、局域网漏洞攻击。 2、tcp/udp端口及指定服务器icmp协议的关闭。防患未然，断去连接通道。 3、互联网系统服务端口调整，关闭所有不必要的网络服务。 4、抗DOS补丁程序添加及设置。最大限度上防治拒绝服务攻击。 5、路由器攻击防范设置，一旦发生IP攻击及时封掉攻击ip。 6、由网管人员及时监控路由器CPU、内存，使用状态，系统负荷。7、添加内存，更换最新的路由器IOS，提高路由器系统性能。 8、使用Access-list限定仅能从工程分部这边telnet路由器。9、关闭CISCO CDP网络发现协议，防止设备

15、信息泄漏。10、采用特权密码的加密方式，加密口令。11、网络人员要经常阅读cisco最新的安全公告信息与补丁信息，及时给路由器打补丁。12、强烈建议公司添加具备足够背板带宽的三层交换机等设施提高目前的网络效率和安全性能，具体办法是划分VLAN做严格的ip限制和广播限制，从而提高局域网性能，减小事故发生的可能性。最好再配置防火墙等网络安全设备，严格的作端口与相应服务的访问控制，同时也能够屏蔽各种DOS对网络设备的攻击。 服务器安全加固策略与方法推荐 1、关闭tcp/udp端口及icmp协议。防患未然，断去连接通道。 2、系统服务调整。删除不必要的服务减少受到攻击的可能性。 3、在UNIX、Win

16、dows设置系统权限，权限设置要精细到文件级。 4、抗DOS防火墙Patch添加及设置。最大限度上防治拒绝服务攻击。 5、杀毒软件安装设置。如诺顿，卡巴斯基防病毒软件。 6、安装系统补丁（如UNIX patch，Windows 2000 sp4,Windows XP sp2）、应用程序补丁。 7、本机防火墙联动设置，一旦发生攻击自动封掉攻击ip。 8、尽量做到入侵检测系统IDS安装和设置，防止未知漏洞攻击，弥补系统 补丁的不足。 9、服务器数据监听服务设置，防止端口复用性后门。 10、重要系统文件完整性检测，防止文件流后门。 11、系统重要进程注入性检测，防止内核级后门。 服务器防数据监听解决

17、办法推荐 1、对可能存在的网络监听的检测。（由漏洞扫描软件或各种网络监听工具实现） 2、对网络监听的防范措施（网络分段、加密技术、划分VLAN等方法做数据隔离） Windows 客户端防攻击解决办法推荐 1、安装系统补丁、应用程序补丁（Windows 2000 sp4,Windows XP sp2)。 2、对客户机进行优化，关闭不需要端口及服务，可以防止Windows漏洞攻击。 3、针对客户端的特性设置个人防火墙（如天网防火墙）。 4、最好采用NTFS权限管理磁盘文件，精细到文件的权限设置。公司局域网防范ip盗用解决办法推荐 1、制订局域网内部的IP地址与MAC地址的对应表。 2、利用网络路由

18、、交换设备的网络管理功能实现VLAN划分，与管理。 3、在路由器设置指定用户MAC地址绑定,限制其上网行为。公司局域网防病毒解决办法推荐 1、最好采用统一的杀毒软件，如诺顿，卡巴斯基。 2、及时更新病毒库，（开启自动更新服务） 3、设置自动扫描功能（如在每日午休时12：00自动扫描计算机） 4、最好每人都配置PC防火墙（如天网防火墙）（附件一）路由器安全加固实施步骤示例： Cisco IOS加固 对于12.3(4)T之后的IOS版本，可以通过autosecure命令完成下述大多数功能，考虑到大部分用户还没有条件升级到该IOS版本，这里仍然列出需要使用到的命令行： 1、禁用不需要的服务： no

19、ip http server /禁用http server，这玩意儿的安全漏洞很多的 no ip source-route /禁用IP源路由，防止路由欺骗 no service finger /禁用finger服务 no ip bootp server/禁用bootp服务 no service udp-small-s /小的udp服务 no service tcp-small-s /禁用小的tcp服务 2、关闭CDP no cdp run /禁用cdp 3、配置强加密与启用密码加密： service password-encryption/启用加密服务，将对password密码进行加密 ena

20、ble secret asdfajkls/配置强加密的特权密码 no enable password /禁用弱加密的特权密码 4、配置log server、时间服务及与用于带内管理的ACL等，便于进行安全审计 service timestamp log datetime localtime /配置时间戳为datetime方式，使用本地时间 logging /3/向发送log logging /向发送log access-list 98的主机进行通讯 no access-list 99 /在配置一个新的ac

21、l前先清空该ACL access-list 99 permit 55 access-list 99 deny any log /log参数说明在有符合该条件的条目时产生一条logo信息 no access-list 98 /在配置一个新的acl前先清空该ACL access-list 98 permit host /3access-list 98 deny any log /log参数说明在有符合该条件的条目时产生一条logo信息 ! clock timezone PST-8 /设置时区 ntp authenticate /启用NTP

22、认证 ntp authentication-key 1 md5 uadsf /设置NTP认证用的密码，使用MD5加密。需要和ntp server一致 ntp trusted-key 1/可以信任的Key. ntp acess-group peer 98 /设置ntp服务，只允许对端为符合access-list 98条件的主机 ntp server /3key 1 /配置ntp server，server为，使用1号key做为密码 5、对带内管理行为进行限制： snmp-server community HSDxdf ro 98/配置snmp只读通讯字

23、，并只允许access-list 98的主机进行通讯 line vty 0 4 access-class 99 in /使用acl 99来控制telnet的源地址 login password 0 asdfaksdlf/配置telnet密码 exec-timeout 2 0 /配置虚终端超时参数，这里是2分钟 ! 6、对带外管理行为进行限制： line con 0 login password 0 adsfoii /配置console口的密码 exec-timeout 2 0 /配置console口超时参数，这里是两分钟 ! line aux 0 transport input none pa

24、ssword 0 asfdkalsfj no exec exit 7、应用control-plane police，预防DDOS攻击(注：需要12.2(1S或12.3(4)T以上版本才支持) 允许信任主机(包括其它网络设备、管理工作站等)来的流量: access-list 110 deny ip host any access-list 110 deny ip any . access-list 110 deny ip any 限制所有其它流量 access-list 110 permit ip any any ! c

25、lass-map control-plane-limit match access-group 110 ! policy-map control-plane-policy class control-plane-limit police 32000 conform transmit exceed drop ! control-plane service-policy input control-plane-policy Cisco CatOS加固 1、 禁用不需要的服务： set cdp disable /禁用cdp set ip http disable /禁用http server，这玩意

26、儿的安全漏洞很多的 2、 配置时间及日志参数，便于进行安全审计： set logging timestamp enable /启用log时间戳 set logging server /3/向发送log set logging server /向发送log! set timezone PST-8 /设置时区 set ntp authenticate enable /启用NTP认证 set ntp key 1 md5 uadsf /设置NTP认证用的密码，使用MD5加密。需要和ntp server一致 set

27、 ntp server /3key 1/配置ntp server，server为，使用1号key做为密码 set ntp client enable /启用ntp client 3、 限制带内管理： set snmp community HSDxdf /配置snmp只读通讯字 set ip permit enable snmp /启用snmp访问控制 set ip permit /3snmp /允许进行snmp访问 set ip permit enable telnet /启用telnet访问控制 set ip permit /3telnet /允许进行telnet访问 set password /配置telnet密码 set enable /配置特权密码 set logout 2 /配置超时参数，2