企业网络纵深防御讲义

1、IT专家网技术沙龙 主题一如何构建安全的企业内部网络主讲人：殷杰前言 计算机网络已经深入我们的生活 计算机网络安全问题日趋重视 如何应对网络安全隐患 如何打造安全的企业网络 目录 一、边界网络安全一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五、网络访问隔离 六、用户行为管理 七、其他和展望Step 1 边界网络安全 ISA 2004防火墙系统应用层筛选内部服务器的发布SSL通讯保护目前的网络安全形势管理员遇到的问题怎么样防止员工访问任意的网站？怎么样防止员工访问任意的网站？怎么样怎么样防止防止员工任意的下载软件？员工任意的下载软件？怎么样防止员工使用任意的计算机上

2、网？怎么样防止员工使用任意的计算机上网？怎么样防止员工在任意的时间上网？怎么样防止员工在任意的时间上网？怎么样阻止怎么样阻止P2P软件？软件？怎么样控制用户上网的带宽使用？怎么样控制用户上网的带宽使用？怎么样防止用户使用外部代理？怎么样防止用户使用外部代理？怎么样阻止员工使用私自安装的二级代理？怎么样阻止员工使用私自安装的二级代理？传统防火墙的局限性对常见攻对常见攻击行为的击行为的防范防范难以管理难以管理传统防火墙之包过滤?Source Address,Dest. Address,TTL, ChecksumSequence NumberSource Port,Destination Port,

3、ChecksumInternetExpected HTTP TrafficUnexpected HTTP TrafficAttacksNon-HTTP TrafficCorporate Network随着网络安全在企业IT部门中的地位越来越重要，微软公司也重视到了这一点。经过4年的努力，微软在2004年发布了ISA Server 2004，新版本的ISA Server将给重视安全的企业带来新的选择。ISA Server 2004的优势ISA Server 2004 新特性更新的安全结构ISA Server 2004 新特性新的管理工具和用户界面ISA Server 2004 新特性依然强大的集

4、成性ISA Server 概览根据内容转发根据内容转发n只将合法只将合法 HTTP 流量发送到流量发送到 Web 服务器服务器GET HTTP 流量流量异常异常 HTTP 流量流量Web 服务器攻击服务器攻击非非 HTTP 流量流量检查包头和应用层内容检查包头和应用层内容InternetWeb 服务器服务器HTTP 筛选器 提供了一种控制方法HTTP 筛选器可适用于： 内部用户访问 Internet 网站的流量 Internet 用户访问被发布网站的流量HTTP 筛选器可以依据下列项目进行 HTTP 协议的阻挡与过滤： 方法、扩展名与URL 请求头与请求正文 响应头与响应正文每一条防火墙规则的

5、 HTTP 筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定利用 HTTP 筛选器保护网站MSNBCSource Address,Dest. Address,TTL, ChecksumSequence NumberSource Port,Destination Port,ChecksumHTTP筛选器HTTP筛选器示例应用程序名称应用程序名称搜寻范围搜寻范围HTTP头头签名签名MSN Messenger请求头请求头User-Agent:MSN MessengerWindows Messenger请求头请求头User-Agent:MSMSGSAOL Messenger (and Ge

6、cko browsers)请求头请求头User-Agent:Gecko/Yahoo Messenger请求头请求头HKazaa请求头请求头P2P-AgentKazaa, Kazaaclient:Kazaa请求头请求头User-Agent:KazaaClient Kazaa请求头请求头X-Kazaa-Network:KaZaAGnutella请求头请求头User-Agent:GnutellaGnucleusEdonkey请求头请求头User-Agent:e2dkMorpheus请求头请求头ServerMorpheusISA Server Web 发布ISA Server 检查检查 HTTP 请求

7、请求 只转发允许的请求只转发允许的请求ISA Server 可以发布多台服务器可以发布多台服务器Web 服务器服务器传入流量传入流量Internet安全的 SSL 流量SSL隧道：无需进行流量检查即可保护内容机密隧道：无需进行流量检查即可保护内容机密SSL 桥接：桥接：1. Internet 上的客户端对通信内容进行加密上的客户端对通信内容进行加密2. ISA Server 对流量进行解密并检查对流量进行解密并检查3. ISA Server 将允许的流量发送到已发布的服务器，必要时对其将允许的流量发送到已发布的服务器，必要时对其进行重新加密进行重新加密保护 SMTP 通信基于基于 SMTP 的

8、攻击：的攻击： 使用无效、过长或不寻常的使用无效、过长或不寻常的 SMTP 命令攻击邮件服务器或命令攻击邮件服务器或收集收件人信息收集收件人信息 通过包含恶意内容（如蠕虫）对收件人进行攻击通过包含恶意内容（如蠕虫）对收件人进行攻击ISA Server 通过以下方式保护邮件服务器：通过以下方式保护邮件服务器： 实施的实施的 SMTP 命令与标准一致命令与标准一致 拦截禁止的拦截禁止的 SMTP 命令命令 拦截附件类型、内容、收件人或发件人受到禁止的邮件拦截附件类型、内容、收件人或发件人受到禁止的邮件目录 一、边界网络安全 二、内部网络安全二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五

9、、网络访问隔离 六、用户行为管理 七、其他和展望Step 2 内部网络安全 资产管理的重要性和必要性使用SMS2003管理资产SMS 2003的软件度量功能盗版软件克星软件限制策略安全的保护神Distributed Enterprise Management PointServer LocatorPointDistributionPointReportingPointClientAccessPointSiteServerSMS SiteDatabasePrimary Site(Child andParent Site)SecondarySite(Child Site)Primary (Cent

10、ral) Site(Parent Site)Primary or Secondary Site(Child Site)SQLSQLSQLSQL DistributionServerCollectionProgramPackageClientClientClient规划工具软件限制策略SRP-软件限制策略默认规则不受限的不允许的其他规则HASH规则路径规则证书规则INTERNET规则目录 一、边界网络安全 二、内部网络安全 三、无线网络安全三、无线网络安全 四、补丁和更新管理 五、网络访问隔离 六、用户行为管理 七、其他和展望Step 3 无线网络安全 WEP的弱点RADIUS协议和认证使用IA

11、S为无线设备保驾护航安全的无线网络常见的无线网络风险威胁Security threats include:Disclosure of confidential information Unauthorized access to dataImpersonation of an authorized clientInterruption of the wireless service Unauthorized access to the InternetAccidental threatsUnsecured home wireless setupsUnauthorized WLAN implem

12、entations了解无线网技术StandardDescription802.11A base specification that defines the transmission concepts for wireless LANs 802.11aTransmission speeds up to 54 megabits (Mbps) per second802.11b11 MbpsGood range but susceptible to radio signal interference802.11g54 Mbps Shorter ranges than 802.11b802.11iE

13、stablishes a standard authentication and encryption process for wireless networks 802.1X - a standard that defines a port-based access control mechanism of authenticating access to a network and, as an option, for managing keys used to protect traffic 无线网络部署方案Wireless network implementation options

14、include:Wi-Fi Protected Access with Pre-Shared Keys (WPA-PSK)Wireless network security using Protected Extensible Authentication Protocol (PEAP) and passwords Wireless network security using Certificate Services 选择合适的无线网络解决方案Wireless Network SolutionTypicalEnvironmentAdditional Infrastructure Compon

15、ents RequiredCertificates Used for Client AuthenticationPasswords Usedfor Client AuthenticationTypical Data Encryption MethodWi-Fi Protected Access with Pre-Shared Keys (WPA-PSK) Small Office/Home Office (SOHO)NoneNOYES Uses WPA preshared key to authenticate to networkWPAPassword-based wireless netw

16、ork securitySmall to medium organizationInternet Authentication Service (IAS)Certificate required for the IAS serverNO However, a certificate is issued to validate the IAS serverYESWPA or Dynamic WEPCertificate-based wireless network securityMedium to large organizationInternet Authentication Servic

17、e (IAS)Certificate Services YESNO Certificates used but may be modified to require passwordsWPA or Dynamic WEP提供有效的验证和授权StandardDescriptionExtensible Authentication Protocol-Transport Layer Security (EAP-TLS)Uses public key certificates to authenticate clientsProtected Extensible Authentication Prot

18、ocol-Microsoft-Challenge Handshake Authentication Protocol v2 (PEAP-MS-CHAP v2)A two-stage authentication method using a combination of TLS and MS-CHAP v2 for password authenticationTunneled Transport Layer Security (TTLS)A two-stage authentication method similar to PEAPMicrosoft does not support th

19、is method保护数据传输安全Wireless data encryption standards in use today include: Wired Equivalent Privacy (WEP)Dynamic WEP, combined with 802.1X authentication, provides adequate data encryption and integrityCompatible with most hardware and software devices Wi-Fi Protected Access (WPA/WPA2)Changes the enc

20、ryption key with each frameUses a longer initialization vector Adds a signed message integrity check valueIncorporates a frame counter WPA2 provides data encryption via AES. WPA uses Temporal Key Integrity Protocol (TKIP)802.1X 的系统需求ComponentsRequirementsClient devicesWindows XP and Pocket PC 2003 p

21、rovide built-in supportMicrosoft provides an 802.1X client for Windows 2000 operating systems RADIUS/IAS and certificate serversWindows Server 2003 Certificate Services and Windows Server 2003 Internet Authentication Service (IAS) are recommendedWireless access pointsAt a minimum, should support 802

22、.1X authentication and 128-bit WEP for data encryption802.1X with PEAP 如何工作Wireless ClientRADIUS (IAS)1ClientConnectWireless Access Point2ClientAuthenticationServerAuthenticationMutual Key Determination453Key DistributionAuthorizationWLAN EncryptionInternal NetworkWLAN Network 的网络服务Branch OfficeHead

23、quartersWLAN ClientsDomain Controller (DC)RADIUS (IAS)Certification Authority (CA)DHCP Services (DHCP)DNS Services (DNS)DHCPIAS/DNS/DCLANLANAccessPointsIAS/CA/DCIAS/DNS/DCPrimarySecondaryPrimarySecondaryWLAN ClientsAccessPoints目录 一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理四、补丁和更新管理 五、网络访问隔离 六、用户行为管理 七、其他和展

24、望 Step 4 补丁和更新管理 1、补丁的重要性和产品生存周期2、与病毒赛跑及时安装补丁是保护系统安全的 最基本方法3、微软提供的软件补丁更新方法4、使用WSUS进行补丁管理5、使用SMS 2003进行补丁管理和分发商业价值漏洞攻击时间表实例：冲击波我们已经收到漏洞报告 /正在开发安全更新公告和安全更新都可以得到/没有可以利用的蠕虫向公众发布代码蠕虫July 1July 16July 25Aug 11lRPC/DDOM中的漏洞被报告lMS 激活最高级别的应急响应过程lMS03-026 告诉用户这个漏洞 (7/16/03)l继续把服务扩大到分析者、媒体、社会、合作伙伴以及政府机构lX-focu

25、s发布漏洞利用工具lMS 加大力量来告知用户l冲击波被发现，不同的病毒共同攻击 (比如：SoBig公告发布到病毒攻击的天数更新管理解决方案支持的软件及内容支持的软件及内容 产品产品 MBSAMicrosoft UpdateWSUSSMS 2003支持的软件支持的软件Same as MU for security update detection. Windows, IE, Exchange and SQL configuration checksWindows 2000+, Exchange 2000+, SQL Server 2000+, Office XP+ wi

26、th expanding supportSame as MUSame as WSUS + NT 4.0 & Win98* + can update any other Windows based software支持内容类型支持内容类型Service Packs and Security UpdatesAll software updates, driver updates, service packs (SPs), and feature packs (FPs)Same as MU with only critical driver updatesAll updates, SPs,

27、& FPs + supports update & app installs for any Windows based software更新管理解决方案Administrator subscribes to update categoriesServer downloads updates from Microsoft UpdateClients register themselves with the serverAdministrator puts clients in different target groupsAdministrator approves updat

28、esAgents install administrator approved updatesMicrosoft UpdateWSUS ServerDesktop ClientsTarget Group 1Server ClientsTarget Group 2WSUS AdministratorWSUS概览管理 WSUS管理更新目录 一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五、网络访问隔离五、网络访问隔离 六、用户行为管理 七、其他和展望 Step 5 网络访问隔离 IPSEC策略介绍网络访问隔离（NAP）和IPSEC数据传输面临的威胁窃听 数据篡改 身份欺

29、骗拒绝服务攻击中间人攻击Sniffer 攻击应用层攻击盗用口令攻击加密术语加密 透过数学公式运算，使文件或数据模糊化 用于秘密通讯或安全存放文件及数据解密 为加密的反运算 将已模糊化的文件或数据还原密钥 是加密 / 解密运算过程中的一个参数 实际上是一组随机的字符串加密方法对称式加密非对称式加密哈希加密IPSEC的特点IPSec 是工业标准的安全协议， 它工作在网络层，可以用于身份验证，加密数据及对数据做认证. 总之，IPSEC被用于保护网络中传输数据的安全性.IPSEC的好处: 在通信前作双向的身份验证 通过对数据包加密保证数据包中数据的机密性 通过阻止对数据包的修改保证数据的一致性和原始性

30、 防止重播攻击IPSec 对使用者及应用程序是透明性 可以使用活动目录集中管理IPSEC策略IPSEC的功能可以使用ESP加密数据以及使用AH对数据作数字签名路由器路由器Tunnel mode可以使用传送模式来保护主机之间的安全可以使用隧道模式来保护两个网络的安全ESPAH路由器Transport modeIPSEC 协议组件 IKE（Internet Key Exchange） 协商 AH（Authentication Header） 数据完整性 ESP（Encapsulating Security Payload） 数据加密IPSEC处理过程 TCP 层IPSec驱动TCP 层IPSec

31、驱动加密的 IP 数据包3安全 互联协商(ISAKMP)2IPSec 策略IPSec 策略1活动目录创建 IPSec 安全策略IP 安全策略规则IP 筛选器列表IP 筛选器列表IP 筛选器列表IP 筛选器列表IP 筛选器列表筛选器操作IP 筛选器可以指派给域、站点和组织单位IPSEC策略和规则 IPSec 使用策略和规则保护网络通信的安全 规则由下列组件组成: 筛选器 筛选器操作 身份验证方法 默认策略包括: Client (仅响应) 服务器 (要求安全性) 安全服务器 (需要安全性)默认策略联合没有策略指派没有策略指派客户端客户端（仅回应）（仅回应）服务器服务器（要求安全性）（要求安全性）安

32、全的服务器安全的服务器（需要安全性）（需要安全性）没有策略指派没有策略指派 没有没有 IPSec没有没有IPSec没有没有IPSec不会通信不会通信客户端（仅响应）客户端（仅响应）没有 IPSec没有没有IPSecIPSecIPSec服务器服务器（要求安全性）（要求安全性）没有 IPSecIPSecIPSecIPSec安全的服务器安全的服务器（需要安全性）（需要安全性）不会通信不会通信IPSecIPSecIPSec自定义策略 IPSEC规则 筛选器列表（IP Filter List） 筛选器操作（Filter Action） 允许、阻止、协商安全 隧道端点（Tunnel Point） 传送模式

33、、隧道模式 网络类型（Network Type） 局域网络、远程访问、所有网络 身份验证方法（Authentication Methods） Kerberos V5、证书、预共享密钥什么是网络隔离？引入逻辑数据隔离防御层的好处包括： 额外的安全性 对可以访问特定信息的人员进行控制 对计算机管理进行控制 抵御恶意软件的攻击 加密网络数据的机制 网络隔离：在直接 IP 互连的计算机之间，能够允许或禁止特定类型的网络访问识别受信任的计算机受信任的计算机：受管理的设备（处于已知状态并且满足最低安全要求）不受信任的计算机：可能未满足最低安全要求的设备（主要因为此设备未受到管理或集中控制）使用网络隔离能达

34、到的目标通过使用网络隔离可以达到以下目标：在网络级别上将受信任的域成员计算机与不受信任的设备相隔离帮助确保设备满足访问受信任的资产所需的安全要求允许受信任的域成员将入站网络访问限制到特定的一组域成员计算机上将工作重点放在主动监视和守规上，并确定它们的优先次序将安全工作的重点放在要求从不受信任的设备进行访问的少量受信任的资产上重点关注并加快进行补救和恢复工作使用隔离无法减轻的风险无法通过网络隔离直接减轻的风险包括：受信任用户泄露敏感数据对受信任用户的凭据的危害 不受信任的计算机访问其他不受信任的计算机受信任用户误用或滥用其受信任状态不符合安全策略的受信任设备失守的受信任计算机访问其他受信任的计算

35、机网络隔离如何适应网络安全？策略、过程和意识物理安全应用程序主机内部网络周边数据逻辑数据隔离如何实现网络隔离？网络隔离解决方案的组成部分包括：满足组织最低安全要求的计算机 受信任的主机使用 IPSec 以提供主机身份验证和数据加密主机身份验证在本地安全策略中验证安全组成员身份，在资源上验证访问控制列表主机授权使用网络访问组和 IPSec 控制计算机访问逻辑数据隔离计算机访问权限 (IPSec)主机访问权限IPSec 策略2共享和访问权限13组策略Dept_Computers NAG第 1 步：用户尝试访问服务器上的共享资源第 2 步：IKE 主要模式协商第 3 步：IPSec 安全方法协商使用

36、网络访问组控制主机访问第 1 步：用户尝试访问服务器上的共享资源第 2 步：IKE 主要模式协商第 3 步：IPSec 安全方法协商第 4 步：检查用户主机访问权限第 5 步：检查共享和访问权限逻辑数据隔离计算机访问权限 (IPSec)主机访问权限IPSec 策略213组策略Dept_Computers NAG4Dept_Users NAG共享和访问权限5目录 一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五、网络访问隔离 六、用户行为管理六、用户行为管理 七、其他和展望Step 6 用户行为管理 组策略概况使用组策略对用户环境进行管理自定义安全模板管理用户行为Group Policy通过使