1 / 146

网络工程设计与安装

网络工程设计与安装. 网络安全设计与安装. 电子工业 出版社. 第 7 章 网络安全设计与安装. 知识目标 : 了解网络威胁与对策,服务器威胁与对策, 802.1x+ RADIUS 的应用,以及几种认证方式比较和 DMZ 的概念。 基本掌握 802.1x 协议及工作机制,基于 RADIUS 的认证计费,防止 IP 地址盗用的技术,网络防病毒技术。 基本掌握路由器 + 防火墙保护网络边界的方法,标准访问列表和扩展访问列表的应用。 掌握 Windows 2000 Advanced Server 操作系统安全加固的技术, Web 服务器安全设置技术。.

Download Presentation

网络工程设计与安装

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 网络工程设计与安装 网络安全设计与安装 电子工业出版社

  2. 第7章 网络安全设计与安装 • 知识目标: • 了解网络威胁与对策,服务器威胁与对策,802.1x+ RADIUS的应用,以及几种认证方式比较和DMZ的概念。 • 基本掌握802.1x协议及工作机制,基于RADIUS的认证计费,防止IP地址盗用的技术,网络防病毒技术。 • 基本掌握路由器+防火墙保护网络边界的方法,标准访问列表和扩展访问列表的应用。 • 掌握Windows 2000 Advanced Server操作系统安全加固的技术,Web服务器安全设置技术。

  3. 第7章 网络安全设计与安装 • 情感目标: • 亲历网络安全需求分析的过程,获得中小型网络安全设计的感性认识。 • 关注用户组网安全需求,关注身边网络的安全,具有一定的价值判断能力和网络安全保障能力。 • 技能目标: • 尝试、模仿网络安全专家分析问题、解决问题的行为,能按照用户网络安全需求,设计简单的网络安全方案。 • 在路由器上能够正确设置标准访问列表和扩展访问列表,尤其是会采用扩展访问列表保护网络服务器的安全。 • 能够采用安全策略加固Windows 2000 Advanced Server的安全,以及Web服务器的安全。

  4. 第7章 网络安全设计与安装 • 本章重点: • 802.1x协议及工作机制 • 基于RADIUS的认证计费 • 防止IP地址盗用 • 网络防病毒技术 • 使用路由器+防火墙保护网络边界 • 扩展访问列表与应用 • Windows 2000 Advanced Server操作系统安全加固的技术,Web服务器安全设置技术 本章难点: • 基于RADIUS的认证计费 • 扩展访问列表与应用

  5. 7.1 网络安全威胁与对策 网络的组成元素 • 现有网络中存在的问题 • 导致这些问题的原因是什么 • 现有网络安全体制 • 网络安全的演化 • 病毒的演化趋势 • 木马程序、黑客 • 应用安全 • 网络安全保护需求 • 网络安全保护对策 元素说明: 该元素由网络交换机、路由器、防火墙等网络传输设备组成, 进行用户网络数据的交换处理。 网络节点 网络节点 网络节点 网络终端设备 网络传输 网络节点 网络节点 网络终端设备 网络终端设备 元素说明: 该元素由网络服务器,用户网络客户端等网络终端设备组成。 网络终端设备

  6. IT 系统运维面临的问题 Internet 垃圾邮件 病毒破坏 黑客攻击 资源滥用 信息泄密 DOS攻击 拨号用户 D 拨号用户 A 拨号用户 B 拨号用户 C 不良信息 终端安全 信息丢失 未授权 接入 非法外 联监控 安全事 件处理

  7. 导致这些问题的原因是什么? • 病毒泛滥:计算机病毒的感染率比例非常高,高达89.73% • 软件漏洞:软件系统中的漏洞也不断被发现,从漏洞公布到出现攻击代码的时间为5.8天 • 黑客攻击:世界上目前有20多万个黑客网站,各种黑客工具随时都可以找到,攻击方法达几千种之多。 • 移动用户越来越多:网络用户往往跨越多个工作区域 以上相关数据来自Symantec。

  8. 现有网络安全体制 • IDS • 68% 现有网络安全 防御体制 • 防火墙 • 98% • 杀毒软件 • 99% • ACL(规则控制)71% * 2004 CSI/FBI Computer Crime and Security Survey 资料来源: Computer Security Institute

  9. 网络安全的演化 秒 影响的目标和范围 安全事件对我们的威胁越来越快 波及全球的网络基础架构 地区网络 多个网络 单个网络 单台计算机 分钟 • 下一代 • 网络基础设施黑客攻击 • 瞬间威胁 • 大规模蠕虫 • DDoS • 破坏有效负载的病毒和蠕虫 天 • 第三代 • 网络DOS攻击 • 混合威胁(蠕虫+病毒+特洛伊) • 广泛的系统黑客攻击 周 • 第二代 • 宏病毒 • DOS • 电子邮件 • 有限的黑客攻击 • 第一代 • 引导性病毒 1980s 1990s 今天 未来

  10. 病毒的演化趋势 邮件/互联网 邮件 物理介质 Brain CIH Melissa Love Letter Code Red Nimda funlove Klez SQL Slammer 冲击波 震荡波 2004 1969 1986 1998 1999 2000 2003 2001 2002 攻击和威胁转移到服务器和网关,对防毒体系提出新的挑战 IDC, 2004

  11. 病毒发展史 主流病毒行态 木马、蠕虫 1991 1994 1996 1998 1999 2000 2001 2002 2003 1990

  12. 基于文件的病毒 邮件群发病毒 引导区病毒 互联网 LAN服务器 防毒墙 台式电脑 电子邮件服务器墙 台式电脑 笔记本电脑 台式电脑 台式电脑 台式电脑 台式电脑 第2代 第3代 第1代 网络病毒 网络拥堵 服务器 台式电脑 服务器 笔记本电脑 互联网 已打补丁的机器 防毒墙 第4代 台式电脑 服务器 台式电脑 服务器 病毒发展史(续1)

  13. 攻击模式 随机攻击 随机攻击 随机攻击 WORM_SASSER.A 不被感染 Internet 被感染 被感染 未修补漏洞的系统 不被感染 被感染 已修补漏洞的系统 不被感染 不被感染 染毒电脑

  14. 补丁:MS03-026 2003年7月16日 补丁:MS04-011 2004年4月13日 2003年8月11日 2004年5月1日 冲击波 震荡波 补丁:MS02-039 2002年7月24日 2003年1月25日 蠕虫王 补丁:MS00-078 2000年10月17日 2001年9月18日 尼姆达 病毒出现越来越快 时间间隔 18天 26 天 185 天 336 天

  15. 网络病毒的特征 • 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权 • 在本地硬盘上并不留下文件 • 由于其在网络上进行扫描的动作,可能会引起严重的网络负载 • 如果攻击是属于常规的应用,例如SQL, IIS等就可能穿过防火墙

  16. 木马程序 • 木马程序等间谍软件成为网络与信息安全保密的重要隐患.在现在的工作中发现,越来越多的木马程序植入到我国重要信息系统中,根据保守估计,国内80%的网络系统,都存在木马程序和间谍软件问题. • 中国地区危害最为严重的十种木马病毒,分别是:QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马 • 系统漏洞就像给了木马病毒一把钥匙,使它能够很轻易在电脑中埋伏下来,而木马病毒又会欺骗用户伪装成“好人”,达到其偷取隐私信息的险恶目的

  17. 木马程序 木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌 根据木马病毒的特点与其危害范围来讲,木马病毒又分为以下五大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。

  18. 黑客攻击愈加猖獗 据国家计算机应急处理协调中心(CNCERT/CC)统计:2003年,我国互联网内共有272万台主机受到攻击,造成的损失数以亿计; 攻击向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流

  19. 垃圾邮件成为公害 • 据中国互联网中心统计,现在,我国用户平均每周受到的垃圾邮件数超过邮件总数的60%,部分企业每年为此投入上百万元的设备和人力,垃圾邮件泛滥造成严重后果 • 它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容

  20. 垃圾邮件的发展速度和趋势 数据来源:Radicati,2004.6

  21. 应用安全 在应用安全问题中,在Windows平台上利用Windows系统新漏洞的攻击占70%左右,30%的安全问题与Linux相关 • 设计阶段 • 开发阶段 • 实施阶段 • 使用阶段 • 管理制度 • 监督机制 • 使用方法

  22. 广域网 如何进行信息系统的等级化保护? 移动用户D 各信息系统依据重要程度的等级需要划分不同安全强度的安全域,采取不同的安全控制措施和制定安全策略

  23. 用户如何管理现有安全资源并执行策略机制? Internet 补丁服务器 p p p p p p p p p p p p p 打补丁了吗? 更新补丁了吗? 完成安全设施的重新部署或响应 制定安全策略指导或自动 • 困境 • 无法知道哪些机器没有安装漏洞补丁 • 知道哪些机器但是找不到机器在哪里 • 机器太多不知如何做起 • 系统安全漏洞 • 微软每周都有数个修正档需要更新 • 2003年Windows 2000 Server有50个漏洞补丁 获得全局安全视图 如何从全局角度对安全状况分析、评估与管理

  24. 用户如何防止内部信息的泄露? Internet 未经安全检查与过滤, 违规接入内部网络 私自拨号上网

  25. 用户如何实现积极防御和综合防范? Internet 怎样定位病毒源 或者攻击源,怎 样实时监控病毒 与攻击

  26. 们 怎 么 办 ?

  27. 网络基础设施保护需求 Internet 语音教室网段 校园网服务器群 网站 教学网段3 教学网段4 教学网段2 教学网段5 教学网段1 网管网段 财务网段 数字图书馆网段 内部办公 网段1 多媒体教室网段 内部办公N OA网段 1、网络设备 2、通讯设备 3、通讯线路 4、可用性 5、机密性 6、完整性 7、可管理性 办公自动化系统 其他应用系统 ...... 边界进出数据流 的有效控制与监视 操作系统 数据库系统 终端 保护应用业务系统 保护边界与外部连接 保护计算环境 保户网络与基础设施的安全

  28. 2 4 5 3 1 6 Intranet 网络边界与外部连接的保护需求 边界处的认证与授权 边界处的病毒与恶意代码防护 边界处的垃圾邮件和内容过滤 边界处的访问控制 边界内部的网络扫描与拨号监控 边界处的网络入侵检测

  29. 计算环境的保护需求 6 5 8 7 3 2 1 4 主机脆弱性扫描 基于主机的恶意代码和病毒检测 基于主机的入侵检测 主机文件完整性检查 主机系统加固 主机用户认证与授权 主机数据存储安全 主机访问控制

  30. 添加所有 操作系统Patch DMZ ? E-Mail? File Transfer ? HTTP 关闭安全维护 “后门” 更改缺省的 系统口令 教学区 Internet 中继 教务区 入侵检测 实时监控 路由 用户安全培训 数据文件加密 财务部 Intranet 人事部 授权复查 外部/个体 内部/个体 内部/组织 外部/组织 学校网络 安装认证 & 授权 安 全 隐 患 管理分析 & 实施策略 Modem

  31. 信息安全的目的 看不懂 跑不了 可审查 进不来 拿不走 改不了 打不垮

  32. 采取的解决办法一 对于非法访问及攻击类 -----在非可信网络接口处安装 访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SSL VPN、内容过滤系统

  33. Internet 防火墙、IPSEC VPN、SSL VPN、内容过滤等 防DOS/DDOS设备 教学网段4 个人安全套件 校园网服务器群 教学网段3 语音教室网段 教学网段2 教学网段5 网管网段 财务网段 数字图书馆网段 内部办公 网段1 多媒体教室网段 内部办公N OA网段 领导网段

  34. 采取的解决办法二 对于病毒、蠕虫、木马类 -----实施全网络防病毒系统 对于垃圾邮件类 -----在网关处实施防垃圾邮件系统

  35. Internet 邮件过滤网关、反垃圾邮件系统 教学网段4 校园网服务器群 教学网段3 在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统 语音教室网段 教学网段2 教学网段5 网管网段 内部办公 网段1 内部办公N 财务网段 多媒体教室网段 OA网段 数字图书馆网段 领导网段

  36. 采取的解决办法三 对于内部信息泄露、非法外联、内部攻击类 -----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统

  37. Internet 教学网段4 校园网服务器群 教学网段3 语音教室网段 教学网段2 教学网段5 网管网段 人事商务网段 内部办公 网段1 内部办公N 财务网段 多媒体教室网段 OA网段 数字图书馆网段 领导网段

  38. 采取的解决办法四 对于系统统一管理、信息分析、事件分析响应 -----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心

  39. Internet 教学网段4 01010100 01010100 01010100 校园网服务器群 教学网段3 语音教室网段 安全审计中心 01010100 01010100 教学网段2 教学网段5 网管网段 01010100 01010100 01010100 01010100 01010100 01010100 销售体系 网段N 内部办公 网段1 内部办公N 财务网段 多媒体教室网段 OA网段 数字图书馆网段 01010100 领导网段

  40. Internet 专家库 安全管理中心 教学网段4 校园网服务器群 教学网段3 语音教室网段 安服网段 教学网段5 网管网段 内部办公 网段1 内部办公N 财务网段 多媒体教室网段 OA网段 数字图书馆网段 领导网段

  41. 问题时间

  42. 7.2 网络安全接入与认证 • 802.1x协议及工作机制 • 基于RADIUS的认证计费 • 基于802.1x的认证计费 • 几种认证方式比较 • 防止IP地址盗用 • 802.1x+RADIUS的应用案例

  43. 7.2.1 802.1x协议及工作机制 • 802.1x协议称为基于端口的访问控制协议(Port Based Network Access Control Protocol),该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP(Extensible Authentication Protocol,可扩展的认证协议)代理,用户PC机运行EAPoE(EAP over Ethernet)的客户端软件与交换机通信。

  44. 7.2.1 802.1x协议及工作机制 • 802.1x协议包括三个重要部分: • 客户端请求系统(Supplicant System) • 认证系统(Authenticator System) • 认证服务器(Authentication Server System) 认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口:受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoE协议帧,保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通,用于传递网络信息。如果用户未通过认证,受控端口处于非导通状态,则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式,以适应不同的应用环境。 上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件,该软件支持交换机端口的接入控制,用户通过启动客户端软件发起802.1x协议的认证过程。

  45. 7.2.2 基于RADIUS的认证计费 • 衡量RADIUS的标准 RADIUS的性能是用户该关注的地方,比如,能接受多少请求以及能处理多少事务。同时遵循标准,并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点,服务器在和网络接入服务器(NAS,Network Access Servers)通信的过程中是如何保证安全和完整性的。另外,RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额,这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC,利用SQL Server数据库保存和访问用户配置文件。 • RADIUS认证系统的组成 • RADIUS是一种C/S结构的协议。Radius Client一般是指与NAS通信的、处理用户上网验证的软件;Radius Server一般是指认证服务器上的计费和用户验证软件。Server与Client通信进行认证处理,这两个软件都是遵循RFC相关Radius协议设计的。RADIUS的客户端最初就是NAS,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。如下图。 • RADIUS的工作原理 • 用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、口令等相关信息。其中用户口令是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播。RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证。如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问。如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。

  46. 7.2.3 基于802.1x的认证计费 (1)用户开始上网时,启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时,就会向请求者发送响应的包,要求用户输入登录用户名及口令。 (2)客户端收到交换机的响应后,提供身份标识给认证服务器。由于此时客户端还未经过验证,因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器,进行认证。 (3)如果认证通过,则认证系统的交换机的受控逻辑端口打开。 (4)客户端软件发起DHCP请求,经认证交换机转发到DHCP Server。 (5)DHCP Server为用户分配IP地址。 (6)DHCP Server分配的地址信息返回给认证系统的服务器,服务器记录用户的相关信息,如用户ID,MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限。 (7)当认证交换机检测到用户的上网流量,就会向认证服务器发送计费信息,开始对用户计费。 (8)当用户退出网络时间,可用鼠标点击客户端软件(在用户上网期间,该软件处于运行状态)的“退出”按钮。认证系统检测到该数据包后,会通知AAA(Authentication,Authorization,Accounting)服务器停止计费,并删除用户的相关信息(如MAC和IP地址),受控逻辑端口关闭。用户进入再认证状态。 (9)如果上网的PC机异常死机,当验证设备检测不到PC机在线状态后,则认为用户已经下线,即向认证服务器发送终止计费的信息。

  47. 7.2.4 几种认证方式比较 PPPoE: PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段,广播只能在二层网络,才能发现宽带接入服务器。因此,也就决定了在客户机和服务器之间,不能有路由器或三层交换机。另外,由于PPPoE点对点的本质,在客户机和服务器之间,限制了组播协议存在。这样,将会在一定程度上,影响视频业务的开展。除此之外,PPP协议需要再次封装到以太网中,所以效率较低。 Web+DHCP: 采用旁路方式网络架构时,不能对用户进行类似带宽管理。另外,DHCP是动态分配IP地址,但其本身的成熟度加上设备对这种方式支持力度还较小,故在防止用户盗用IP地址等方面,还需要额外的手段来控制。除此之外,用户连接性差,易用性不够好。 802.1x: 802.1x协议为二层协议,不需要到达三层,而且接入交换机无须支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。在认证过程中,802.1x不用封装帧到以太网中,效率相对较高。

  48. 7.2.5 防止IP地址盗用 1. 使用ARP命令 (1)使用操作系统的ARP命令 进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP –s 202.207.176.3 00-10-5C-AD-72-E3,即可把MAC地址00-10-5C-AD-72-E3和IP地址202.207.176.3捆绑在一起。这样,就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。 ARP命令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后,地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。 ARP命令的参数的功能如下:ARP -s -d -a -s:将相应的IP地址与物理地址的捆绑,如以上所举的例子。 -d:删除相应的IP地址与物理地址的捆绑。 -a:通过查询ARP协议表显示IP地址和对应物理地址的情况。 (2)使用交换机的ARP命令 例如,Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定,一般采用静态绑定。其绑定操作过程是:采用Telnet命令或Console口连接交换机,进入特权模式;输入config,进入全局配置模式;输入绑定命令:arp 202.207.176.3 0010.5CAD.72E3 arpa;至此,即可完成绑定。绑定的解除,在全局配置模式下输入:no arp 202.207.176.3即可。

  49. 7.2.5 防止IP地址盗用 2. 使用802.1x的安全接入与Radius认证 (1)采用IP和账号绑定,防止静态IP冲突 用户进行802.1x认证时,用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证时,因为认证服务器端该用户账号和其IP做了绑定,认证服务器对其不予通过认证,从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后,再更改IP时,Radius客户端软件能够检测到IP的更改,即刻剔除用户下线,从而不会造成IP冲突。 (2)采用客户IP属性校验,防止动态IP冲突 用户进行802.1X认证前不用动态获得IP,而是静态指定。认证前用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证,因为认证服务器端该用户账号的IP属性是动态IP,认证报文中该用户的IP属性确是静态IP,则认证服务器对其不予通过认证,从而同样不会造成IP冲突。

  50. 7.2.6 802.1x+RADIUS的应用案例

More Related