880 likes | 1.08k Views
网络安全技术. 课程目标. 学习完本课程,您应该能够:. 了解网络安全一些基本概念 掌握 AAA 技术 掌握一般防火墙技术 掌握地址转换技术 了解 VPN 基本概念 掌握 IPsec 基本理论. 网络安全概述. 网络安全是 Internet 必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义: 保证内部局域网的安全(不被非法侵入) 保护和外部进行数据交换的安全 网络安全技术的完善和更新. 网络安全关注的范围. 常常从如下几个方面综合考虑整个网络的安全 保护网络物理线路不会轻易遭受攻击 有效识别合法的和非法的用户
E N D
课程目标 学习完本课程,您应该能够: 了解网络安全一些基本概念 掌握AAA技术 掌握一般防火墙技术 掌握地址转换技术 了解VPN基本概念 掌握IPsec基本理论
网络安全概述 • 网络安全是Internet必须面对的一个实际问题 • 网络安全是一个综合性的技术 • 网络安全具有两层含义: • 保证内部局域网的安全(不被非法侵入) • 保护和外部进行数据交换的安全 • 网络安全技术的完善和更新
网络安全关注的范围 • 常常从如下几个方面综合考虑整个网络的安全 • 保护网络物理线路不会轻易遭受攻击 • 有效识别合法的和非法的用户 • 实现有效的访问控制 • 保证内部网络的隐蔽性 • 有效的防伪手段,重要的数据重点保护 • 对网络设备、网络拓扑的安全管理 • 病毒防范 • 提高安全防范意识
网络安全的必要技术 • 针对网络存在的各种安全隐患,安全路由器必须具有如下安全特性: • 可靠性和线路安全 • 身份认证 • 访问控制 • 信息隐藏 • 数据加密和防伪 • 安全管理
Quidway Series Router Quidway Series Router AAA Server 本地实现AAA 使用服务器实现AAA AAA定义 • 验证(Authentication) • 授权(Authorization) • 计费(Accounting)
网关 NAS AAA服务器 用户 AAA框架
RADIUS概述 • RADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协议 • 实现AAA(授权Authorization、验证Authentication和计费Accounting)功能
RADIUS结构及基本原理 • RADIUS协议采用客户机/服务器(Client/Server)结构,使用UDP协议作为传输协议 • RADIUS使用MD5加密算法对数据包进行数字签名,以及对口令进行加密 • RADIUS包机构灵活,扩展性好,采用UDP发送 0 8 16 24 0 1 2 3 4 5
RT2 RT1 Radius服务器S 用户 RADIUS工作过程(I)
RADIUS工作过程(II) 在RT1上需要配置(示意)如下信息: • 在和用户相连的接口上配置利用PPP CHAP验证对方; • 使能AAA,并且配置AAA验证、计费协议使用Radius; • 配置Radius验证、计费服务器为S,并且配置它们和RT1之间的互相验证密钥为abc。 在Radius服务器S上需要配置(示意)如下信息: • 配置一个名称为RT1的Radius客户端,共享密钥为abc; • 在用户数据库中配置新的一行(用户名:user1 密码:123 IP地址:10.0.0.2 缺省网关:10.0.0.1)。
Quidway Series Router AAA Server 计费开始请求 计费开始应答 用户下网 计费结束请求 计费结束应答 RADIUS实现AAA的流程 用户上网 验证请求 验证授权通过 授权并允许用户上网
RADIUS验证与授权 • 验证、授权过程如下: • 路由器将得到的用户信息打包向RADIUS服务器发送 • RADIUS服务器对用户进行验证: • 合法用户——返回访问接受包(用户授权信息) • 非法用户——返回访问拒绝包 • 路由器接受服务器的响应包: • 访问接受包——允许上网,使用其授权信息对用户进行处理 • 访问拒绝包——拒绝用户上网请求
RADIUS计费 • 每次计费过程包括计费请求、计费应答 • 对一个用户的计费过程有: • 计费信息: • 计费失败处理 计费开始 实时计费 计费结束 会话时长 输入字节数 输出字节数 输入包数 输出包数
802.1X起源 • 来源:802.1X协议起源于802.11协议,起初主要是为了解决无线局域网用户的接入认证问题。 • 目的:有线局域网通过固定线路形成固定的物理空间;但无线局域网具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于某一网络。802.1x正是基于这一需求而出现的一种认证技术。 • 作用形式:操作粒度为端口;对于无线局域网接入认证之后建立起来的信道(端口)被独占。
802.1X的应用 • IEEE 802.11定义的无线 LAN 接入方式(基于逻辑端口) • LanSwitch的一个物理端口仅连接一个End Station(基于物理端口) • Comware平台的802.1X软件子系统对802.1X协议认证方式进行了扩展,支持一个物理端口下多个End Station的应用场合,多个End Station的识别具体到其源MAC地址
PPP LCP ACK/EAP PPP EAP-Request/Identity PPP LCP Request/EAP PPP EAP-Request/Md5 Challenge:rand PPP EAP-Success EAP验证过程 用户数据库 PC Username:User1 Password:abc EAP PPP EAP-Response/User1 PPP EAP-Response/Md5(rand,abc)
802.1X的系统组成 • IEEE 802.1X的体系结构包括三部分: • Supplicant System-用户接入设备 • Authenticator System-接入控制单元 • Authentication Sever System-认证服务器 • 传输介质:点对点以太网(如果是共享式以太网需要采用加密的方式传递认证信息) Authenticater System Services offered by Authenticators System Authenticater Server Authenticator PAE Supplicant EAP protocol exchanges carriers in higher layer protocal 受控端口 非受控端口 EAPOL LAN
Authenticator EAP Over Something Authentication Server EAPOL Supplicant 802.1X认证系统图
Radius&DHCP PC EAPOL-Start EAP-Request/Identity Radius-Access-Challenge EAP-Request EAP-Success 802.1X的EAPOL认证过程 EAP-Response/Identity Radius-Access-Request EAP-Response(credentials) Radius-Access-Request Radius-Access-Accept
内部网络 办事处 公司总部 未授权用户 防火墙示意图 • 对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。
路由器实现防火墙功能 手工配置 规则生成机制 手工配置 规则生成机制 输入报文规则库 输出报文规则库 由规则决定报文转发动作:丢弃或转发 由规则决定报文转发动作:丢弃或转发 规则查找机制 规则查找机制 网络层 IP Packet IP报文转发机制 IP Packet 数据链路层
访问控制列表的作用 • 访问控制列表可以用于防火墙; • 访问控制列表可用于QoS(Quality of Service),对数据流量进行控制; • 在DCC中,访问控制列表还可用来规定触发拨号的条件; • 访问控制列表还可以用于地址转换; • 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。
数据 TCP报头 IP报头 源端口 目的端口 协议号 源地址 目的地址 对于TCP来说,这5个元素组成了一个TCP相关,访问控制列表就是利用这些元素定义的规则 ACL的机理 • 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):
访问控制列表的分类 • 按照访问控制列表的用途可以分为四类: • 基本的访问控制列表(basic acl) • 高级的访问控制列表(advanced acl) • 基于接口的访问控制列表(interface-based acl) • 基于MAC的访问控制列表(mac-based acl)
访问控制列表的标识 • 利用数字标识访问控制列表 • 利用数字范围标识访问控制列表的种类
从202.110.10.0/24来的数据包可以通过! 从192.110.10.0/24来的数据包不能通过! 路由器 基本访问控制列表 • 基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。
基本访问控制列表的配置 • 配置基本访问列表的命令格式如下: • aclnumberacl-number [ match-order { config | auto } ] • rule [ rule-id ] { permit | deny } [ source sour-addr sour-wildcard | any ] [ time-rangetime-name ] [ logging ] [ fragment ] [ vpn-instancevpn-instanc-name ] 怎样利用 IP 地址 和 反掩码wildcard-mask来表示 一个网段?
反掩码的使用 • 反掩码和子网掩码相似,但写法不同: • 0表示需要比较 • 1表示忽略比较 • 反掩码和IP地址结合使用,可以描述一个地址范围。
从202.110.10.0/24来的,到179.100.17.10的, 使用TCP协议, 利用HTTP访问的 数据包可以通过! 路由器 高级访问控制列表 • 高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。
高级访问控制列表的配置 • 高级访问控制列表规则的配置命令: • rule [ rule-id ] { permit | deny } protocol [ sourcesour-addr sour-wildcard | any ] [ destinationdest-addr dest-mask | any ] [ soucre-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type { icmp-message |icmp-typeicmp-code} ] [ precedenceprecedence ] [ tostos ] [ time-rangetime-name ] [ logging ] [ fragment ] [ vpn-instancevpn-instanc-name ]
ICMP主机重定向报文 10.1.0.0/16 TCP报文 WWW 端口 129.9.0.0/16 202.38.160.0/24 高级访问控制列表举例 • rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect • rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging
基于接口的访问控制列表 • 基于接口的访问控制列表的配置 • acl number acl-number [ match-order { config | auto } ] • rule { permit | deny } [ interfaceinterface-name ] [ time-rangetime-name ] [ logging ] • undo rulerule-id
启用防火墙 公司总部网络 将访问控制列表应用到接口上 访问控制列表的使用 • 防火墙配置常见步骤: • 启用防火墙 • 定义访问控制列表 • 将访问控制列表应用到接口上
防火墙的属性配置命令 • 打开或者关闭防火墙 • firewall { enable | disable } • 设置防火墙的缺省过滤模式 • firewall default { permit|deny } • 显示防火墙的统计信息 • display firewall-statistics { all | interfaceinterface-name | fragments-inspect } • 打开防火墙包过滤调试信息开关 • debugging firewall{ all | icmp | tcp | udp | others } [ interface interface-name]
访问控制列表的显示 • 访问控制列表的显示与调试 • displayacl { all | acl-number } • resetaclcounter { all | acl-number }
访问控制列表2000 作用在Serial0/0接口上 在in方向上有效 访问控制列表3000 作用在Ethernet0/0接口 在out方向有效 Serial0/0 Ethernet0/0 在接口上应用访问控制列表 • 将访问控制列表应用到接口上 • 指明在接口上是OUT还是IN方向 • 在接口视图下配置: • firewallpacket-filteracl-number { inbound | outbound } [ match-fragments { normally | exactly } ]
上班时间 (上午8:00 - 下午5:00) 只能访问特定的站点;其余 时间可以访问其他站点 基于时间段的包过滤 • “特殊时间段内应用特殊的规则”
时间段的配置命令 • time range 命令 • time-range time-name [ start-time to end-time ] [ days ] [from time1 date1 ] [ to time2 date2 ] • 显示 time range 命令 • display time-range { all | time-name }
访问控制列表的组合 • 一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。 • 规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。 • 深度的判断要依靠通配比较位和IP地址结合比较 • rule deny source 202.38.0.0 0.0.255.255 • rule permit source 202.38.160.1 0.0.0.255 • 两条规则结合则表示禁止一个大网段 (202.38.0.0)上的主机但允许其中的一小部分主 机(202.38.160.0)的访问 • 规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。
ASPF技术 ASPF路由器 外部接口 内部接口 FTP 客户端 FTP 服务器
TCP SYN Flooding攻击图示 正常用户 S=a, D=c; TCP SYN ACK: dport:1001,sport:ftp c S=c, D=a; TCP ACK: dport:ftp,sport:1001 a OK ASPF路由器 服务器 S=X1, D=a; TCP SYN: dport:ftp,sport:1001 分配资源 S=a, D=X1; TCP SYN ACK: dport:1001,sport:ftp 等待回应 、、 b S=Xn, D=a; TCP SYN: dport:ftp,sport:1001 等待回应 攻击者 S=a, D=Xn; TCP SYN ACK: dport:1001,sport:ftp 分配资源
地址转换的提出背景 • 地址转换(NAT)是在IP地址日益短缺的情况下提出的。 • 一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的IP地址,为了达到所有的内部主机都可以连接Internet网络的目的,可以使用地址转换。 • 地址转换( NAT )技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安全保护技术。 • 地址转换( NAT )可以按照用户的需要,在局域网内部提供给外部FTP、WWW、Telnet等服务。
私有地址和公有地址 192.168.0.2 192.168.0.1 LAN2 LAN1 192.168.0.3 私有地址范围: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 LAN3
IP 报文 IP:192.168.0.1 Port:3000 PC1 IP:202.0.0.1 Port:4000 地址转换 IP:202.0.0.1 Port:4001 PC2 IP:192.168.0.2 Port:3010 局域网 地址转换的原理
设置访问控制列表控制PC1可以通过地址转换访问Internet,而PC2则不行。设置访问控制列表控制PC1可以通过地址转换访问Internet,而PC2则不行。 PC2 局域网 利用ACL控制地址转换 • 可以使用访问控制列表来决定哪些主机可以访问Internet,哪些不能。 PC1
地址转换的配置任务列表 • 定义一个访问控制列表,规定什么样的主机可以访问Internet。 • 采用EASY IP或地址池方式提供公有地址。 • 根据选择的方式(EASY IP方式还是地址池方式),在连接Internet接口上允许地址转换。 • 根据局域网的需要,定义合适的内部服务器。
S0/0:202.0.0.1 PC1 PC1 和 PC2 可以直接使用 S0/0接口的IP 地址作为地址转换后的公用IP地址 PC2 局域网 Easy IP 配置 • Easy IP:在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下直接配置: • nat outbound acl-number