Download
1 / 146
1.46k likes | 1.6k Vues
问题思考. 你的电脑安全? 电脑访问 Internet 时,受到安全威胁怎么办? 如何解决防御病毒、黑客攻击?. 第 9 章网络安全技术与应用. 学习目标 : 了解网络安全威胁,安全技术措施,认证技术,以及 360 安全卫士的功能。基本掌握 802.1x 协议及工作机制。会使用防 IP 盗用技术保护 IP 地址安全。 理解服务器系统安全技术要点,掌握 Windows 2003 Server 安全加固方法、 Web 服务器安全设置方法。 会使用 360 安全卫士建立 Windows 系统的安全防御体系。
E N D
问题思考 • 你的电脑安全? • 电脑访问Internet时,受到安全威胁怎么办? • 如何解决防御病毒、黑客攻击?
第9章网络安全技术与应用 • 学习目标: • 了解网络安全威胁,安全技术措施,认证技术,以及360安全卫士的功能。基本掌握802.1x协议及工作机制。会使用防IP盗用技术保护IP地址安全。 • 理解服务器系统安全技术要点,掌握Windows 2003 Server安全加固方法、Web服务器安全设置方法。 • 会使用360安全卫士建立Windows系统的安全防御体系。 • 理解网络边界安全技术要点,掌握路由器+防火墙保护网络边界的方法,会使用访问控制列表建立防火墙,会使用NAT协议保护内网的安全。 • 能够按照用户网络安全需求,设计网络基本安全技术方案。
第9章网络安全技术与应用 • 本章重点: • 802.1x协议及工作机制 • 常用的网络安全技术措施 • 防止IP地址盗用,网络防病毒技术 • 使用路由器+防火墙保护网络边界 • 扩展访问列表与应用, NAT协议保护内网的安全 • Windows 2003 Server操作系统安全加固的技术,Web服务器安全设置技术 本章难点: • 使用路由器+防火墙保护网络边界 • 扩展访问列表与应用
网络的组成元素 8.1 网络安全威胁与对策 元素说明: 该元素由网络交换机、路由器、防火墙等网络传输设备组成, 进行用户网络数据的交换处理。 • 现有网络中存在的问题 • 导致这些问题的原因是什么 • 现有网络安全体制 • 网络安全的演化 • 病毒的演化趋势 • 木马程序、黑客 • 应用安全 • 网络安全保护需求 • 网络安全保护对策 网络节点 网络节点 网络节点 网络终端设备 网络传输 网络节点 网络节点 网络终端设备 网络终端设备 元素说明: 该元素由网络服务器,用户网络客户端等网络终端设备组成。 网络终端设备
IT 系统运维面临的问题 Internet 垃圾邮件 病毒破坏 黑客攻击 资源滥用 信息泄密 DOS攻击 拨号用户 D 拨号用户 A 拨号用户 B 拨号用户 C 不良信息 终端安全 信息丢失 未授权 接入 非法外 联监控 安全事 件处理
导致这些问题的原因是什么? • 病毒泛滥:计算机病毒的感染率比例非常高,高达89.73% • 软件漏洞:软件系统中的漏洞也不断被发现,从漏洞公布到出现攻击代码的时间为5.8天 • 黑客攻击:世界上目前有20多万个黑客网站,各种黑客工具随时都可以找到,攻击方法达几千种之多。 • 移动用户越来越多:网络用户往往跨越多个工作区域 以上相关数据来自Symantec。
现有网络安全体制 IDS 68% 现有网络安全 防御体制 防火墙 98% 杀毒软件 99% ACL(规则控制)71% * 2004 CSI/FBI Computer Crime and Security Survey 资料来源: Computer Security Institute
网络安全的演化 秒 影响的目标和范围 安全事件对我们的威胁越来越快 波及全球的网络基础架构 地区网络 多个网络 单个网络 单台计算机 分钟 • 下一代 • 网络基础设施黑客攻击 • 瞬间威胁 • 大规模蠕虫 • DDoS • 破坏有效负载的病毒和蠕虫 天 • 第三代 • 网络DOS攻击 • 混合威胁(蠕虫+病毒+特洛伊) • 广泛的系统黑客攻击 周 • 第二代 • 宏病毒 • DOS • 电子邮件 • 有限的黑客攻击 • 第一代 • 引导性病毒 1980s 1990s 今天 未来
病毒的演化趋势 邮件/互联网 邮件 物理介质 Brain CIH Melissa Love Letter Code Red Nimda funlove Klez SQL Slammer 冲击波 震荡波 2004 1969 1986 1998 1999 2000 2003 2001 2002 攻击和威胁转移到服务器和网关,对防毒体系提出新的挑战 IDC, 2004
病毒发展史 主流病毒行态 木马、蠕虫 1991 1994 1996 1998 1999 2000 2001 2002 2003 1990
基于文件的病毒 邮件群发病毒 引导区病毒 互联网 LAN服务器 防毒墙 台式电脑 电子邮件服务器墙 台式电脑 笔记本电脑 台式电脑 台式电脑 台式电脑 台式电脑 第2代 第3代 第1代 网络病毒 网络拥堵 服务器 台式电脑 服务器 笔记本电脑 互联网 已打补丁的机器 防毒墙 第4代 台式电脑 服务器 台式电脑 服务器 病毒发展史(续1)
攻击模式 WORM_SASSER.A 随机攻击 随机攻击 随机攻击 不被感染 Internet 被感染 被感染 未修补漏洞的系统 不被感染 被感染 已修补漏洞的系统 不被感染 不被感染 染毒电脑
网络病毒的特征 • 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权 • 在本地硬盘上并不留下文件 • 由于其在网络上进行扫描的动作,可能会引起严重的网络负载 • 如果攻击是属于常规的应用,例如SQL, IIS等就可能穿过防火墙
木马程序 • 木马程序等间谍软件成为网络与信息安全保密的重要隐患.在现在的工作中发现,越来越多的木马程序植入到我国重要信息系统中,根据保守估计,国内80%的网络系统,都存在木马程序和间谍软件问题. • 中国地区危害最为严重的十种木马病毒,分别是:QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马 • 系统漏洞就像给了木马病毒一把钥匙,使它能够很轻易在电脑中埋伏下来,而木马病毒又会欺骗用户伪装成“好人”,达到其偷取隐私信息的险恶目的
木马程序 木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌 根据木马病毒的特点与其危害范围来讲,木马病毒又分为以下五大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。
黑客攻击愈加猖獗 据国家计算机应急处理协调中心(CNCERT/CC)统计:2003年,我国互联网内共有272万台主机受到攻击,造成的损失数以亿计; 攻击向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流
垃圾邮件成为公害 • 据中国互联网中心统计,现在,我国用户平均每周受到的垃圾邮件数超过邮件总数的60%,部分企业每年为此投入上百万元的设备和人力,垃圾邮件泛滥造成严重后果 • 它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容
应用安全 在应用安全问题中,在Windows平台上利用Windows系统新漏洞的攻击占70%左右,30%的安全问题与Linux相关 • 设计阶段 • 开发阶段 • 实施阶段 • 使用阶段 • 管理制度 • 监督机制 • 使用方法
广域网 如何进行信息系统的等级化保护? 移动用户D 各信息系统依据重要程度的等级需要划分不同安全强度的安全域,采取不同的安全控制措施和制定安全策略
用户如何管理现有安全资源并执行策略机制? Internet 补丁服务器 p p p p p p p p p p p p p 打补丁了吗? 更新补丁了吗? • 困境 • 无法知道哪些机器没有安装漏洞补丁 • 知道哪些机器但是找不到机器在哪里 • 机器太多不知如何做起 完成安全设施的重新部署或响应 制定安全策略指导或自动 获得全局安全视图 如何从全局角度对安全状况分析、评估与管理
用户如何防止内部信息的泄露? Internet 未经安全检查与过滤, 违规接入内部网络 私自拨号上网
用户如何实现积极防御和综合防范? Internet 怎样定位病毒源 或者攻击源,怎 样实时监控病毒 与攻击
我 们 怎 么 办 ?
网络基础设施保护需求 Internet 语音教室网段 校园网服务器群 网站 教学网段3 教学网段4 教学网段2 教学网段5 教学网段1 网管网段 财务网段 数字图书馆网段 内部办公 网段1 多媒体教室网段 内部办公N OA网段 1、网络设备 2、通讯设备 3、通讯线路 4、可用性 5、机密性 6、完整性 7、可管理性 办公自动化系统 其他应用系统 ...... 边界进出数据流 的有效控制与监视 操作系统 数据库系统 终端 保护应用业务系统 保护边界与外部连接 保护计算环境 保户网络与基础设施的安全
2 4 5 3 1 6 Intranet 网络边界与外部连接的保护需求 边界处的认证与授权 边界处的病毒与恶意代码防护 边界处的垃圾邮件和内容过滤 边界处的访问控制 边界内部的网络扫描与拨号监控 边界处的网络入侵检测
计算环境的保护需求 6 5 8 7 3 2 1 4 主机脆弱性扫描 基于主机的恶意代码和病毒检测 基于主机的入侵检测 主机文件完整性检查 主机系统加固 主机用户认证与授权 主机数据存储安全 主机访问控制
入侵检测 实时监控 用户安全培训 更改缺省的 系统口令 关闭安全维护 “后门” 添加所有 操作系统Patch 安 全 隐 患 DMZ ? E-Mail? File Transfer ? HTTP 教学区 Internet 授权复查 安装认证 & 授权 数据文件加密 内部/组织 内部/个体 外部/个体 外部/组织 中继 教务区 路由 财务部 Intranet 人事部 学校网络 管理分析 & 实施策略 Modem
信息安全的目的 打不垮 看不懂 跑不了 可审查 进不来 拿不走 改不了
采取的解决办法一 对于非法访问及攻击类 -----在非可信网络接口处安装 访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SSL VPN、内容过滤系统
Internet 防火墙、IPSEC VPN、SSL VPN、内容过滤等 防DOS/DDOS设备 教学网段4 个人安全套件 校园网服务器群 教学网段3 语音教室网段 教学网段2 教学网段5 网管网段 财务网段 数字图书馆网段 内部办公 网段1 多媒体教室网段 内部办公N OA网段 领导网段
采取的解决办法二 对于病毒、蠕虫、木马类 -----实施全网络防病毒系统 对于垃圾邮件类 -----在网关处实施防垃圾邮件系统
Internet 邮件过滤网关、反垃圾邮件系统 教学网段4 校园网服务器群 教学网段3 在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统 语音教室网段 教学网段2 教学网段5 网管网段 内部办公 网段1 内部办公N 财务网段 多媒体教室网段 OA网段 数字图书馆网段 领导网段
采取的解决办法三 对于内部信息泄露、非法外联、内部攻击类 -----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统
Internet 教学网段4 校园网服务器群 教学网段3 语音教室网段 教学网段2 教学网段5 网管网段 人事商务网段 内部办公 网段1 内部办公N 财务网段 多媒体教室网段 OA网段 数字图书馆网段 领导网段
采取的解决办法四 对于系统统一管理、信息分析、事件分析响应 -----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心
Internet 教学网段4 01010100 01010100 01010100 校园网服务器群 教学网段3 语音教室网段 安全审计中心 01010100 01010100 教学网段2 教学网段5 网管网段 01010100 01010100 01010100 01010100 01010100 01010100 销售体系 网段N 内部办公 网段1 内部办公N 财务网段 多媒体教室网段 OA网段 数字图书馆网段 01010100 领导网段
专家库 Internet 安全管理中心 教学网段4 校园网服务器群 教学网段3 语音教室网段 安服网段 教学网段5 网管网段 内部办公 网段1 内部办公N 财务网段 多媒体教室网段 OA网段 数字图书馆网段 领导网段
8.2 网络安全接入与认证 • 802.1x协议及工作机制 • 基于RADIUS的认证 • 基于802.1x的认证 • 几种认证方式比较 • 防止IP地址盗用 • 802.1x+RADIUS的应用案例
8.2.1 802.1x协议及工作机制 • 802.1x协议称为基于端口的访问控制协议(Port Based Network Access Control Protocol),该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP(Extensible Authentication Protocol,可扩展的认证协议)代理,用户PC机运行EAPoE(EAP over Ethernet)的客户端软件与交换机通信。
8.2.1 802.1x协议及工作机制 • 802.1x协议包括三个重要部分: • 客户端请求系统(Supplicant System) • 认证系统(Authenticator System) • 认证服务器(Authentication Server System) 认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口:受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoE协议帧,保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通,用于传递网络信息。如果用户未通过认证,受控端口处于非导通状态,则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式,以适应不同的应用环境。 上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件,该软件支持交换机端口的接入控制,用户通过启动客户端软件发起802.1x协议的认证过程。
8.2.2 基于RADIUS的认证 • 衡量RADIUS的标准 RADIUS的性能是用户该关注的地方,比如,能接受多少请求以及能处理多少事务。同时遵循标准,并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点,服务器在和网络接入服务器(NAS,Network Access Servers)通信的过程中是如何保证安全和完整性的。另外,RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额,这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC,利用SQL Server数据库保存和访问用户配置文件。 • RADIUS认证系统的组成 • RADIUS是一种C/S结构的协议。Radius Client一般是指与NAS通信的、处理用户上网验证的软件;Radius Server一般是指认证服务器上的计费和用户验证软件。Server与Client通信进行认证处理,这两个软件都是遵循RFC相关Radius协议设计的。RADIUS的客户端最初就是NAS,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。如下图。 • RADIUS的工作原理 • 用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、口令等相关信息。其中用户口令是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播。RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证。如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问。如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
8.2.3 基于802.1x的认证 (1)用户开始上网时,启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时,就会向请求者发送响应的包,要求用户输入登录用户名及口令。 (2)客户端收到交换机的响应后,提供身份标识给认证服务器。由于此时客户端还未经过验证,因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器,进行认证。 (3)如果认证通过,则认证系统的交换机的受控逻辑端口打开。 (4)客户端软件发起DHCP请求,经认证交换机转发到DHCP Server。 (5)DHCP Server为用户分配IP地址。 (6)DHCP Server分配的地址信息返回给认证系统的服务器,服务器记录用户的相关信息,如用户ID,MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限。 (7)当认证交换机检测到用户的上网流量,就会向认证服务器发送计费信息,开始对用户计费。 (8)当用户退出网络时间,可用鼠标点击客户端软件(在用户上网期间,该软件处于运行状态)的“退出”按钮。认证系统检测到该数据包后,会通知AAA(Authentication,Authorization,Accounting)服务器停止计费,并删除用户的相关信息(如MAC和IP地址),受控逻辑端口关闭。用户进入再认证状态。 (9)如果上网的PC机异常死机,当验证设备检测不到PC机在线状态后,则认为用户已经下线,即向认证服务器发送终止计费的信息。
8.2.4 几种认证方式比较 PPPoE+Radius: PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段,广播只能在二层网络,才能发现宽带接入服务器。因此,也就决定了在客户机和服务器之间,不能有路由器或三层交换机。另外,由于PPPoE点对点的本质,在客户机和服务器之间,限制了组播协议存在。这样,将会在一定程度上,影响视频业务的开展。除此之外,PPP协议需要再次封装到以太网中,所以效率较低。
Web+Radius • Web+Radius认证是网络用户连接Internet时常采用的一种技术方案。如图8.8所示。这种认证方式是通过IE浏览器访问Radius服务器,用户在登录界面输入“用户名+口令”。Radius服务器检查用户名、口令是否正确,若认证通过,用户即可访问外网。该技术方案的优点是客户机无需配置认证协议,用户账号可以在局域网内漫游。其缺点是账号可能被盗用,也不能防止IP地址盗。与PPPoE一样,用户连接外网的性能受制于Radius服务器的性能。
802.1x+ Radius • 802.1x+Radius技术方案与前两种不同。Radius服务器连接在核心交换机,通过支持802.1x协议的交换机,在PC机连接网络时进行认证。如图8.9所示。这种认证方式也称为安全可信接入认证 .
8.2.5 IP地址设置与防盗用 • IP地址自动设置
8.2.5 防止IP地址盗用 2. 使用ARP命令 (1)使用操作系统的ARP命令 进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP –s 202.208.176.3 00-10-5C-AD-72-E3,即可把MAC地址00-10-5C-AD-72-E3和IP地址202.208.176.3捆绑在一起。这样,就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。 ARP命令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后,地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。 ARP命令的参数的功能如下:ARP -s -d -a -s:将相应的IP地址与物理地址的捆绑,如以上所举的例子。 -d:删除相应的IP地址与物理地址的捆绑。 -a:通过查询ARP协议表显示IP地址和对应物理地址的情况。 (2)使用交换机的ARP命令 例如,Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定,一般采用静态绑定。其绑定操作过程是:采用Telnet命令或Console口连接交换机,进入特权模式;输入config,进入全局配置模式;输入绑定命令:arp 202.208.176.3 0010.5CAD.72E3 arpa;至此,即可完成绑定。绑定的解除,在全局配置模式下输入:no arp 202.208.176.3即可。
8.2.5 防止IP地址盗用 3. 使用802.1x的安全接入防止IP盗用 (1)采用IP和账号绑定,防止静态IP冲突 用户进行802.1x认证时,用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证时,因为认证服务器端该用户账号和其IP做了绑定,认证服务器对其不予通过认证,从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后,再更改IP时,Radius客户端软件能够检测到IP的更改,即刻剔除用户下线,从而不会造成IP冲突。 (2)采用客户IP属性校验,防止动态IP冲突 用户进行802.1X认证前不用动态获得IP,而是静态指定。认证前用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证,因为认证服务器端该用户账号的IP属性是动态IP,认证报文中该用户的IP属性确是静态IP,则认证服务器对其不予通过认证,从而同样不会造成IP冲突。
8.3 操作系统安全设置 操作系统是Web服务器的基础,虽然操作系统本身在不断完善,对攻击的抵抗能力日益提高,但是要提供完整的系统安全保证,仍然有许多安全配置和管理工作要做。
