TCPIP交换网络安全.docx
《TCPIP交换网络安全.docx》由会员分享,可在线阅读,更多相关《TCPIP交换网络安全.docx(32页珍藏版)》请在冰豆网上搜索。
TCPIP交换网络安全
Lesson28交换网络安全
一、设备访问安全
物理安全
口令
Enable密码:
从用户模式进入特权模式时使用的密码
Console密码:
Console线登陆的密码
VTY密码:
Telnet登陆密码
密码加密显示:
servicepassword‐encryption
密码最小长度:
securitypasswordmin‐length[0‐16]
控制特定的主机访问:
access‐list1permithost192.168.5.8
118
Linevty04
Access‐class1in
用户名和密码:
缺省都是cisco
创建:
usernameciscopasswordbluefox
Linevty04
Loginlocal#用户账号优先
Passwordhaohaoxuexi
特权级别
16个级别:
0~1:
用户模式,权限低
15:
特权模式,拥有全局权限
2~14:
自定义级别
Privilegeexec/configlevel2routerospf
Enalbesecretlevel2123456
Enable2
******
SSH:
Usernameciscopasswordbluefox
Cryptokeygeneratersa#modulus1024
Linevty04
Transportinputssh
二、AAA
基于C/S
服务器:
安装了Cisco的ACS软件的OS或者其他的一些服务器软件。
华为的Cams,锐
捷的Sams。
安全协议:
XiaoGe@XiaoGe119
Tacacs+:
采用TCP49
Radius:
采用UDP1812,1813
开启AAA服务:
Aaanew‐model
Radius‐serverhost192.168.3.8
Radius‐serverkeybluefox
AAA认证的配置:
Aaaauthenticationlogindefaultgroupradiuslocalnone
Logindefault作用于所有线路模式下的密码
Aaaauthenticationlogint24groupradiuslocal
Linevty04
Loginauthenticationt24
AAA授权的配置
Aaanew‐model
Tacacs‐serverhost192.168.3.8keybluefox
Aaaauthorizationcommanddefaultgrouptacacs+local
Usernamexiaogeprivilege5passwordcisco
AAA审计的配置
Aaaaccountingcommanddefaultstart‐stoptacacs+
【返回目录】
120
Lesson29802.1x
802.1x客户端:
能够支持802.1x,能发起EAP报文的PC终端(802.1x软件或系统自带)
802.1x认证代理
802.1x认证服务器(AAA服务器)
802.1x认证协议:
EAP,ExtendAuthenticationProtocol,扩展认证协议
EAPoL:
EAPoverLan
EAPoRadius:
EAPoverRadius
EAP工作模式:
透传:
将EAP报文封装在Radius中
终结:
直接封装在Radius报文中
CodeIdentifierLengthTypeType‐data
Code:
1:
‐‐‐‐‐Request
2:
‐‐‐‐‐Response
3:
‐‐‐‐‐Success
4:
‐‐‐‐‐Failure
Identifier:
用于匹配对应的Request和Response,每一个Request就有一个Response,
相当于TCP的序列号。
Type:
1:
Identifier
2:
Notification
3:
Nak(ResponseOnly)
4:
MD5‐Challege
5:
One‐TimePassword
6:
GenericTokenCard
各数据包完成的任务:
1:
802.1x客户端发起EAPoL的连接。
2:
AAAClient请求802.1x客户端的用户名。
3:
802.1x客户端把用户名发送给AAAClient。
4:
AAAClient把用户名发送给AAAServer。
提取AAAClient发来的用户名,查找服务器
的数据库找到相应的密码并产生一个随机数,把(用户名、密码、随机数)进行MD5散列
码计算,存储这个结果。
5:
把用户名和随机数发送给AAAClient
6:
AAAClient发用户名和密码发送给802.1x客户端,客户端软件根据用户输入的用户
名和密码并使用接收到的随机数进行MD5计算,产生一个结果。
7:
客户端把这个结果发送给AAAClient
8:
AAAClient把这个结果发送给AAAServer
9:
AAAServer根据这个结果来匹配自己的产生的值,匹配成功则返回成功,否则返回
失败,或重新连接。
10:
AAAClient把成功或失败的消息告诉给802.1x客户端,如果成功则开发此端口,不
成功则继续连接或超时作其他策略,如GuestVlan等。
122
802.1x端口状态:
受控端口
非受控端口
802.1x认证配置:
客户端:
安装802.1x客户端软件
代理:
Aaanew‐model
Radius‐serverhost192.168.3.8keybluefox
Aaaauthenticationdot1xdefautlgroupradiuslocal
Dot1xsystem‐authentication‐control
Intf0/1;swmoac;dot1xport‐controlauto
服务端:
指定AAA客户端、添加用户名和密码
802.1x的高级特性:
GuestVlan:
将预先配置的Vlan用来做GuestVlan
Intf0/2;dot1xguestvlan8
需要用Pvlan、ACL等控制Pvlan的策略
基于用户的Vlan:
账号与Vland的对应关系,该账号拥有的权限
基于用户的ACL:
ACL语句写在AAA服务器上
【返回目录】
XiaoGe@XiaoGe123
Lesson30交换网络中的ACL
一、ACL的作用
流量的定义
访问控制
二、ACL的分类
IP流
非IP流
三、ACL的查询规则
自上而下的查找顺序
四、交换网络中的ACL
Racl:
路由ACL
应用于交换机三层接口上的ACL(IP流的ACL)
Pacl:
端口ACL
应用于交换机二层接口的ACL,只对In方向的匹配,可以定义IP流和非IP流
Mac‐Acl:
Macaccess‐list1denymac_pc1
Intf0/2;macaccess‐group1in
Vlan‐map:
定义ACL:
定义数据流
Vlan‐map:
决定数据流的行为
Access‐list100permit192.168.2.00.0.0.255192.168.2.00.0.0.255
Vlanaccess‐mapbluefox10
124
Matchipaddress100
Actiondrop
Vlanfilterbluefoxvlan2
【返回目录】
Lesson31Pvlan与端口镜像
一、Pvlan技术
定义:
Vlan内部再划分Vlan,二个层次Vlan,内部Vlan叫子(辅助)Vlan,外部Vlan
叫主Vlan
应用背景:
智能小区、商务写字楼、城域以太网
操作机制:
Vlan的分类:
主Vlan、子Vlan
团体Vlan:
内部数据可以通讯
隔离Vlan:
内部数据不可以通讯
接口的类型:
团体Vlan端口:
位于团体Vlan的那个端口
隔离Vlan端口:
位于隔离Vlan的那个端口
混杂端口:
可以与子Vlan内所有的端口通讯
华为交换机的混杂端口:
允许不同的Vlan内的数据通过这个端口并且不打标
记!
二、端口镜像技术
SPAN:
目标端口:
安装网络分析仪的那个端口(IDS/IPS)
XiaoGe@XiaoGe125
源端口:
被监控的那些设备所连的端口流经源端口的数据复制一份发送给目标端口
本地SPAN:
远程SPAN:
RSPAN‐Vlan:
专门承载被捕获的流量
三、应用场景
PVLAN主要应用于电信级网络和写字楼网络
端口镜像应用于网络分析和接IDS/IPS的环境
三、基本配置
1.更改模式:
Vtpmodetransparent
2.创建主Vlan
Vlan20
Private‐vlanprimary
3.创建私有Vlan
Vlan201
Private‐vlanisolated//隔离Vlan
Vlan202
Private‐vlancommunity//团体Vlan
4.关联私有Vlan到主Vlan下面
Vlan20
Private‐vlanassociation201‐202
126
5.更改接口模式
Intf0/2
Switchmodeprivate‐vlanhost/promiscuous//主机模式、混杂模式
Switchprivate‐vlanhost‐association20201//主机模式关联对应的主私Vlan
Switchprivate‐vlanhost‐association20201‐202//主机模式关联对应的主(所
有)私Vlan
6.在对应的主Vlan的SVI接口上映射私有Vlan
Intvlan2
Ipadda.b.c.d*.*.*.*
Private‐vlanmapping201‐202
【返回目录】
Lesson32DHCP
一、DHCP的基本情况
CS工作模式:
二、DHCP的配置
Windows
非Windows(IOS)
Servicedhcp
Ipdhcprelayinformationoption
Ipdhcppoolvlan2
XiaoGe@XiaoGe127
Network192.168.2.0255.255.255.0
Default‐router192.168.2.254
Dns‐server202.103.96.112
Netbios‐name‐server~
Lease~
Ipdhcpexcluded‐address192.168.2.250192.168.2.254
Ipdhcppingpackets3
三、DHCP的安全威胁
DHCP服务器冒充
DHCPDoS攻击
ARP攻击
IP地址欺骗
四、DHCP的安全威胁的解决方案
DHCPSnooping:
解决DHCP服务器的冒充;为DHCPDos、ARP攻击、IP欺骗提供帮助。
定义信任端口与非信任端口来防止DHCPServer的冒充
信任端口:
所有DHCP报文都可以流通
非信任端口:
不允许从这个端口出去的DHCPAck和DHCPOffer包
DAI:
DynamicARPInspection
基于端口进行ARP报文的检测(参照物:
DHCPSnoopingBinding)
解决ARP攻击
IPSourceGuard:
利用DHCPSnoopingBinding表的信息,检查交换机端口上所有过滤的流量;可以
检测IP地址甚至Mac地址是否为DHCP服务器合法分配的,如果不是则丢弃该数据
解决IP地址的冲突问题~
128
【返回目录】
Lesson33链路与介质
一、100M链路
100Base‐TX
介质:
UTP双绞线(5类、超5类)
传输距离:
100m
连接器:
RJ‐45
应用场景:
设备‐‐‐终端
100Base‐FX
62.5um‐mmF:
400m(半双工)、2000m(全双工)
9um‐smF:
10km
介质:
光纤
光缆:
适应于室外,建筑物之间
跳线:
两头都有连接器
尾纤:
一头有连接器
单模:
激光二极管,距离远,黄色
多模:
发光二极管,10km以内,橙色
光纤连接器:
GBIC:
非主流
SFP:
主流
接头:
LC:
用来接SFP
SC:
用来接GBIC
FC:
用来光端机、光纤配线架
MT‐RJ:
应用场景:
建筑内部互连或与服务器的连接
光纤收发器:
应用于局域网的光电转换
XiaoGe@XiaoGe129
二、1000M链路
1000Base‐TX:
超5类双绞线,100m,RJ‐45
1000Base‐SX:
短波光纤,62.5/50um‐MMF,850nm,275m/550m
1000Base‐LX:
长波光纤,1300nm,62.5/50/9,400m/550m/10km
1000Base‐ZX:
超长波光纤,1500nm,9um,750km
GBIC型号:
GBIC‐5483:
1000Base‐TX
GBIC‐5484:
1000Base‐SX
GBIC‐5486:
1000Base‐LX
GBIC‐5487:
1000Base‐ZX
SPF型号:
GLC‐T:
GLC‐SX‐MM:
GLC‐LH‐SM:
GLC‐ZX‐SM:
三、10000M链路
10G‐Base‐SR:
<850nm,介质:
62.5um‐‐‐33m,50um‐‐‐66m~300m
连接器:
LC、SC、FC
10G‐Base‐LR:
1310nm,介质:
9um‐SMF,10km,LC/SC
10G‐Base‐ZR:
1550nm,介质:
9um‐SMF,40km,LC/SC
10G‐Base‐LX4:
1310nm,WWDM
130
10G‐Base‐TX:
双绞线标准
Catalyst:
3750、4500、6500、4900支持10G接口
【返回目录】
FirewallTechnology
Lesson34Firewall
一、定义
控制介于网络之间不同区域的流量,是一套系统或设备
保护内网资源,免受攻击(隔离+保护)
二、部署
基于主机FW:
天网、瑞星、卡巴、金山毒霸等(分布式)
优点:
简单、易用
缺点:
管理困难
基于网络FW:
使用网络设备保护并隔离网络流量(集中式)
优点:
管理方便
缺点:
需要一定的网络基础
XiaoGe@XiaoGe131
三、OSI七层模型__
层次功能
应用层如何与用户交互
表示层确定数据类型
会话层建立、监控、拆除连接
传输层提供可靠与非可靠的传输
网络层定义逻辑地址
链路层定义物理地址
物理层定义物理链路的特性
四、ICMP
差错报告报文:
终点不可达、原点抑制、超时等
查询报文:
回送请求与回答等
ICMP报文包括8个字节的首部和可变长的数据部分
类型代码校验和
首部的其余部分
数据部分
常见的PING命令就是利用了ICMP的回送请求和回送回答报文
回送请求报文的类型是8、代码是0
回送回答报文的类型是0、代码是0
相关的攻击:
PingofDeath:
PingFlood:
Smurf:
132
五、传输层
TCP、UDP
产生ISN的方法:
以一定的值增加,64K规则
与时间有关的产生规则
伪随机数的产生规则(PIX、ASA)
相关的攻击:
SYNFlood:
UDPFlood:
六、应用层
七、服务层面和工作层面
服务层面:
2、3、4、5、7
工作层面:
2、3
八、根据FW服务层面的不同进行分类
类别服务层面
包过滤FW3、4
状态FW3、4、5
应用网关FW3、4、5、7
NATFW3、4
主机FW3、4、7
混合FW2、3、4、5、7
PIX/ASA属于混合FW
Lesson35各类FW介绍
一、包过滤FW
概述:
简单、利用ACL工作,可以过滤IP包、协议数据、UDP/TCP包
优点:
处理快、配置简单
缺点:
不能防范应用层攻击;配置过多;不支持应用层认证
场景:
第一道防线(边界路由器)
二、状态FW
概述:
跟踪连接的状态:
初始化状态、数据传输状态、终止状态。
把这些状态维持
在一张连接表中,数据通过时,查找这张连接表。
优点:
弥补包过滤FW的缺点(单向访问)
缺点:
不是所有协议都有状态,所以就需要模拟状态,ICMP、UDP利用计时器来
模拟;不能防范应用层攻击;不支持应用层认证
场景:
带状态的边界路由器
有状态ACL:
自反ACL、CBAC(Context‐BasedAccessControl)
134
三、应用网关FW(AGF)
概述:
又叫代理FW,使用软件
分类:
CGF:
连接网关FW;首先截取用户连接并发给用户一个认证的请求提示,认
证通过后并维持一张用户合法信息表。
对用户的每个数据包进行应用层检测。
安全性高,但处理速度慢。
CTP:
又叫直通式代理;首先截取用户连接并发生给用户一个认证提示,认证
通过后并维持一张合法信息表。
对用户数据进行3、4层过滤。
优点:
支持应用层认证和应用层检测
缺点:
只有少数协议支持该类FW的触发认证:
HTTP、TELNET、FTP
场景:
四、NATFW
概述:
为了解决IP地址紧缺而使用NAT
优点:
缺点:
延时大、有些应用不支持NAT
场景:
边界路由器
五、主机FW
概述:
就是在个人PC或服务器上安装杀毒软件或其他安全软件
优点:
方便、易使用
缺点:
管理困难
场景:
个人PC、服务器
六、混合FW
典型设备:
PIX、ASA
支持功能:
DHCP、VPN、IDS、IPS、URLFiltering、路由协议
XiaoGe@XiaoGe135
【返回目录】
Lesson36PIX
一、作用
控制介于不同网络区域流量的设备(每个接口定义一个安全级别)
穿过FW的连接分类
OutBound:
从高安全级别到低安全级别
InBound:
从低安全级别到高安全级别
FW的默认行为
OutBound是允许通信的
InBound是不允许通信的,需要ACL放通
FW的处理流程
OutBound初始化检测Xlate表Conn表ACLUauth表检测引擎
136
二、配置文件
运行配置文件:
正在运行的配置文件
启动配置文件:
保存在Nvram里的配置文件,作为启动加载的
清除运行配置文件:
clearconfigureall/?
//可以清除特定的配置
清除启动配置文件:
writeerase
保存配置文件:
writememorycopyrunning‐configstartup‐config
三、工作模式
路由防火墙模式:
转发数据依靠路由表,还需查找安全策略
透明模式:
从PIX7.0开始,可以将FW作为一台二层设备,无需IP地址,但必须
配置管理地址;维持一张Mac地址表;不洪泛未知单播;不支持NAT。
四、透明FW的应用场景
五、透明FW的配置
修改模式:
firewalltransparent
配置接口:
nameif*****security0‐100
管理地址:
ipaddressa.b.c.d……
其他配置:
放通流量(非TCP、UDP流量)
XiaoGe@XiaoGe137
ARP检测:
防止ARP欺骗;ARP默认都放通;
首先手工建立一张合法ARP表
FW检测ARP应答包的IP和Mac地址对应关系与合法的ARP表的匹配关系
匹配成功则允许通过FW
匹配不成功则认为是非法的或是欺骗的ARP,FW丢弃之
如果没有找到匹配的项,FW的处理则依据配置来转发或丢弃,默认是洪泛的!
ARP配置:
定义合法的ARP表:
arpif_nameipmac
启用ARP检测:
arp‐inspectionif_nameenable[flood/no‐flood]
【返回目录】
Lesson37PIX2
一、接口安全级别相同的互访
不同接口相同级别:
same‐security‐trafficpermitinter‐interface
相同接口相同级别:
same‐security‐trafficpermitintra‐interface
二、FW的机型和硬件体系
PIX‐‐‐500Series:
501、506E、515E、525、535
ASA‐‐‐5500Series:
5505、5510、5520、5540、5550、5580‐20、5580‐40
138
CiscoIOSFirewall:
(ISR)带“8”的型号都支持
Cisco800、1800、2800、3800
FWSM:
6500/7600
基于x86:
受制于PCI总线、CPU、内存的限制
内嵌Linux+web:
基于ASIC:
基于NP(NetworkProcessor):
NP+ASIC:
三、FW性能指标
PIX501PIX506EPIX515EPIX525PIX535
吞吐量60M100M190M330M1.7G
VPN支持3‐3.4M15‐25M130M145M425M
10个25个2000个2000个2000
连接数75001000012800280000500000
硬件结构1个2个6个支持支持
10M10/100M1000M10000M
虚拟FW‐‐‐‐‐‐√√√
FO√√√
四、ASA
该系列设备集成了PIX500/IPS‐4200/VPN‐3000的最新技术
高级防火墙服务:
IPS服务(AIP‐SSM):
Anti‐X服务(CSC‐SSM):
与趋势科技合作的
IPSec/SS