TCPIP交换网络安全.docx

TCPIP交换网络安全.docx

《TCPIP交换网络安全.docx》由会员分享，可在线阅读，更多相关《TCPIP交换网络安全.docx（32页珍藏版）》请在冰豆网上搜索。

TCPIP交换网络安全

Lesson28交换网络安全

一、设备访问安全

物理安全

口令

Enable密码：

从用户模式进入特权模式时使用的密码

Console密码：

Console线登陆的密码

VTY密码：

Telnet登陆密码

密码加密显示：

servicepassword‐encryption

密码最小长度：

securitypasswordmin‐length[0‐16]

控制特定的主机访问：

access‐list1permithost192.168.5.8

118

Linevty04

Access‐class1in

用户名和密码：

缺省都是cisco

创建：

usernameciscopasswordbluefox

Linevty04

Loginlocal#用户账号优先

Passwordhaohaoxuexi

特权级别

16个级别：

0~1：

用户模式，权限低

15：

特权模式，拥有全局权限

2~14：

自定义级别

Privilegeexec/configlevel2routerospf

Enalbesecretlevel2123456

Enable2

******

SSH：

Usernameciscopasswordbluefox

Cryptokeygeneratersa#modulus1024

Linevty04

Transportinputssh

二、AAA

基于C/S

服务器：

安装了Cisco的ACS软件的OS或者其他的一些服务器软件。

华为的Cams，锐

捷的Sams。

安全协议：

XiaoGe@XiaoGe119

Tacacs+：

采用TCP49

Radius：

采用UDP1812，1813

开启AAA服务：

Aaanew‐model

Radius‐serverhost192.168.3.8

Radius‐serverkeybluefox

AAA认证的配置：

Aaaauthenticationlogindefaultgroupradiuslocalnone

Logindefault作用于所有线路模式下的密码

Aaaauthenticationlogint24groupradiuslocal

Linevty04

Loginauthenticationt24

AAA授权的配置

Aaanew‐model

Tacacs‐serverhost192.168.3.8keybluefox

Aaaauthorizationcommanddefaultgrouptacacs+local

Usernamexiaogeprivilege5passwordcisco

AAA审计的配置

Aaaaccountingcommanddefaultstart‐stoptacacs+

【返回目录】

120

Lesson29802.1x

802.1x客户端：

能够支持802.1x，能发起EAP报文的PC终端（802.1x软件或系统自带）

802.1x认证代理

802.1x认证服务器（AAA服务器）

802.1x认证协议：

EAP，ExtendAuthenticationProtocol，扩展认证协议

EAPoL：

EAPoverLan

EAPoRadius：

EAPoverRadius

EAP工作模式：

透传：

将EAP报文封装在Radius中

终结：

直接封装在Radius报文中

CodeIdentifierLengthTypeType‐data

Code：

1：

‐‐‐‐‐Request

2：

‐‐‐‐‐Response

3：

‐‐‐‐‐Success

4：

‐‐‐‐‐Failure

Identifier：

用于匹配对应的Request和Response，每一个Request就有一个Response，

相当于TCP的序列号。

Type：

1：

Identifier

2：

Notification

3：

Nak（ResponseOnly）

4：

MD5‐Challege

5：

One‐TimePassword

6：

GenericTokenCard

各数据包完成的任务：

1：

802.1x客户端发起EAPoL的连接。

2：

AAAClient请求802.1x客户端的用户名。

3：

802.1x客户端把用户名发送给AAAClient。

4：

AAAClient把用户名发送给AAAServer。

提取AAAClient发来的用户名，查找服务器

的数据库找到相应的密码并产生一个随机数，把（用户名、密码、随机数）进行MD5散列

码计算，存储这个结果。

5：

把用户名和随机数发送给AAAClient

6：

AAAClient发用户名和密码发送给802.1x客户端，客户端软件根据用户输入的用户

名和密码并使用接收到的随机数进行MD5计算，产生一个结果。

7：

客户端把这个结果发送给AAAClient

8：

AAAClient把这个结果发送给AAAServer

9：

AAAServer根据这个结果来匹配自己的产生的值，匹配成功则返回成功，否则返回

失败，或重新连接。

10：

AAAClient把成功或失败的消息告诉给802.1x客户端，如果成功则开发此端口，不

成功则继续连接或超时作其他策略，如GuestVlan等。

122

802.1x端口状态：

受控端口

非受控端口

802.1x认证配置：

客户端：

安装802.1x客户端软件

代理：

Aaanew‐model

Radius‐serverhost192.168.3.8keybluefox

Aaaauthenticationdot1xdefautlgroupradiuslocal

Dot1xsystem‐authentication‐control

Intf0/1;swmoac;dot1xport‐controlauto

服务端：

指定AAA客户端、添加用户名和密码

802.1x的高级特性：

GuestVlan：

将预先配置的Vlan用来做GuestVlan

Intf0/2;dot1xguestvlan8

需要用Pvlan、ACL等控制Pvlan的策略

基于用户的Vlan：

账号与Vland的对应关系，该账号拥有的权限

基于用户的ACL：

ACL语句写在AAA服务器上

【返回目录】

XiaoGe@XiaoGe123

Lesson30交换网络中的ACL

一、ACL的作用

流量的定义

访问控制

二、ACL的分类

IP流

非IP流

三、ACL的查询规则

自上而下的查找顺序

四、交换网络中的ACL

Racl：

路由ACL

应用于交换机三层接口上的ACL（IP流的ACL）

Pacl：

端口ACL

应用于交换机二层接口的ACL，只对In方向的匹配，可以定义IP流和非IP流

Mac‐Acl：

Macaccess‐list1denymac_pc1

Intf0/2;macaccess‐group1in

Vlan‐map：

定义ACL：

定义数据流

Vlan‐map：

决定数据流的行为

Access‐list100permit192.168.2.00.0.0.255192.168.2.00.0.0.255

Vlanaccess‐mapbluefox10

124

Matchipaddress100

Actiondrop

Vlanfilterbluefoxvlan2

【返回目录】

Lesson31Pvlan与端口镜像

一、Pvlan技术

定义：

Vlan内部再划分Vlan，二个层次Vlan，内部Vlan叫子（辅助）Vlan，外部Vlan

叫主Vlan

应用背景：

智能小区、商务写字楼、城域以太网

操作机制：

Vlan的分类：

主Vlan、子Vlan

团体Vlan：

内部数据可以通讯

隔离Vlan：

内部数据不可以通讯

接口的类型：

团体Vlan端口：

位于团体Vlan的那个端口

隔离Vlan端口：

位于隔离Vlan的那个端口

混杂端口：

可以与子Vlan内所有的端口通讯

华为交换机的混杂端口：

允许不同的Vlan内的数据通过这个端口并且不打标

记！

二、端口镜像技术

SPAN：

目标端口：

安装网络分析仪的那个端口（IDS/IPS）

XiaoGe@XiaoGe125

源端口：

被监控的那些设备所连的端口流经源端口的数据复制一份发送给目标端口

本地SPAN：

远程SPAN：

RSPAN‐Vlan：

专门承载被捕获的流量

三、应用场景

PVLAN主要应用于电信级网络和写字楼网络

端口镜像应用于网络分析和接IDS/IPS的环境

三、基本配置

1.更改模式：

Vtpmodetransparent

2.创建主Vlan

Vlan20

Private‐vlanprimary

3.创建私有Vlan

Vlan201

Private‐vlanisolated//隔离Vlan

Vlan202

Private‐vlancommunity//团体Vlan

4.关联私有Vlan到主Vlan下面

Vlan20

Private‐vlanassociation201‐202

126

5.更改接口模式

Intf0/2

Switchmodeprivate‐vlanhost/promiscuous//主机模式、混杂模式

Switchprivate‐vlanhost‐association20201//主机模式关联对应的主私Vlan

Switchprivate‐vlanhost‐association20201‐202//主机模式关联对应的主（所

有）私Vlan

6.在对应的主Vlan的SVI接口上映射私有Vlan

Intvlan2

Ipadda.b.c.d*.*.*.*

Private‐vlanmapping201‐202

【返回目录】

Lesson32DHCP

一、DHCP的基本情况

CS工作模式：

二、DHCP的配置

Windows

非Windows（IOS）

Servicedhcp

Ipdhcprelayinformationoption

Ipdhcppoolvlan2

XiaoGe@XiaoGe127

Network192.168.2.0255.255.255.0

Default‐router192.168.2.254

Dns‐server202.103.96.112

Netbios‐name‐server~

Lease~

Ipdhcpexcluded‐address192.168.2.250192.168.2.254

Ipdhcppingpackets3

三、DHCP的安全威胁

DHCP服务器冒充

DHCPDoS攻击

ARP攻击

IP地址欺骗

四、DHCP的安全威胁的解决方案

DHCPSnooping：

解决DHCP服务器的冒充；为DHCPDos、ARP攻击、IP欺骗提供帮助。

定义信任端口与非信任端口来防止DHCPServer的冒充

信任端口：

所有DHCP报文都可以流通

非信任端口：

不允许从这个端口出去的DHCPAck和DHCPOffer包

DAI：

DynamicARPInspection

基于端口进行ARP报文的检测（参照物：

DHCPSnoopingBinding）

解决ARP攻击

IPSourceGuard：

利用DHCPSnoopingBinding表的信息，检查交换机端口上所有过滤的流量；可以

检测IP地址甚至Mac地址是否为DHCP服务器合法分配的，如果不是则丢弃该数据

解决IP地址的冲突问题~

128

【返回目录】

Lesson33链路与介质

一、100M链路

􀀶100Base‐TX

介质：

UTP双绞线（5类、超5类）

传输距离：

100m

连接器：

RJ‐45

应用场景：

设备‐‐‐终端

􀀶100Base‐FX

62.5um‐mmF：

400m（半双工）、2000m（全双工）

9um‐smF：

10km

介质：

光纤

光缆：

适应于室外，建筑物之间

跳线：

两头都有连接器

尾纤：

一头有连接器

单模：

激光二极管，距离远，黄色

多模：

发光二极管，10km以内，橙色

光纤连接器：

GBIC：

非主流

SFP：

主流

接头：

LC：

用来接SFP

SC：

用来接GBIC

FC：

用来光端机、光纤配线架

MT‐RJ：

应用场景：

建筑内部互连或与服务器的连接

光纤收发器：

应用于局域网的光电转换

XiaoGe@XiaoGe129

二、1000M链路

􀀶1000Base‐TX：

超5类双绞线，100m，RJ‐45

􀀶1000Base‐SX：

短波光纤，62.5/50um‐MMF，850nm，275m/550m

􀀶1000Base‐LX：

长波光纤，1300nm，62.5/50/9，400m/550m/10km

􀀶1000Base‐ZX：

超长波光纤，1500nm，9um，750km

􀂗GBIC型号：

GBIC‐5483：

1000Base‐TX

GBIC‐5484：

1000Base‐SX

GBIC‐5486：

1000Base‐LX

GBIC‐5487：

1000Base‐ZX

􀂗SPF型号：

GLC‐T：

GLC‐SX‐MM：

GLC‐LH‐SM：

GLC‐ZX‐SM：

三、10000M链路

10G‐Base‐SR：

<850nm，介质：

62.5um‐‐‐33m，50um‐‐‐66m~300m

连接器：

LC、SC、FC

10G‐Base‐LR：

1310nm，介质：

9um‐SMF，10km，LC/SC

10G‐Base‐ZR：

1550nm，介质：

9um‐SMF，40km，LC/SC

10G‐Base‐LX4：

1310nm，WWDM

130

10G‐Base‐TX：

双绞线标准

Catalyst：

3750、4500、6500、4900支持10G接口

【返回目录】

FirewallTechnology

Lesson34Firewall

一、定义

控制介于网络之间不同区域的流量，是一套系统或设备

保护内网资源，免受攻击（隔离+保护）

二、部署

􀁺基于主机FW：

天网、瑞星、卡巴、金山毒霸等（分布式）

优点：

简单、易用

缺点：

管理困难

􀁺基于网络FW：

使用网络设备保护并隔离网络流量（集中式）

优点：

管理方便

缺点：

需要一定的网络基础

XiaoGe@XiaoGe131

三、OSI七层模型__

层次功能

应用层如何与用户交互

表示层确定数据类型

会话层建立、监控、拆除连接

传输层提供可靠与非可靠的传输

网络层定义逻辑地址

链路层定义物理地址

物理层定义物理链路的特性

四、ICMP

􀁺差错报告报文：

终点不可达、原点抑制、超时等

􀁺查询报文：

回送请求与回答等

ICMP报文包括8个字节的首部和可变长的数据部分

类型代码校验和

首部的其余部分

数据部分

常见的PING命令就是利用了ICMP的回送请求和回送回答报文

􀂋回送请求报文的类型是8、代码是0

􀂋回送回答报文的类型是0、代码是0

相关的攻击：

PingofDeath：

PingFlood：

Smurf：

132

五、传输层

TCP、UDP

产生ISN的方法：

􀂄以一定的值增加，64K规则

􀂄与时间有关的产生规则

􀂄伪随机数的产生规则（PIX、ASA）

相关的攻击：

SYNFlood：

UDPFlood：

六、应用层

七、服务层面和工作层面

服务层面：

2、3、4、5、7

工作层面：

2、3

八、根据FW服务层面的不同进行分类

类别服务层面

包过滤FW3、4

状态FW3、4、5

应用网关FW3、4、5、7

NATFW3、4

主机FW3、4、7

混合FW2、3、4、5、7

PIX/ASA属于混合FW

Lesson35各类FW介绍

一、包过滤FW

􀁺概述：

简单、利用ACL工作，可以过滤IP包、协议数据、UDP/TCP包

􀁺优点：

处理快、配置简单

􀁺缺点：

不能防范应用层攻击；配置过多；不支持应用层认证

􀁺场景：

第一道防线（边界路由器）

二、状态FW

􀁺概述：

跟踪连接的状态：

初始化状态、数据传输状态、终止状态。

把这些状态维持

在一张连接表中，数据通过时，查找这张连接表。

􀁺优点：

弥补包过滤FW的缺点（单向访问）

􀁺缺点：

不是所有协议都有状态，所以就需要模拟状态，ICMP、UDP利用计时器来

模拟；不能防范应用层攻击；不支持应用层认证

􀁺场景：

带状态的边界路由器

有状态ACL：

自反ACL、CBAC（Context‐BasedAccessControl）

134

三、应用网关FW（AGF）

􀁺概述：

又叫代理FW，使用软件

􀁺分类：

􀂄CGF：

连接网关FW；首先截取用户连接并发给用户一个认证的请求提示，认

证通过后并维持一张用户合法信息表。

对用户的每个数据包进行应用层检测。

安全性高，但处理速度慢。

􀂄CTP：

又叫直通式代理；首先截取用户连接并发生给用户一个认证提示，认证

通过后并维持一张合法信息表。

对用户数据进行3、4层过滤。

􀁺优点：

支持应用层认证和应用层检测

􀁺缺点：

只有少数协议支持该类FW的触发认证：

HTTP、TELNET、FTP

􀁺场景：

四、NATFW

􀁺概述：

为了解决IP地址紧缺而使用NAT

􀁺优点：

􀁺缺点：

延时大、有些应用不支持NAT

􀁺场景：

边界路由器

五、主机FW

􀁺概述：

就是在个人PC或服务器上安装杀毒软件或其他安全软件

􀁺优点：

方便、易使用

􀁺缺点：

管理困难

􀁺场景：

个人PC、服务器

六、混合FW

􀁺典型设备：

PIX、ASA

􀁺支持功能：

DHCP、VPN、IDS、IPS、URLFiltering、路由协议

XiaoGe@XiaoGe135

【返回目录】

Lesson36PIX

一、作用

􀁺控制介于不同网络区域流量的设备（每个接口定义一个安全级别）

􀁺穿过FW的连接分类

OutBound：

从高安全级别到低安全级别

InBound：

从低安全级别到高安全级别

􀁺FW的默认行为

􀂗OutBound是允许通信的

􀂗InBound是不允许通信的，需要ACL放通

􀁺FW的处理流程

OutBound􀃆初始化检测􀃆Xlate表􀃆Conn表􀃆ACL􀃆Uauth表􀃆检测引擎

136

二、配置文件

􀁺运行配置文件：

正在运行的配置文件

􀁺启动配置文件：

保存在Nvram里的配置文件，作为启动加载的

􀁺清除运行配置文件：

clearconfigureall/?

//可以清除特定的配置

􀁺清除启动配置文件：

writeerase

􀁺保存配置文件：

writememorycopyrunning‐configstartup‐config

三、工作模式

􀁺路由防火墙模式：

转发数据依靠路由表，还需查找安全策略

􀁺透明模式：

从PIX7.0开始，可以将FW作为一台二层设备，无需IP地址，但必须

配置管理地址；维持一张Mac地址表；不洪泛未知单播；不支持NAT。

四、透明FW的应用场景

五、透明FW的配置

􀁺修改模式：

firewalltransparent

􀁺配置接口：

nameif*****security0‐100

􀁺管理地址：

ipaddressa.b.c.d……

􀁺其他配置：

放通流量（非TCP、UDP流量）

XiaoGe@XiaoGe137

􀁺ARP检测：

防止ARP欺骗；ARP默认都放通；

􀂄首先手工建立一张合法ARP表

􀂄FW检测ARP应答包的IP和Mac地址对应关系与合法的ARP表的匹配关系

􀂄匹配成功则允许通过FW

􀂄匹配不成功则认为是非法的或是欺骗的ARP，FW丢弃之

􀂄如果没有找到匹配的项，FW的处理则依据配置来转发或丢弃，默认是洪泛的！

􀁺ARP配置：

􀂄定义合法的ARP表：

arpif_nameipmac

􀂄启用ARP检测：

arp‐inspectionif_nameenable[flood/no‐flood]

【返回目录】

Lesson37PIX2

一、接口安全级别相同的互访

不同接口相同级别：

same‐security‐trafficpermitinter‐interface

相同接口相同级别：

same‐security‐trafficpermitintra‐interface

二、FW的机型和硬件体系

􀁺PIX‐‐‐500Series：

501、506E、515E、525、535

􀁺ASA‐‐‐5500Series：

5505、5510、5520、5540、5550、5580‐20、5580‐40

138

􀁺CiscoIOSFirewall：

（ISR）带“8”的型号都支持

Cisco800、1800、2800、3800

􀁺FWSM：

6500/7600

􀁺基于x86：

受制于PCI总线、CPU、内存的限制

􀁺内嵌Linux+web：

􀁺基于ASIC：

􀁺基于NP（NetworkProcessor）：

􀁺NP+ASIC：

三、FW性能指标

PIX501PIX506EPIX515EPIX525PIX535

吞吐量60M100M190M330M1.7G

VPN支持3‐3.4M15‐25M130M145M425M

10个25个2000个2000个2000

连接数75001000012800280000500000

硬件结构1个2个6个支持支持

10M10/100M1000M10000M

虚拟FW‐‐‐‐‐‐√√√

FO√√√

四、ASA

􀁺该系列设备集成了PIX500/IPS‐4200/VPN‐3000的最新技术

􀁺高级防火墙服务：

􀁺IPS服务（AIP‐SSM）：

􀁺Anti‐X服务（CSC‐SSM）：

与趋势科技合作的

􀁺IPSec/SS