小型局域网络的构建.docx

1、小型局域网络的构建网络信息安全课程设计 -小型企业网络设计方案目录一、 概述 31.1引言 31.2入侵检测的历史 31.3 入侵检测的概念.31.4防火墙 41.5入侵检测和法律问题.4二、企业网内部网络方案 52.1设计方案 52.1.1实现目标 52.1.2设备需求 52.2防火墙部署方案 6 2.2.1防火墙核心技术 7 2.2.2本次防火墙技术分析 72.3入侵检测系统部署方案 8 2.3.1入侵检测系统分类 9 2.3.2本次入侵检测技术分析 102.4拓扑设计 11三、典型网络入侵方法分析 123.1口令破解 123.2缓冲区溢出 133.3社会工程学 14四、心得体会 14五、

2、参考书目 14一、概述1.1引言随着社会的日益信息化，网络成为进步的代名词。经济推动了网络的普遍化，企业的发展壮大也日益和企业网络的构建密不可分。相对的，出现了窃取、攻击企业网的网络入侵行为，为了维护网络的正常使用规则和企业的机密信息，网络的安全性日益为大家所关注，入侵检测系统也逐渐为大家所知。1.2入侵检测系统的历史“二次世界大战前的生活是简单的朴素的，而这次以后我们有了系统。” Admiral Grace Hopper但对不熟悉网络安全的人们解释入侵检测的时候，描述入侵检测系统的作用通常是很容易的。入侵检测系统就是“计算机和网络防止小偷的报警系统”，或者说“入侵检测系统探索闯入计算机系统的

3、入侵者并及时报警”。最初的入侵检测吧传统的电子数据处理，安全审计，最优模式匹配及统计技术融合在一起。而现在入侵检测成为现代网络安全技术的重要组成部分。1.3入侵检测的概念 安全领域的一句名言是：“预防是理想的，但检测是必须的”。只要允许内部网络与Internet相连，攻击者入侵的危险就是存在的。新的漏洞每周都会发现，而保护网络不被攻击者攻击或有效的抵挡攻击行为是构建网络的重点。所谓入侵就是任何企图破坏资源的完整性、保密性和可用性的行为集合。入侵检测（Intrusion Detection）是对入侵行为的发觉，是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术。如何识别那些XX而使用计算

4、机系统的非法用户和那些对系统有访问权限但滥用其特权的用户就需要进行入侵检测。1.4防火墙 传统意义上的防火墙用于控制实际的火灾，使火灾被限制在建筑物的某部分，不会蔓延到其他区域。而网络安全中的防火墙则是用于保护网络免受恶意行为的侵害，并阻止其非法行为的网络设备或系统，它作为一个安全网络的边界点，在不同的网络区域之间进行流量的访问控制。防火墙建立后，他就是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过他。而只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防火墙到达企业内部网。因此，防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影响。简而言之，防火墙是位于

5、两个(或多个)网络间，实施访问控制策略的一个或一组组件集合。 1.5入侵检测和法律问题 在网络入侵事件的调查中存在着严重的法律问题。有时候，入侵检测的目标是非常奇怪的，带有对窃听者或者追踪犯罪攻击的法律限制。法律培训应该成为你的系统安全员工好操作员工培训的计划中的必要部分。监视和追踪入侵者不是一个只依靠自己就能完成的任务。如果必要的话，接受专家的法律建议和法律执行机构的支持是迟早的事。在你的安全程序中应该制定一些规定，考虑到证据的产生和控制以一种保持完整性，冗余性和兼管的连续性。计算机系统的犯罪行为包括：a未经许可的进入b偷窃计算机系统的信息c未经许可修改计算机系统或者内容1.6入侵检测的将来

6、需要a将来的社会趋势随着社会的发展，因特网对世界经济的影响使全球的市场经济发展飞速。无论是个人还是企业对网络的需求越来越大。而隐私成为一个经济的驱动力，用户对自己隐私保护的需求也逐年增强，然而保护隐私的金融机构将促进许多安全市场的形成。b将来技术的趋势网络结构的变化给入侵安全监测带来新的问题，当网络访问是连续的时候，攻击的机会也会像流星火焰一样。而开放源代码的软件并不能客观的提高网络和用户的使用安全，把信息看作是财富的商家会想方设法保护这些信息，这就提出了对安全产品和服务的要求。随着无线网络的进步，安全入侵检测更是受到挑战。C未来的安全趋势在以后的网络安全监测中，管理越来越重要，良好的管理可以

7、事半功倍，这样为用户提供了更好的保护隐私的措施，而用户也应该提高网络安全意识，在网络上注意自己的信息安全。加强自己的信息质量和访问控制，使用加密。在一些比较重要的信息进行密码设计，提高安全性。二、企业网内部网络方案2.1设计方案2.1.1实现目标 实现企业网的基本设计，该设计有如下要求： 具有私有编制方案； 接入Internet； 网络内部具有敏感数据； 同时为Internet提供多网络服务； 具有比较严格的安全体系。设计该企业内部网络，并设计防火墙及入侵检测系统部署方案。2.1.2设备需求根据实验目标分析，设计过程中需要用到的设备包括:具有交换功能的路由器、普通路由器、二三层交换机、各种服务

8、器（WWW、FTP、EMAIL、WEB、代理）、具有防火墙功能的软硬件、入侵检测系统以及若干主机和跳线。2.2防火墙部署方案部署防火墙之前首先要了解防火墙的作用，防火墙主要有如下功能： 限制网络服务 对内部用户防范不足 不能防范旁路连接 不适合进行病毒检测 无法防范数据驱动型攻击 无法防范所有的威胁 防火墙配置比较困难 无法防范内部人员泄露机密信息 防火墙对网络访问速度有影响 单失效点 理论上分析防火墙有两种部署方案，具体使用哪种视情况而定。 从设备部署位置上看，防火墙要部署在本地受保护区域与外部网络的交界点上。 从具体的实现上看，防火墙运行在任何要实现访问控制功能的设备上。 下图为防火墙在网

9、络中的常见位置： 本次企业内部网的高级防火墙设计就采用上述防火墙的常见位置设计。2.2.1防火墙核心技术防火墙核心技术包括包过滤技术、状态检测技术以及代理技术.包过滤技术是最早、最基本的访问控制技术，又称报文过滤技术。其作用是执行边界访问控制功能，即对网络通信数据进行过滤（filtering，亦称筛选）。其工作对象是数据包。对TCP/IP协议族来说，包过滤技术主要对其数据包包头的各个字段进行操作。安全过滤规则是包过滤技术的核心，是组织或机构的整体安全策略中网络安全策略部分的直接体现。包过滤技术必须在操作系统协议栈处理数据包之前拦截数据包，即防火墙模块应该被设置在操作系统协议栈网络层之下，数据链

10、路层之上的位置上。包过滤防火墙将包头各个字段的内容与安全过滤规则进行逐条地比较判断，直至找到一条相符的规则为止。如果没有相符的规则，则执行默认的规则。具体实现包过滤技术的设备通常分为过滤路由器和访问控制服务器两类。状态检测技术是根据连接的“状态”进行检查。当一个连接的初始数据报文到达执行状态检测的防火墙时，首先要检查该报文是否符合安全过滤规则的规定。如果该报文与规定相符合，则将该连接的信息记录下来并自动添加一条允许该连接通过的过滤规则，然后向目的地转发该报文。以后凡是属于该连接的数据防火墙一律予以放行，包括从内向外的和从外向内的双向数据流。在通信结束、释放该连接以后，防火墙将自动地删除关于该连

11、接的过滤规则。动态过滤规则存储在连接状态表中并由防火墙维护。为了更好地为用户提供网络服务以及更精确地执行安全过滤，状态检测技术往往需要察看网络层和应用层的信息，但主要还是在传输层上工作。代理技术是通过在代理服务器上安装特殊的代理代码来实现的。对于不同的应用层服务需要有不同的代理代码。防火墙管理员可以通过配置不同的代理代码来控制代理服务器提供的代理服务种类。代理程序的实现可以只有服务器端代码，也可以同时拥有服务器端和客户端代码。代理服务器通常安装在堡垒主机或者双宿主网关上。2.2.2本次防火墙技术分析 在企业网络的内部网与外部网之间安装防火墙，维护企业内部网的稳定，依赖于防火墙的三项核心技术。包

12、过滤技术依赖于过滤规则的设定，内部网可以根据安全需求等级设置过滤规则，组织内部网按照过滤规则决定是否接收各个协议下的垃圾数据包，以便维护网络的稳定性和安全性。包过滤技术在技术上有很多优点。首先，包过滤技术实现简单、快速，经典的解决方案只需要在内部网络与外部网络之间的路由器上安装过滤模块即可；包过滤技术的实现对用户是透明的，用户无需改变自己的网络访问行为模式，也不需要在主机上安装任何的客户端软件，更不用进行任何的培训；包过滤技术的检查规则相对简单，因此检查操作耗时极短，执行效率非常高，不会给用户网络的性能带来不利的影响。但是，包过滤技术存在过滤思想简单，规则维护困难，控制层次低的问题，这时候就需

13、要状态检测技术来弥补这方面的不足。状态检测的安全性比静态包过滤技术高，因为状态检测机制可以区分连接的发起方与接收方；可以通过状态分析阻断更多的复杂攻击行为；可以通过分析打开相应的端口而不是“一刀切”，要么全打开要么全不打开。与静态包过滤技术相比，状态检测技术提升了防火墙的性能。然而它也存在一些小问题， 例如它主要工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高，而且检查内容多，对防火墙的性能提出了更高的要求。相对于包过滤技术而言，代理技术能够为用户提供更高的安全等级。代理技术也有很多具体应用，例如隐藏内部主机、过滤内容、提供系统性能、保证安全、阻断URL、保护EMAIL等。它提供

14、了高速缓存，同时因为代理服务器屏蔽了内部网络，所以阻止了一切对内部网络的探测活动。代理技术可以更有效地对内容进行过滤，也减少了内部主机受到直接攻击的危险。代理防火墙的过滤规则比包过滤防火墙的过滤规则更简单。2.3入侵检测系统部署方案 光有防火墙对于企业内部网络的构建是不够的，因此我们必须了解入侵检测的作用： 识别并阻断系统活动中存在的已知攻击行为，防止入侵行为对受保护系统造成损害。 识别并阻断系统用户的违法操作行为或者越权操作行为，防止用户对受保护系统有意或者无意的破坏。 检查受保护系统的重要组成部分以及各种数据文件的完整性。 审计并弥补系统中存在的弱点和漏洞，其中最重要的一点是审计并纠正错误

15、的系统配置信息。 记录并分析用户和系统的行为，描述这些行为变化的正常区域，进而识别异常的活动。 通过蜜罐等技术手段记录入侵者的信息、分析入侵者的目的和行为特征，优化系统安全策略。 加强组织或机构对系统和用户的监督与控制能力，提高管理水平和管理质量。 2.3.1入侵检测系统分类 入侵检测系统根据分类标准的不同可以分成很多种。a. 根据目标系统的类型1.基于主机（Host-Based）的入侵检测系统。通常，基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警，以采取措

16、施。2.基于网络（Network-Based）的入侵检测系统。基于网络的入侵检测系统使用原始网络数据包作为数据源。基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。a. 根据入侵检测系统分析的数据来源1. 主机系统日志2. 原始的网络数据包3. 应用程序的日志4. 防火墙报警日志5. 其它入侵检测系统的报警信息 b. 根据入侵检测分析方法1. 异常入侵检测系统。异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。2. 误用入侵检测系统。误用入侵检测系统根据已知入侵攻击的信息（知识、模式等）来检测系统中的入侵和攻

17、击。c. 根据检测系统对入侵攻击的响应方式1. 主动的入侵检测系统。主动的入侵检测系统在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户（可能的入侵者）退出系统以及关闭相关服务等对策和响应措施。 2. 被动的入侵检测系统。被动的入侵检测系统在检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则由系统管理员来完成。d. 根据系统各个模块运行的分布方式1. 集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，这种方式适用于网络环境比较简单的情况。 2. 分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上，一

18、般来说分布性主要体现在数据收集模块上，如果网络环境比较复杂、数据量比较大，那么数据分析模块也会分布，一般是按照层次性的原则进行组织的。 2.3.2本次入侵检测技术分析 入侵检测系统的构架包括管理者和代理。所谓管理者就是向代理发送查询请求，定义管理代理的规则和策略。代理就是向管理者汇报网络中主机传输信息的情况，负责监视网络安全。 对于入侵检测系统来说，其类型不同、应用环境不同，部署方案也就会有所差别。对于基于主机的入侵检测系统来说，它一般是用于保护关键主机或服务器，因此只要将它部署到这些关键主机或服务器中即可。但是对于基于网络的入侵检测系统来说，根据网络环境的不同，其部署方案也就会有所不同。我这

19、次部署的是存在防火墙的入侵检测系统。如果遇到异常的入侵检测，异常检测的假设是入侵者活动异常于正常主体的活动。这种活动存在4种可能：入侵性而非异常、非入侵性且异常、非入侵性且非异常、入侵且异常。如果能够建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。 异常检测的优点是可以发现未知的入侵行为，同时有一定的学习能力。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”（误报）或忽略真正的“入侵”

20、行为（漏报）。对于异常阀值与特征的选择是异常发现技术的关键。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。例如当用户合法的改变行为模式时（如使用新的应用程序）系统会误报；入侵者可通过对正常行为模式缓慢的偏离使系统逐渐适应使系统漏报；对于新用户，系统的学习阶段何时结束不易确定，同时在该阶段难以对用户进行正常的检测。另外，大多IDS是基于单包检查的，协议分析得不够，因此无法识别伪装或变形的网络攻击，也造成大量漏报和误报 2.4拓扑设计三、典型网络入侵方法分析典型网络入侵方法主要有三类1. 主机渗透攻击方法、2.

21、 特洛伊木马攻击3. 其他攻击方法本设计主要就口令破解、缓冲区溢出、社会工程学三方面进行分析。3.1口令破解帐户是一种参考上下文，操作系统在这个上下文描述符运行它的大部分代码。换一种说法，所有的用户模式代码在一个用户帐户的上下文中运行。即使是那些在任何人都没有登录之前就运行的代码也是运行在一个帐户（特殊的本地系统账户SYSTEM）的上下文中的。如果用户使用帐户凭据（用户名和口令）成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。口令破解是获得系统最高权限帐户的最有效的途径之一。 按照使用的操作系统，主要有Windows口令文件的格式及安全机制和Unix口令文件的格式及安全机制。 口令

22、破译有很多种方法，归纳总结起来就是如下四种：1. 暴力破解。暴力破解基本上是一种被动攻击的方式。黑客在知道用户的账户号后，利用一些专门的软件强行破解用户口令，这种方法不受网段限限制，但需要有足够的耐心和时间。这些工具软件可以自动地从黑客字典中取出一个单词一，作为用户的口令输入给远端的主机，申请进入系统。2. 登录界面攻击法。黑客可以在被攻击的主机上，利用程序伪造一个登录界面，以骗取用户的账号和密码。当用户在这个伪造四界面个键入登录信息后，程序可将用户的输入信息记录并传送到黑客的主机，然后关闭界面，给出提示信息“系统故障”或“输入错误”，要求用户重新输入。3. 网络监听。黑客可以通过网络监听非法

23、得到的用户口令，这类方法有一定的局限性，但危害性极大。由于很多网络协议根本就没有彩任何加密或身份认证技术，如在telnet、FTP、HTTP、SMTP等传输协议中，用户账号和密码信息都是以文明格式传输的，此时若黑客利用数据包截取工具便可很容易收集到用户的账号和密码。另外，黑客有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得用户密码。4. 密码探测。 大多数情况下，操作系统保存和传送密码都要经过一个加密处理的过程，完全看不出原始密码的模样。而且理论上要逆向还原密码的几率几乎为零。但黑客可以利用密码探测的工具，反复模拟编程过程，并将编出和密码与加加密后的密码相比较，

24、如果两者相同，就表示得到了正确的密码。3.2缓冲区溢出缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能，这样可以使得攻击者取得程序的控制权，如果该程序具有足够的权限，那么整个主机就被控制了。一般而言，攻击者攻击root程序，然后执行类似“exec(sh)”的执行代码来获得root的shell，但不一直是这样的。为了达到这个目的，攻击者必须达到如下的两个目标:1. 在程序的地址空间里安排适当的代码。2. 通过适当地初始化寄存器和存储器，让程序跳转到我们安排的地址空间执行。缓冲区溢出攻击之所以成为一种常见安全攻击手段的原因在于缓冲区溢出漏洞太普遍，并且易于实现。而且，缓冲区溢出漏洞给予了攻

25、击者他所想要的一切：植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的控制权。缓冲区溢出攻击的实例包括：1.Outlook 缓冲区溢出。Microsoft Outlook 和Outlook Express 的所有版本都存在一个缓冲区溢出问题。远程攻击者可能在接受邮件的主机上执行任意代码。这个安全问题出在Outlook 对邮件头中GMT（时区）域的处理部分。由于INETCOMM.DLL缺乏对GMT 域的长度检查，恶意用户可以构造一封特殊的邮件，在GMT 域输入一段很长的字符串，就会导致outlook 发生溢出.1. 微软的IIS 4/3 缓冲区溢出

26、2. 微软的WebDav 溢出3.3社会工程学社会工程学也是一种攻击行为， 攻击者利用人际关系的互动性所发出的攻击：通常攻击者如果没有办法通过物理入侵的办法直接取得所需要的资料时，就会通过电子邮件或者电话对所需要的资料进行骗取，再利用这些资料获取主机的权限以达到其本身的目的。 很多社会工程学攻击是很复杂的，包括了周详的计划，并且综合运用了相当的技巧。建立信任就是一项社会工程学的手段，而且是相当重要手段。四、心得体会 网络安全包括很多方面，例如防火墙、日志、入侵检测系统等，而入侵检测与防火墙又是是网络安全中很重要的一块，学习他、实践他、应用它是对我们专业的一种尊重。 为了更好的完成本次设计，查询了很多资料，发现自己对网络安全这块真的了解的不够深入，很多技术都还朦朦胧胧，例如企业网的编制方案、入侵检测的部署方案、入侵原理等。因此，我深刻的反省了自己，再次认真的查找有关网络安全的相关资料，希望能尽最大的努力做出像样的课程设计！ 通过这次的课程设计我学到了很多，对网络安全有了一个新的认识。越来越觉得自己选择学网络是一个正确的决定，在网络的世界里，也是丰富多彩的。不仅需要丰富的网络知识，还要有一定的管理能力。希望通过这次的学习我可以在这条路上走得更远.五、参考书目入侵检测技术防火墙、入侵检测与VPN信息安全