第七章 园区网安全技术.ppt

第七章园区网安全技术,教学目标,了解常见的网络安全隐患及常用防范技术；熟悉交换机端口安全功能及配置掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。,本章内容,网络安全隐患交换机端口安全IP访问控制列表,课程议题,网络安全隐患,常见的网络攻击,网络攻击手段多种多样，以下是最常见的几种,攻击不可避免,网络攻击原理日趋复杂，但攻击却变得越来越简单易操作,额外的不安全因素,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部个体,外部/组织,内部个体,内部/组织,现有网络安全体制,现有网络安全防御体制,IDS/IPS68%,杀毒软件99%,防火墙98%,ACL71%,现有网络安全体制,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,园区网常见攻击,网络攻击对各网络层次的影响,二层交换机工作原理,交换机初始化时MAC地址表是空的；,二层交换机工作原理,主机之间互相发送数据，交换机会学习数据帧的源MAC地址。,F0/1:0260.8c01.1111,二层交换机工作原理,F0/1:0260.8c01.1111,交换机MAC地址表中没有目的地址记录执行广播操作Flooding,二层交换机工作原理,F0/1:0260.8c01.1111,F0/2:0260.8c01.2222,F0/3:0260.8c01.3333,F0/4:0260.8c01.4444,主机之间互相发送数据，交换机会学习数据帧的源MAC地址。,二层交换机工作原理,F0/1:0260.8c01.1111,F0/2:0260.8c01.2222,F0/3:0260.8c01.3333,F0/4:0260.8c01.4444,已知单播帧：过滤操作Filtering,二层交换机工作原理,F0/1:0260.8c01.1111,F0/2:0260.8c01.2222,F0/3:0260.8c01.3333,F0/4:0260.8c01.4444,未知单播帧，广播帧：执行广播操作Flooding,二层攻击和防范,网络攻击对二层交换机产生的严重影响有：MAC攻击；DHCP攻击；ARP攻击；IP/MAC欺骗攻击；STP攻击；网络设备管理安全；,三层攻击和防范,网络攻击对三层交换机产生的严重影响有：MAC攻击；DHCP攻击；ARP攻击；IP/MAC欺骗攻击；DoS/DDoS攻击；IP扫描攻击；网络设备管理安全；,MAC攻击,MAC地址：链路层唯一标识,接入交换机,MAC攻击,流量：CB,流量：CB,流量：CB,单播流量在交换机内部以广播方式在所有端口转发，非法者也能够接收这些报文,MAC攻击,MAC攻击：交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部的MAC地址表；使得单播包在交换机内部变得像广播包一样向同一VLAN的所有端口转发；每个连接在交换机端口的客户端都会收到该数据包，交换机变成了一个HUB，用户的信息传输也没有了安全保障,DHCP攻击,DHCP协议,有DHCP服务器吗？,我是DHCP服务器,我需要你说的IP地址,你可以使用这个IP,DHCP协议相关标准请查阅RFC2131,DHCP攻击,DHCP攻击之一：恶意用户通过更换MAC地址方式向DHCP Server发送大量的DHCP请求，以消耗DHCP Server的可分配IP地址资源为目的；使得合法用户的IP地址请求无法实现。,DHCP攻击,PCClient,DHCPServer,DHCP攻击之一：恶意DHCP请求,攻击者不断变化MAC地址,IP Pool被耗尽,DHCP攻击,DHCP攻击之二：非法DHCP Server，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息；不仅导致合法用户的正常通信受到影响；还可能导致合法用户的信息被发往非法DHCP Server，严重影响用户的信息安全。,DHCP攻击,DHCP攻击之二：伪装DHCP Server,PCClient,DHCPServer,攻击者伪装成DHCP Server,ARP攻击,ARP协议按照IETF的规定，PC机在发出ARP响应时，不需要一定要先收到ARP请求报文；局域网任何一台计算机都可以向网上发出自己就是IP_A和MAC_A的对应者，这就为攻击者带来了漏洞。,ARP请求,非法ARP响应：IP_A MAC_C,ARP攻击,ARP攻击之一：ARP欺骗,发送ARP响应，告知192.168.10.2对应MAC C,刷新ARP表：192.168.10.2MAC C,发送ARP响应，告知192.168.10.1对应MAC C,刷新ARP表：192.168.10.1MAC C,ARP攻击,ARP攻击之二：ARP流量攻击,利用攻击软件，发送大量ARP请求和响应，报文中的IP地址和MAC均为伪造，随机填入：,IP/MAC欺骗攻击,IP/MAC欺骗攻击,IP/MAC欺骗攻击,IP/MAC欺骗攻击,IP/MAC欺骗攻击,STP攻击,DoS/DDoS攻击,DoS/DDoS攻击,DoS/DDoS攻击,课程议题,交换机端口安全,交换机端口安全,利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定,交换机端口安全基本概念,安全违例产生于以下情况：如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知地址（不是该端口的安全地址中的任何一个）的包Restrict：当违例产生时，将发送一个Trap通知Shutdown：当违例产生时，将关闭端口并发送一个Trap通知,配置安全端口,interface interface-id！进入接口配置模式。switchport port-security！打开接口的端口安全功能switchport port-security maximum value！设置接口上安全地址数，范围1128，缺省为128switchport port-security violation protect|restrict|shutdown！设置处理违例的方式switchport port-security mac-address mac-address ip-address ip-address！手工配置接口上的安全地址。,端口安全最大连接数配置,端口安全最大连接数配置switchport port-securityswitchport port-security maximum valueswitchport port-security violation protect|restrict|shutdown注意：端口安全功能只能在access端口上进行配置。当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。,配置安全端口,端口的安全地址绑定switchport port-security switchport port-security mac-address mac-address ip-address ip-address注意：端口安全功能只能在access端口上进行配置端口的安全地址绑定方式有：单MAC、单IP、MAC+IP,案例（一）,下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect,Switch#configure terminal Switch(config)#interface gigabitethernet 1/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect Switch(config-if)#end,案例（二）,下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202,Switch#configure terminalSwitch(config)#interface fastethernet 0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202Switch(config-if)#end,查看配置信息,Switch#show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins)-1 00d0.f800.073c 192.168.12.202 Configured Gi1/3 8 1 00d0.f800.3cc9 192.168.12.5 Configured Gi1/1 7,Switch#show port-security Secure Port MaxSecureAddr(count)CurrentAddr(count)Security Action-Gi1/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect,课程议题,IP访问控制列表,什么是访问列表,IP Access-listIP访问列表或访问控制列表，简称IP ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,为什么要使用访问列表,内网安全运行,访问外网的安全控制,访问列表,访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏,访问列表的组成,定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上访问控制列表规则的分类：标准访问控制列表扩展访问控制列表,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,访问列表的入栈应用,N,Y,是否允许?,Y,是否应用访问列表?,N,查找路由表进行选路转发,以ICMP信息通知源发送方,访问列表的出栈应用,N,Y,选择出口S0,路由是否存在?,N,Y,查看访问列表的陈述,是否允许?,Y,是否应用访问列表?,N,S0,S0,以ICMP信息通知源发送方,IP ACL的基本准则,一切未被允许的就是禁止的定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝”,一个访问列表多个测试条件,访问列表规则的定义,标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,IP标准访问列表,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP扩展访问列表,目的地址,源地址,协议,端口号,TCP/UDP,数据,IP,eg.HDLC,100-199 号列表,反掩码（通配符）,0表示检查相应的地址比特1表示不检查相应的地址比特,IP标准访问列表的配置,定义标准ACL编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩码命名的标准访问列表switch(config)#ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码应用ACL到接口Router(config-if)#ip access-group in|out,IP标准访问列表配置实例(一),配置：,access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny any)interface serial 1/2ip access-group 1 out,标准访问列表配置实例(二),需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置：,ip access-list standard abcpermit host 192.168.2.8 deny 192.168.2.0 0.0.0.255,财务192.168.1.0,教师192.168.2.0,192.168.2.8,F0/1,F0/2,F0/5,F0/6,F0/8,F0/9,F0/10,校长,IP扩展访问列表的配置,定义扩展的ACL编号的扩展ACLRouter(config)#access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACLip access-list extended name permit/deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 应用ACL到接口Router(config-if)#ip access-group in|out,IP扩展访问列表配置实例(一),如何创建一条扩展ACL该ACL有一条ACE，用于允许指定网络（192.168.x.x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络Router(config)#access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router#show access-lists 103,IP扩展访问列表配置实例(二),利用ACL隔离冲击波病毒,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out,访问列表的验证,显示全部的访问列表Router#show access-lists显示指定的访问列表Router#show access-lists 显示接口的访问列表应用Router#show ip interface 接口名称 接口编号,IP访问列表配置注意事项,一个端口在一个方向上只能应用一组ACL锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口，只能配置入栈应用(In)针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用访问列表的缺省规则是：拒绝所有,课程回顾,网络安全隐患交换机端口安全IP访问控制列表,休息,Q&A,