NGN承载网安全.ppt

NGN承载网安全基础,内容提要,NGN承载网安全概述NGN承载网安全规划 相关TCP/IP知识防火墙核心技术介绍NAT技术和ALG技术常见网络攻击,NGN承载网安全概述,传统PSTN网络的特点NGN网络的特点和风险NGN网络安全需求,NGN承载网安全概述,传统PSTN网络的特点终端傻瓜化：简单，一般不具备复杂的功能；资源控制：网络对每个用户的资源使用严格控制(64K/128K等)；呼叫接纳控制：在大量用户同时使用网络的情况下，支持的用户数取决于网络的带宽。多级组网：整个网络由多级构成，存在接入层、汇聚层设备；一般出现问题时也只是影响局部用户，破坏力有限；,NGN承载网安全概述,NGN网络的特点和风险终端智能化倾向：终端的能力较强；引入软终端：软终端的使用导致在NGN网络中引入了许多IP网的固有安全问题，如DOS攻击等；资源不受控：比如一个语音终端可以使用超过128Kbps的流量；平面组网结构：大部分NGN网络架构是终端/AG等设备直接接入，软交换直接对终端可见，报文可以直达软交换等设备。软交换等设备容易受攻击；,NGN承载网安全概述,NGN网络的特点和风险IP网络常见的攻击：DOS攻击，包括SYN Flooding，UDP Flooding，ICMP Flooding；DOS攻击在NGN网络中的新类型：信令报文泛洪攻击(Signaling Flooding)媒体流泛洪攻击(Media Flooding),NGN承载网安全概述,NGN网络的安全需求防范DOS攻击，尤其是信令报文的DOS攻击隐藏NGN网络拓扑：NGN核心设备对终端不直接可见；对终端资源进行限制：比如对呼叫占用的带宽进行限制；防范通常IP网络的攻击；其他：如防止终端非法漫游等。,内容提要,NGN承载网安全概述NGN承载网安全规划 相关TCP/IP知识防火墙核心技术介绍NAT技术和ALG技术,NGN承载网安全规划,根据不同的功能、安全级别划分区域,NGN承载网安全规划,在不同的区域之间设置访问控制策略,A15020MGC与USBS之间的私有协议；A2CMC client 与CMC1300之间的私有协议；D3CMC client 与CMC1300之间的私有协议。,NGN承载网安全规划,其他注意事项策略具有单向性，A-B，B-A双向都需要设置；策略中应该只允许业务需要的报文通过，拒绝其他所有报文；安全策略应该不断完善和更新，随着上层应用的变化而变化的，而不是一成不变的。,NGN承载网安全规划,典型的两种规划方式方式A 1.所有NGN网络核心设备都安置在防火墙后端，得到安全保护。2.防火墙负荷较大，除了NGN信令消息流以外，还包括部分媒体流（主要为视频会议媒体流和录音通知媒体流）。方式B1.所有NGN网络主要纯信令核心设备都安置在防火墙后端。2.防火墙负荷较小，主要为NGN信令消息流，仅当需要远程维护时才会有用于操作堡垒PC的媒体流穿过防火墙。3.MCU和媒体服务器未受防火墙保护，相关的业务安全程度较低（主要为视频会议业务和录音通知相关业务）。,内容提要,NGN承载网安全概述NGN承载网安全规划 相关TCP/IP知识防火墙核心技术介绍NAT技术和ALG技术常见网络攻击,相关TCP/IP知识,为什么分层,相关TCP/IP知识,OSI七层模型,相关TCP/IP知识,TCP/IP五层模型,相关TCP/IP知识,TCP/IP协议栈,相关TCP/IP知识,TCP/IP协议数据封装,相关TCP/IP知识,应用层协议文件传输：FTP、TFTP邮件服务：SMTP、POP3网络管理：SNMP、Telnet网络服务：HTTP、DNS语音服务：SIP、H.323、H.248,相关TCP/IP知识,传输层协议,相关TCP/IP知识,TCP/UDP报文格式,相关TCP/IP知识,TCP/UDP的端口号 传输层协议用端口号来标识和区分各种上层应用程序。,相关TCP/IP知识,网络层协议,相关TCP/IP知识,IP报文格式,相关TCP/IP知识,ARP地址解析协议,相关TCP/IP知识,ICMP协议,内容提要,NGN承载网安全概述NGN承载网安全规划 相关TCP/IP知识防火墙核心技术介绍NAT技术和ALG技术常见网络攻击,防火墙核心技术介绍,防火墙的定义,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,防火墙核心技术介绍,简单包过滤防火墙 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。代理型防火墙 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server 来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做 到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。,防火墙的分类,防火墙核心技术介绍,简单包过滤防火墙,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,链路层,物理层,优点：速度快，性能高 对应用程序透明,缺点：不能根据状态信息进行控制 不能处理网络层以上的信息,网络层,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱,简单包过滤防火墙的工作原理,防火墙核心技术介绍,状态检测防火墙,应用层,表示层,会话层,传输层,链路层,物理层,应用层,表示层,会话层,传输层,链路层,物理层,应用层,表示层,会话层,传输层,链路层,物理层,抽取各层的状态信息建立动态状态表,网络层,网络层,网络层,根据通信和应用程序状态确定是否允许包的通行在数据包进入防火墙时就根据状态表进行识别和判断，无需重复查找ACL,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,不检查数据区建立连接状态表前后报文相关应用层控制很弱,建立连接状态表,状态检测包过滤防火墙的工作原理,防火墙核心技术介绍,应用代理技术介绍,应用层,表示层,会话层,传输层,链路层,物理层,应用层,表示层,会话层,传输层,链路层,物理层,应用层,表示层,会话层,传输层,链路层,物理层,优点：安全性高 提供应用层的安全,缺点：性能差 只支持有限的应用 对用户不透明,FTP,HTTP,SMTP,网络层,网络层,网络层,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查数据,不检查IP、TCP报头不建立连接状态表网络层保护比较弱,应用代理防火墙的工作原理,防火墙核心技术介绍,防火墙的基本工作流程 传统包过滤防火墙,防火墙核心技术介绍,防火墙的基本工作流程 状态检测防火墙,内容提要,NGN承载网安全概述NGN承载网安全规划 相关TCP/IP知识防火墙核心技术介绍NAT技术和ALG技术常见网络攻击,NAT技术,基本原理 修改数据包的源地址/端口和目的地址/端口，并生成一张转换对应关系表,NAT技术,三种实现方式静态地址转换(Static NAT)动态地址转换(Dynamic NAT)复用地址转换(Overloading NAT),NAT技术,三种实现方式静态地址转换(Static NAT)1.一对一地址转换 2.手工配置私有地址和公有地址的对应关系，一经配置，地址转换表永久存在。3.NAT转换表：,NAT技术,三种实现方式动态地址转换(Dynamic NAT)1.多对多地址转换 2.配置一个地址池，当需要地址转换的时候随机从地址池中选取一个地址。3.NAT转换表：。,NAT技术,三种实现方式复用地址转换(Overloading NAT)1.一对多地址转换，PAT，EasyIP 2.多个私有地址使用同一个公有地址进行地址转换，在tcp和udp中使用(ip,port)实现复用，在icmp中可以使用(ip,id)实现复用。3.NAT转换表：192.168.1.1，1024-202.106.1.1，32768 192.168.1.1，1025-202.106.1.2，32769。,NAT技术,具有NAT功能时数据包的转发流程,ALG技术,ALG(Application Level Gateway)NAT主要是通过对数据包的ip头中的ip地址和tcp(udp)头端口号进行修改，但是当一些应用协议的payload位中包含端口号或者ip地址的时候，常规的nat无法实现转换。因此需要有一种方法能读取到payload中的地址和端口，ALG是解决这种特殊应用穿越NAT的一种常用方式，该方法按照地址转换规则，对载荷中的IP地址和端口号进行替换，从而实现对该应用的透明中继。,ALG技术,普通NAT时 ftp的数据通信无法建立,NAT,控制连接三次握手,控制连接三次握手,Port 192.168.0.1,10,3,RETR test.txt,RETR test.txt,syn 192.168.0.10,2563,Port 192.168.0.1,10,3,X,ALG技术,使用了ALG后 可以对port命令修改，并产生相应的NAT表项,NAT,控制连接三次握手,控制连接三次握手,Port 192.168.0.1,10,3,Port 202.106.0.1,20,4,192.168.0.1,2563-202.106.0.1,5124,RETR test.txt,RETR test.txt,syn 202.106.0.1,5124,syn 192.168.0.1,2563,数据传送,ALG技术,其他的一些ALG应用 ICMP DNS H323 SIP,ALG技术,ALG技术对访问控制的增强 1.它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃；2.能够对某些攻击进行过滤；3.不能对所有的应用进行智能的报文过滤。,ALG技术,ALG技术对访问控制的增强 工作原理 针对单通道连接时：对于TCP数据包，因为TCP有状态机的概念，因此其工作过程为：1.收到syn报文时建立一条相应的session表项 2.收到后续的报文时检测acl，并更新session状态 3.收到fin，rst报文后删除session表项 对于udp数据包，因为udp没有状态机的概念，因此收到第一个报文认为发起连接，收到第一个返回报文认为连接建立,Session表项和ACL的删除取决于空闲超时,ALG技术,ALG技术对访问控制的增强 工作原理 针对多通道连接时：1.主控制通道的处理和单通道的tcp一致 2.其他控制通道或者数据通道的session和acl则需要检测主控制通道在应用层中的信息来建立 3.典型的应用有ftp、h323、rstp、sip,ALG技术,ALG技术对访问控制的增强 一些注意事项 1.有些网络质量不是很好，数据包的响应时间比较长，有可能超过session表项的超时时间，导致数据包被丢弃;2.必须保证状态表项的完整性和及时更新，数据包出去和返回的通路必须一致.,内容提要,NGN承载网安全概述NGN承载网安全规划 相关TCP/IP知识防火墙核心技术介绍NAT技术和ALG技术常见网络攻击,常见网络攻击,单报文攻击FraggleIp spoofLandSmurfTcp flagWinnukeip-fragment,常见网络攻击,分片报文攻击Tear DropPing of death拒绝服务类攻击SYN FloodUDP Flood&ICMP Flood扫描IP sweepPort scan,常见网络攻击,Fraggle特征：UDP报文，目的端口7（echo）或19（Character Generator）目的：echo服务会将发送给这个端口的报文再次发送回去Character Generator服务会回复无效的字符串攻击者伪冒受害者地址，向目的地址为广播地址的上述端口，发送请求，会导致受害者被回应报文泛滥攻击如果将二者互指，源、目的都是广播地址，会造成网络带宽被占满原理：过滤UDP类型的目的端口号为7或19的报文,常见网络攻击,IP Spoof特征：地址伪冒目的：伪造IP地址发送报文原理：对源地址进行路由表查找，如果发现报文进入接口不是本机所认为的这个IP地址的出接口，丢弃报文,常见网络攻击,Land特征：源目的地址都是受害者的IP地址，或者源地址为127这个网段的地址目的：导致被攻击设备向自己发送响应报文，通常用在syn flood攻击中配置：firewall defend land enable防范原理：对符合上述特征的报文丢弃,常见网络攻击,Smurf特征：伪冒受害者IP地址向广播地址发送ping echo目的：使受害者被网络上主机回复的响应淹没原理：丢弃目的地址为广播地址的报文,常见网络攻击,TCP flag特征：报文的所有可设置的标志都被标记，明显有冲突。比如同时设置SYN、FIN、RST等位目的：使被攻击主机因处理错误死机原理：丢弃符合特征的报文,常见网络攻击,Winnuke特征：设置了分片标志的IGMP报文，或针对139端口的设置了URG标志的报文目的：使被攻击设备因处理不当而死机原理：丢弃符合上述特征报文,常见网络攻击,Ip-frag特征：同时设置了DF和MF标志，或偏移量加报文长度超过65535目的：使被攻击设备因处理不当而死机原理：丢弃符合上述特征报文,常见网络攻击,Tear drop特征：分片报文后片和前片发生重叠目的：使被攻击设备因处理不当而死机或使报文通 过重组绕过防火墙访问内部端口原理：防火墙为分片报文建立数据结构，记录通过防火墙的分片报文的偏移量，一点发生重叠，丢弃报文,常见网络攻击,Ping of death特征：ping报文全长超过65535目的：使被攻击设备因处理不当而死机原理：检查报文长度如果最后分片的偏移量和本身长度相加超过65535，丢弃该分片,常见网络攻击,SYN Flood特征：向受害主机发送大量TCP连接请求报文目的：使被攻击设备消耗掉所有处理能力，无法响应正常用户的请求原理：防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理，代替受保护的主机回复请求，如果收到请求者的ACK报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话,常见网络攻击,UDP/ICMP Flood特征：向受害主机发送大量UDP/ICMP报文目的：使被攻击设备消耗掉所有处理能力原理：防火墙基于目的地址统计对每个IP地址收到的报文速率，超过设定的阈值上限，进行car,常见网络攻击,IP sweep特征：地址扫描，向一个网段内的IP地址发送报文 目的：用以判断是否存在活动的主机以及主机类型等信息，为后续攻击作准备原理：防火墙根据报文源地址进行统计，检查某个IP地址向外连接速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名单中进行隔离,常见网络攻击,Port scan特征：相同一个IP地址的不同端口发起连接目的：确定被扫描主机开放的服务，为后续攻击做准备原理：防火墙根据报文源地址进行统计，检查某个IP地址向同一个IP地址发起连接的速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名单中进行隔离,常见网络攻击,其他攻击Icmp redirectIcmp unreachableLarge icmpRoute recordTime stamptracert,谢谢!,