第8章网络安全V1.0_P解析

1、第八章网络安全讲师：韩立刚韩老师在线QQ答疑：458717185更多视频：第八章网络安全网络安全简介&2访问控制列表&3基于时间的访问控制列表&4使用ACL降低安全威胁&5 ACL的位置&6习题8.1网络安全简介在讲解在路由器上实现网络层安全之前，先给大家 从广义上介绍一下网络安全涉及的范围。8.1.1从OSI参考模型来看网络安全大家在工作中可能会听到这样的词“物理层安全”、 数据链路层安全”、“网络层安全”、“应用层 安全”，这些都是根据osi参考模型的分层来说的。下面针对OSI参考模型的层举一些安全的例子。1、物理层安全通过网络设备进行攻击：例Hub和无线AP进行攻击。物理层安全措施：使用

2、交换机替代Hub,给无线AP 配置密码实现无线设备的接入保护和实现数据加密 通信。8.1.1从OSI参考模型来看网络安全2、数据链路层安全数据链路层攻击举例：恶意获取数据或MAC地址，例如 ARP欺骗.ARP广播等等。数据链路层安全措施举例：在交换机的端口上控制连接计算 机的数量或绑定MAC地址或在交换机上划分VLAN也属十数 据链路层安全。ADSL拨号上网的账号和密码实现的是数据 链路层安全。3、网络层安全网络层攻击举例:IP Spoofing （IP欺骗）、Fragmentation Attacks （碎耳攻击）、Reassembly attacks （重组攻击）、PING of deat

3、h （Ping死攻击）。网络层安全措施举例：在路由器上设置访问控制列表和 IPSec 在WindowsJb实现的Windows防火墙和IPSec8.1.1从OSI参考模型来看网络安全4、传输层安全传输层攻击举例：Port Scan （端口扫描）、TCP reset attack （TCP重置攻击）、SYN DoS floods （SYN拒绝服务攻击）、LAND attack （LAND攻 击）、Session hijacking （会话劫持）5、应用层安全应用层攻击举例：MS-SQL Slammer worm缓冲 区溢出、IIS红色警报、EmaiI蠕虫、蠕虫，病毒， 木马、垃圾邮件、止漏洞。安

4、全措施：安装杀毒软件，更新操作系统。8.1.2典型的安全网络架构 一种典型的网络架构为如图所示的三向外围网，防火墙设备连接 Internet.内网和DMZ区。DMZ区部署了公司的对外的Web和Mail 服务器，一般是公网IP地址。内网是私网IP地址，一般不对Internet 用户提供服务，但是需要访问Interneto典型的网络架构一三向外国网8.1.2典型的安全网络架构另外一种典型的网络架构就是背靠背防火墙，如图所示，两个防火墙 之间是口“乙区.内网在后端防火墙后端。建议这两个防火墙不是同一 家公司的产品，这样入侵者要想入侵内网，就需要突破两个不同厂商 的防火墙，增加了难度。典型的网络架构一

5、背靠背防火墙内网 一 f前端防火瑕后塔防火墙8.1.2典型的安全网络架构&1.3防火墙种类防火墙总体上分为包过滤、应用级网关和代理服务器等几 大类型。1、数据包过滤数据包过滤(Packet Filtering)技术是在网络层对 数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被森为访间控制表(Access Control List)。数据包过滤又称为网络级别防火墙，网络级别的防火 墙很快，但是不能基于数据包的内容过滤数据。&1.3防火墙种类2、应用级网关应用级网关(Application Level Gateways)是在网络应 用层上建立协议过滤和转发功能，实际中的应用网关通常 安装在专

6、用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它 们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满 足逻辑，则防火墙内外的计算机系统建立直接联系，防火 墙外部的用户便有可能直接了解防火墙内部的网络结构和 运行状态，这有利于实施非法访问和攻击。&1.3防火墙种类3、代理服务代理服务(Proxy Service)也称链路级网关或TCP通道 (Circuit Level Gateways or TCP Tunnelso 它牛寺点是 将所有跨越防火墙的网络通信链路分为两段。防火墙内外 计算机系统间应用层的“链接“，由两个终止代理服务器 上的“链接”来实现，外部计算机的网络链路只能到

7、达代 理服务器，从而起到了隔离防火墙内外计算机系统的作 用。此外，代理服务也对过往的数据包进行分析、注册登 记，形成报告，同时当发现被攻击迹象时会向网络管理员 发出警报，并保留攻击痕迹。国内代理服务器软件有CCProxy,微软的代理服务器软 件ISA2006防火墙能有效地防止外来的入侵8.1.4常见的安全威胁IP大多与生俱来就是不安全的，让我们来分析一些常见的 攻击。1、应用层攻击这些攻击通常瞄准运行在服务器上的软件漏洞，比如服务 器运行FTP、Mail、HTTP服务都有可能有漏洞。2、Autorooters它像一种黑客机器人，恶意者使用它来探测、扫描并从目 标机器上捕获数据，装了rootki

8、t后的目标机像是在整个 系统中装了 “眼睛” 一样，自动监视着整个系统。8.1.4常见的安全威胁3、后门程序通往一个计算机或网络的简洁的路径。经过简单入 侵或是经过更精心设计的特洛伊木马代码，恶意者 可使用植入攻击进人一台指定的主机或是一个网络, 无论何时它们都可进入一一除非你发觉并阻止它们, 就是这样！8.1.4常见的安全威胁4、拒绝服务(DoS)和分布式拒绝服务器(DDoS) 攻击 TCPSYN泛洪攻击 发生在一个客户端发起表面上普通的TCP连接并 且发送SYN信息到一台服务器时，这台服务器通过发送SYN-ACK信 息到客户端进行响应，这样就通过往返ACK信息建立连按。当连按仅 有一半打开

9、的时候，受害的机器将完全被蜂拥而至的半打开连接所淹 没，最终导致瘫痪。 “死亡之ping”攻击这种攻击通过使用大量数据包进行ping操作来 实行，这些数据包可导致设备不间断地重启.停滞或是完全崩溃。8.1.4常见的安全威胁5、IP欺骗恶意者从你的网络内部或外部，以你的内部网络可信地址 或者使用可信的外部IP地址，来伪装成一台可信的主机。6、中间人攻击是通过各种技术手段将受入侵者控制的一台计算机虚拟放 置在网络连接中的两台通信计算机之间，这台计算机就称 为“中间人”。然后入侵者把这台计算机模拟一台或两台 原始计算机，使“中间人”能够与原始计算机建立活动连 接并允许其读取或修改传递的信息，然而两个

10、原始计算机 用户却认为他们是在互相通信。8.1.4常见的安全威胁7、网络侦察在侵人一个网络之前，黑客经常会收集所有关于这个网络 的信息，因为他们对这个网络知道得越多，越容易对它造 成危害。他们通过类似端口扫描、DNS查询、ping扫描等 方法实现他们的目标。8、包嗅探网络适配卡开始工作于混杂模式，它发送的所有包都可以 被一个特殊的应用程序从网络物理层偷取，并进行查看及 分类，包嗅探常偷取一些价值高、敏感的数据，其中包括 口令和用户名，在实施身份盗取时能获得超值的信息。8.1.4常见的安全威胁9、口令攻击这种攻击有许多方式，可经由多种较成熟类型的攻击实现, 这些攻击包括IP欺骗、包嗅探以及特洛伊

11、木马，它们唯一 的目的就是发现用户的口令，小偷就可以伪装成一个合法 的用户，访问用户的特许操作及资源。10、强暴攻击另一种面向软件的攻击，使用运行在目标网络的程序尝试 连接到某些类型的共享网络资源。如果访问账户拥有很多 特权，这些恶意者就可以开启后门，再次访问就可以完全 绕过口令。1 1、端口重定向攻击这种方法要求黑客已经侵人主机，并经由防火墙得到被&14常见的安全威胁12、特洛伊木马攻击和病毒特洛伊木马和病毒都使用恶意代码感染用户机器，使得 用户机器遭受不同程度的瘫痪、破坏甚至崩溃。病毒和特洛伊木马的区别在于，特洛伊木马是一个封装 了秘密代码的真正完整的应用程序，这些秘密代码使得它 们呈现为

12、完全不同的实体，表面上像是一个正常程序，但 具有破坏的本质。13、信任利用攻击这种攻击发生在内网之中，由某些人利用内网中的可信 关系来实施。例如，一个公司的非军事网络连接中通常运 行着类似SMTP、DNS以及HTTP服务器等重要的东西，一 旦和它们处在同一网段时，这些服务器很容易遭受攻击。8.2访问控制列表路由器不但能够在不同网段转发数据包，而且还能 够基于数据包的目标地址、源地址、协议和端口号 来过允许特定的数据包通过或拒绝通过。要实现这样的控制需要在路由器定义访问控制列表 （ACL）,并将这些ACL绑定到路由器的接口。下面介绍两种类型的访问控制列表，即标准访问控 制列表和扩展访问控制列表。

13、8.2.1标准访问控制列表这种访问列表只基于ip数据包的源ip地址作为转发还是 拒绝的条件。所有决定是基于源ip地址的。这意味着标 准的访问列表基本上允许或拒绝整个协议组。它们不区 分IP流量类型，例如Telnet. UDP等服务。打开第8章练习“01标准访问控制列表.pkt”，网络拓 扑如图所示，网络中的路由器和计算机的IP地址已经按 照拓扑中的标识地址配置完成，路由器上已经配置了相 应的路由。Router0是企业内网的路由器，内网有三个 网段，Routerl模拟的是Internet上的路由器。要求：只允许市场部和财务部的计算机访问Internet, 服务器组的计算机拒绝访问Internet

14、o8.2.1标准访问控制列表2&2.1标准访问控制列表总结:2每个接口、每个协议或每个方向只可以分派一个访问列表。这造味着如果创建了 IP 谊问列表，每个接口只能有一个入口访问列表和一个出口访问列表。2除非在访问列表耒辰有pt-rrnit nny 令.否则餉有和列表的测试条件祁不符合的数 据包将被丢弃每个列表应当至少有一个允许语句，否则将会拒绝所有流楚。，先创建访问列炭，然后将列表应用到一个接口。任何应用到一个揍口的访问列表如 果不是现成的访问列表，那么此列表不会过滤流量。“访问列茨设计为过滤通过路由器的流量，但不过滤跑由器产生的浪量。2&2.2修改现有的ACL继续以上的实验。上面的实验已经在

15、RouterO配置了标准的访问控制列表10.只允许市场部和财务部的计算机能够访问Internet,但是拒绝市场部计算机PC7访问Internet.我们看到ACL中的顺宇和添加时的顺序一致。路由器在应用访问控制列表时.会逐一从上到下tin.如果发现匹配的就不再卷査 ACL中后面的设査。拒纟电主机192】6S 2 2的第3杂不会用上.因为笫1条就己经己 经允许了。a因比需要焙第3金的设蛙放瓷第1茶的位豈.但是路由器没有给你捉供调整序序的 功能.你需要重新删除ACL.車新创建。吿诉你个技巧.你*以在记事本中ACL 服序胡轄好，将记事本中的内容在全局祈蓋琪式下氏接粘貼到爲ET器記置的CLI.&2.2修

16、改现有的ACL总结：1、组织好访问列表，要将更加具体的地址或网段放 在访问列表的最前面。2、任何时候访问列表添加新条目时，将把新条目放 置到列表的末尾。强烈推荐使用文本编辑器编辑访 问列表。3、不能从访问列表中删除一行。如果试着这样做， 将删除整个列表。最好在编辑列表之前将访问列表 复制到一个文本编辑器中。只有使用命名访问列表 时例外。8.2.3扩展访问控制列表打开第8章练习“02扩展访问控制列表.pkt”，网络拓扑如图要求：在RouterO上定义扩展ACL实现以下功能1. 允许市场部计算机能够访问INTERNET2. 允许财务部计算机只能访问Internet的ID.0.0.0/8网段的 We

17、b服务器3. 服务器组中的计算机能够ping通Internet的任何计算机实验步骤参照课本24使用访问控制列表保护路由器打开第8章练习“03使用ACL保护路由器安全.pkt,网络拓扑如图 所示，路由器和计算机的IP地址已经按照图示的地址配置，且路由器 已经配置telnet密码和enable密码，分别为hanlg和todd。现在任何 一个计算机都可以telnet路由器。Server2950-24SrvitCiX)Server-PTWeb192.168 0. 0/24PC518? 168.2.0/24ISC 1.0/ZiPC7PC4为了安全起见，你需要在RouterO创建标准的访问控制列表，只允许

18、 ITG部门的计算机能够telnet路由器。PC-PTPC-PTPC2PC33.2.4使用访问控制列表保护路由器步骤】、在PC7上TELNET路由器，你发现只要输对了密码就能TELNET成功。PCtelnet 2、在RouterO上创建标准的ACLRouter(c on fig) #access-list 1 2 permit 55 一一定义 ACLRouter(config)#line vty 0 1 5进入VTY虚接口Router(c on fig-line) #access-class 12 in-绑定 ACL3、验证只有ITG

19、部门的计算机能够telnet到路由器PC7telnet路由器.PC2 telnet路由器。PCtelnet 192.16&2丨8.3基于时间的访问控制列表扩展访问控制列表可以和时间段结合来过滤流量上网 比如：我要在路由器上面设盖 时间段：周一到周五990-12 00和14 00-1 8 00在这段时间里面员工能访问Internet, 周六周日只能访问Internet的Web站点和DNS域名解析的流呈通过基于时间的访问控制列表在Packet tracer软件中的路由器不支持使用Dynamips软 件进行基于时间的访问控制列表的实验 路由器RA. RB和RA的连接如图所示。按照 图示的IP地址规划

20、将路由器的接口配萱IP地址，井且在路由器上添加了路由表，使整个 网络是畅通的RB模拟的是连接内网和Internet的防火墙路由器。以下所有的操作在8.3.1查看和设置路由器时间你需要查看路由器现在的时间.如果不对.应该先配置路由器的时间.然后创建时间 段.给访问控制列表指定时间段。RB#show clock一显示路由器上当前时间10:25:32.955 UTC Mon Nov 15 2010 当前战间是2010年 1 1月 15 日 10点25分 32秒。Mon是Monday （星期一）的缩写，Nov是November （11月）的缩写，UTC代表 Coordinated Universal

21、Time（协调世界时）RB#clock set 1 0 49:23 1 5 Nov 201 0 将时间设置为201 0年1 1 月 1 5 日.1 0点 49分8.3.2定义时间段如图8-8所示：定义一个工作时间段work-time,周一到周五的8:00-12:00.14 00-18 00o定义一个weekend-time,周六周日全天。RBCconfirne-range work-t imeKB#periodic ?FridayPi*idaiFHonda/ thru FridayweekendSatui*dav and SundayRBAperiodic weekdays 8：00 to 1

22、2：00RB#periodic weekdays 1 4 ：HA tn 18RBSexi8.3.2定义时间段如图8-g所示.Weekdays代表周一到周五.RBCconfig#time-range weekendRBCconf ig-time-rangettperiodic weekend 0：00 to 23：59RBCconfig-t ine-range #exi图8-9定义时间段Weekend代表周六周H两人。以下命令査看定义的时间段,如图8-10所示。RBttshow t ime-Fangetime-range entry： weekend periodic weekend Id：MU

23、 to 23time-range entry： work-time periodic weekdays 8：00 to 12：00 periodic weekdays 14：00 to 18：00图810查看定义的时间段8.33在ACL中使用时间愛器墉飜翱習飜轎關器體鬆时皺噩烈唱零内所涉RDCconf lsfWaccess-llst RBCconfig#access-list RBcunf i#accesslist110 pcrnlt ip any any tine-*ange work-t ine110 pernit TCP any an eq 80 tinerange weekend110

24、 pernit UDP iny any eq 53 tirierange weekend图8-11在ACL中使用时间資看刚才定义的扩展ACL,如图8舁2所示。RBttshou access-listsExtended IP access list 11010 penit ip an9 any tine range work-time 20 pepnit tcp an9 any eq wvu tiRe-ranqe weekend 30 pepnit udp any uy eq donain tine-yane weekend 图8-12查看定义的ACL将ACL绑定到接口.如图83所示。RBCco

25、nTiffltintet*face serial 2/HRBCconfig-if#ip access-group 110 in8.4使用ACL降低安全威胁以下实验使用Dynamips软件实现，打开虚拟机中第8章网络安全文件夹，运行 RA.bat, RB.bat和RC.bat。路由器的连接拓扑如下图所示，内网有三个网段 /24、1 92.1 68.1.0/24#01 92.1 68.2.0/24, Internet用 /24和/24两个网段来模拟,路由器RB连接Internet和内网 网络中的路由器的IP地址和路由表已经配養完成运

26、行Dynamips软件的虚拟机和RA 相连，就是图中的PC0。将在RB路由器配置ACI用以消除以下威胁 “P地址欺骗一入站：ip地址欺循一出站；DoS TCP SYN攻击一阻奏外部攻击：DoSTCPSYN攻击一使用TCP拦裁：DoS Smurf攻击：过滤ICMP;肖息一入站：QiftlCMP消息一岀站；过滤路由跟踪。8.4使用ACL降低安全威胁以下将会针对每一种网络攻击创建一个ACL,网络拓扑如图所示，如果你打 算在一个ACL中针对多种网络攻击进行防范，就需要将下面的ACL进行合并, 并且需要考虑在ACL的顺序。8.4.1 IP地址欺骗对策即可.K入站规则：决不允许任何源地址是内部主机地址或网

27、络地址的数据包进入一个私有的网络 RB(config)#access-list 1 50 deny ip O255255.255 any log RB(config)#access-list 1 50 deny ip 55 any log RB(config)#access-list 1 50 deny ip 55 any log RB(config)#access-list ISO deny ip 17216.0.0 55 any log RB(config)#acces

28、s-list 1 50 deny ip O.O.255.255 any log RB(config)#access-list I 50 deny ip I 55 any log RB(config)#access-lisi 1 50 deny ip host 55 any log RB(config#access-list 1 50 permit ip any anyRB(config)#inteface serial 2/0 RB(config-if#ip access-group 1 50 in后面

29、的log的作用就是，当数据包应用该策略被拒绝将会在控制台显示 这个ACL拒绝任何来自以下源地址的数据包：任何本地主机地址(/8):任何保留的私有地址：任何组播IP地址(224000/48.4.1 IP地址欺骗对策2、出站规则：决不应该允许任何含有非内部网络有效地址的IP数据包出站。RB(config)#access-list 1 05 permit ip 1 92.1 68.0.0 O.O.255.255 anyRB(config)#access-list 1 05 deny ip any any logRB(config)#interface serial 2/0RB(co

30、nofig-if)#ip access-group 1 05 out。&4.2 DoS TCP SYN攻击对策卜应对DoS TCP SYN攻击有两种方法：阻塞外部访 问，或者使用TCP拦截。1、阻塞外部访问DoS TCP SYN攻击会向内部网络发送大眾数据包.企图奄没接收节点的连接队列“RB(config#access-list )09 permit tcp any O.O.255.255 established RB(config)#accessTist 109 deny ip any any logRB(config)#interface serial 2/0RB(

31、config-if)#ip access-group 109 in这个ACL允许来自外部网络的对源自内部网络的请求的响应.拒绝任何从外部网络发起的TCP连接&4.2 DoS TCP SYN攻击对策2、使用TCP拦截TCP拦截(TCP Intercept)是一种防止内部网络主机遭受外部TCP SYN攻击的工具一 如下的ACL只允许可达的外部主机发起对内部主机的TCP连接.阻塞来自不可达主机的 数据包。RB(config)#ip tcp intercept list 1 10在访问控制列表 110上启用TCP拦截R B(co n fi g)#acce ss -1 i st 110 permit t

32、cp any 1 O.O.255.255R B(co n fi g)#acce ss -1 i st 110 deny ip any any logRB(config)#interface serial 2/0RB(config-if)#ip access-group 110 inTCP拦戳(TCP intercept)监视TCP分组，判断在扳请求的连接是否没有完成。如果 TCP的连接请求来自一个不可达或者欺骗性的源地址.那么就可能岀现拒绝服务 (Denial-of-Service, DOS)攻击，目标服务器留下了大量打开一半的连接，最终会 用光内存。&4.2 DoS T

33、CP SYN攻击对策拦截配制1 使用扩展的访问列表识别TCP连接请求2 使用访问列表触发TCP拦截(global)ip tcp intercept list acc-list-number3设定TCP拦截模式，intercept为主动.watch为被动(global)ip tcp intercept mode interceptIvvatch4 调节TCP拦截行为设定丢弃模式oldest丢弃超时时间最长的(默认)，random随机丢弃。(global)ip tcp intercept drop-mode oldest I random&4.3 DoS Smurf攻击对策Smuf攻击是向一个路由

34、器子网广播地址发送大量的ICMP包，IP地址伪装成属于这个子 网.以下例子目的是防止转发广播，杜绝Smurf攻击。RB(config)#access-list 111RB(co nfig)# access-list 1 11RB(co nfig)# access-list 1 11RB(co nfig)# access-list 1 11RB(con fig)#access-l i st 1 1 1RB(config)#access-list 1 11deny ip any host deny ip any host deny ip any host deny ip any host deny

35、 ip any host deny ip any host192168.0.255 log 192168.1.255 log192168.2.255 log 192.16&0.0 log192.16&1.0 log logRB(config) #in ter face serial 2/0RB(config-if)#ip access-group 1 1 1 in这个ACL过滤了所有发往特定广播地址的IP数据包.8.4.4过滤ICMP消息1、入站ICMP Echo数据包可用来发现子网和受保护网络中的主机，也能用 来实施DoS攻击。ICMP重定向消息可用来更改主机路由选择表

36、。无 论是ICMP Echo还是重定向消息，都应该被路由器做入站阻塞。RB(config)#access-list 112 deny icmp any any echo logRB(config)#access-1ist 112 deny icmp any any redirect log RB(config)#access-list 112 deny icmp any any mask-request logRB(config)#access-1ist 112 permit icmp any O.O.255.255 RB(config)#interface seria

37、l 2/0RB(config)#ip access-group 112 in84.4过滤ICMP消息2、出站下列ICMP消息用作网管，应该允许岀站：回声(Echo)允许用户ping外部主机；参数问题(Parameter problem)通知主机数据包头问题：数据包太大(Packet too big)需要MTU发现；源队列(Source quench)必要时遏制流量。应该阻止其他ICMP消息出站。RB(config)#access-list 114 permit icmp O.O.255.255 any echoRB(config)#access-list 1 14 pe

38、rmit icmp O.O.255.255 any parameter-problemRB(config)#access-list 114 permit icmp 192.16&0.0 O.O.2SS.255 any packet-too-bigRB(config#access-list 114 permit icmp O.O.255.255 any source-quenchRB(config)#access-list 1 14 deny icmp any any logRB(config)#interface serial 2/0RB(con

39、fig-if)#ip access-group 114 out8.4.4过滤ICMP消息3、路由跟踪路由跟踪(traceroute)特性是通过一些ICMP;肖息类型去实现的。 路由跟踪会显示数据包从源到目的地所经过的路由器节点的IP地址。 攻击者可以利用对路由跟踪ICMP;肖息的响应来刺探子网和受保护网 络的主机。应该阻止所有入站和岀站的路由跟踪UDP消息。RB(config)#access-list 1 20 deny udp any anv range 33400 34400 log RB(config#interface serial 2/1RB(config-if)#ip access-group 1 20 inRB(config)#access-list 121 permit udp O.O.255.255 any range 33400 34400 log RB(config#interface serial 2/0RB(config-if)#ip access-group 1 21 in8.4.5 DDoS对策1. TRINOO下面例子演示了如何阻塞TRINOO DDoS攻击，需要阻塞的端口流 量有：TCP 1 524 (Ingress Lock)；TCP-27665 (未分酉己)； UDP-31335 (未分酉己)