防火墙、IDS、VPN原理简介要点课件

防火墙、IDS、VPN原理简介防火墙、IDS、VPN原理简介Layer2安全风险问题防火墙IDS/IPS蠕虫病毒VPN其他Layer2安全风险问题ARPSpoof-Switch下环境网络窃听攻击者B发起ARPspoof攻击A:xx-xx-xx-43-00-01C:xx-xx-xx-43-00-03

交换机环境下用ARPSpoof实现的窃听ARP协议没有任何验证方式攻击者B发送GratuitousARPREPLY广播包，宣传自己的IP地址时,源MAC地址是XX-XX-XX-43-00-02；主机于是更新了自己的ARP缓存，以为IP地址为的MAC地址是XX-XX-XX-43-00-02，主机A发送给主机C的信息被误导向攻击者B如果攻击者B模拟网络出口路由器发动ARP攻击，内部网络的所有出口信息都将被监听ARPSpoof-Switch下环境网络窃听攻击者B发MACFlooding－Switch下环境网络窃听交换机环境用MACFlooding实现窃听Switch根据自身维护的地址表来判断它应该把有某个MAC地址的数据包发送到哪一个端口。这张地址表是动态的，且大小是有上限的如果某人发送大量错误的地址信息而使SWITCH维护的地址表“溢出”，“真实的帧”到达Switch后，Switch会发现没有目的MAC地址对应的port条目，于是就进行flooding。这时在同一个switch上的攻击者就可以进行snifferDSINFFER可以在1分钟内在一个交换机上生成155,000个MAC条目攻击者发起MACflooding攻击A:xx-xx-xx-43-00-01C:xx-xx-xx-43-00-03

MACFlooding－Switch下环境网络窃听交换机环802.1x802.1x802.1x802.1xPortal认证带浏览器的客户机QuidwayS3500交换机RADIUSserverPortalserverPortal协议Radius协议Portal认证带浏览器的客户机QuidwayS3500交端点安全的基本功能检查隔离修复监控管理检查客户端的安全状态和防御能力操作系统版本、补丁（HotFix）防病毒软件版本、病毒库版本病毒检查安全配置检查隔离不符合安全策略、防御力低的终端通过802.1x、VPN、Portal认证阻断非法用户通过VLAN、ACL限制“危险”用户的访问权限（隔离区）高强度身份验证防止交叉感染防止病毒爆发确保用户合法具有抵抗力强制修复系统补丁、升级防病毒软件通知用户修复系统漏洞安全策略实施自动或强制手工进行补丁、病毒库的升级提高抵抗力增强安全性实时监控用户的安全状态定时病毒扫描定时检查安全配置全程安全监控掌握安全状态安全事件实时上报及时隔离“危险”用户集中、统一的用户管理接入策略服务策略可控的安全可视的安全安全策略集中监控日志分析端点准入防御端点安全的基本功能检查隔离修复监控管理检查客户端的安全状态和组网应用——局域网接入InternetCAMS非法用户无法通过身份验证，拒绝接入网络未知安全状态，只允许接入隔离区未使用安全客户端的用户隔离区不符合安全策略的用户安全状态不合格，在隔离区内修复安全联动交换机通过对接入用户的安全状态评估与强制修复，确保了接入终端的自防御能力阻止了来自网络内部的威胁、提高了内部网络的安全性，适合LAN或WLAN接入补丁服务器病毒服务器组网应用——局域网接入InternetCAMS非法用户无法通Layer2安全风险问题防火墙IDS/IPS蠕虫病毒VPN其他Layer2安全风险问题防火墙基本介绍－防火墙的概念防火墙：一种网络设备，可以保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信 连接受信网络区域连接不受信网络区域在连接受信网络区域和非受信网络区域之间的区域，一般称为DMZ防火墙基本介绍－防火墙的概念防火墙：一种网络设备，可以保护一防火墙的基本特征经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。防火墙的基本特征经过防火墙保护的网络之间的通信必须都经过防火防火墙和路由器的差异A的报文如何能最快的到B？网络A如何和网络B互联互通？过来一个报文立刻转发一个报文。交流路由信息这个访问是否允许到B？这个TCP连接是合法连接吗？这个访问是否是一个攻击行为？路由器的特点：1、保证互联互通。2、按照最长匹配算法逐包转发。3、路由协议是核心特性。防火墙的特点：1、逻辑子网之间的访问控制，关注边界安全2、基于连接的转发特性。3、安全防范是防火墙的核心特性。防火墙和路由器的差异A的报文如何能最快的到B？网络A如何和防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙代理型防火墙状态检测防火墙防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下几类：状态检测技术状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。状态检测技术状态防火墙通过检测基于TCP/UDP连接的连接状状态防火墙对应用协议的支持状态检测对某些特殊协议（例如FTP），还可以针对报文中的内容动态决定是否允许其他通道可以通过防火墙。状态防火墙对应用协议的支持状态检测对某些特殊协议（例如FTP防火墙主要规格介绍－性能衡量指标防火墙性能的指标主要有以下几点：吞吐量其中吞吐量业界一般都是使用1K～1.5K的大包衡量防火墙对报文的处理能力的。每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度很慢，在用户量较大的情况下非常容易造成防火墙处理能力急剧下降并发连接数目由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。防火墙主要规格介绍－性能衡量指标防火墙性能的指标主要有以下几防火墙主要规格介绍－安全防范特性Dos攻击防范功能包括对ICMPFlood、UDPFlood、SYNFlood、分片攻击等Dos攻击方式进行检测，丢弃攻击报文，保护网络内部的主机不受侵害。防止常见网络层攻击行为防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、TearDrop等常见的网络攻击行为，主动发现丢弃报文。针对畸形报文的防范通过一些畸形报文，如果超大的ICMP报文，非法的分片报文，TCP标志混乱的报文等，可能会对网络造成比较验证的危害，防火墙应该可以识别出这些报文。针对ICMP重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。防火墙主要规格介绍－安全防范特性Dos攻击防范功能防火墙主要规格介绍－业务支持地址转换：由于防火墙的位置处于边界，因此一般防火墙都提供地址转换特性。为了保证地址转换的良好工作，地址转换特性还需要支持丰富的ALG特性ACL规则设定：通过ACL设定防火墙的各种访问规则状态过滤：支持对各种常用协议进行状态过滤QoS：防火墙应该具有QoS业务支持能力防火墙主要规格介绍－业务支持地址转换：防火墙主要规格介绍－高可靠性防火墙主要规格介绍－高可靠性Layer2安全风险问题防火墙IDS/IPS蠕虫病毒VPN其他Layer2安全风险问题00主机扫描原理(UP)(UP)(DOWN)ICMP请求报文ICMP应答报文ICMP应答报文ICMP差错报文00主机扫描原理端口扫描原理(SYN扫描）00Port23(Open)Port52(Close)Port80(Open)Port21(Open)Port111(Close)SYN报文SYN＋ACK报文RST报文SYN＋ACK报文SYN＋ACK报文RST报文端口扫描原理(SYN扫描）00Port扫描攻击演示（端口扫描）攻击方法

nmap-sS-p1-65535 nmap-sT nmap-sF nmap-sU nmap-sP-255检测方法

配置flowset，使受保护主机在单位时间内如有若干个端口遭受探测，则表明有探测，默认设置为1秒内50个端口。相关工具Nmap

扫描攻击演示（端口扫描）攻击方法Unicode解码漏洞原理漏洞发现 该漏洞是由国内著名黑客组织绿盟成员袁哥首先发现的，并在2000年10月11日公布到网上，由于利用方便简单，引起了广泛的关注。涉及版本MicrosoftIIS4.0

MicrosoftWindowsNT4.0SP6a以下MicrosoftIIS5.0

-MicrosoftWindows2000ServerSP2以下

-MicrosoftWindows2000ProfessionalSP2以下

-MicrosoftWindows2000DatacenterServerSP2以下

-MicrosoftWindows2000AdvancedServerSP2以下

Unicode解码漏洞原理漏洞发现Unicode解码漏洞原理IIS如何解析unicode编码

对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”，它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，Windows系统认为0xc10xhh可能是Unicode编码，因此它会首先将其解码。解码原则0x00<=%hh<0x40

%c1%hh->(0xc1-0xc0)*0x40+0xhh

%c0%hh->(0xc0-0xc0)*0x40+0xhh

%hh>0x80

%c1%hh->(0xc1-0xc0)*0x40+(0xhh-0x80) %c0%hh->(0xc0-0xc0)*0x40+(0xhh-0x80)Unicode解码漏洞原理IIS如何解析unicode编码Unicode解码漏洞原理利用unicode解码方式构造‘/’或‘\’

因为符号‘/’的ASCII码是5c,而符号‘\’的ASCII码是2f,利用刚才介绍的编码方式，我们可以构造出这两个字符如下:

%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c=‘/’

%c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f=‘\’ %c1%9c->(0xc1-0xc0)*0x40+(0x9c-0x80)=0x5c=‘/’

%c0%af->(0xc0-0xc0)*0x40+(0xaf-0x80)=0x2f=‘\’欺骗IIS http://IP/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ http://IP/scripts/..%c0%2f

../winnt/system32/cmd.exe?/c+dir+c:\ 通过以上变化，我们成功绕过了IIS的检查，顺利执行cmd.exe命令。只于为什么用scripts目录？这时因为默认iis这个目录具有可执行权限，所以选择它了，如果具有其他的一些可执行目录都可以，不过要注意它的目录深度，可能需要足够的..%c1%1c..或者..%c0%2f..了。Unicode解码漏洞原理利用unicode解码方式构造‘/Unicode解码漏洞攻击Web服务器演示攻击方法

发送带有%c1%1c,%c0%2f,%c1%9c,%c0%af等一种或几种字符串组合的URI请求，在IIS5.0以下的版本中会引出Unicode解码漏洞，通过该漏洞可以使攻击者逃避IIS的../或..\检查，如成功攻击Web服务器可获得系统的Web用户权限。检测方法

检查所有发向Web服务器服务端口（默认80）的并带有%c1%1c,%c0%2f，%c1%9c,%c0%af等攻击特征串的URI数据流，由于通常攻击者会首先使用dir命令查看磁盘文件用于探测，我们可再加上dir字符串用于更准确匹配，不过这也会增加漏报的可能性。相关工具自动化演示工具Unicode解码漏洞攻击Web服务器演示攻击方法病毒攻击（例子震荡波）演示攻击方法 震荡波病毒利用WindowsLSASS进程的一个远程溢出漏洞进行攻击，病毒会扫描Windows主机的445端口，如果打开则发送溢出攻击数据包，如溢出成功，病毒获得system权限，并在系统中打开9996端口，并通过FTP上传病毒体到目标机，并运行之继续传播。如果溢出失败，则LSASS服务瘫痪，系统提示60秒后自动重启。检测方法 检查发向受保护主机445端口的所有数据报，如发现和震荡波特征字向匹配，则记录日志告警。震荡波B变种特征字如下：| 90909090eb105a4a33c966b97d0180340a99e2faeb05e8ebffffff| 或 |9000900090009000eb0010005a004a003300c9006600b9007d000100800034000a009900e200fa00eb000500e800eb00ff00ff00ff|相关工具震荡波病毒样本，GHOST，98光盘病毒攻击（例子震荡波）演示攻击方法IDS产品组成CommonIntrusionDetectionFramework(CIDF)阐述了入侵检测系统（IDS）的通用模型，是当前IDS的典型结构。它将一个入侵检测系统分为以下组件：事件产生器（Eventgenerators）事件分析器（Eventanalyzers）响应单元（Responseunits）事件数据库（Eventdatabases）事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件IDS产品组成CommonIntrusionDetectIDS产品类型NIDSHIDS优点一个NIDS不需要改变服务器等主机的配置不会影响业务系统的性能

HIDS对分析“可能的攻击行为”非常有用。HIDS通常情况下比NIDS误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。另外HIDS是安装在服务器上的，即网络会话的终点，加密的会话在这里也完成了解密，所以没有NIDS没法对付隐含在加密会话中的攻击的问题。缺点NIDS为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。NIDS没法检测出加密会话中入侵行为

主机入侵检测系统安装在我们需要保护的设备上。主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护主机入侵检测系统除了监测自身的主机以外，不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。IDS产品类型NIDSHIDS优点一个NIDS不需要改变服务IDS技术实现原理特征检测技术协议匹配字符串匹配大小匹配逻辑匹配异常检测操作模型方差多元模型系统状态模型时间序列分析IDS技术实现原理特征检测技术IDS技术的部署IDS技术的部署IDS技术部署的流量监控问题HUBSWITCHTAPIDS技术部署的流量监控问题HUBIDSSensor的负载均衡IDSSensor的负载均衡IDSORIPS?设备故障？性能？误报和漏报DOS攻击？IDSORIPS?设备故障？安全攻击介绍 已知的操作系统和应用漏洞攻击IISUNICODE解码漏洞缓冲区溢出震荡波、IISWebDav缓冲区溢出蠕虫CodeRed、SQLSlammer木马端口扫描SYNC扫描等等，工具：NMAPDDoS攻击SYNCFLOODIP分段攻击TearDrop，工具：Nessus安全攻击介绍 已知的操作系统和应用漏洞攻击端口扫描网络层次越高

资产价值越大L5-L7:ApplicationLayerL4:TransportLayerL3:NetworkLayerL2:LnkLayerL1:Phy.LayerSecEngineIPS深入到业务和应用进行保护RouterTraditionalFirewallTCP/IPStackNICOSesWebServersWeb

Application

FrameworksApplications风险越高

越迫切需要

被保护ApplicationDataSessionIDHTTPRequest/RespondTCPConnectionIPPacketEthernetPacketBitonWire网络层次越高

资产价值越大L5-L7:L4:TranspoLayer2安全风险问题防火墙IDS蠕虫病毒VPNLayer2安全风险问题蠕虫病毒的特点普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机入侵代码传播机制负荷（Payload）Probe,Penetrate,Persist,Propagate,Paralyze蠕虫病毒的特点普通病毒蠕虫病毒存在形式寄存文件独立程序传染机蠕虫病毒的防治限制（Containment）免疫（Inoculation）隔离（Quarantine）治疗（Treatment）为所有的系统及时打上漏洞补丁（中心补丁服务器)使用HIDS保护系统用NIDS来检查蠕虫的活动用访问控制来限制蠕虫传播用PVLAN来保护关键服务器用网管工具来追踪被感染的主机通过CAR来限制蠕虫流量全网部署病毒扫描措施“DayZero”Anti-Virus!蠕虫病毒的防治限制（Containment）为所有的系统及时Layer2安全风险问题防火墙IDS蠕虫病毒VPN其他Layer2安全风险问题L2TPVPNL2TPVPNGREVPNGREVPNIPSECVPN-IKEIPSECVPN-IKEDiffie-Hellman密钥交换算法开发于20世纪70年底开发主要功能是使通讯的双方只需交换密钥对的公开部分（可以在不安全通道上进行公开交换的部分），就可以通过该算法生成一个公共的密钥。用作对称加密算法的密钥（因为双方生成的密钥是相同的）。Diffie-Hellman密钥交换算法开发于20世纪70年Diffie-Hellman密钥交换算法双方协商一个生成数“g”和一个大素数“P”，具体的g和P的数值是根据双方选择的DH算法组来确定的。1PeerA选择一个随机数a作为自己的私有密钥，然后生成一个公开密钥Xa Xa=(gExpa)modP2PeerB选择一个随机数b作为自己的私有密钥，然后生成一个公开密钥Xb Xb=(gExpb)modP3PeerA和PeerB分别向对方交换自己的公开密钥Xa和Xb。4PeerA生成会话密钥 Ka=（XbExpa）modP=(gExpab)modP5PeerB生成会话密钥 Kb=(XaExpb)modP=(gExpab)modP可以看到Ka=KbDH算法的安全性是基于在有限域中计算离散对数的难度，Xa和Xb虽然是在不安全通d道上交流的，黑客即使可以截获Xa和Xb，也无法推算出Ka和Kb。Diffie-Hellman密钥交换算法双方协商一个生成数“Generator g=3“Largeprime”(Usingasmallprimeforthisexample) P=101PeerADiffie-HellmanPrivateKey a=7(RandomNumber)PeerADiffie-HellmanPublicKey Xa=37mod101=2187mod101=66PeerBDiffie-HellmanPrivateKey b=10(RandomNumber)PeerBDiffie-HellmanPublicKey Xb=310mod101=59049mod101=65PeerASessionKey Ka=657mod101=4902227890625mod101=17PeerBSessionKeyKb=6610mod101=1568336880910795776mod101=17Thismayalsobewrittenas Ka=Kb=3(7*10)mod101=17Diffie-Hellman密钥交换算法GeneratorDiffie-Hellman密钥交换算法IKE第一阶段主模式6个消息IKE第一阶段主模式6个消息IKE第一阶段

野蛮模式（3个消息）IKE第一阶段

野蛮模式（3个消息）IKE第二阶段快速模式3个消息IKE第二阶段快速模式3个消息IPSECIPSEC有两个协议族AHESPIPSEC的功能私有性－在传输数据包之前将其加密.以保证数据的私有性；完整性－在目的地要验证数据包保证该数据包在传输过程中没有被修改；真实性－验证所有受IPSec保护的数据包；防重放－防止数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。IPSECIPSEC有两个协议族传输模式传输模式隧道模式隧道模式IPSECVPNNAT穿越通讯双方是否支持NAT穿越检测两个设备之间十分存在NAT设备UDP封装draft-ietf-ipsec-nat-t-ike-07.pdfIPSECVPNNAT穿越通讯双方是否支持NAT穿越L2TP+IPSEC处理并剥去数据链路层报头和报尾；处理并剥去IPheader；使用IPSecESPAuthtrailer认证IP载荷和IPSecESP报头；使用IPSecESPheader解密数据包的加密部分；处理UDPheader并将L2TP数据包发给L2TPLNS；L2TP使用L2TPheader中的TunnelID和CallID确定特定的L2TP遂道；使用PPPheader确定PPP载荷，并将它转发给适当的协议驱动器进行处理L2TP+IPSEC处理并剥去数据链路层报头和报尾；SSLVPNHandshakeProtocolSSLVPNHandshakeProtocol简单易用的SSLVPNSSL加密明文SecurID数字证书SecKey用户认证业务系统认证服务器不需要客户端支持，方便用户使用硬件SSL加速，提高系统处理能力支持多种用户接入认证，灵活接入控制可管理性，用户日志记录和权限控制等内部局域网络简单易用的SSLVPNSSL加密明文SeSSLVPN演示ProvisionByPurposeCoreSAMNetworkConnectSSLVPN演示ProvisionByPurposeCLayer2安全风险问题防火墙IDS蠕虫病毒VPN其他Layer2安全风险问题其他议题WLANURL过滤防病毒防垃圾邮件安全策略安全部署其他议题WLAN防火墙、IDS、VPN原理简介要点课件防火墙、IDS、VPN原理简介防火墙、IDS、VPN原理简介Layer2安全风险问题防火墙IDS/IPS蠕虫病毒VPN其他Layer2安全风险问题ARPSpoof-Switch下环境网络窃听攻击者B发起ARPspoof攻击A:xx-xx-xx-43-00-01C:xx-xx-xx-43-00-03

交换机环境下用ARPSpoof实现的窃听ARP协议没有任何验证方式攻击者B发送GratuitousARPREPLY广播包，宣传自己的IP地址时,源MAC地址是XX-XX-XX-43-00-02；主机于是更新了自己的ARP缓存，以为IP地址为的MAC地址是XX-XX-XX-43-00-02，主机A发送给主机C的信息被误导向攻击者B如果攻击者B模拟网络出口路由器发动ARP攻击，内部网络的所有出口信息都将被监听ARPSpoof-Switch下环境网络窃听攻击者B发MACFlooding－Switch下环境网络窃听交换机环境用MACFlooding实现窃听Switch根据自身维护的地址表来判断它应该把有某个MAC地址的数据包发送到哪一个端口。这张地址表是动态的，且大小是有上限的如果某人发送大量错误的地址信息而使SWITCH维护的地址表“溢出”，“真实的帧”到达Switch后，Switch会发现没有目的MAC地址对应的port条目，于是就进行flooding。这时在同一个switch上的攻击者就可以进行snifferDSINFFER可以在1分钟内在一个交换机上生成155,000个MAC条目攻击者发起MACflooding攻击A:xx-xx-xx-43-00-01C:xx-xx-xx-43-00-03

MACFlooding－Switch下环境网络窃听交换机环802.1x802.1x802.1x802.1xPortal认证带浏览器的客户机QuidwayS3500交换机RADIUSserverPortalserverPortal协议Radius协议Portal认证带浏览器的客户机QuidwayS3500交端点安全的基本功能检查隔离修复监控管理检查客户端的安全状态和防御能力操作系统版本、补丁（HotFix）防病毒软件版本、病毒库版本病毒检查安全配置检查隔离不符合安全策略、防御力低的终端通过802.1x、VPN、Portal认证阻断非法用户通过VLAN、ACL限制“危险”用户的访问权限（隔离区）高强度身份验证防止交叉感染防止病毒爆发确保用户合法具有抵抗力强制修复系统补丁、升级防病毒软件通知用户修复系统漏洞安全策略实施自动或强制手工进行补丁、病毒库的升级提高抵抗力增强安全性实时监控用户的安全状态定时病毒扫描定时检查安全配置全程安全监控掌握安全状态安全事件实时上报及时隔离“危险”用户集中、统一的用户管理接入策略服务策略可控的安全可视的安全安全策略集中监控日志分析端点准入防御端点安全的基本功能检查隔离修复监控管理检查客户端的安全状态和组网应用——局域网接入InternetCAMS非法用户无法通过身份验证，拒绝接入网络未知安全状态，只允许接入隔离区未使用安全客户端的用户隔离区不符合安全策略的用户安全状态不合格，在隔离区内修复安全联动交换机通过对接入用户的安全状态评估与强制修复，确保了接入终端的自防御能力阻止了来自网络内部的威胁、提高了内部网络的安全性，适合LAN或WLAN接入补丁服务器病毒服务器组网应用——局域网接入InternetCAMS非法用户无法通Layer2安全风险问题防火墙IDS/IPS蠕虫病毒VPN其他Layer2安全风险问题防火墙基本介绍－防火墙的概念防火墙：一种网络设备，可以保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信 连接受信网络区域连接不受信网络区域在连接受信网络区域和非受信网络区域之间的区域，一般称为DMZ防火墙基本介绍－防火墙的概念防火墙：一种网络设备，可以保护一防火墙的基本特征经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。防火墙的基本特征经过防火墙保护的网络之间的通信必须都经过防火防火墙和路由器的差异A的报文如何能最快的到B？网络A如何和网络B互联互通？过来一个报文立刻转发一个报文。交流路由信息这个访问是否允许到B？这个TCP连接是合法连接吗？这个访问是否是一个攻击行为？路由器的特点：1、保证互联互通。2、按照最长匹配算法逐包转发。3、路由协议是核心特性。防火墙的特点：1、逻辑子网之间的访问控制，关注边界安全2、基于连接的转发特性。3、安全防范是防火墙的核心特性。防火墙和路由器的差异A的报文如何能最快的到B？网络A如何和防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙代理型防火墙状态检测防火墙防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下几类：状态检测技术状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。状态检测技术状态防火墙通过检测基于TCP/UDP连接的连接状状态防火墙对应用协议的支持状态检测对某些特殊协议（例如FTP），还可以针对报文中的内容动态决定是否允许其他通道可以通过防火墙。状态防火墙对应用协议的支持状态检测对某些特殊协议（例如FTP防火墙主要规格介绍－性能衡量指标防火墙性能的指标主要有以下几点：吞吐量其中吞吐量业界一般都是使用1K～1.5K的大包衡量防火墙对报文的处理能力的。每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度很慢，在用户量较大的情况下非常容易造成防火墙处理能力急剧下降并发连接数目由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。防火墙主要规格介绍－性能衡量指标防火墙性能的指标主要有以下几防火墙主要规格介绍－安全防范特性Dos攻击防范功能包括对ICMPFlood、UDPFlood、SYNFlood、分片攻击等Dos攻击方式进行检测，丢弃攻击报文，保护网络内部的主机不受侵害。防止常见网络层攻击行为防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、TearDrop等常见的网络攻击行为，主动发现丢弃报文。针对畸形报文的防范通过一些畸形报文，如果超大的ICMP报文，非法的分片报文，TCP标志混乱的报文等，可能会对网络造成比较验证的危害，防火墙应该可以识别出这些报文。针对ICMP重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。防火墙主要规格介绍－安全防范特性Dos攻击防范功能防火墙主要规格介绍－业务支持地址转换：由于防火墙的位置处于边界，因此一般防火墙都提供地址转换特性。为了保证地址转换的良好工作，地址转换特性还需要支持丰富的ALG特性ACL规则设定：通过ACL设定防火墙的各种访问规则状态过滤：支持对各种常用协议进行状态过滤QoS：防火墙应该具有QoS业务支持能力防火墙主要规格介绍－业务支持地址转换：防火墙主要规格介绍－高可靠性防火墙主要规格介绍－高可靠性Layer2安全风险问题防火墙IDS/IPS蠕虫病毒VPN其他Layer2安全风险问题00主机扫描原理(UP)(UP)(DOWN)ICMP请求报文ICMP应答报文ICMP应答报文ICMP差错报文00主机扫描原理端口扫描原理(SYN扫描）00Port23(Open)Port52(Close)Port80(Open)Port21(Open)Port111(Close)SYN报文SYN＋ACK报文RST报文SYN＋ACK报文SYN＋ACK报文RST报文端口扫描原理(SYN扫描）00Port扫描攻击演示（端口扫描）攻击方法

nmap-sS-p1-65535 nmap-sT nmap-sF nmap-sU nmap-sP-255检测方法

配置flowset，使受保护主机在单位时间内如有若干个端口遭受探测，则表明有探测，默认设置为1秒内50个端口。相关工具Nmap

扫描攻击演示（端口扫描）攻击方法Unicode解码漏洞原理漏洞发现 该漏洞是由国内著名黑客组织绿盟成员袁哥首先发现的，并在2000年10月11日公布到网上，由于利用方便简单，引起了广泛的关注。涉及版本MicrosoftIIS4.0

MicrosoftWindowsNT4.0SP6a以下MicrosoftIIS5.0

-MicrosoftWindows2000ServerSP2以下

-MicrosoftWindows2000ProfessionalSP2以下

-MicrosoftWindows2000DatacenterServerSP2以下

-MicrosoftWindows2000AdvancedServerSP2以下

Unicode解码漏洞原理漏洞发现Unicode解码漏洞原理IIS如何解析unicode编码

对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”，它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，Windows系统认为0xc10xhh可能是Unicode编码，因此它会首先将其解码。解码原则0x00<=%hh<0x40

%c1%hh->(0xc1-0xc0)*0x40+0xhh

%c0%hh->(0xc0-0xc0)*0x40+0xhh

%hh>0x80

%c1%hh->(0xc1-0xc0)*0x40+(0xhh-0x80) %c0%hh->(0xc0-0xc0)*0x40+(0xhh-0x80)Unicode解码漏洞原理IIS如何解析unicode编码Unicode解码漏洞原理利用unicode解码方式构造‘/’或‘\’

因为符号‘/’的ASCII码是5c,而符号‘\’的ASCII码是2f,利用刚才介绍的编码方式，我们可以构造出这两个字符如下:

%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c=‘/’

%c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f=‘\’ %c1%9c->(0xc1-0xc0)*0x40+(0x9c-0x80)=0x5c=‘/’

%c0%af->(0xc0-0xc0)*0x40+(0xaf-0x80)=0x2f=‘\’欺骗IIS http://IP/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ http://IP/scripts/..%c0%2f

../winnt/system32/cmd.exe?/c+dir+c:\ 通过以上变化，我们成功绕过了IIS的检查，顺利执行cmd.exe命令。只于为什么用scripts目录？这时因为默认iis这个目录具有可执行权限，所以选择它了，如果具有其他的一些可执行目录都可以，不过要注意它的目录深度，可能需要足够的..%c1%1c..或者..%c0%2f..了。Unicode解码漏洞原理利用unicode解码方式构造‘/Unicode解码漏洞攻击Web服务器演示攻击方法

发送带有%c1%1c,%c0%2f,%c1%9c,%c0%af等一种或几种字符串组合的URI请求，在IIS5.0以下的版本中会引出Unicode解码漏洞，通过该漏洞可以使攻击者逃避IIS的../或..\检查，如成功攻击Web服务器可获得系统的Web用户权限。检测方法

检查所有发向Web服务器服务端口（默认80）的并带有%c1%1c,%c0%2f，%c1%9c,%c0%af等攻击特征串的URI数据流，由于通常攻击者会首先使用dir命令查看磁盘文件用于探测，我们可再加上dir字符串用于更准确匹配，不过这也会增加漏报的可能性。相关工具自动化演示工具Unicode解码漏洞攻击Web服务器演示攻击方法病毒攻击（例子震荡波）演示攻击方法 震荡波病毒利用WindowsLSASS进程的一个远程溢出漏洞进行攻击，病毒会扫描Windows主机的445端口，如果打开则发送溢出攻击数据包，如溢出成功，病毒获得system权限，并在系统中打开9996端口，并通过FTP上传病毒体到目标机，并运行之继续传播。如果溢出失败，则LSASS服务瘫痪，系统提示60秒后自动重启。检测方法 检查发向受保护主机445端口的所有数据报，如发现和震荡波特征字向匹配，则记录日志告警。震荡波B变种特征字如下：| 90909090eb105a4a33c966b97d0180340a99e2faeb05e8ebffffff| 或 |9000900090009000eb0010005a004a003300c9006600b9007d000100800034000a009900e200fa00eb000500e800eb00ff00ff00ff|相关工具震荡波病毒样本，GHOST，98光盘病毒攻击（例子震荡波）演示攻击方法IDS产品组成CommonIntrusionDetectionFramework(CIDF)阐述了入侵检测系统（IDS）的通用模型，是当前IDS的典型结构。它将一个入侵检测系统分为以下组件：事件产生器（Eventgenerators）事件分析器（Eventanalyzers）响应单元（Responseunits）事件数据库（Eventdatabases）事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件IDS产品组成CommonIntrusionDetectIDS产品类型NIDSHIDS优点一个NIDS不需要改变服务器等主机的配置不会影响业务系统的性能

HIDS对分析“可能的攻击行为”非常有用。HIDS通常情况下比NIDS误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。另外HIDS是安装在服务器上的，即网络会话的终点，加密的会话在这里也完成了解密，所以没有NIDS没法对付隐含在加密会话中的攻击的问题。缺点NIDS为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。NIDS没法检测出加密会话中入侵行为

主机入侵检测系统安装在我们需要保护的设备上。主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护主机入侵检测系统除了监测自身的主机以外，不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。IDS产品类型NIDSHIDS优点一个NIDS不需要改变服务IDS技术实现原理特征检测技术协议匹配字符串匹配大小匹配逻辑匹配异常检测操作模型方差多元模型系统状态模型时间序列分析IDS技术实现原理特征检测技术IDS技术的部署IDS技术的部署IDS技术部署的流量监控问题HUBSWITCHTAPIDS技术部署的流量监控问题HUBIDSSensor的负载均衡IDSSensor的负载均衡IDSORIPS?设备故障？性能？误报和漏报DOS攻击？IDSORIPS?设备故障？安全攻击介绍 已知的操作系统和应用漏洞攻击IISUNICODE解码漏洞缓冲区溢出震荡波、IISWebDav缓冲区溢出蠕虫CodeRed、SQLSlammer木马端口扫描SYNC扫描等等，工具：NMAPDDoS攻击SYNCFLOODIP分段攻击TearDrop，工具：Nessus安全攻击介绍 已知的操作系统和应用漏洞攻击端口扫描网络层次越高

资产价值越大L5-L7:ApplicationLayerL4:TransportLayerL3:NetworkLayerL2:LnkLayerL1:Phy.LayerSecEngineIPS深入到业务和应用进行保护RouterTraditionalFirewallTCP/IPStackNICOSesWebServersWeb

Application

FrameworksApplications风险越高

越迫切需要

被保护ApplicationDataSessionIDHTTPRequest/RespondTCPConnectionIPPacketEthernetPacketBitonWire网络层次越高

资产价值越大L5-L7:L4:TranspoLayer2安全风险问题防火墙IDS蠕虫病毒VPNLayer2安全风险问题蠕虫病毒的特点普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机入侵代码传播机制负荷（Payload）Probe,Penetrate,Persist,Propagate,Paralyze蠕虫病毒的特点普通病毒蠕虫病毒存在形式寄存文件独立程序传染机蠕虫病毒的防治限制（Containment）免疫（Inoculation）隔离（Quarantine）治疗（Treatment）为所有的系统及时打上漏洞补丁（中心补丁服务器)使用HIDS保护系统用NIDS来检查蠕虫的活动用访问控制来限制蠕虫传播用PVLAN来保护关键服务器用网管工具来追踪被感染的主机通过CAR来限制蠕虫流量全网部署病毒扫描措施“DayZero”Anti-Virus!蠕虫病毒的防治限制（Containment）为所有的系统及时Layer2安全风险问题防火墙IDS蠕虫病毒VPN其他Layer2安全风险问题L2TPVPNL2TPVPNGREVPNGREVPNIPSECVPN-IKEIPSECVPN-IKEDiffie-Hellman密钥交换算法开发于20世纪70年底开发主要功能是使通讯的双方只需交换密钥对的公开部分（可以在不安全通道上进行公开交换的部分），就可以通过该算法生成一个公共的密钥。用作对称加密算法的密钥（因为双方生成的密钥是相同的）。Diffie-Hellman密钥交换算法开发于20世纪70年Diffie-Hellman密钥交换算法双方协商一个生成数“g”和一个大素数“P”，具体的g和P的数值是根据