3 网络设备安全

通信网络安全与防护密码学基本概念、古典加密体制报文摘要算法

内容回顾现代加密体制、AES、RSA密钥分配与管理安全认证-消息认证、数字签名、身份认证PKI体制中，保证数字证书不被篡改的方法是（)A.用证书主人的私钥对数字证书签名；B.用CA的私钥对数字证书签名；C.用CA的公钥对数字证书签名；D.用证书主人的公钥对数字证书签名；

内容回顾关于消息认证,以下哪一项描述是错误的?A.消息认证码既可提供消息鉴别又可提供保密性B.密钥是发送端和接收端之间的共享密钥C.通过密钥和消息计算得出消息认证码D.黑客无法根据篡改后的消息计算出正确的消息认证码第三章网络设备安全《通信网络安全与防护》引言网络中大量的信息资源和信息服务是通过路由器、交换机、无线接入器等网络设备提供给用户的，而这些设备中存在的漏洞造成了极大的网络安全隐患。网络设备（包括主机和网络设施）的安全始终是通信网络安全的一个重要方面。网络设备的安全除了技术安全之外，还应该包括网络设备的物理安全，诸如防人为损坏、防断电、防雷击、防静电、防灰尘等环境安全问题教学目标主要内容1.了解网络设备安全的基本概念及安全隐患；2.熟悉机房安全、通信线路安全、硬件设备安全等物理安全措施；3.掌握交换机、路由器的安全配置；4.熟悉服务器与操作系统安全。3.1物理安全3.2路由器的安全技术3.3交换机的安全技术3.4服务器与操作系统安全物理安全是整个通信网络系统安全的前提，是保护通信网络设备、设施及其他媒介免遭地震、水灾、火灾等环境事故、人为操作失误或人为损坏导致被破坏的过程。3.1物理安全物理安全硬件设备安全通信线路安全电源系统安全机房安全3.1.1机房安全技术1.机房的安全要求减少无关人员进入机房的机会；选址时应避免靠近公共区域，避免窗户邻街；机房最好不要安排在底层或顶层；在较大的楼层内，机房应靠近楼层的一边安排；保证所有进出机房的人都在管理人员的监控之下3.1.1机房安全技术对机房内重要的设备和存储媒体应采取严格的防盗措施

光纤电缆防盗系统特殊标签防盗系统

视频监视防盗系统2.机房的防盗要求3.1.1机房安全技术三度温度湿度洁净度3.机房的三度要求3.1.1机房安全技术静电的危害50年代中期，美军演习中，两枚“民兵1”导弹发射后在飞行中自毁。1967年春，越南战争中，美军的直升机因静电造成爆炸。4.防静电措施3.1.1机房安全技术机房的内装修材料采用乙烯材料；机房内安装防静电地板，并将地板和设备接地；机房内的重要操作台应有接地平板；工作人员的服装和鞋最好用低阻值的材料制作；机房内应保持一定湿度。4.防静电措施3.1.1机房安全技术接地是指整个通信网络系统中各处电位均以大地电位为零参考电位。直流地屏蔽地静电地雷击地保护地地线种类可分为

5.接地与防雷3.1.1机房安全技术防雷，是指通过组成拦截、疏导最后泄放入地的一体化系统方式以防止由直击雷或雷电的电磁脉冲对建筑物本身或其内部设备造成损害的防护技术。机房外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道；

5.接地与防雷3.1.1机房安全技术机房内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达到防雷的目的；机房的设备本身也应有避雷装置和设施。过电压保护等电位连接防闪器合理布线

5.接地与防雷3.1.1机房安全技术机房内应有火灾、水灾自动报警系统；机房上层有用水设施须加防水层；机房内应放置适用于通信机房的灭火器，并建立应急计划和防火制度等。6.机房的防火、防水措施3.1.1机房安全技术与机房安全相关的国家标准主要有：GB/T2887-2011《计算机场地通用规范》GB50174-2008《电子信息系统机房设计规范》GB/T9361-2011《计算站场地安全要求》3.1.2通信线路安全通信线路可能受到的攻击：窃听中断干扰3.1.2通信线路安全电缆两端加压，连接监视器，如果监测到变化，则启动报警器。加压电缆是屏蔽在波纹铝钢包皮中，几乎没有电磁辐射，对利用电磁感应的窃听行为有一定的抵抗力。3.1.2通信线路安全1.电缆加压技术降低电磁感应，提高抗干扰能力。屏蔽式双绞线的抗干扰能力更强，对于干扰严重的区域应使用屏蔽式双绞线，还可将其放在金属管内以增强抗干扰能力。屏蔽式双绞线提高抗干扰能力增强抗干扰3.1.2通信线路安全2.电缆屏蔽技术光纤的“天然”保密性？3.1.2通信线路安全3.光纤通信技术光纤窃听方法光纤弯曲法V型槽切口法散射法光束分离法渐近耦合法3.1.2通信线路安全3.光纤通信技术严格按硬件设备的操作使用规程进行操作；建立设备使用情况日志，并登记使用过程；建立硬件设备故障情况登记表；坚持对设备进行例行维护和保养，并指定专人负责。3.1.3硬件设备安全1.硬件设备的管理维护

（1）硬件设备的使用管理定期检查线缆连接的紧固性；定期清除表面及内部灰尘；定期检查供电系统的各种保护装置及地线是否正常（2）常用硬件设备的维护和保养3.1.3硬件设备安全1.硬件设备的管理维护电磁兼容性：（EMC，ElectromagnaticCompatibility）设备或系统在共同的电磁环境中，能够正常工作且不对该环境中的任何事物构成不能承受的电磁骚扰的能力。3.1.3硬件设备安全2.电磁兼容和电磁辐射的防护（1）电磁兼容电磁兼容：设备或系统在共同的电磁环境中，能够和谐工作而不影响各自功能的共存状态。电磁不兼容危害实例1982年5月4日号称英国海军最先进的“谢菲尔德号”导弹驱逐舰，由于没有解决好卫星通信系统和雷达系统的频率使用问题，以至于两个系统不能同时工作，战斗中，该舰与指挥所进行卫星通信，雷达系统关机，没能及时发现来袭的阿根廷战机，最终被飞鱼导弹击中，舰毁人亡。英军的谢菲尔德号导弹驱逐舰3.1.3硬件设备安全视情：是防护自身对外辐射，还是防护其它设备电磁辐射对自身的影响。采用各种电磁屏蔽措施采用干扰的防护措施（2）电磁辐射防护的措施3.1.3硬件设备安全2.电磁兼容和电磁辐射的防护DES按设计时的分析，需要2283年才能破译；DES的密钥量太小，密钥量为256；1977年，Diffie.Hellman提出制造一个每秒测试106的VLSI芯片，则一天就可以搜索完整个密钥空间，当时造价2千万美元。CRYPTO’93：R.Session，M.Wiener提出并行密钥搜索芯片，每秒测试5x107个密钥，5760片这种芯片，造价10万美元，平均一天即可找到密钥。电磁辐射防护不良危害实例美军航母起火事件：福莱斯特级航空母舰1967年7月25日，上午11时，受该舰雷达波干扰，一枚“阻尼”空地火箭意外地从停在舰艉飞行甲板末端的F-4飞机机翼下点火，击中了一架A-4攻击机的副油箱，导致一系列爆炸。事故原因：阻尼火箭的屏蔽电缆老化，受到舰载对空搜索雷达的波束扫描，使火箭的引信形成电压差，导致火箭的发射。后果：34人死亡27架飞机被毁，43架飞机严重受伤重修费用：7200万美元重修时间：2年作好对硬盘、光盘、磁带、打印纸等存储媒体的安全管理威胁：数据恢复、垃圾搜索等3.1.3硬件设备安全3.信息存储媒体的安全管理3.1.4电源系统安全指标：供电连续性、可靠性、稳定性和抗干扰性等指标。风险：因电源系统电压波动、浪涌电流和突然断电等导致计算机系统存储信息丢失、设备损坏。机房的供配电系统设计要求：满足设备自身运转和网络应用的要求，保证网络系统运行的可靠性，保证设备的设计寿命，保证信息安全，保证机房人员的工作环境。3.2路由器的安全技术

安全问题：身份问题、漏洞问题、访问控制问题、路由协议问题、配置管理问题等一、路由器存在的安全问题及对策端口登录口令：可以登录到路由器，一般只能查看部分信息特权用户口令：可以使用全部的查看、配置和管理命令。1.路由器口令的设置3.2路由器的安全技术1.路由器口令的设置一、路由器存在的安全问题及对策口令加密设置端口登录口令加密特权用户口令防止口令修复[Router]local-useruser-namepasswordcipherpassword[Router]user-interfacevty014[Router-ui-vty0-14]authentication-modeaaa3.2路由器的安全技术2.网络服务的安全设置禁止HTTP服务禁止一些默认状态下开启的服务

如：思科发现协议CDP（CiscoDiscoveryProtocol）是用来获取相邻设备的协议地址以及发现这些设备的平台，就是说当思科的设备连接到一起时，不需要额外的配置，用showcdpneighbor就可以查看到邻居的状态。关闭其他一些易受攻击的端口服务

Noipunreachables//防smurf攻击一、路由器存在的安全问题及对策3.2路由器的安全技术3.保护内部网络lP地址利用路由器的网络地址转换隐藏内部地址利用地址解析协议防止盗用内部IP地址通过ARP可以固定地将IP地址绑定在某一MAC上一、路由器存在的安全问题及对策3.2路由器的安全技术4.利用访问控制列表有效防范网络攻击访问控制列表ACL使用包过滤技术，在路由器上读取第三层及第四层数据包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。利用ACL禁止ping相关接口利用ACL防止IP地址欺骗利用ACL防止SYN攻击利用ACL防范网络病毒攻击一、路由器存在的安全问题及对策3.2路由器的安全技术5.防止包嗅探使用SSH或支持Kerberos的Telnet，或使用IPSec加密路由器所有的管理流6.校验数据流路径的合法性使用RPF（Reversepathforwarding）反相路径转发7.为路由器间的协议交换增加认证功能，提高网络安全性8.使用安全的SNMP管理方案一、路由器存在的安全问题及对策3.2路由器的安全技术1.路由器口令安全配置2.路由器网络服务的安全设置3.保护内部网络IP地址的配置4.利用ACL防范网络攻击的配置5.利用ACL防范病毒攻击的配置6.利用ACL对HTTP服务进行服务控制及权限管理Router(config)#access-list1permit30Router(config)#iphttpaccess-classlRouter(config)#iphttpauthenticationaaa二、路由器的安全配置3.3交换机的安全技术1.利用交换机端口安全技术限制端口接入的随意性2.利用虚拟局域网技术限制局域网广播及ARP攻击范围3.强化Trunk端口设置避免利用封装协议缺陷实行VLAN的跳跃攻击4.使用交换机包过滤技术增加网络交换的安全性5.使用交换机的安全网管6.使用交换机集成的入侵检测技术7.使用交换机集成的用户认证技术一、交换机存在的安全问题及对策3.3交换机的安全技术路由器登录口令、加密等安全措施也适用于交换机打开端口的端口安全功能，命令如下。Switch(config-if)#switchportport-security设置端口上安全地址的最大个数，命令如下。Switch(config-if)#switchportport-secruitymaximum1配置处理违例的方式，命令如下。Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}二、交换机的安全配置3.4服务器与操作系统安全限制用户数量。去掉所有的测试账户、共享账号和普通部门账号等。用户组策略设置相应权限、并且经常检查系统的账号，删除已经不适用的账号。管理员账号设置:更改默认名称、陷井帐号安全登录口令设置屏幕保护／屏幕锁定口令安全文件管理安装防病毒软件一、Windows操作系统安全3.4服务器与操作系统安全备份盘的安全禁止不必要的服务使用IPSec来控制端口访问定期查看日志经常访问微软升级程序站点，了解补丁的最新发布情况一、Windows操作系统安全1.明确安全需求（1）主机系统的安全需求：确保主机系统的认证机制，严密地设置及管理访问口令，是主机系统抵御威胁的有力保障。（2）web服务器的安全需求选择合适的程序，该类型web服务器的漏洞最少；对服务器的管理操作只能由授权用户执行；拒绝通过Web访问web服务器上不公开的内容；能够禁止内嵌在操作系统或web服务器软件中的不必要的网络服务；有能力控制对各种形式的执行程序的访问；能对某些Web操作进行日志记录，以便于入侵检测和入侵企图分析；具有适当的容错功能。3.4服务器