3网络与信息安全解说.ppt

网络与通信安全 中国信息安全产品测评认证中心（CNITSEC） CISP-网络与通信安全（培训稿） 课程内容 网络协议与安全威胁 网络安全控制 交换机设备安全配置 路由器设备安全配置 第一部分网络协议与安全威胁 四层协议 工作模式 四层协议与网络攻击 第二部分网络安全控制 OSI网络参考模型网络组成结构 OSI网络参考模型通信模式 上层用户：上层协议站，是通信的信源和信宿； 通信功能：为实现通信所能提供的特定操作和控制机制，如数据传送、流量控制、差错控制、应答机制、数据包的拆分与重组等； 通信服务：是通信功能的外部表现，为上层用户提供通信支持； 通信介质：本层以下所有协议层，是本层以下通信结构的抽象表示； 通信子系统通过本层的通信功能和下层的通信服务，实现本层不同通信实体之间的通信，并为上层协议提供通信服务。 理论依据 理论依据 美国总统关键基础设施保护委员会关于加强SCADA网络的21条建议 美国国家安全局IATF DMTF的分布式管理方法和模型 软件行为学 … 安全域综述—概念理解 一般常常理解的安全域（网络安全域）是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。 如果理解广义的安全域概念则是， 具有相同业务要求和安全要求的IT系统要素的集合。 这些IT系统要素包括： 网络区域 主机和系统 人和组织 物理环境 策略和流程 业务和使命等 安全域综述—安全域的意义 基于网络和系统进行安全检查和评估的基础 安全域的分割是抗渗透的防护方式 基于网络和系统进行安全建设的部署依据 安全域边界是灾难发生时的抑制点，防止影响的扩散 安全区域的划分原则 需求牵引：业务层面的需求（不同业务、不同部门的安全等级需求不同）以及网络结构层面的需求（安全域在逻辑上可以和网络层次结构对应）；与现有网络结构，网络拓扑紧密结合，尽量不大规模的影响网络布局（考虑到用户需求和成本等因素）与业务需求一致性原则，安全域的范围，边界的界定不能导致业务与实际分离； 统一安全策略：安全域的最重要的一个特征是安全策略的一致性，所以划分安全域的的前提是具备自上而下（纵向的），自内而外（横向的）的宏观上的安全策略规划； 部署实施方便：最少化安全设备原则，合理的安全域划分可以减少冗余设备，精简开支； 等级保护的需要； 为集中化的安全管理服务。 安全控制 安全边界 安全边界将需要保护的资源、可能的风险和保障的需求结合起来 可以在通信路径上完成访问控制的授权、范围、期限。 安全边界的设计 良好的清晰度以便进行审查和测试 具备简洁性以便能够迅速自动化执行减轻维护人员的工作量 具备现实性以便采用成熟的技术和产品 安全边界可采用的安全技术包括隔离、监控、检测、评估、审计、加密等。 可作为安全边界的设备 交换机 路由器 防火墙 入侵检测 网关 VPN Etc……. 第三部分交换机设备安全配置 配置内容 关闭不必要的设备服务 使用强口令或密码 加强设备访问的认证与授权 升级设备固件或OS 使用访问控制列表限制访问 使用访问控制表限制数据包类型 交换机-针对CDP攻击 说明 Cisco专用协议，用来发现周边相邻的网络设备 链路层帧，30s发送一次，目标MAC：01:00:0C:CC:CC:CC 可以得到相邻设备名称，操作系统版本，接口数量和类型，接口IP地址等关键信息 在所有接口上默认打开 危害 任何人可以轻松得到整个网络信息 可以被利用发起DoS攻击：http://www.phenoelit.de/irpas/ 对策 如不需要，禁止CDP 禁止User-End端口的CDP 交换机-针对STP攻击 说明 Spanning Tree Protocol 防止交换网络产生回路 Root Bridge BPDU--bridge ID, path cost, interface 攻击 强制接管root bridge，导致网络逻辑结构改变，在重新生成STP时，可以导致某些端口暂时失效，可以监听大部份网络流量。 BPDU Flood：消耗带宽，拒绝服务 对策 对User-End端口，禁止发送BPDU 交换机-针对VTP攻击 作用 Vlan Trunking Protocol 统一了整个网络的VLAN配置和管理 可以将VLAN配置信息传递到其它交换机 动态添加删除VLAN 准确跟踪和监测VLAN变化 模式 Server, Client, Transparent 脆弱性 Domain：只有属于同一个Domain的交换机才能交换Vlan信息 set vtp domain netpower Password：同一domain可以相互通过经MD5加密的password验证，但password设置非必需的，如果未