《网络安全培训课程.ppt》由会员分享,可在线阅读,更多相关《网络安全培训课程.ppt(76页珍藏版)》请在三一办公上搜索。
1、LOGO,重庆网安计算机技术服务中心,网络安全培训课程,Page 2,目录,认识信息安全等级保护,1,了解网络基础及安全防护,2,学习网络故障排查-实例,3,Page 3,信息安全等级保护简介,信息安全等级的划分与适用范围,我国计算机信息系统安全保护等级划分细则于1999年9月13日经国家质量技术监督局审查通过并正式批准发布,根据细则将计算机信息系统安全保护能力划分为五个安全保护等级:第一级:用户自主保护级。用户自主保护级通过身份鉴别,自主访问控制机制,要求系统提供每一个用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。第二级:系统审计保护级。在用户自主保护级的基础上,重点强
2、调系统的审计功能,要求通过审计、资源隔离等安全机帛,使每一个用户对自己的行为负责。适用于内联/国际互联网需要保密商务活动的用户。第三级:安全标记保护级。在系统审计保护的基础上,从安全功能的设置和安全强度的要求方面均有明显的提高。首先,增加了标记和强制访问控制功能。同时,对身份鉴别、审计、数据完整性等安全功能均有更进一步的要求。如要求使用完整性敏感性标记,确保信息在网络传输的完整性。一般党政机关、金融机构、大型商业工业用户。第四级:结构化保护级。在安全标记保护级的基础上,重点强调通过结构化设计方法使得所具有的安全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。第
3、五级:访问控制保护级。访问验证保护级重点强调”访问“监控器本身的可验证性,也是从安全功能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。,Page 4,信息安全等级保护,Page 5,信息安全系统定级,系统定级,需要特别说明的是,定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都失去了针对性。,信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家
4、安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。,Page 6,系统定级一般流程,信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。,业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。,由业务信息安全等级和系统服务安全等级的较高者
5、确定定级对象的安全保护等级。,Page 7,系统定级一般流程,Page 8,信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法;是当今发达国家的通行做法,也是我国多年来信息安全工作经验的总结。,信息安全等级保护工作的重要意义,开展信息安全等级保护工作:有利于同步建设;有利于指导和服务;有利于保障重点;有利于明确责任;有利于产业发展。,Page 9,网络基础及安全防护,网络基础与OSI模型,1,TCP-IP编址,2,交换原理和VLAN,Page 10,网络基础与OSI模型,计算机网络定义:通过通信线路和通信设备将不同地理位置上的计算机系统互连起来的一个计算机系统的集合,通过运行
6、特定的操作系统和通信协议来实现数据通信和资源共享。计算机网络组成:通信线路、通信设备、计算机系统、操作系统、通信协议、通信子网、资源子网。计算机网络类型:局域网、广域网。,Page 11,计算机网络组成,Page 12,计算机网络类型,运行在有限的地理区域;允许网络设备同时访问高带宽的介质;通过局部管理控制网络的权限;提供全时的局部服务;连接物理上相邻的设备。,通常指几公里以内的,可以通过某种介质互联的计算机、打印机或其它设备的集合。目前,大多数网络都使用某些形式的以太网。,1,距离短、延迟小、数据速率高、传输可靠,特点,设计目标,局域网,2,Page 13,计算机网络类型,运行在广阔的地理区
7、域;通过低速串行链路进行访问;网络控制服从公共服务的规则;提供全时的或部分时间的连接;连接物理上分离的、遥远的、甚至全球的设备,在大范围区域内提供数据通信服务,主要用于互连局域网。,1,公用电话网:PSTN综合业务数字网:ISDN数字数据网:专线帧中继:Frame Relay异步传输模式:ATM,分类,设计目标,广域网,2,Page 14,OSI七层参考模型,OSI模型:1984年由国际标准化组织ISO国际标准化组织提出。目的:提供一个大家共同遵守的标准,解决不同网络之间的兼容性和互操作性问题。分层标准:依据功能来划分。OSI七层参考模型的优点:促进标准化工作,允许各个供应商进行开发.各层间相
8、互独立,把网络操作分成低复杂性单元.灵活性好,某一层变化不会影响到别层.各层间通过一个接口在相邻层上下通信.,Page 15,OSI分层结构,数据流层,传输层,数据链路层,网络层,物理层,应用层(高),会话层,表示层,应用层,负责主机之间的数据传输,负责网络数据传输,Page 16,OSI分层结构,规定通信设备的机械的、电气的、功能的和规程的特性。主要涉及比特的传输,网络接口卡和网络连接等.,没有智能性,只能对bit 流进行简单的处理。如传输,放大,复制等。,网线:bit 流的传输.中继器:信号的放大.集线器:信号的放大和复制.,Page 17,OSI分层结构,在相邻节点之间建立链路,传送数据
9、帧。工作在同一个网段。主要涉及介质访问控制、连接控制、流量控制和差错控制等。,定义物理地址,标识节点。将bit流组合成数据帧。,交换机:能识别数据帧中的MAC地址信息,在同一网 段转发数据。有智能,进行定向转发。,Page 18,OSI分层结构,是一座桥梁,将不同规范的网络互连起来。在不同网段路由数据包。,定义IP地址,由32bit的二进制数组成,点分十进制表示。路由转发,通过路由表实现三层寻址.,MAC地址(二层)物理地址 平面结构 身份IP地址(三层)逻辑地址 层次结构 位置,Page 19,OSI分层结构,实现终端用户到终端用户之间的连接。可以实现流量控制、负载均衡。,分段,使数据的大小
10、适合在网络上传递。区分服务,端口号标识上层的通信进程。,Page 20,OSI分层结构,在两个应用程序之间建立会话,管理会话,终止会话。一旦建立连接,会话层的任务就是管理会话。主要由操作系统来完成,把不同的应用程序设置内存区间,分配相应的内存,CPU资源,保持不同的应用程序的数据独立性。,将数据转换成接收设备可以了解的格式.翻译数据格式,加密,压缩.,Page 21,OSI分层结构,为具体的应用程序提供服务,实现各种网络应用(WWW FTP QQ SMTP POP3)。我们说某个应用程序的界面是否友好,就是应用层完成的。应用层为用户和计算机会话提供一个界面。计算机有他的语言,人有人的语言,人要
11、和计算机交流,必须有一个窗口来把信息传递出来。,Page 22,数据的封装与解封装,数据封装,解封装,数据要通过网络进行传输,要从高层逐层的向下传送,如果一个主机要传送数据到别的主机,先把数据装到一个特殊协议报头中,这个过程叫封装。,上述的逆向过程。,Page 23,封装过程,TCP 头,LLC 头,IP 头,MAC 头,Page 24,解封装过程,TCP 头,IP 头,LLC 头,MAC 头,Page 25,数据传输过程,Page 26,冲突域和广播域,冲突域:一个支持共享介质的网段。,广播域:广播帧传输的网络范围,一般是路由器来设定边界(因为router不转发广播)。,冲突:在以太网中,当
12、两个节点同时传输数据时,从两个设备发出的帧将会碰撞,在物理介质上相遇,彼此数据都会被破坏。,Page 27,OSI模型的缺陷及意义,提供了网络间互连的参考模型。成为实际网络建模、设计的重要参考工具和理论依据。为我们提供了进行网络设计与分析的方法。,许多功能在多个层次重复,有冗余感(如流2.3.4层都有,差错控制等,数据链路层有流控)。各层功能分配不均匀(链路、网络层任务重,会话层任务轻)。功能和服务定义复杂,很难产品化。,OSI模型的缺陷,OSI模型的意义,Page 28,TCP/IP与OSI,TCP/IP与OSI的比较:TCP/IP 分四层,OSI分的是七层。TCP/IP网络实践上的标准,O
13、SI网络理论的标准。TCP/IP定义每一层功能如何实现,OSI定义每一层做什么。TCO/IP的每一层都可以映射到OSI模型中去。,Page 29,TCP/IP与OSI,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,传输层,网络层,网络接口层,Page 30,TCP/IP应用层,应用层,传输层,网络层,文件传输-TFTP*-FTP*E-Mail-SMTP远程登陆-Telnet*-SSH*网络管理-SNMP*名称管理-DNS*,网络接口层,Page 31,TCP/IP传输层,传输控制协议(TCP)面向连接用户数据报协议(UDP)非面向连接,应用层,传输层,网络层,网络接口层,
14、Page 32,端口号,TCP,端口号,FTP,TELNET,DNS,SNMP,TFTP,SMTP,UDP,应用层,21,23,25,53,69,161,RIP,520,传输层,Page 33,端口号作用,源端口,目标端口,Host A,1028,23,SP,DP,Host Z,Telnet Z,目标端口=23.,端口号标识上层通信进程。小于1024 为周知端口、1024-5000为临时端口、大于5000为其他服务预留。,Page 34,TCP 确认机制,发送方,发送 1,接收 1,发送 ACK 2,发送 2,接收 2,发送 ACK 3,发送 3,接收 3,接收 ACK 4,滑动窗口=1,接收
15、方,Page 35,TCP 三次握手,发送 SYN(seq=100 ctl=SYN),接收 SYN,发送 SYN,ACK(seq=300 ack=101 ctl=syn,ack),建立会话(seq=101 ack=301 ctl=ack),Host A,Host B,接收 SYN,TCP连接建立,Page 36,IP地址组成,IP地址为32Bit二进制数组成,用点分十进制表示。(例如:192.168.1.1/24),IP地址=网络位+主机位,用来标识一个IP地址哪些是网络位,哪些是主机位。用1 标识网络为,用0标识主机位。,Page 37,IP地址分类,A类(1-126)前8位表示网络位,后2
16、4位表示主机位。,B类(128-191)前16位表示网络位,后16位表示主机位。,C类(192-223)前24位表示网络位,后8位表示主机位。,D类(224-239)用于组播地址。,5类IP,E类(240-255)科研使用。,Page 38,特殊IP地址,本地回环(loopback)测试地址,广播地址,代表任何网络,主机位全为1:代表该网段的所有主机。,Page 39,私有IP地址,1,256,16,C类256个:,B类16个:,Page 40,子网划分的核心思想,“借用”主机位来“制造”新的“网络”,16,网络,主机,255.255.255.0,172,2,0,10101100,111111
17、11,10101100,00010000,11111111,00010000,11111111,00000010,10100000,00000000,00000000,00000010,子网(借位),网络号,128192224240248252254255,Page 41,划分子网方法,所选择的子网掩码将会产生多少个子网?:2的x 次方(x代表借掩码位数)。每个子网能有多少主机?:2的y 次方-2(y代表当前主机位数)。每个子网的广播地址是?:广播地址=下个子网号-1每个子网的有效主机分别是?:忽略全为0和全为1的地址,剩下的就是有效主机地址。,Page 42,子网划分优点,子网划分可以解决I
18、P地址紧缺的问题。子网划分可以解决广播问题,分割广播域。例如:一个C类网络,有254台主机可以用。当我们分给一个公司,但是该公司没有这么多主机,地址就有很大的浪费。通过子网划分可以节省IP地址。,Page 43,交换机概述,交换机定义,交换机工作原理,是全双工,可发可收。能识别数据帧中的MAC信息,根据地址信息把数据交换到特定的接口。,交换机是根据数据帧中的封装的目的MAC地址来做出转发数据的决定。,交换机MAC表,是目的MAC和交换机接口的映射,交换机根据MAC表把数据发送到相应的接口。,Page 44,交换机的三个功能,地址学习,帧的转发/过滤,环路防止,Page 45,交换机地址学习,最
19、初开机时MAC地址表是空的Mac地址表条目默认老化时间是300秒,以下命令可改变老化时间:sw(config)#mac-address-table aging-time?Aging time value,MAC地址表,E0,E1,E2,E3,A,B,C,D,Page 46,交换机地址学习,主机A发送数据帧给主机C交换机通过学习数据帧的源MAC地址,记录下主机A的MAC地址对应端口E0 该数据帧转发到除端口E0以外的其它所有端口(不清楚目标主机的单点传送用泛洪方式),E0,E1,E2,E3,D,C,B,A,MAC地址表,Page 47,帧的转发,主机C发送数据给B:交换机发现目的B的MAC对应E
20、1接口,就把数据从这里发送出去。主机D发送广播帧或多点帧:广播帧或多点帧泛洪到除源端口外的所有端口。,E0,E1,E2,E3,D,C,A,B,MAC地址表,Page 48,防止环路,运行STP协议防止环路。某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生回路。,阻塞,x,Page 49,交换机配置,配置命名:Switch(config)#hostname Sw1配置管理IP:Sw1(config)#int vlan 1 Sw1(config-if)#no shut配置网关:查看MAC表。Sw1#sh mac-add设置双工和速率。Sw1(config)#int f0/1 Sw1(confi
21、g-if)#speed 10/100/auto Sw1(config-if)#duplex half/full/auto,Page 50,VLAN概述,第三层,第二层,第一层,销售部,人力资源部,工程部,一个VLAN=一个广播域=逻辑网段(子网),Page 51,VLAN的优点及分类,静态VLAN:基于交换机接口。动态VLAN:基于主机MAC地址,不常用,需要在交换中建立一张VMPS表,来标明哪些MAC属于哪个VLAN.效率低。,隔离二层广播,优化网性能。VLAN可以跨越交换机,简化布线,方便管理。每个VLAN是一个独立的子网,VLNA间的通信要通过三层设备实现,可以通过访问控制列表对VLNA
22、间的通信进行安全控制。,优点,分类,Page 52,VLAN运行,每个逻辑的VLAN就象一个独立的物理桥交换机上的每一个端口都可以分配给不同的VLAN默认的情况下,所有的端口都属于VLAN1(Cisco),交换机 A,绿色VLAN,黑色VLAN,红色VLAN,Page 53,VLAN运作,同一个VLAN可以跨越多个交换机,交换机A,交换机B,绿色VLAN,黑色VLAN,红色VLAN,绿色VLAN,黑色VLAN,红色VLAN,Page 54,VLAN运作,主干功能支持多个VLAN的数据主干使用了特殊的封装格式支持不同的VLAN只有快速以太网端口可以配置为主干端口,干道连接,快速以太网,绿色VLA
23、N,黑色VLAN,红色VLAN,绿色VLAN,黑色VLAN,红色VLAN,Page 55,VLAN的配置,全局模式,Switch#configure terminal Switch(config)#vlan 3 Switch(config-vlan)#name Vlan3Switch(config-vlan)#exit Switch(config)#end,Switch#vlan database Switch(vlan)#vlan 3 VLAN 3 added:Name:VLAN0003Switch(vlan)#exit APPLY completed.Exiting.,数据库模式,Page
24、 56,VLAN的接入端口,接入交换机端口在一个单一的数据的VLAN,Page 57,VLAN执行的命令,配置VLAN-vlan 101-switchport mode access-switchport access vlan 101验证VLAN-show interfaces-show vlan,Page 58,配置VLAN的接入,Switch(config)#vlan vlan_id,配置一个VLAN.,Switch(config-vlan)#name vlan_name,给VLAN命名.,Switch(config-if)#switchport mode access,配置交换机的端口
25、为接入模式.,Switch(config-if)#switchport access vlan vlan_id,把接入端口划分到vlan中.,Page 59,查看VLAN,Switch#show vlanVLAN Name Status Ports-1 default active Fa0/1,Fa0/2,Fa0/3,Fa0/4 Fa0/5,Fa0/7,Fa0/911 asw11_data active12 asw12_data active95 VLAN0095 active Fa0/899 Trunk_Native active100 Internal_Access active111 v
26、oice-for-group-11 active112 voice-for-group-12 active1002 fddi-default act/unsup1003 token-ring-default act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsupVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1-1 enet 100001 1500-0 enet 100011 1500-0.,Page 60,网络故障排查,ARP及ARP防护,a
27、rp原理,1,arp攻击方式,2,arp防护,Page 61,ARP协议原理,ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面有目标主机的MAC地址;在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议的基本功能就是主机在发送报文前将目标主机的IP地址解析成目标主机的MAC地址,以保证通信的顺利进行。,Page 62,ARP协议原理,Arp request和reply的数据帧长都是42字节(28字节的a
28、rp数据、14字节的以太帧头),Page 63,ARP协议原理,Page 64,ARP协议原理,internet,internet,ARP Request,PC,gateway,ARP Replay,正常的ARP通讯过程只需ARP Request和ARP Replay两个过程,简单的说就是一问一答:,Page 65,ARP协议原理,PC,网关回应给主机的ARP Reply报文,主机收到网关的ARP Reply报文后,同样会提取报文中的“Senders hardware address”和“Senders protocol address”生成自己的ARP表项;,Page 66,ARP攻击方式,
29、Arp flood arp 泛洪,只要是瞬间发送大量的arp数据包给switch,填满switch的mac table,导致无法switch工作异常,提示:这时switch就会象hub一样工作,Page 67,ARP攻击方式,gratuitous arp 免费arp,原理:1.gratuitous arp也是arp request的一种,所以是 broadcast,就是群发,就是搞的地球人都知道 2.gratuitous arp的arp报文中,源ip和目的ip是 一样的,就是为了再次确认网络中身份。ms的ip地址冲突监测机制就是通过 免费arp实现的,Page 68,ARP攻击方式,免费arp
30、的精髓 前文说到构建arp spoof的简易方式。这里我有一个疑问,如果攻击者不让其中的1个用户访问任何地址,是否需要发送整个网段的错误的mac地址给 受害主机?答案是 NO 如果这样劳命伤财,不是好办法!只要代表受害主机发送错误的gratuitous arp。1个arp报文足以!当然arp table有老化时间,不过谎话不停的说,说了多次,就变成“真”di了 这样网络中的其他主机都收到错误的mac地址的arp报文进行更新自身的arp cache。于是灾难就这样发生了!,Page 69,ARP攻击方式,免费arp的工作原理,普通交换机,极品良民,恐怖份子,GratuitousArpSend m
31、ac add=错误的mac地址Send ip add=受害主机ipTarget ip add受害主机ip这是广播报文哦,为什么整个网段都ping不通?!,发送源ip和目的ip均为受害主机的ip地址的免费arp报文,我好毒、我好毒,原来 良民的地址是,我真实的mac是,Page 70,ARP攻击方式,Arp proxy arp 代理:arp proxy是arp的攻击之首,这也是传说的“中间人”攻击!原理:双向arp spoof,Page 71,ARP攻击方式,Proxy arp的工作原理,普通交换机,极品良民,恐怖份子,Arp reply to GWSend mac add恐怖份子macSend
32、 ip add=极品良民ipTarget mac add GW mac地址Target ip addGW ip地址,我要和网关通讯,没钱了,我要查我的银行账户,S8610Gateway,IC、IP、IQ卡,统统告诉我密码,恐怖份子的潜台词:Hello,良民,我是网关!Hello,网关,我是良民!,Arp reply to 良民Send mac add恐怖份子macSend ip add=网关ipTarget mac add 良民mac地址Target ip add良民 ip地址,Page 72,ARP攻击方式,Proxy arp的工作原理,普通交换机,极品良民,恐怖份子,我要和网关通讯,没钱了
33、,我要查我的银行账户,S8610Gateway,IC、IP、IQ卡,统统告诉我密码,恐怖份子的潜台词:Hello,良民,我是网关!Hello,网关,我是良民!,原来网关的mac地址是,我真实的mac是,嘿嘿,俺的真实mac是,原来良民的mac地址是,Page 73,ARP攻击方式,Proxy arp的工作原理,普通交换机,极品良民,恐怖份子,S8610Gateway,IC、IP、IQ卡,统统告诉我密码,恐怖份子的潜台词:Hello,良民,我是网关!Hello,网关,我是良民!,我真实的mac是,嘿嘿,俺的真实mac是,Arp table良民ip 恐怖份子mac,Arp table网关ip 恐怖
34、份子mac,后期良民和网关的通讯路线图;所有通讯报文都要经过恐怖份子,ARP防护,电脑绑定arparp-s 157.55.85.212 00-aa-00-62-c6-09备注:arp a arp decho off arp-d aarp s网关LAN IP网关LAN MAC AntiARP防火墙、瑞星个人防火墙2008、360ARP防火墙等 原理:拦截ARP的攻击或者是IP冲突,保障系统不会受ARP攻击的影响,NBR的免费arp NBR的8.41b5后推出免费arp的功能!当前最新正式发布版本是8.5b9!目的是通过不断的gratuitous arp的broadcast宣告自己的正确mac。现
35、在是每秒1个gratuitous arp报文。Ip和mac的绑定 该功能只是该ip只响应绑定的mac,如果更换ip,就有可以正常上网,并不是该mac一定只能使用该ip才能上网,这个是一定要区分清楚的!除非绑定一个子网,Page 75,ARP防护,DHCP Snooping 监控方式也即DHCP Snooping方式,适合大部分主机为动态分配IP地址的网络场景。实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。另外,ARP泛洪攻击会产生大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络速度急剧降低。因此可以在接入交换机部署ARP报文限速,对每个端口单位时间内接收到的ARP报文数量进行限制,避免ARP泛洪攻击,保护网络资源。,重庆网安计算机技术服务中心(023-67031431),
