《计算机网络安全课件(沈鑫剡)第4章.pptx》由会员分享,可在线阅读,更多相关《计算机网络安全课件(沈鑫剡)第4章.pptx(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第4章 安全网络技术以太网安全技术;安全路由;虚拟网络;信息流管制;网络地址转换;容错网络结构。解决网络安全问题的方法主要有三:一是提出解决安全问题的新的机制和算法,如数字签名算法和认证机制。二是增加解决安全问题的新设备,如防火墙和入侵防御系统。三是在传统网络设备和网络设计方法中增加抵御黑客攻击的手段和能力,安全网络技术就是在传统网络设备和网络设计方法中增加的用于抵御黑客攻击和保障网络适用性的技术。第1页/共38页4.1 以太网安全技术以太网接入控制访问控制列表;安全端口;802.1X接入控制过程。以太网其他安全功能防站表溢出攻击功能;防DHCP欺骗;防ARP欺骗攻击。第2页/共38页以太网接
2、入控制黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用户终端的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;交换机端口是用户终端的物理连接处,防止黑客终端接入以太网的关键技术是授权用户终端具有难以伪造的标识符,交换机端口具有识别授权用户终端标识符的能力。第3页/共38页允许为交换机每一个端口配置访问控制列表,列表中给出允许接入的终端的MAC地址;配置访问控制列表的端口只允许转发源MAC地址属于列表中MAC地址的MAC帧,因此对于接入端口,只允许物理连接MAC地址属于列表中MAC地址的终端。以太网接入控制访问控制列表第4页/共38页安全端口是自动建立访问控制
3、列表的机制;允许为每一个交换机端口设置MACMAC地址数N N,从端口学习到的前N N个MACMAC地址作为访问控制列表的MACMAC地址;不允许转发源地址是N N个地址以外的MACMAC帧。以太网接入控制安全端口第5页/共38页802.1X基于端口认证机制,一旦完成认证过程,端口就处于正常转发状态,这种方式适用于交换机B的认证端口,不适用交换机A的认证端口;802.1X基于MAC地址认证机制是认证和访问控制列表的有机结合,一旦交换机通过对某个用户的身份认证,将该用户终端的MAC地址记录在访问控制列表的中,这种方式下,访问控制列表的中的MAC地址是动态的,随着用户接入增加,随着用户退出减少。以
4、太网接入控制实现802.1X接入控制过程的网络结构第6页/共38页认证数据库表明:允许用户名为用户A,具有口令PASSA的用户接入以太网;交换机A将端口7设置为认证端口,意味着必须根据认证数据库指定的认证机制:EAP-CHAP完成用户身份认证的用户终端的MAC地址才能记录在端口7的访问控制列表的中。以太网接入控制用户A向认证服务器证明自己身份:用户名为用户A,具有口令PASSA。用户A终端的MAC地址记录在访问控制列表中。第7页/共38页以太网其他安全功能由于站表容量是有限的,当某个黑客终端大量发送源MAC地址伪造的MAC帧时,很容易使站表溢出;一旦站表溢出,正常终端的MAC地址无法进入站表,
5、导致正常终端之间传输的MAC帧以广播方式传输。站表溢出攻击解决方法解决方法限制交换机从每限制交换机从每一个端口学习到一个端口学习到的地址数。的地址数。第8页/共38页伪造的DHCPDHCP服务器为终端配置错误的网络信息,导致终端发送的数据都被转发到冒充默认网关的黑客终端。以太网其他安全功能信任端口非信任端口将连接授权DHCP服务器的端口和互连交换机的端口设置为信任端口,其他端口为非信任端口,只允许转发从信任端口接收到的DHCP响应报文。第9页/共38页终端B B通过发送将终端A A的IPIP地址和自己MACMAC地址绑定的ARPARP报文,在其他终端和路由器的ARPARP缓冲器中增添一项,导致
6、其他终端和路由器将目的IPIP地址为IP AIP A的IPIP分组,全部封装成以MAC BMAC B为目的地址的MACMAC帧。以太网其他安全功能ARP欺骗攻击过程信任端口信任端口解决方法基于终端配置通过解决方法基于终端配置通过DHCPDHCP服务器获得;服务器获得;交换机侦听通过信任端口接收交换机侦听通过信任端口接收到的到的DHCPDHCP响应报文,并将响应报响应报文,并将响应报文中作为终端标识符的文中作为终端标识符的MACMAC地址地址和和DHCPDHCP分配给终端的分配给终端的IPIP地址记录地址记录在在DHCPDHCP配置表中;配置表中;一旦交换机接收到一旦交换机接收到ARPARP报文
7、,根报文,根据据ARPARP报文中给出的报文中给出的IPIP地址和地址和MACMAC地址对匹配地址对匹配DHCPDHCP配置表,如果找配置表,如果找到匹配项,继续转发到匹配项,继续转发ARPARP报文,报文,否则,丢弃否则,丢弃ARPARP报文。报文。第10页/共38页4.2 安全路由路由器和路由项认证;路由项过滤;单播反向路径验证。这些功能一是确保只有授权路由器之间才能传输路由消息,且路由器只处理传输过程中未被篡改的路由消息;二是防止内部网络结构外泄;三是拒绝黑客终端的源IPIP地址欺骗攻击。第11页/共38页路由器和路由项认证黑客终端伪造和LAN4LAN4直接相连的路由项,并通过路由消息将
8、该路由项组播给路由器R1R1、R2R2;路由器R1R1将通往LAN4LAN4传输路径的下一跳改为黑客终端;所有LAN1LAN1中终端发送给LAN4LAN4中终端的IPIP分组都被错误地转发给黑客终端。LAN4 1黑客终端伪造路由项过程第12页/共38页路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性;相邻路由器配置共享密钥K K,路由消息附带消息认证码(MACMAC),由于计算MACMAC需要共享密钥K K,因此,一旦接收路由器根据密钥K K和路由消息计算MACMAC的结果和路由消息附带的MACMAC相同,可以保证发送者具有和自己相同的密钥K K(授权路由器),路由消息传输过程中
9、未被篡改。发送路由器接收路由器路由器和路由项认证第13页/共38页路由项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由器的透明性。三个网络,其三个网络,其中两个是内部中两个是内部网络。网络。过滤器中的目过滤器中的目的网络包含两的网络包含两个内部网络。个内部网络。路由消息中不包含被路由消息中不包含被过滤器屏蔽掉的两个过滤器屏蔽掉的两个内部网络。内部网络。第14页/共38页单播反向路径验证单播反向路径验证的目的是丢弃伪造源IPIP地址的IPIP分组;路由器通过检测接收IPIP分组的端口和通往源终端的端口是否相同确定源IP
10、IP地址是否伪造。193.1.1.5193.1.1.7193.1.1.5第15页/共38页4.3 虚拟网络虚拟局域网;虚拟路由器;虚拟专用网络。这里的虚拟是指逻辑上等同于独立局域网、独立路由器或者专用网络,物理上且和其他虚拟局域网、虚拟路由器或者虚拟专用网络共享同一物理网络或物理路由器的一种技术。第16页/共38页虚拟局域网同一个以太网是一个广播域,以太网内广播是不可避免的,但广播一是浪费带宽,二是产生安全问题;同一以太网两个终端之间通信不需要经过路由器,而路由器具有比交换机更强的信息传输控制能力;一些黑客攻击手段,如伪造DHCP服务器,ARP欺骗攻击等,都是针对同一以太网的终端的。同一物理以
11、太网三个功能上完全独立的以太网第17页/共38页一般用户终端和服务器不在同一个VLAN,用户终端访问服务器必须经过路由器,可以用路由器的信息传输控制功能对用户终端访问服务器过程进行控制;配置网络设备的终端A和网络设备内嵌的Web服务器处于同一个VLAN,且和其他VLAN没有任何逻辑联系,是一个孤立的网络,避免其他网络终端配置网络设备。虚拟局域网物理网络由物理网络划分成的三个虚拟局域网第18页/共38页虚拟路由器基于安全的原因,有些单位要求连接内部网络资源的办公网络和用于访问外部网络资源的网络相互独立;但办公终端和用于访问外部网络资源的终端不是一成不变的,需要经常调整,当然,这种调整最好不要改变
12、网络的物理结构。虚拟路由器就用于实现将单一物理网络划分为多个独立的逻辑网络的功能。物理网络两个独立的互连网第19页/共38页将一个物理互连网划分为两个独立的互连网;一个物理路由器成为两个独立的逻辑路由器,路由器的每一个接口可以成为逻辑路由器的接口;每一个逻辑路由器具有路由器全部功能:连接不同的网络、运行路由协议、建立路由表、转发IP分组;在本例中,进入接口的IP分组根据封装该IP分组的MAC帧的VLAN ID确定用于转发该IP分组的逻辑路由器;任何逻辑路由器只在它所连接的VLAN间转发IP分组。虚拟路由器物理网络办公网络访问外部资源网络第20页/共38页虚拟专用网络两个VPN A(或两个VPN
13、 B)是物理上分隔的属于同一内部网络的两个子网,分配内部IP地址(本地IP地址),只在内部网络终端之间交换数据;这两个子网通过公共传输网络实现互连,但又需要使用本地IP地址、具有内部网络传输数据的安全性;要求PE1和PE2之间为每一个内部网络(VPN A或VPN B)提供类似专用通路的传输路径。第21页/共38页为建立CE1和CE3之间、CE2和CE4之间独立的传输通路,PE1、PE2都需要分解为两个独立虚拟路由器,同时需要单独建立两对虚拟路由器之间的传输路径,以此对应VPN A和VPN B;但两对虚拟路由器共享一对LSP,因此,经过LSP传输的MPLS帧结构必须携带VPN标识符,以此确定接收
14、和发送MPLS帧的虚拟路由器。虚拟专用网络第22页/共38页4.4 信息流管制信息流分类;管制算法;信息流管制抑制拒绝服务攻击机制。信息流管制的目的是限制特定信息流的流量,特定信息流是指定源和目的终端之间和某个应用相关的IP分组序列,这样的IP分组通过源和目的终端地址、源和目的端口号、协议字段值等参数唯一标识。第23页/共38页信息流分类分类终端A用浏览器访问Web服务器的信息流的标准:源IP地址目的IP地址;源端口号*目的端口号80;协议字段值6(TCP)。以太网以太网终端AWeb服务器第24页/共38页管制算法漏斗管制算法保证信息流恒速输出;突发性信息流存储在分组输出队列,队列稳定器以指定
15、速率输出分组;如果分组输出队列溢出,丢弃后续分组,如果分组输出队列空,输出链路空闲。漏斗漏斗管制算法实现过程第25页/共38页管制算法令牌生成器恒速生成令牌(每秒V令牌),但一旦令牌桶溢出,丢弃后续令牌,每一个令牌对应K字节,令牌桶容量为U令牌;如果分组输出队列头的分组的字节数(P1)K,则只当令牌桶中包含的令牌数P时,才允许输出该分组,并从令牌桶中取走P个令牌,如果令牌桶中令牌数P,停止输出,直到令牌桶中令牌数P;平均输出速率V K/s(单位字节),突发性数据长度U K(单位字节)。第26页/共38页信息流管制抑制拒绝服务攻击机制为了抑制SYN泛洪攻击,在S7、S8、S9连接VLAN 1、V
16、LAN 2、VLAN 3端口设置流量管制器:目的IP地址;协议字段值6(TCP)TCP首部控制标志位值:SYN=1.ACK=0;速率限制:平均传输速率64kbps,突发性数据长度8000B。为了抑制为了抑制DDOS攻击,在攻击,在S7、S8、S9连接连接VLAN 1、VLAN 2、VLAN 3端口设置端口设置流量管制器:流量管制器:n目的目的IP地址;地址;n协议字段值协议字段值1(ICMP)nICMP类型字段值类型字段值8或或0;n速率限制:平均传输速率速率限制:平均传输速率64kbps,突发性数据长度,突发性数据长度8000B。第27页/共38页4.5 网络地址转换端口地址转换;动态NAT
17、;静态NAT;NAT弱安全性。内部网络分配本地地址的终端发送给外部网络的IP分组,在进入外部网络时,源地址需变换成全球IP地址,同样,外部网络终端发送给内部网络终端的IP分组,在进入内部网络时,目的IP地址需变换成本地地址,这个过程称为网络地址转换(NAT)。内部网络的本地地址对外部网络是透明的。由于外部网络终端看不到内部网络分配了本地地址的终端,无法发起对内部网络终端的攻击,因此,NAT具有一定的增强内部网络终端安全性的功能。第28页/共38页端口地址转换内部网络终端发送的IP分组,进入Internet时,以边缘路由器连接Internet端口的全球IP地址为源IP地址,为了正确鉴别源终端,用
18、内部网络唯一的源端口号取代IP分组终端唯一的源端口号。内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位,会话开始时通过地址转换表建立绑定,会话结束时取消绑定;端口地址转换技术只能用于IP分组净荷是运输层报文的情况。第29页/共38页动态NAT动态地址转换以会话为单位,会话开始时在全球IP地址池中分配一个未使用的IP地址,并在地址转换表中将全球IP地址和本地地址之间的绑定与会话关联在一起,会话结束时取消绑定和关联;IP分组进入Internet时,用全球IP地址取代本地地址。IP分组进入内部网络时,用本地地址取代全球IP地址;动态NAT不需改动源端口号,因此,原则可用于IP分组净荷不是运
19、输层报文的情况。第30页/共38页静态NAT端口地址转换和动态NAT在建立本地地址和全球IP地址之间绑定前,内部网络终端对外部网络是透明的。而且,建立本地地址和全球IP地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现,因此,只允许内部网络终端发起建立和外部网络终端之间的会话,这样,增强了内部网络的安全性,但不允许外部网络终端发起和内部网络终端之间的会话;静态NAT将建立本地地址和全球IP地址的固定关联,这样,允许外部网络终端随时通过该全球IP地址访问和该全球IP地址建立固定关系的本地地址所标识的内部网络终端。第31页/共38页NAT的弱安全性NAT弱安全性体现在外部网络
20、终端对内部网络的透明性,在建立本地地址和全球IP地址之间绑定之前,外部网络终端无法用全球IP地址和内部网络终端进行通信;一旦建立本地地址和全球IP地址之间的绑定,外部网络终端可以通过全球IP地址或者端口号确定内部网络终端,并因此实现和内部网络终端之间的通信,黑客可以通过截获的IP分组获得和某个内部网络终端绑定的全球IP地址或端口号。第32页/共38页4.6 容错网络结构核心层容错结构;网状容错结构;生成树协议;冗余链路。容错网络是指在发生链路或结点故障的情况下,仍然能够保持网络连通性的网络结构,容错网络的原旨是提高网络的可靠性,但黑客攻击的目标就是瘫痪某段链路或某个结点,因此,高可靠性的容错网
21、络结构也具有较高的安全性。第33页/共38页核心层容错结构核心层容错是用两个以太网互连这些路由器,因此,只要有一个以太网保持连通性,就可保证这些路由器之间的通信;两个核心层交换机最好异地放置。核心层容错网络结构第34页/共38页网状容错结构分组交换,多条端到端传输路径是分组交换网络高可靠性的保证,也是研发分组交换网络的原因;通过监测网络状态和合理选择端到端传输路径,保证端到端传输的可靠性。第35页/共38页生成树协议交换机两个端口之间不允许存在两条以上的交换路径,因此,以太网普遍使用树形结构;但树形结构的以太网缺少容错性,某段链路发生故障,或是某台交换机发生故障,都有可能导致一部以太网端口不能
22、和其他以太网端口连通;生成树协议允许交换机端口之间存在环路,但通过阻塞一些端口消除这些环路,一旦某段链路发生故障,通过开启阻塞端口,使交换机各个端口之间保持连通。生成树协议通过阻塞一些端口,使网状形的以太网结构,变成树形以太网结构,消除了端口之间的环路。一旦树形以太网结构中的某段链路发生故障,导致一部分交换机端口无法和其他交换机端口保持连通。通过开启一些原本阻塞的端口,重新使各个交换机端口之间保持连通。第36页/共38页冗余链路生成树协议可以解决通过冗余链路提高可靠性和保证以太网树形结构之间的矛盾,但从链路发生故障到重新保持交换机端口之间连通需要较长的时间,这段时间内,可能导致一些交换机端口之间的连通发生问题;主干链路要求对故障做出快速反应,以保证终端之间的连通,冗余链路技术就是一种对链路故障作出快速反应的技术。主链路备用链路正常情况下,主链路工作,备用链路阻塞。一旦主链路发生故障,备用链路立即工作。第37页/共38页感谢您的观看。第38页/共38页