网络安全培训课程.ppt

LOGO 重庆网安计算机技术服务中心 网络安全培训课程 Page 2 目录 认识信息安全等级保护 1 了解网络基础及安全防护 2 学习网络故障排查 实例 3 Page 3 信息安全等级保护简介 信息安全等级的划分与适用范围 我国 计算机信息系统安全保护等级划分细则 于1999年9月13日经国家质量技术监督局审查通过并正式批准发布 根据细则将计算机信息系统安全保护能力划分为五个安全保护等级 第一级 用户自主保护级 用户自主保护级通过身份鉴别 自主访问控制机制 要求系统提供每一个用户具有对自身所创造的数据进行安全保护的能力 适用于普通内联网用户 第二级 系统审计保护级 在用户自主保护级的基础上 重点强调系统的审计功能 要求通过审计 资源隔离等安全机帛 使每一个用户对自己的行为负责 适用于内联 国际互联网需要保密商务活动的用户 第三级 安全标记保护级 在系统审计保护的基础上 从安全功能的设置和安全强度的要求方面均有明显的提高 首先 增加了标记和强制访问控制功能 同时 对身份鉴别 审计 数据完整性等安全功能均有更进一步的要求 如要求使用完整性敏感性标记 确保信息在网络传输的完整性 一般党政机关 金融机构 大型商业工业用户 第四级 结构化保护级 在安全标记保护级的基础上 重点强调通过结构化设计方法使得所具有的安全功能具有更高的安全要求 适用于国家机关 中央金融机构 尖端科技和国防应用系统单位 第五级 访问控制保护级 访问验证保护级重点强调 访问 监控器本身的可验证性 也是从安全功能的设计和实现方面提出更高要求 适用于国防关键应用以及国家特殊隔离信息系统使用单位 Page 4 信息安全等级保护 Page 5 信息安全系统定级 系统定级 需要特别说明的是 定级是等级保护工作的首要环节 是开展信息系统建设 整改 测评 备案 监督检查等后续工作的重要基础 信息系统安全级别定不准 系统建设 整改 备案 等级测评等后续工作都失去了针对性 信息系统的安全保护等级是信息系统的客观属性 不以已采取或将采取什么安全保护措施为依据 也不以风险评估为依据 而是以信息系统的重要性和信息系统遭到破坏后对国家安全 社会稳定 人民群众合法权益的危害程度为依据 确定信息系统的安全等级 Page 6 系统定级一般流程 信息系统安全包括业务信息安全和系统服务安全 信息安全是指确保信息系统内信息的保密性 完整性和可用性等 系统服务安全是指确保信息系统可以及时 有效地提供服务 以完成预定的业务目标 业务信息安全和系统服务安全 与之相关的受侵害客体和对客体的侵害程度可能不同 因此 信息系统定级也应由业务信息安全和系统服务安全两方面确定 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级 Page 7 系统定级一般流程 Page 8 信息安全等级保护制度是国家信息安全保障的基本制度 基本策略 基本方法 是当今发达国家的通行做法 也是我国多年来信息安全工作经验的总结 信息安全等级保护工作的重要意义 开展信息安全等级保护工作 有利于同步建设 有利于指导和服务 有利于保障重点 有利于明确责任 有利于产业发展 Page 9 网络基础及安全防护 网络基础与OSI模型 1 TCP IP编址 2 交换原理和VLAN Page 10 网络基础与OSI模型 计算机网络定义 通过通信线路和通信设备将不同地理位置上的计算机系统互连起来的一个计算机系统的集合 通过运行特定的操作系统和通信协议来实现数据通信和资源共享 计算机网络组成 通信线路 通信设备 计算机系统 操作系统 通信协议 通信子网 资源子网 计算机网络类型 局域网 广域网 Page 11 计算机网络组成 Page 12 计算机网络类型 运行在有限的地理区域 允许网络设备同时访问高带宽的介质 通过局部管理控制网络的权限 提供全时的局部服务 连接物理上相邻的设备 通常指几公里以内的 可以通过某种介质互联的计算机 打印机或其它设备的集合 目前 大多数网络都使用某些形式的以太网 1 距离短 延迟小 数据速率高 传输可靠 特点 设计目标 局域网 2 Page 13 计算机网络类型 运行在广阔的地理区域 通过低速串行链路进行访问 网络控制服从公共服务的规则 提供全时的或部分时间的连接 连接物理上分离的 遥远的 甚至全球的设备 在大范围区域内提供数据通信服务 主要用于互连局域网 1 公用电话网 PSTN综合业务数字网 ISDN数字数据网 专线帧中继 FrameRelay异步传输模式 ATM 分类 设计目标 广域网 2 Page 14 OSI七层参考模型 OSI模型 1984年由国际标准化组织ISO国际标准化组织提出 目的 提供一个大家共同遵守的标准 解决不同网络之间的兼容性和互操作性问题 分层标准 依据功能来划分 OSI七层参考模型的优点 促进标准化工作 允许各个供应商进行开发 各层间相互独立 把网络操作分成低复杂性单元 灵活性好 某一层变化不会影响到别层 各层间通过一个接口在相邻层上下通信 Page 15 OSI分层结构 数据流层 传输层 数据链路层 网络层 物理层 应用层 高 会话层 表示层 应用层 负责主机之间的数据传输 负责网络数据传输 Page 16 OSI分层结构 规定通信设备的机械的 电气的 功能的和规程的特性 主要涉及比特的传输 网络接口卡和网络连接等 没有智能性 只能对bit流进行简单的处理 如传输 放大 复制等 网线 bit流的传输 中继器 信号的放大 集线器 信号的放大和复制 Page 17 OSI分层结构 在相邻节点之间建立链路 传送数据帧 工作在同一个网段 主要涉及介质访问控制 连接控制 流量控制和差错控制等 定义物理地址 标识节点 将bit流组合成数据帧 交换机 能识别数据帧中的MAC地址信息 在同一网段转发数据 有智能 进行定向转发 Page 18 OSI分层结构 是一座桥梁 将不同规范的网络互连起来 在不同网段路由数据包 定义IP地址 由32bit的二进制数组成 点分十进制表示 路由转发 通过路由表实现三层寻址 MAC地址 二层 物理地址平面结构身份IP地址 三层 逻辑地址层次结构位置 Page 19 OSI分层结构 实现终端用户到终端用户之间的连接 可以实现流量控制 负载均衡 分段 使数据的大小适合在网络上传递 区分服务 端口号标识上层的通信进程 Page 20 OSI分层结构 在两个应用程序之间建立会话 管理会话 终止会话 一旦建立连接 会话层的任务就是管理会话 主要由操作系统来完成 把不同的应用程序设置内存区间 分配相应的内存 CPU资源 保持不同的应用程序的数据独立性 将数据转换成接收设备可以了解的格式 翻译数据格式 加密 压缩 Page 21 OSI分层结构 为具体的应用程序提供服务 实现各种网络应用 WWWFTPQQSMTPPOP3 我们说某个应用程序的界面是否友好 就是应用层完成的 应用层为用户和计算机会话提供一个界面 计算机有他的语言 人有人的语言 人要和计算机交流 必须有一个窗口来把信息传递出来 Page 22 数据的封装与解封装 数据封装 解封装 数据要通过网络进行传输 要从高层逐层的向下传送 如果一个主机要传送数据到别的主机 先把数据装到一个特殊协议报头中 这个过程叫封装 上述的逆向过程 Page 23 封装过程 TCP头 LLC头 IP头 MAC头 Page 24 解封装过程 TCP头 IP头 LLC头 MAC头 Page 25 数据传输过程 Page 26 冲突域和广播域 冲突域 一个支持共享介质的网段 广播域 广播帧传输的网络范围 一般是路由器来设定边界 因为router不转发广播 冲突 在以太网中 当两个节点同时传输数据时 从两个设备发出的帧将会碰撞 在物理介质上相遇 彼此数据都会被破坏 Page 27 OSI模型的缺陷及意义 提供了网络间互连的参考模型 成为实际网络建模 设计的重要参考工具和理论依据 为我们提供了进行网络设计与分析的方法 许多功能在多个层次重复 有冗余感 如流2 3 4层都有 差错控制等 数据链路层有流控 各层功能分配不均匀 链路 网络层任务重 会话层任务轻 功能和服务定义复杂 很难产品化 OSI模型的缺陷 OSI模型的意义 Page 28 TCP IP与OSI TCP IP与OSI的比较 TCP IP分四层 OSI分的是七层 TCP IP网络实践上的标准 OSI网络理论的标准 TCP IP定义每一层功能如何实现 OSI定义每一层做什么 TCO IP的每一层都可以映射到OSI模型中去 Page 29 TCP IP与OSI 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 传输层 网络层 网络接口层 Page 30 TCP IP应用层 应用层 传输层 网络层 文件传输 TFTP FTP E Mail SMTP远程登陆 Telnet SSH 网络管理 SNMP 名称管理 DNS 网络接口层 Page 31 TCP IP传输层 传输控制协议 TCP 面向连接用户数据报协议 UDP 非面向连接 应用层 传输层 网络层 网络接口层 Page 32 端口号 TCP 端口号 FTP TELNET DNS SNMP TFTP SMTP UDP 应用层 21 23 25 53 69 161 RIP 520 传输层 Page 33 端口号作用 源端口 目标端口 HostA 1028 23 SP DP HostZ TelnetZ 目标端口 23 端口号标识上层通信进程 小于1024为周知端口 1024 5000为临时端口 大于5000为其他服务预留 Page 34 TCP确认机制 发送方 发送1 接收1 发送ACK2 发送2 接收2 发送ACK3 发送3 接收3 接收ACK4 滑动窗口 1 接收方 Page 35 TCP三次握手 发送SYN seq 100ctl SYN 接收SYN 发送SYN ACK seq 300ack 101ctl syn ack 建立会话 seq 101ack 301ctl ack HostA HostB 接收SYN TCP连接建立 Page 36 IP地址组成 IP地址为32Bit二进制数组成 用点分十进制表示 例如 192 168 1 1 24 IP地址 网络位 主机位 用来标识一个IP地址哪些是网络位 哪些是主机位 用1标识网络为 用0标识主机位 Page 37 IP地址分类 A类 1 126 前8位表示网络位 后24位表示主机位 B类 128 191 前16位表示网络位 后16位表示主机位 C类 192 223 前24位表示网络位 后8位表示主机位 D类 224 239 用于组播地址 5类IP E类 240 255 科研使用 Page 38 特殊IP地址 本地回环 loopback 测试地址 广播地址 代表任何网络 0 0 0 0 127 0 0 1 255 255 255 255 主机位全为1 代表该网段的所有主机 Page 39 私有IP地址 1 256 16 C类256个 192 168 0 0 24 192 168 255 0 24 A类1个 10 0 0 0 8 B类16个 172 16 0 0 16 172 31 0 0 16 Page 40 子网划分的核心思想 借用 主机位来 制造 新的 网络 16 网络 主机 172 16 2 160 255 255 255 0 172 2 0 10101100 11111111 10101100 00010000 11111111 00010000 11111111 00000010 10100000 00000000 00000000 00000010 子网 借位 网络号 128192224240248252254255 Page 41 划分子网方法 所选择的子网掩码将会产生多少个子网 2的x次方 x代表借掩码位数 每个子网能有多少主机 2的y次方 2 y代表当前主机位数 每个子网的广播地址是 广播地址 下个子网号 1每个子网的有效主机分别是 忽略全为0和全为1的地址 剩下的就是有效主机地址 Page 42 子网划分优点 子网划分可以解决IP地址紧缺的问题 子网划分可以解决广播问题 分割广播域 例如 一个C类网络 有254台主机可以用 当我们分给一个公司 但是该公司没有这么多主机 地址就有很大的浪费 通过子网划分可以节省IP地址 Page 43 交换机概述 交换机定义 交换机工作原理 是全双工 可发可收 能识别数据帧中的MAC信息 根据地址信息把数据交换到特定的接口 交换机是根据数据帧中的封装的目的MAC地址来做出转发数据的决定 交换机MAC表 是目的MAC和交换机接口的映射 交换机根据MAC表把数据发送到相应的接口 Page 44 交换机的三个功能 地址学习 帧的转发 过滤 环路防止 Page 45 交换机地址学习 最初开机时MAC地址表是空的Mac地址表条目默认老化时间是300秒 以下命令可改变老化时间 sw config mac address tableaging time Agingtimevalue MAC地址表 0260 8c01 1111 0260 8c01 2222 0260 8c01 3333 0260 8c01 4444 E0 E1 E2 E3 A B C D Page 46 交换机地址学习 主机A发送数据帧给主机C交换机通过学习数据帧的源MAC地址 记录下主机A的MAC地址对应端口E0该数据帧转发到除端口E0以外的其它所有端口 不清楚目标主机的单点传送用泛洪方式 0260 8c01 1111 0260 8c01 2222 0260 8c01 3333 0260 8c01 4444 E0 0260 8c01 1111 E0 E1 E2 E3 D C B A MAC地址表 Page 47 帧的转发 主机C发送数据给B 交换机发现目的B的MAC对应E1接口 就把数据从这里发送出去 主机D发送广播帧或多点帧 广播帧或多点帧泛洪到除源端口外的所有端口 0260 8c01 1111 0260 8c01 2222 0260 8c01 3333 0260 8c01 4444 E0 E1 E2 E3 D C A B E0 0260 8c01 1111 E2 0260 8c01 2222 E1 0260 8c01 3333 E3 0260 8c01 4444 MAC地址表 Page 48 防止环路 运行STP协议防止环路 某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生回路 阻塞 x Page 49 交换机配置 配置命名 Switch config hostnameSw1配置管理IP Sw1 config intvlan1Sw1 config if ipadd172 16 1 210255 255 255 0Sw1 config if noshut配置网关 Sw1 config ipdefault gateway172 16 1 201查看MAC表 Sw1 shmac add设置双工和速率 Sw1 config intf0 1Sw1 config if speed10 100 autoSw1 config if duplexhalf full auto Page 50 VLAN概述 第三层 第二层 第一层 销售部 人力资源部 工程部 一个VLAN 一个广播域 逻辑网段 子网 Page 51 VLAN的优点及分类 静态VLAN 基于交换机接口 动态VLAN 基于主机MAC地址 不常用 需要在交换中建立一张VMPS表 来标明哪些MAC属于哪个VLAN 效率低 隔离二层广播 优化网性能 VLAN可以跨越交换机 简化布线 方便管理 每个VLAN是一个独立的子网 VLNA间的通信要通过三层设备实现 可以通过访问控制列表对VLNA间的通信进行安全控制 优点 分类 Page 52 VLAN运行 每个逻辑的VLAN就象一个独立的物理桥交换机上的每一个端口都可以分配给不同的VLAN默认的情况下 所有的端口都属于VLAN1 Cisco 交换机A 绿色VLAN 黑色VLAN 红色VLAN Page 53 VLAN运作 同一个VLAN可以跨越多个交换机 交换机A 交换机B 绿色VLAN 黑色VLAN 红色VLAN 绿色VLAN 黑色VLAN 红色VLAN Page 54 VLAN运作 主干功能支持多个VLAN的数据主干使用了特殊的封装格式支持不同的VLAN只有快速以太网端口可以配置为主干端口 干道连接 快速以太网 绿色VLAN 黑色VLAN 红色VLAN 绿色VLAN 黑色VLAN 红色VLAN Page 55 VLAN的配置 全局模式 Switch configureterminalSwitch config vlan3Switch config vlan nameVlan3Switch config vlan exitSwitch config end Switch vlandatabaseSwitch vlan vlan3VLAN3added Name VLAN0003Switch vlan exitAPPLYcompleted Exiting 数据库模式 Page 56 VLAN的接入端口 接入交换机端口在一个单一的数据的VLAN Page 57 VLAN执行的命令 配置VLAN vlan101 switchportmodeaccess switchportaccessvlan101验证VLAN showinterfaces showvlan Page 58 配置VLAN的接入 Switch config vlanvlan id 配置一个VLAN Switch config vlan namevlan name 给VLAN命名 Switch config if switchportmodeaccess 配置交换机的端口为接入模式 Switch config if switchportaccessvlanvlan id 把接入端口划分到vlan中 Page 59 查看VLAN Switch showvlanVLANNameStatusPorts 1defaultactiveFa0 1 Fa0 2 Fa0 3 Fa0 4Fa0 5 Fa0 7 Fa0 911asw11 dataactive12asw12 dataactive95VLAN0095activeFa0 899Trunk Nativeactive100Internal Accessactive111voice for group 11active112voice for group 12active1002fddi defaultact unsup1003token ring defaultact unsup1004fddinet defaultact unsup1005trnet defaultact unsupVLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1 1enet1000011500 0enet1000111500 0 Page 60 网络故障排查 ARP及ARP防护 arp原理 1 arp攻击方式 2 arp防护 Page 61 ARP协议原理 ARP协议是 AddressResolutionProtocol 地址解析协议 的缩写 在局域网中 网络中实际传输的是 帧 帧里面有目标主机的MAC地址 在以太网中 一个主机要和另一个主机进行直接通信 必须要知道目标主机的MAC地址 但这个目标MAC地址是如何获得的呢 它就是通过地址解析协议获得的 ARP协议的基本功能就是主机在发送报文前将目标主机的IP地址解析成目标主机的MAC地址 以保证通信的顺利进行 Page 62 ARP协议原理 Arprequest和reply的数据帧长都是42字节 28字节的arp数据 14字节的以太帧头 Page 63 ARP协议原理 Page 64 ARP协议原理 internet internet ARPRequest PC gateway ARPReplay 正常的ARP通讯过程只需ARPRequest和ARPReplay两个过程 简单的说就是一问一答 Page 65 ARP协议原理 PC 网关回应给主机的ARPReply报文 主机收到网关的ARPReply报文后 同样会提取报文中的 Sender shardwareaddress 和 Sender sprotocoladdress 生成自己的ARP表项 Page 66 ARP攻击方式 Arpfloodarp泛洪 只要是瞬间发送大量的arp数据包给switch 填满switch的mactable 导致无法switch工作异常 提示 这时switch就会象hub一样工作 Page 67 ARP攻击方式 gratuitousarp免费arp 原理 1 gratuitousarp也是arprequest的一种 所以是broadcast 就是群发 就是搞的地球人都知道2 gratuitousarp的arp报文中 源ip和目的ip是一样的 就是为了再次确认网络中身份 ms的ip地址冲突监测机制就是通过免费arp实现的 Page 68 ARP攻击方式 免费arp的精髓前文说到构建arpspoof的简易方式 这里我有一个疑问 如果攻击者不让其中的1个用户访问任何地址 是否需要发送整个网段的错误的mac地址给受害主机 答案是NO如果这样劳命伤财 不是好办法 只要代表受害主机发送错误的gratuitousarp 1个arp报文足以 当然arptable有老化时间 不过谎话不停的说 说了多次 就变成 真 di了这样网络中的其他主机都收到错误的mac地址的arp报文进行更新自身的arpcache 于是灾难就这样发生了 Page 69 ARP攻击方式 免费arp的工作原理 普通交换机 极品良民 恐怖份子 GratuitousArpSendmacadd 错误的mac地址Sendipadd 受害主机ipTargetipadd 受害主机ip这是广播报文哦 为什么整个网段都ping不通 发送源ip和目的ip均为受害主机的ip地址的免费arp报文 我好毒 我好毒 原来良民的地址是4444 4444 4444 我真实的mac是1111 1111 1111 Page 70 ARP攻击方式 Arpproxyarp代理 arpproxy是arp的攻击之首 这也是传说的 中间人 攻击 原理 双向arpspoof Page 71 ARP攻击方式 Proxyarp的工作原理 普通交换机 极品良民 恐怖份子 ArpreplytoGWSendmacadd 恐怖份子macSendipadd 极品良民ipTargetmacadd GWmac地址Targetipadd GWip地址 我要和网关通讯 没钱了 我要查我的银行账户 S8610Gateway IC IP IQ卡 统统告诉我密码 恐怖份子的潜台词 Hello 良民 我是网关 Hello 网关 我是良民 Arpreplyto良民Sendmacadd 恐怖份子macSendipadd 网关ipTargetmacadd 良民mac地址Targetipadd 良民ip地址 Page 72 ARP攻击方式 Proxyarp的工作原理 普通交换机 极品良民 恐怖份子 我要和网关通讯 没钱了 我要查我的银行账户 S8610Gateway IC IP IQ卡 统统告诉我密码 恐怖份子的潜台词 Hello 良民 我是网关 Hello 网关 我是良民 原来网关的mac地址是3333 3333 3333 我真实的mac是2222 2222 2222 嘿嘿 俺的真实mac是3333 3333 3333 原来良民的mac地址是3333 3333 3333 Page 73 ARP攻击方式 Proxyarp的工作原理 普通交换机 极品良民 恐怖份子 S8610Gateway IC IP IQ卡 统统告诉我密码 恐怖份子的潜台词 Hello 良民 我是网关 Hello 网关 我是良民 我真实的mac是2222 2222 2222 嘿嘿 俺的真实mac是3333 3333 3333 Arptable良民ip恐怖份子mac Arptable网关ip恐怖份子mac 后期良民和网关的通讯路线图 所有通讯报文都要经过恐怖份子 ARP防护 电脑绑定arparp s157 55 85 21200 aa 00 62 c6 09备注 arp aarp d echooffarp daarp s网关LANIP网关LANMACAntiARP防火墙 瑞星个人防火墙2008 360ARP防火墙等原理 拦截ARP的攻击或者是IP冲突 保障系统不会受ARP攻击的影响 NBR的免费arpNBR的8 41b5后推出免费arp的功能 当前最新正式发布版本是8 5b9 目的是通过不断的gratuitousarp的broadcast宣告自己的正确mac 现在是每秒1个gratuitousarp报文 Ip和mac的绑定该功能只是该ip只响应绑定的mac 如果更换ip 就有可以正常上网 并不是该mac一定只能使用该ip才能上网 这个是一定要区分清楚的 除非绑定一个子网 Page 75 ARP防护 DHCPSnooping监控方式也即DHCPSnooping方式 适合大部分主机为动态分配IP地址的网络场景 实现原理 接入层交换机监控用户动态申请IP地址的全过程 记录用户的IP MAC和端口信息 并且在接入交换机上做多元素绑定 从而在根本上阻断非法ARP报文的传播 另外 ARP泛洪攻击会产生大量的ARP报文 消耗网络带宽资源和交换机CPU资源 造成网络速度急剧降低 因此可以在接入交换机部署ARP报文限速 对每个端口单位时间内接收到的ARP报文数量进行限制 避免ARP泛洪攻击 保护网络资源 重庆网安计算机技术服务中心 023 67031431