第七章 园区网安全技术.ppt

第七章园区网安全技术教学目标教学目标 了解常见的网络安全隐患及常用防范技术；熟悉交换机端口安全功能及配置 掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。本章内容本章内容 网络安全隐患 交换机端口安全 IP访问控制列表课程议题课程议题网络安全隐患网络安全隐患0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫病毒/网络蠕虫针对网络服务器漏洞的攻击针对网络服务器漏洞的攻击拒绝服务攻击拒绝服务攻击基于缓冲区溢出的攻击基于缓冲区溢出的攻击与Active Code相关的攻击与协议弱点相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击常见的网络攻击常见的网络攻击 网络攻击手段多种多样，以下是最常见的几种攻击不可避免攻击不可避免 网络攻击原理日趋复杂，但攻击却变得越来越简单易操作额外的不安全因素额外的不安全因素 DMZ E-Mail File Transfer HTTP企业网络企业网络外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织现有网络安全体制现有网络安全体制现有网络安全防御体制IDS/IPSIDS/IPS68%68%杀毒软件杀毒软件99%99%防火墙防火墙98%98%ACLACL71%71%现有网络安全体制现有网络安全体制防火墙防火墙包过滤包过滤防病毒防病毒入侵检测入侵检测课程议题课程议题园区网常见攻击园区网常见攻击网络攻击对各网络层次的影响网络攻击对各网络层次的影响二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4 交换机初始化时MAC地址表是空的；二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4 主机之间互相发送数据，交换机会学习数据帧的源MAC地址。F0/1:0260.8c01.1111二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/1:0260.8c01.1111 交换机MAC地址表中没有目的地址记录 执行广播操作Flooding二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.4444 主机之间互相发送数据，交换机会学习数据帧的源MAC地址。二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.4444 已知单播帧：过滤操作FilteringXX二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.4444 未知单播帧，广播帧：执行广播操作Flooding二层攻击和防范二层攻击和防范 网络攻击对二层交换机产生的严重影响有：MAC攻击；DHCP攻击；ARP攻击；IP/MAC欺骗攻击；STP攻击；网络设备管理安全；三层攻击和防范三层攻击和防范 网络攻击对三层交换机产生的严重影响有：MAC攻击；DHCP攻击；ARP攻击；IP/MAC欺骗攻击；DoS/DDoS攻击；IP扫描攻击；网络设备管理安全；MAC攻击攻击 MAC地址：链路层唯一标识00.d0.f8.00.07.3cFF.FF.FF.FF.FF.FF前3个字节：IEEE分配给网络设备厂商后3个字节：网络设备厂商自行分配，不重复，生产时写入设备广播MAC地址接入交换机MAC地址表：空间有限地址表：空间有限MACPORTA1B2C3MAC攻击攻击PC AMAC APC BMAC BPC CMAC C流量：流量：CB流量：流量：CB流量：流量：CB单播流量在交换机内部以广播单播流量在交换机内部以广播方式在所有端口转发，非法者方式在所有端口转发，非法者也能够接收这些报文也能够接收这些报文MAC攻击攻击MAC攻击：攻击：交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部的MAC地址表；使得单播包在交换机内部变得像广播包一样向同一VLAN的所有端口转发；每个连接在交换机端口的客户端都会收到该数据包，交换机变成了一个HUB，用户的信息传输也没有了安全保障DHCP攻击攻击PCClientDHCPServer DHCP协议有有DHCP服务器吗？服务器吗？DHCP Discover（广播）（广播）DHCP Offer（单播）（单播）我是我是DHCP服务器服务器DHCP Request（广播）（广播）DHCP ACK（单播）（单播）我需要你说的我需要你说的IP地址地址你可以使用这个你可以使用这个IP DHCP协议相关标准请查阅RFC2131DHCP攻击攻击 DHCP攻击之一：恶意用户通过更换MAC地址方式向DHCP Server发送大量的DHCP请求，以消耗DHCP Server的可分配IP地址资源为目的；使得合法用户的IP地址请求无法实现。链路层报头链路层报头网络层报头网络层报头UDP报头报头DHCP报文内容报文内容目的目的MAC：ffff.ffff.ffffDHCP攻击攻击PCClientDHCPServer攻击者不攻击者不断变化断变化MAC地址地址IP Pool被耗尽被耗尽DHCP DiscoverDHCP可分配地址数可分配地址数DHCP OfferDHCP可分配地址数可分配地址数DHCP Request DHCP可分配地址数可分配地址数DHCP ACKDHCP可分配地址数可分配地址数DHCP攻击攻击 DHCP攻击之二：非法DHCP Server，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息；不仅导致合法用户的正常通信受到影响；还可能导致合法用户的信息被发往非法DHCP Server，严重影响用户的信息安全。DHCP攻击攻击PCClientDHCPServer攻击者伪装成攻击者伪装成DHCP ServerARP攻击攻击 ARP协议 按照IETF的规定，PC机在发出ARP响应时，不需要一定要先收到ARP请求报文；局域网任何一台计算机都可以向网上发出自己就是IP_A和MAC_A的对应者，这就为攻击者带来了漏洞。BACDARP请求请求非法非法ARP响应：响应：IP_A MAC_CARP攻击攻击192.168.10.1MAC A192.168.10.2MAC B192.168.10.3MAC CARP攻击攻击192.168.10.1MAC A192.168.10.2MAC B192.168.10.3MAC CIP/MAC欺骗攻击欺骗攻击IP/MAC欺骗攻击欺骗攻击IP/MAC欺骗攻击欺骗攻击IP/MAC欺骗攻击欺骗攻击IP/MAC欺骗攻击欺骗攻击STP攻击攻击DoS/DDoS攻击攻击DoS/DDoS攻击攻击DoS/DDoS攻击攻击课程议题课程议题交换机端口安全交换机端口安全交换机端口安全交换机端口安全 利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定交换机端口安全基本概念 安全违例产生于以下情况：如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知地址（不是该端口的安全地址中的任何一个）的包 Restrict：当违例产生时，将发送一个Trap通知 Shutdown：当违例产生时，将关闭端口并发送一个Trap通知配置安全端口配置安全端口 interface interface-id！进入接口配置模式。switchport port-security！打开接口的端口安全功能 switchport port-security maximum value！设置接口上安全地址数，范围1128，缺省为128 switchport port-security violation protect|restrict|shutdown！设置处理违例的方式 switchport port-security mac-address mac-address ip-address ip-address！手工配置接口上的安全地址。端口安全最大连接数配置端口安全最大连接数配置 端口安全最大连接数配置 注意：端口安全功能只能在access端口上进行配置。当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。配置安全端口配置安全端口 端口的安全地址绑定 注意：端口安全功能只能在access端口上进行配置 端口的安全地址绑定方式有：单MAC、单IP、MAC+IP案例（一）案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protectSwitch#configure terminal Switch(config)#interface gigabitethernet 1/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect Switch(config-if)#end案例（二）案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202Switch#configure terminalSwitch(config)#interface fastethernet 0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202Switch(config-if)#end查看配置信息查看配置信息Switch#Vlan Mac Address IP Address Type Port Remaining Age(mins)-1 00d0.f800.073c 192.168.1