作者:谌玺,张洋
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
企业网络整体安全——攻防技术内幕大剖析(含DVD光盘1张)试读:
前言
我国的信息安全建设已进入一个新的时代,在这个新的时代里,网络安全建设已经不再单纯地立足于安全产品、安全软件、病毒处理与木马防御,而是面向整体网络结构、网络设计,甚至于针对网络安全产品本身的加固与防御。“能够被安全产品或杀毒软件检测出来的安全违规事件,将不再是问题。最大的问题是已经发生了,却没有被查出来的问题。”常规的写作是文献参考,成功的写作是将文献参考变为案例演示,伟大的写作是启发读者。“读之所欲!作之必从!”——笔者本书的出版目的● 重点揭露“网络使用的任何技术都可能构成对网络安全的威胁”。● 分析并取证针对网络协议与网络结构的攻击是很多安全产品防不胜防的关键原因。● 曝光黑客入侵的新思路与新方法。本书写作的环境本书由多名拥有丰富网络安全渗透检测与纵深防御能力的资深专家亲自参与编著,他们都是具备安全类CCIE认证以上高级职称的项目负责人。同时由获得理学博士与硕士学位的高校教师在实验室反复地对理论进行实验研究与验证编成此书,以确保书中提出的重要理论与实验结果完全一致。在写作的过程中,秉承“尊重实验事实,符合实验理论”的原则,大量融汇了各大行业的网络安全实践经验。本书的独一性● 重点讲解安全产品无法抵御的攻击方式与入侵手段。● 本书所有的知识点和攻击防御的演示过程都被制作成详细的演示录像,让读者在良好的视听环境下进行学习。成功地将网络安全的深度理论与高端实验相结合。● 提出了“基于网络结构与网络设计的安全威胁”的新概念,并且为不同企业的网络环境制订具有企业网络特色的安全防御案例。关于实验小组成员:张洋、蒋小波、欧阳旭、敖理、罗东旭、陈欢、邹忠林、丁怡颖、范煜恩,是你们用24小时轮换工作的方式在一个月内完成了所有的实验和数据帧取证与分析工作。献辞谨将本书献给我的外祖父陈子荣先生。虽然您已长辞于人世,但是您十多年的抚育与关怀,让我永生难忘。也正是因为您,我才拥有无穷的力量去战胜写作与录制教学视频过程中的困难与疲惫。愿您的灵魂在天堂得到安息,愿上帝与您同在。“玺得今时仗汝教,鲲鹏展翅向天傲,今君不幸倾人世,兑现宏愿为汝报”。致谢本书属于那些经历过漫长黑夜,完成写作的技术团队。参与本书编写的人员有谌玺、张洋、罗森尺、欧阳旭、蒋小波、骆东旭、陈欢、丁怡颖、邹忠林、范煜恩、刘伟、唐晓、梁川、敖理、杨光艺,由于你们给予的全力支持,我将用一生的奋斗来守护这永不熄灭的信仰,忘掉在这个过程中有多么艰辛。我们曾在实验室共存着世界上最美好的回忆,这将烙下创业者们最珍贵的足印。给我抱紧希望的兴奋,我亲爱的同事们,“你们是我一生中最伟大的骄傲”。感谢重庆电子工程职业学院计算机应用系为实验小组提供了实验环境与支持。特别感谢计算机应用系的龚小勇主任,信息安全教研室的武春岭老师,林倩老师,是你们提供了高校与企业合作的平台,才让我有更多的时间参与到写作工作上,完成第一部校企联合的技术产品。感谢公司的商务总监罗森尺先生,您让我在事业上懂得了大容大爱的信念。愿您永远平安幸福,取得更辉煌的成绩,我将永远支持您!使用本书的规则本书中所使用的路由器、交换机、防火墙如果没有特别说明,都是Cisco公司的产品。第2章至第10章的内容是本书的关键价值所在,这些章节的写作思想是首先将一个知识点的基本理论进行描述,然后讲述知识点所面对的安全威胁,演示黑客入侵的完整过程,最后分析防御方式。每个知识点和相关演示实验都提供了完整的教学视频。建议阅读完一个小节后再观看教学视频,这样会很大程度上加强读者的理解能力与动手能力。使用图标的规则表示该小节配备了实验演示的视频教学。表示重要知识点。本书网络环境所使用的图标教学视频清单● 演示:理解集线器的工作原理● 演示:集线器的入侵与防御● 演示:网桥、二层交换机的工作原理● 演示:网桥、二层交换机的入侵与防御● 演示:交换机“端口安全”功能的使用● 演示:路由器的工作原理● 演示:路由器的入侵与防御● 演示:防火墙的工作原理● 演示:Sniffer的安装● 演示:安装微软网络监视器● 演示:利用协议分析器分析ARP的工作原理● 演示:利用协议分析器分析TCP/IP的工作原理● 演示:利用协议分析器分析ICMP的工作原理● 演示:DHCP服务器的配置● 演示:分析和取证DHCP的工作原理● 演示:配置DNS服务与工作原理分析● 演示:利用协议分析器分析主动FTP和被动FTP的工作原理● 演示:配置Telnet与SSH并分析取证工作原理● 演示:配置Web服务器,取证并分析HTTP的数据帧● 演示:针对ARP协议的攻击与防御● 演示:针对TCP/IP协议的攻击与防御● 演示:针对ICMP协议的攻击与防御● 演示:针对DHCP服务器的攻击与防御● 演示:针对DNS服务器的攻击与防御● 演示:针对FTP服务器的攻击与防御● 演示:针对UDP协议的攻击与防御● 演示:取证分析生成树协议(STP)技术的工作原理● 演示:基于STP技术的攻击与防御● 演示:分析与取证思科邻居发现协议的工作原理● 演示:基于CDP技术的攻击与防御● 演示:VLAN的配置与VLAN工作原理的分析取证● 演示:基于VLAN的双标记攻击与防御● 演示:基于VTP技术的攻击与防御● 演示:基于VLAN干道DTP技术的攻击与防御● 演示:取证分析动态路由协议RIP的工作原理与实现● 演示:在Ubuntu操作系统上安装ASS● 演示:基于动态路由协议RIP的入侵与防御● 演示:取证分析思科HSRP的工作原理与实现● 演示:基于思科的HSRP的攻击与防御● 演示:利用Sniffer统计与分析流量● 演示:利用NetFlow统计与分析流量● 演示:利用NABR统计与分析流量● 演示:取证分析IP报文的优先级字段● 演示:IP报文的标记● 演示:队列技术的应用(FIFOQ、WFQ、CBWFQ)● 演示:使用基于类别的队列(CBWFQ)技术控制企业网络的流程工程● 演示:使用低延迟队列(LLQ)保证企业语音及视频会议流量● 演示:通过一个实例来计算CAR的正常突发(Bc)与最大突发(Be)● 演示:利用CAR缓解ICMP攻击● 演示:利用NBAR防止泛滥下载MP3、大型的视频文件、图片文件● 演示:将思科检测P2P流量的PDLM模块加载到路由器● 演示:针对P2P流量控制的解决方案● 演示:本地用户登录造成的安全验证分散的问题● 演示:使用活动目录完成集中验证与一次登录、多次访问● 演示:分析Kerberos验证协议的工作原理● 演示:SysKey的配置● 演示:配置Windows操作系统的用户与用户组● 演示:NTFS权限使用的原则● 演示:操作系统各种权限结合的复合应用● 演示:加密文件系统(EFS)的加密、解密、恢复代理● 演示:夺取Windows操作系统文件及文件夹拥有者权限● 演示:利用LC5破解Windows用户口令● 演示:灰鸽子木马的制作、隐藏、传播及查杀● 演示:微软RPC冲击波蠕虫病毒的入侵与防御● 演示:U盘与Auto病毒的查杀● 演示:针对Windows操作系统的TCP洪水攻击与防御● 演示:针对Windows操作系统的ICMP洪水攻击与防御● 演示:利用微软的基准安全分析器(MBSA)对Windows操作系统进行安全评估● 演示:集中部署Windows的补丁分发管理服务器(WSUS3.0)● 演示:利用性能监视器实时监控TCP洪水攻击● 演示:建立Windows的审核项目——审核用户对资源的访问● 演示:基于Windows系统的镜像阵列● 演示:基于Windows系统的RAID-5阵列● 演示:理解各种备份类型与制订一个合理的备份计划● 演示:制订安全的数据备份● 演示:制订自动备份计划● 演示:使用UPM备特佳灾备系统完成数据的实时备份● 演示:使用SNMP完成企业网络设备的集中管理● 演示:集中收集各种网络设备与服务器的日志文件● 演示:利用DHCPSnooping接合DAI防御企业级网络中的ARP攻击● 演示:快速控制企业级网络遭遇病毒后的交叉感染● 演示:基于思科的交换机完成802.1x接入控制● 演示:思科IOS防火墙的基本配置● 演示:思科PIX防火墙的基本配置● 演示:基于思科IOS防火墙的入侵检测系统● 演示:基于思科PIX防火墙的入侵检测系统● 演示:利用SDM加固路由器与交换机的安全● 演示:基于Ubuntu的基本操作与软件的编译安装● 演示:完成本书最基本的Ubuntu操作系统入门● 演示:在Ubuntu下安装disniff● 演示:SDM的基本安装联系方式技术讨论微博:http://t.163.com/7734601208技术电子邮箱:IThonour@163.com技术讨论QQ群:161925248郑重声明本书揭露企业网络相关入侵与攻击事例的目的是为了让广大企业网络管理员,提高网络安全意识,加强安全防御手段。书中和教学视频中关于那些不能被安全产品测检的入侵及攻击方法绝不是提供给网络上居心叵测的用户,用于非法目的的。读者实验时请正确地选择实验环境。如果非法应用,产生的一切后果,作者及所在公司不负任何法律责任。著者第1章 网络安全概述
本章关键价值:通过本章的学习,理解网络安全概念、网络安全的范围、引发网络安全违例行为(事件)的途径,了解企业级网络安全的实现指南,熟悉黑客入侵的过程等。1.1 什么是网络安全
网络安全是指通过各种技术手段和网络管理措施,保障网络系统的硬件、软件及网络系统中的数据的安全,不会因偶然或恶意的破坏、更改、泄露导致系统和网络服务运行不正常。从而确保整个网络上信息的保密性、安全性、可用性、真实性、完整性和可控性。注意:现代化企业网络的整体安全,已不仅仅是病毒、木马、攻击这样单纯的范畴,还包括网络通信设备(路由器和交换机)、网络安全设备、应用系统、业务软件、网络设计与架构技术等。这些都属于企业网络整体安全。本书也将从上述的每一个内容来分析企业整体网络安全。1.2 典型的网络安全违例事件
近年来,随着信息网络的飞速发展,网络与人们的关系日趋紧密,如今已经成为人们生活中不可或缺的一部分,它拉近了人与人之间的距离,改变了人们的工作方式,在人们的生产、生活和娱乐中都发挥着重要作用。但是,伴随而来的安全问题也让人不寒而栗。近几年来网络安全违例事件层出不穷,下面看几个著名的网络安全违例事件。1988年11月2日,美国康奈尔大学的学生罗伯特·莫瑞斯,在互联网上放入了第一个“蠕虫”病毒,从而导致了“蠕虫”大规模地泛滥。1994年末,俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的连网计算机上,向美国花旗银行发动了一连串攻击,通过电子转账方式,从花旗银行窃取了1100万美元。1996年12月29日,黑客侵入美国空军的全球网网站并将其主页肆意改动,其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录像,且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网站。1999年大卫斯密斯编写了世界上首个具有全球破坏力的病毒——Melissa。Melissa病毒使世界上300多家公司的计算机系统崩溃,造成的损失接近4亿美金。还有我国首例制作计算机病毒案例:2006年10月,武汉人李俊编写了名为“熊猫烧香”的蠕虫变种病毒,之后在网络中广泛传播,造成大面积的网络瘫痪。1.3 引发网络安全违例行为(事件)的途径
引发网络安全违例事件的途径已经不再是被黑客攻击而导致网络不安全,而是已经涉及各个方面,如员工误操作、色情网站、赌博网站、共享文件夹、下载数据、移动存储介质、电子邮件、QQ感染等感染途径。其具体的违例实例事件如下。员工误操作:在某企业中,由于当初在对网络设计规划的阶段,没有充分地考虑到接入网络的用户数量,导致网络接口数量不足。用户为了接入网络,私自接了一个宽带路由器,而该宽带路由器又有DHCP功能,并且已经打开。当初企业网络建设的时候已经架设了一台DHCP服务器,用于给用户分配IP地址。这样当下次网络中有用户要申请IP地址的时候,就有可能得到宽带路由器给的IP地址而导致用户不能正常地访问网络中的数据。这就导致了一个安全违例的事件。色情网站:在色情网站上,病毒的感染有很多的途径。当去访问某个正常网站时,可能会被劫持到色情网站上去。当用户被劫持而访问到色情网站时,首先该色情网站通过它在其首页上挂的病毒来感染用户的计算机,或者是该网站提醒用户下载安装什么软件,这时也有可能被感染。赌博网站:赌博网站是病毒最喜欢感染的网站,因为该类型的网站可以给攻击者提供利益,所以在访问该类网站的时候,是最容易被感染木马的,从而使个人账户信息被盗窃。共享文件夹:某一个医疗卫生企业,在一段时间内,其医保服务器在没有大量用户连接使用时,网络流量高达70%~80%,使该医疗服务企业不能正常收费和开医嘱。导致此结果的原因是该企业中需要使用共享打印机和共享文件夹,对于文件共享来说使用的端口是UDP的137、138端口,以及TCP的139、445端口,而这几个端口是洪水攻击和蠕虫攻击的常用端口。对于该企业而言,是受到了基于139端口的ARP洪水攻击,从而使医保服务器的网卡占有率居高不下。下载数据:不管对于企业还是个人用户来说,下载数据是一个高频率的操作,用户可能是通过一个网络链接去下载或者是通过FTP去下载等。当用户是通过一个网络链接去下载时,如果该链接是一个带了病毒的链接,那么用户的计算机很有可能被病毒感染。或者用户下载的软件当中被注入了病毒,当用户去安装该软件时,病毒也同时感染了其计算机。比如,病毒感染了EXE安装文件,当用户去点击此安装文件的时候,其计算机就会被感染病毒。移动存储介质:在某高校,由于学生的计算机是不可控的,使用如U盘、移动硬盘等就可以随意地连接到自己的计算机上,这样就导致了许多病毒通过这个存储介质感染到了学生的个人计算机。当该计算机连接到学校的网络的时候,该病毒就利用该计算机作为一个载体向整个网络发动攻击或者去感染其他的计算机,同时被感染的计算机再次向网络中发动攻击,使其占用大量的网络流量,从而使该校学生上网经常出现断网或者是网络速度很慢的情况。该校最后实施了一个暂避的方法,就是购买了一套杀毒软件,分发给所有的同学。所以,移动存储介质也是病毒感染的一个重要途径。电子邮件:通过电子邮件的感染情况最常见的是当用户接收一封邮件时,里面可能包含了一些链接或者可供下载的附件,而这些链接可能连接的是一个带有病毒或者木马的程序,这样,用户的计算机就会被病毒感染。还有就是,可供下载的附件,这个附件可能就是一个病毒程序,从而使用户的计算机感染病毒。QQ感染:通过QQ感染主要是利用了人们的好奇心,对于QQ用户,经常会遇到“你的好友给你点了一首歌”、“你的好友给你推荐了一个××网站”之类的消息,并且给了一个链接,当用户去点击这个链接时,可能在弹出来的那个网页上就挂了一些病毒,并且已经感染了用户的计算机。1.4 企业级网络安全的实现指南
1.4.1 网络安全意识
随着信息网络的飞速发展,它已经涉及各行各业,包括政府、军事、金融,等等。信息网络中不但承载着它们正常的业务流量,而且还拥有各行业的重要数据甚至是国家军事机密。这就难免遭到政治对手、商业敌人的窃取或攻击。另外,网络实体也会遭到外部因素的侵害(如自然灾害、电压、偷盗等)。所以,必须提高网络安全意识。良好的网络安全意识能帮助用户无论是在最初的网络架设还是后期运维中,都将会有一个正确的思维与方向。1.4.2 初期网络建设就应该考虑安全
企业级安全网络的建设包括网络的设计与架设。有了良好的网络安全意识,对于初期的网络建设而言,“安全”必定成为人们网络架设中考虑的重要因素之一。因为它直接决定了网络的健壮性,后期使用的高可用性、高性能等。首先,科学合理的网络设计是实现企业级网络安全的第一步。它要综合考虑所有安全因素,例如,网络结构是否合理、安全设备的选择是否合理、安全设备的布置是否科学等。一个成功的网络设计方案必定拥有完美的安全设计部分。有了科学合理的网络设计方案,才能执行第二步的网络架设。当然,网络的架设一定要严格按照前期制订好的设计方案,以确保初期建设的质量和方便后期的运维。1.4.3 网络安全管理条例
网络建设完成之后,该怎么使用就有学问了。要知道,80%以上的网络安全违例事件都发生在网络内部。所以,建立一套完善的网络安全条例来规范对网络的使用是必不可少的,以避免或减少安全违例事件的发生。1.4.4 网络安全评估
对于一个拥有良好网络安全意识的网络管理者而言,科学的企业网络设计和架设,以及健全的网络安全条例的实施,也只是“企业级网络安全实施”的前半部分。互联网技术在飞速发展,伴随着的病毒和攻击也在不断发展,当网络使用到一定程度之后,问题必将出现。比如说:后期管理体制的松懈导致违例事件;新型病毒的侵入;新型攻击方式。如果企业自己的技术人员对于这些问题无能为力,导致问题搁置、网络瘫痪等,此时该怎么办?那么,这时企业就需要一个资深的网络安全专家团队,来保障企业全方位的网络安全,使其良性运行。网络安全评估小组会对企业做一个全方位的安全评估,之后会试验并整合评估信息,将其交予企业,让企业实时地了解自己网络的状态、安全指数,等等,做到真正了解自己的网络。1.4.5 安全加固
前期的安全评估完成之后,网络安全专家团队会针对前期评估信息给出解决方案,对网络进行安全加固。比如,补丁的更新、安全策略实施、新管理条例的制订,等等。1.4.6 安全联动
通常,企业对违例事件有自己的安全报警、安全防御系统(如IDS、IPS等),以及相应的管理机制。但是当发生了安全违例的事件后,只能通过某一个单一的方面查找发生违例事件的原因和单一的处理方法,如IDS指出某一台主机正在遭受攻击,而企业网络管理人员往往只针对该主机进行处理,比如,更新补丁、更新杀毒程序,而没有一个全局性检查。网络安全联动性的中心思想就在于“联动”。当安全违例事件发生之后,注意力并不是全部放在事故点上,而是本着联动的思想全方位地取证,科学地试验,找出违例根源,最后对症下药。另外,安全联动性还要在安全防御上发挥作用。利用自己手中的安全资源,将其联动起来,网络才更坚固,即使发生违例事件,也可以多方取证、对照调查,从而减少误报,而非仅靠一台设备、一项数据来判断问题。1.5 网络安全的范围
1.5.1 资产安全
企业资产包括无形资产和有形资产两个方面。无形资产包括商标权、专利权、专有技术、合同、秘诀、销售系统、客户名单、专家网等。有形资产包括流动资金、固定资产、机械设备、土地、房屋等。而网络安全对无形资产上的安全包括逻辑访问安全、数据存储安全。在有形资产上的网络安全主要包括环境安全、设备安全、媒体安全及管理安全。无形资产安全(数据安全):逻辑访问安全,是指关键和敏感的数据在网络传输和存储上不被非法地访问,所以需要如加密技术、认证技术、数字签名和访问控制来实现其数据的传输和存储安全。备份是指通过一种数据安全策略,将原始数据按照一定的方式复制并保存到各种存储介质上。其备份类型包括系统数据备份和用户数据备份、热备份和冷备份,以及镜像备份和文件备份。要实现一个完整的数据备份和灾难恢复,就需要相应的备份硬件、备份软件、备份策略,以及计划和灾难恢复技术等几个方面。实现对数据的远程数据实时存储,来保证存储数据的安全性。有形资产安全(物理安全):环境安全,主要是指设备系统的硬软件所在环境的安全状况。而需求的环境是安静的、覆盖面合理的、地理通道方便的、温度和湿度合适的,等等。设备安全,包括设备的防盗、防毁、防电磁泄漏、防止线路截断、抗电磁干扰及电源保护。媒体安全,包括数据的安全和介质安全,而通常是通过冗余和容错提供可靠性和故障恢复的可用性。管理安全,是指对设备的日常安全运维的相关记录是否形成了文档,如出入设备机房的相关人员的记录。1.5.2 风险分析
一个企业的网络是否存在风险和是否安全,不是靠凭空地去猜测,而是通过各种网络安全规章条例和相应的监测手段来判断的。所以,在对企业网络进行安全风险分析之前,必须做一次安全评估。通过安全评估可以准确地判断出企业网络中存在的问题和漏洞,以及这个问题和漏洞将会给企业带来什么样的后果。所以,安全评估可以让企业的网管人员了解到自己企业网络存在的安全隐患及相应的解决方案。当了解和解决相应的安全隐患后,便可及时做出调整应对,让企业的管理更可靠,成本更低,使企业更好和更健康地发展。对于网络安全的风险分析主要包括:网络架构的分析、网络安全设备的分析、网络设备配置的分析及正向和反向地对网络进行监测。我们由此来判断网络存在的安全问题。1.5.3 数据安全
数据安全主要包括数据存储和恢复安全(服务器、用户终端、数据库)、数据传输的安全、数据访问权限安全、移动存储设备管理及网络安全运行应急预案管理等。企业的数据是否安全,是企业网络安全的核心。1.5.4 数据存储和恢复安全
数据的存储安全包括数据本身的安全及存储介质的安全。数据本身的安全主要指该数据是否被感染了病毒,以及是否对数据进行加密等;存储介质的安全主要是指该数据是否有冗余和容错的功能。一般数据的存储安全,主要是利用备份技术(包括本地备份和异地备份)来实现对数据安全有效的存储和管理,同时也保证了数据有效的恢复机制。1.5.5 数据传输安全
数据传输安全主要是保证当数据被不法分子截获之后,使其不能破解数据的内容。而数据安全传输的手段包括链路上的安全和数据本身的安全。链路上的安全技术包括专线、VPN技术等。数据本身的安全主要是指对传输的数据进行相应的加密,并且有相应的解密方法。以此来实现数据的传输安全。1.5.6 数据访问权限安全
数据访问权限是指对不同权限级别的用户给其相应的权限,如对于管理员可以对其赋予所有的权限,而对于一般的用户可以只赋予读的权限。也可通过ACL来控制其用户是否可以访问等。权限又可细分为:完全控制、修改、读取和运行读取、写入及特别的权限等。所以把用户访问数据的权限进行相应的限制可以保证数据的安全。1.5.7 移动存储设备管理
数据对于企业来说是一种无形资产,所以对数据的复制要做一个严格的限制。而复制工具最常见的是磁盘、光盘、U盘和移动硬盘等移动存储介质。所以需要对移动存储介质的使用进行限制,对其注册、使用、存放及销毁要有相应的具体制度。1.5.8 网络安全运行应急预案
网络安全运行应急预案可以是网络出现了意外的崩溃或者网络运行不正常时,保证企业在最短的时间内响应该故障,使企业的损失减到最少。所以,对于网络安全运行应急预案必须做到应急物质的完备性、人员的确定性(人员的保障、人员应急能力等)。1.5.9 网络架构安全
网络构架安全是为设计、构建和管理一个安全网络提供一个构架和技术基础的蓝图。网络构架定义了数据网络通信系统的每个方面。包括使用的网络协议、布线类型、接口类型等,当然也包括安全。所以,架构安全是企业级网络安全的首要条件,是整个网络安全的源头。一个良好的网络架构,拥有出色的安全设计方案,不但可以利用各个网络设备进行安全联动以增强网络的安全,而且要具有较高的可管理性和后期的可延展性。然而,良好的网络架构则源于初期的网络建设,源于优秀的网络设计和高质量的网络架设。所以,要实现现代企业级网络安全,从网络建设初期就必须将网络安全作为重点考虑对象,后期网络扩展也同样要秉承这种思想。1.5.10 威胁确定
如今网络威胁种类繁多,而且是在逐年递增,大的类型有:勘测攻击、访问攻击、拒绝访问攻击。细分下来更是不胜枚举,如扫描攻击、会话攻击、洪水攻击、各类病毒入侵,等等。当用户的网络出现了网络违例事件,用户能否准确地判断网络正在遭受什么类型的攻击?判定的依据又是什么?这些问题都让企业网络管理人员痛心疾首。完整的安全评估能帮助用户解决这些棘手的问题。评估小组拥有资深的网络安全专家和先进的放样实验室。有了这些条件,企业的安全威胁确定将不再困难。首先,评估小组会向企业管理人员索取相关文档,以了解网络的架构,包括拓扑环境、网络设备的型号和功能,以及当前的设置、网络上运行的各种应用服务情况、故障历史记录等。对企业网架构作了初步了解之后,安全评估小组将会对网络做前期的安全评估,涉及网络结构、网络设备性能、服务器操作系统、应用服务等。还有网络流量的取证评估,它是威胁确定的关键性因素。无论什么类型的攻击,都将通过网络传送攻击数据包,评估小组可以通过对数据流的分析,来判断网络是否遭受到攻击。如果正遭受攻击,还能确定所遭受攻击的类型,评估小组将对照所制订好的威胁等级程度,给予企业相应的安全报警。评估小组也会根据威胁等级做出相应的应急处理方案。1.5.11 策略制订与安全加固
安全策略是一系列用于影响、规范企业人员行为的文案计划或条例规定,它存在的目的就在于增强某个特定的规则,让该企业按照规定程序执行动作。企业的所有设备或服务的安全规则、规范等都是由该企业的总体安全策略所决定的。而企业的所有安全项目都是在企业大的安全策略框架下被制订出来的。安全策略的制订首先要与企业的目标保持一致,并符合网络管理目标的要求。所以,在明确了企业对于网络的发展目标和该行业的整体安全策略之后,可以整合前期的安全评估信息,制订一套完善的安全策略来影响企业全体用户,规范其行为,以应对目前及未来的安全挑战。通过前期的安全评估和实验室对评估数据放样测试之后,评估小组会把评估测试报告交给企业信管人员。内容包括:网络结构分析;网络设备性能分析;服务器操作系统分析;采样数据帧、日志分析;应用服务分析;接入安全分析等。同时,评估小组会根据分析结果向企业提供相应的解决方案。最后,与企业进行安全调研综合分析,结合行业标准框架、企业需求、评估结果制订出一套完整的网络安全加固方案。通过实施这一系列的策略,让企业网络成为一个安全实体,一个符合行业标准的企业级安全网络。1.5.12 安全应急预案
安全应急预案是安全策略不可缺少的一部分。对于企业级网络来说,安全违例事件的发生往往是突然性的,让人措手不及。所以,建立完备的安全应急机制是必不可少的。首先,应该建立一个应急反应小组,专门负责处理突发安全违例事件。其次,制订出整体应急预案和各系统的应急预案,检查应急物资是否准备齐全。最后,建议定期举行安全应急演练。1.6 分析:黑客入侵的过程
1.6.1 扫描
黑客进行扫描的目的是收集目标设备的信息,来确定目标设备存在的问题,从而找到攻击的突破口。常见的扫描工具包括SuperScan、Nmap、Nessus和X-Scan等。常见的扫描手段包括TCP 和UDP扫描、源端口扫描、漏洞扫描等。如图1.1所示是X-Scan扫描的一个实例。图1.1 X-Scan扫描1.6.2 确定攻击或入侵对象
通过扫描,会发现大量的存活主机,这时就可以根据扫描的结果来确定被扫描网络中的设备存在的漏洞,此时就可以把网络中漏洞较多且明确的设备作为被攻击或入侵的对象。如图1.2所示是几台网络设备作为黑客攻击对象。图1.2 通过扫描获得几台网络设备作为黑客攻击对象1.6.3 检查对象漏洞
当确认了被攻击对象后,就要对该设备存在的漏洞进行仔细的分析,包括操作系统、TCP与UDP开放的端口、开放的服务及存在的漏洞,漏洞最多的被选作攻击目标。如图1.2所示, 113.205.38.33主机开放的是135和445端口,113.205.38.18主机开放的是80和135端口等。如果开放端口为135、445的话,大家都希望被攻击的目标操作系统为Windows系列的操作系统,所以可以通过一些信息来判断被攻击的目标的操作系统,如图1.3所示。图1.3 通过一些信息来判断被攻击的目标的操作系统根据图1.3中ping的TTL值可以得知,网络设备113.205.38.33可能其路由器的IP地址或者主机的操作系统为Linux。而网络设备113.205.38.18的TTL值为127,所以其为Windows系列的操作系统。因此我们选中113.205.38.18作为被攻击的目标。注意:一般在ping的返回信息中,TTL=63表示目标IP工作在路由器或者Linux的操作系统上。如果TTL=127,表示目标IP工作在Windows 系列的操作系统上。这非常便于找到脆弱的入侵突破点。1.6.4 分析:黑客的入侵攻击
当确认了网络中目标设备存在的漏洞以后,就针对该设备漏洞进行攻击或植入木马,完成远程控制,如利用开放的端口对目标设备进行攻击。如图1.4 所示是一个基于UDP的135端口的洪水攻击。图1.4 基于UDP的135端口的洪水攻击1.7 小结
本章介绍了网络安全的概念、网络安全的范围、引发网络安全违例行为(事件)的途径、企业级网络安全的实现指南、黑客入侵的过程等内容。该章的知识是网络安全的基础,了解之后,有助于我们后面章节的学习,以及在工作中如何去避免和防御网络中不良信息的传播和发生,从而提高网络的安全性。第2章 网络设备的工作原理与安全威胁
本章关键价值:本章将详细讲述各种网络设备的工作原理,包括:集线器、网桥、二层交换机、路由器、防火墙等,并演示各种网络设备所面临的安全威胁。其中包括如下知识点:● 集线器的工作原理与安全威胁。● 网桥、二层交换机的工作原理与安全威胁。● 路由器的工作原理与安全威胁。● 防火墙的工作原理与安全威胁。网络设备是企业网络整体安全的第一步,如果网络设备的安全都无法得到保障,那么企业网络其他部分的安全加固即便做得再完善,也相当于是徒有虚名的“马其诺防线”。黑客将很容易地穿过它。所以保障网络设备的安全成为至关重要的问题。2.1 集线器的工作原理与安全威胁
集线器又称Hub,是一种用于组建物理结构、形状为星形的网络设备。它具备中继器的信号放大功能,所以它有延长物理线路距离的特性。但是集线器在放大正常信号的同时也放大噪声信号,噪声信号是网络上的干扰信号,它将对正常的网络通信造成影响。集线器的端口比中继器密集,所以在某种情况下人们把集线器叫做“多端口的中继器”。集线器转发数据的原理如图2.1所示,当主机A要给主机D发送数据时,主机A会把数据广播到除源端口以外的所有端口上。此时B主机解开广播包,看到目标的IP不是B主机NIC(网卡)上的IP地址,所以将数据帧丢弃。C主机解开广播包,看到目标的IP不是C主机NIC上的IP地址,也将数据帧丢弃。D主机解开广播包,看到目标的IP是D主机NIC上的IP地址,它会将数据帧从NIC复制到内存中,然后内存再将其交给CPU作处理。图2.1 集线器转发数据的原理集线器的特性:集线器是一个半双工冲突设备。如图2.2所示,集线器所有端口连接的主机全部处于一个冲突域内,不能有多个主机同时发送数据。集线器不能隔离广播,如图2.3所示,所以集线器不能连接成环路。否则广播会在环路上一直循环,直到TTL值被减为0。集线器属于共享带宽式设备。如果集线器的总体带宽是10MB,共有4个端口,那么每个端口的理论带宽是2.5MB。集线器的安全性很差,因为集线器的数据发送是利用广播数据报文到所有端口的,而且这个广播是带上真实负荷(用户数据)的广播,容易被他人监听,所以安全性得不到保障,如图2.4所示。图2.2 多个主机不能同时发送数据图2.3 集线器不能连接成环路图2.4 集线器的转发过程容易被监听注意:集线器安全威胁的重要提示:只要在集线器的任意端口接入协议分析器,或安装了协议分析软件的计算机都可以成功地监听集线器上其他端口的所有流进流和出的数据,当然这些数据中也包括比较重要和敏感的机密信息,如密码、账号等。演示:理解集线器的工作原理。2.2 演示:集线器的入侵与防御
演示目标:分析集线器的工作过程造成数据泄密事件。演示环境:如图2.5所示。演示步骤:可参看教学视频“集线器的安全威胁”。图2.5 集线器的入侵与防御实验环境背景说明:通过该演示过程证明集线器的工作原理是将数据包广播到设备的每一个端口(除发送端口),如果远程管理主机(192.168.2.4)Telnet思科路由器(192.168.2.5),那么192.168.2.6的协议分析器应该能成功地捕获到Telnet的密码。防御方案:由于集线器的安全威胁是设备工作原理上的天生缺陷,无法避免,所以没有更有效的防御措施,唯一的办法是选用智能的设备,如用二层交换机去替代集线器。演示:集线器的入侵与防御。2.3 网桥、二层交换机的工作原理与安全威胁
学习网桥工作原理之前必须先理解一个重要的网络理论:“星形结构的网络”。虽然前面提到集线器组织的是一个“星形结构的网络”,但是这个所谓的“星形网络”,实际上只是一个物理连接环境的星形,并不是访问介质协议(以太网的访问介质协议CSMA/CD)上的星形。从访问介质的逻辑角度理解:所有利用集线器组织的网络都应该是冲突型的网络,如图2.6所示。图2.6 使用集线器组织的网络都应该是冲突型的网络1.理解冲突域(碰撞域)一种基于以太制式算法产生的问题。只要是以太网,不管是10Mb/s、100Mb/s、1000Mb/s,甚至万兆以太网都会有冲突的存在。那是因为只要是以太网都必须遵守CSMA/CD(载波侦听)协议。它是以太网的访问介质协议,载波侦听协议的工作原理如图2.7所示。如果A、B、C、D这4个主机都处于一个冲突域内,且都连接在一个集线器上,如果B主机要发送数据给C主机,那么B主机会在正式发送数据之前向网络中发送一个载波侦听信号,查看网络总线是否繁忙。如果繁忙,如A主机正在给D主机发数据,B主机就不能发送数据给C主机,否则,就会产生一个冲突。因此得出一个结论:以太网上的多个主机在一个冲突域内,同一时刻只能有一个主机向另一个主机发送数据,如果违反了该原则就会有冲突产生。图2.7 CSMA/CD(载波侦听)协议注意:使用过集线器后会发现,在集线器上连接4个主机后,在“同一时间内”所有计算机都可以相互复制文件,并没有等待某个主机将文件传递完成后,另外的主机再传递数据,视觉上多台连接到一台集线器的主机是同时在发送数据。所以会质疑上述对CSMA/CD的定义。事实上这是因为人类的视觉器官对真相的理解永远是有限的,在“同一个时刻”只有一台主机向另一台主机发送数据。如图2.8所示,当主机A发送数据给主机C时,如果该数据报文很大,发送的延时(从源主机传送数据到目标主机所使用时间的总和)就很大,占用以太总线的时间就会很长。而其他的主机比如:主机B与主机D等待发送的时间就会很长。如果主机A要利用10分钟来完成与主机C的数据传递,那么主机B与主机D发送数据之前,需要等待10分钟才能进行,这显然是一种不科学的方法。所以,OSI传输层将主机A发送给主机C的较大数据报文分割成若干个小块的数据报文进行发送,主机B给主机D发送数据时也使用相同的方式。所以,真实的情况是:主机A发送一小块数据报文,主机B再发一小块数据报文,然后如此交替进行。而这一小块数据报文发送延时是基于微秒级别进行计算的。所以人们的视觉感受是主机A与主机B同时进行发送,但事实上在同一时刻只有一个主机发送数据报文。图2.8 分割数据报文的过程现在开始介绍网桥:网桥在OSI的第二层(数据链路层)划分或减小冲突域,性能比集线器良好;能够基于MAC地址进行数据链路层选路;能够基于自学习构造MAC地址表;不能隔离广播,所以不能让网桥形成环路。网桥的工作原理如图2.9所示,如果主机A发送数据给主机D,当数据从网桥的1号接口进入时,网桥不会像集线器那样将数据广播到所有接口上。因为在网桥内部有一张MAC表,该表记录着网桥物理接口所连接的主机MAC地址。当数据进入网桥时,网桥通过查询MAC地址表得知主机D对应的物理接口是4号接口,所以网桥就将数据直接转发到4号接口,而不再需要将数据广播到所有接口。此时网桥的2和3号接口就没有受到冲突的影响,所以主机A在发送数据给主机D时,主机B可以同时发送数据给主机C。这样得出一个结论:网桥将冲突域划分得更小,转发性能比集线器更高。可以形象地理解成网桥的每个接口就是一个冲突域,而集线器是4个接口在一个冲突域。集线器与网桥的性能对照如图2.10所示。图2.9 网桥基于MAC地址选路的工作原理图2.10 集线器与网桥的性能对照2.网桥能够基于自学习构造MAC地址表网桥能够比集线器转发性能更高,是因为网桥内部的MAC表可以进行第二层的选路。但是在网桥刚刚被部署到网络中使用时,一定不知道网桥的某个接口记录的是网络中的某个主机的MAC,如图2.11所示,此时它就需要通过一种叫做“MAC地址自学习”的方式来完成MAC表的构造。网桥“MAC地址自学习”技术的原则是在接口上记录“数据报文的源MAC地址”,如图2.12所示。图2.11 初始化的网桥MAC地址表图2.12 MAC地址自学习,记录“数据报文的源MAC地址”当网桥的MAC地址表项不完整时,网桥不能利用MAC地址表进行选路转发,所以网桥只能效仿集线器将数据帧广播到所有的端口(除源端口外)。注意:网桥的这个广播与集线器的广播有很大区别,网桥的这个广播只是一个单纯的ARP广播(将在第3章中详细讲述),它没带真实的数据,所以很小,而且在某种情况下,这种广播报文的大小可以被忽略不计(其重量)。它只广播一次,这次广播的目的是为了构造MAC表,利用网桥的MAC表自学习功能记录计算机的源MAC地址对应的网桥端口,如图2.13所示。当MAC表被成功构造后,网桥将不再进行广播,而是利用MAC表进行快速选路并转发。而集线器每次传输数据都需要依靠广播,而且该广播带有真实数据负载。图2.13 分析通过ARP构建网桥MAC地址表的过程网桥不能成环主要有两个原因:第一,由于网桥不隔离广播,所以广播不能在桥接环路中发散,从而形成广播风暴,将整个网络的正常通信资源占据,如图2.14所示。第二,由于网桥不能隔离广播,所以会导致MAC地址表自学习错误,如图2.15所示,如果主机B要发送数据给主机A,此时的网桥A与网桥B的MAC表都没有构造完整,那么网桥就必须使用“MAC地址自学习”技术来完善MAC表的构建。假设主机B的ARP请求先送达到网桥B,此时网桥B会记录数据进入端口的源MAC地址,所以网桥B记录MAC_B对应的是网桥B的2号接口。现在看上去完全正常,但是请不要忘了一个很重要的理论,网桥不隔离广播的设备,所以对于ARP的请求广播,网桥B就是一个透明的设备,其桥接环路如图2.16所示。如果网桥B对于广播来说是透明发送,所以现在可设想根本没有网桥B的存在,那么ARP广播会穿过网桥B到达网桥A,由于网桥“MAC地址自学习”技术的原则,记录网桥A的1号端口是主机B的MAC地址MAC_B。此时,地址自学习的错误就产生了,因为网桥A的1号端口事实上接的是主机A,而网桥成环后会将网桥A的1号端口记录为连接的是主机B。图2.14 广播不能在桥接环路中发散,从而形成广播风暴图2.15 网桥B记录MAC_B对应的是网桥B的2号端口图2.16 记录网桥A的1号端口是主机B的MAC地址MAC_B注意:在实际工程中,网桥通常又需要将物理链路成环,以提供冗余的路径,但是这又违背网桥不能成环的原则。所以需要一种特殊的技术来解决网桥成环引发的问题,这种特殊的技术叫做STP(生成树)。在第5章中会详细分析STP的原理。二层交换机的工作原理:二层交换机是一种代替网桥的新型产物,也是现在流行的网络组建设备。其实,二层交换机的工作原理与网桥是一样的,都能基于MAC地址表进行转发、划分冲突域、基于MAC地址自学习构造MAC表。但是,网桥的整个过程是利用网桥内自身的软件来完成的,所以会出现瓶颈现象。而二层交换机是基于专用的集成电路(ASIC)来决定交换逻辑的算法的,如MAC表的构建及背板进程交换,所以没有瓶颈现象,转发速度比网桥更优良,而且二层交换机的端口比网桥更密集,所以二层交换机代替了网桥。注意:在很多情况下,可以把二层交换机理解成是一个有更多端口和利用专业硬件来进行转发数据的网桥。演示:网桥或二层交换机的工作原理。2.4 演示:网桥、二层交换机的入侵与防御
网桥与二层交换机面对的网络安全威胁:网桥与二层交换机的工作原理事实上是一回事,它们都是利用“MAC地址自学习”技术来构建MAC地址表,然后数据包通过MAC地址表进行二层选路,从而提高网桥或二层交换机的数据转发速度。另外,数据不会广播到网桥或二层交换机的每一个端口上,对安全也有所增强的效果。但是网桥或者二层交换机的MAC地址表是有容量限制的,MAC地址表也叫CAM表,它受网桥或者二层交换机的内存限制,一般CAM表的容量可以容纳几千到几万条MAC记录,这会因不同的交换机品牌与等级的差异而有所不同。如果这些CAM表在几秒的时间内被攻击入侵者充满,那么就会造成交换机CAM表溢出,导致正常的CAM无法被交换机成功地学习到,交换机就无法执行正常的MAC地址与端口对应关系的选路,进入交换机的数据包就会被广播到每一个端口,这时交换机与集线器就变成了同一种网络设备,入侵者只要将计算机接入到交换机的任何端口上就可以成功地侦听交换机的所有数据。分析具体攻击原理如图2.17所示。演示:网桥、二层交换机的入侵与防御演示目标:分析瞬间发送成千上万的伪造MAC地址充满二层交换机的CAM表,让CAM表溢出,二层交换机将以广播的方式转发数据,黑客侦听敏感数据。演示工具:利用macof可让二层交换机的CAM表溢出。它是dsniff 套件的一个组件,属于Linux操作系统平台上的一款相当不错的网络安全逆向检测工具。dsniff的安装可参看视频“在ubuntu下安装dsniff”。图2.17 分析二层交换机被攻击的原理演示环境:如图2.18所示。图2.18 网桥与二层交换机的入侵与防御环境背景说明:证明交换机是利用CAM表选路。如果CAM的地址自学习完成,则主机A与主机B的通信不会广播到C主机,所以在没有发现攻击前,主机C不会捕获到主机A与主机B之间的通信数据。利用macof(MAC洪泛攻击软件)在瞬间让交换机的CAM表溢出,这时主机C可以成功地捕获A与B之间的通信数据。演示步骤:攻击主机是一台安装有Ubuntu操作系统的主机,并成功地安装了dsniff攻击软件,确保dsniff软件中的macof可用。利用下述指令发起攻击:如图2.19所示是交换机没有受到macof洪泛攻击时,通过“show mac-address-table”指令查看到二层交换机MAC地址自学习的情况,以及MAC地址对应的交换机的端口号。如图2.20所示为该交换机可容纳自学习MAC地址为8192个,目前只使用了4个MAC地址。图2.19交换机没有受到macof洪泛攻击时的状态图2.20交换机使用4个MAC地址的状态如图2.21所示是macof洪泛攻击后的效果,可看到从Fa0/1端口进入了很多MAC地址。事实上,图2.21并没有显示所有MAC地址。从图2.22中可以看出交换机可容纳的MAC地址总数是8192个,但是就在macof发起攻击后的几秒时间内,交换机的MAC地址使用数就从4个猛增至8189个,把交换机的CAM表充满。当交换机的CAM表被充满时,交换机就会将进入端口的数据进行广播,通信的安全性将受到严重威胁。图2.21 macof洪泛攻击后的效果图2.22 交换机被攻击后对MAC的统计注意:macof对于MAC地址的洪泛,安全软件如防火墙、防毒软件一般视而不见,无法成功抵挡或者说成功防御的能力很低。防御方式:建议使用两种方案防御基于macof对二层交换机的攻击。● 端口安全。● 在端口上阻止单播洪泛。端口安全的实现:进入需要配置的端口:设置为交换访问模式:打开端口安全模式:试读结束[说明:试读内容隐藏了图片]