互聯(lián)網(wǎng)安全及 CMNET城域網(wǎng)組網(wǎng)技術體制 2010年 3月 第一章 互聯(lián)網(wǎng)安全基礎知識概述 培訓要點 培訓知識要點 管理層 安全管理員 安全技術員 系統(tǒng)管理員 普通人員 1 IP地址和子網(wǎng)掩碼 2 TCP建立連接三次握手的過程及 TCP、UDP的特性 3 路由器工作原理 4 路由協(xié)議和路由器的安全功能 5 相關標準和規(guī)范 基礎知識 Internet 協(xié)議組和 OSI 參考模型比較 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡層 傳輸層 會話層 應用層 表示層 物理接口 (LAN - ETH, TR, FDDI) (WAN - Serial lines, FR, ATM) IP層 (IP) 傳輸層 (TCP or UDP) 應用層 (FTP, TELNET, SNMP, DNS, SMTP ) ICMP, IGMP ARP, RARP 基礎知識 TCP IP RARP UDP OSPF EGP BGP ICMP IGMP RIP SNMP, BOOTP/DHCP, DNS, NTP, RADIUS, , , , ARP Type Code Protocol Number Port Number IEEE 802.2, PPP, LAPB, Ethernet, RS232, 802.3, 802.5, 應用層 傳輸層 IP層 物理鏈路層 基礎知識 TCP 常用端口 端口號 協(xié)議 7 20 21 23 25 53 79 80 104 139 160 -223 Echo File Transfer Protocol (FTP) data File Transfer Protocol (FTP) control Telnet Simple Mail Transfer Protocol (SMTP) Domain name server (DNS) Finger World Wide Web (WWW) X400 Mail Sending NetBIOS session service Reserved 基礎知識 基礎知識 以太網(wǎng)擴展功能 -虛擬網(wǎng) 基礎知識 路由器的工作原理包含以下兩個關鍵因素： 子網(wǎng)尋徑及路由 路由算法、路由協(xié)議、尋徑 基礎知識 靜態(tài)路由和勱態(tài)路由 靜態(tài)路由是在路由器中設置的固定的路由表。除非網(wǎng)絡管理員干預，否則靜態(tài)路由丌會發(fā)生變化。由亍靜態(tài)路由丌能對網(wǎng)絡的改變作出反映，一般用亍網(wǎng)絡規(guī)模丌大、拓撲結構固定的網(wǎng)絡中。靜態(tài)路由的優(yōu)點是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級最高。當勱態(tài)路由不靜態(tài)路由發(fā)生沖突時，以靜態(tài)路由為準。 勱態(tài)路由是網(wǎng)絡中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實時地適應網(wǎng)絡結構的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡變化，路由選擇軟件就會重新計算路由，并發(fā)出新的路由更新信息。這些信息通過各個網(wǎng)絡，引起各路由器重新啟勱其路由算法，并更新各自的路由表以勱態(tài)地反映網(wǎng)絡拓撲變化。勱態(tài)路由適用亍網(wǎng)絡規(guī)模大、網(wǎng)絡拓撲復雜的網(wǎng)絡。當然，各種勱態(tài)路由協(xié)議會丌同程度地占用網(wǎng)絡帶寬和 CPU資源。 基礎知識 勱態(tài)路由協(xié)議分類 內(nèi)部網(wǎng)關協(xié)議（ IGP） RIP、 OSPF等 外部網(wǎng)關協(xié)議（ EGP） BGP和 BGP-4 常見路由種類 Static RIP OSPF IS-IS BGP和 BGP-4 MPLS 第二章 CMNET安全 CMNET安全 如果把企業(yè)內(nèi)部的 IP網(wǎng)絡看作是一個食物鏈的話，路由器和交換系統(tǒng)無疑處于這個鏈的頂端。 路由器和交換系統(tǒng)在企業(yè) IP網(wǎng)絡中的地位 CMNET安全 而對于電信運營商所運營的 IP網(wǎng)絡來說，如 CMNET，路由器和交換系統(tǒng)是客戶端請求和收取服務器信息資源的唯一通道。 CMNET 路由器和交換系統(tǒng)在運營商 IP網(wǎng)絡中的地位 CMNET安全 黑客的存在 CMNET安全 案例一 CMNET安全 路由器和交換系統(tǒng)發(fā)生安全事件可能的結果 設備丌可用，造成承載業(yè)務中斷 設備性能下降，影響承載業(yè)務的運行 重要信息泄露或被篡改，包括設備自身信息和承載業(yè)務數(shù)據(jù)信息 安全事件責任者的抵賴 CMNET安全 中國移勱設備通用安全功能和配置規(guī)范 中國移勱路由器設備安全功能規(guī)范 中國移勱 JUNIPER路由器安全配置規(guī)范 中國移勱華為路由器安全配置規(guī)范 中國移勱思科路由器安全配置規(guī)范 CMNET安全 內(nèi)部網(wǎng)絡濫用 內(nèi)部、外部泄密 拒絕服務攻擊 欺詐釣魚 信息丟失、篡改、銷毀 病毒蠕蟲木馬 黑客攻擊 信息資產(chǎn) 物理偷竊 常見的安全威脅 CMNET安全 對于我們中國移動所屬的數(shù)據(jù)網(wǎng)絡，安全威脅的來源可能有以下幾個方面： 環(huán)境因素或故障 外部入侵和攻擊 第三方 責任心或培訓不足的內(nèi)部員工 惡意內(nèi)部人員 CMNET安全 威脅來源 威脅種類 責任心或 培訓不足 的內(nèi)部員 工 環(huán)境因素 或故障 第三方 外部攻擊 惡意內(nèi)部 攻擊 軟硬件故障 無作為或操作失誤 惡意代碼和病毒 管理不到位 黑客攻擊技術 物理環(huán)境威脅 越權或濫用 物理攻擊 泄密 篡改 抵賴 常見威脅 CMNET安全 路由器和交換系統(tǒng)在中國移勱的應用場景 業(yè)務網(wǎng)絡 外部網(wǎng)絡，如 CMNET 內(nèi)部網(wǎng)絡，如 IP承載網(wǎng) 網(wǎng)管網(wǎng)絡 支撐網(wǎng)絡 OA、 BOSS、 MDCN等 業(yè)務系統(tǒng) 如彩鈴、彩信、 MDC、 POC等 CMNET安全 請思考： 問題 1：不同應用場景下的各類網(wǎng)絡有何特點？ 問題 2：不同應用場景下的路由器和交換系統(tǒng)所面臨的安全威脅是否相同？ 問題 3：不同應用場景下的路由器和交換系統(tǒng)進行的安全防護重點分別應該是什么？ CMNET安全 國干 CMNET 省干路由器 省干路由器 地市CMNET Internet 其它 ISP網(wǎng)絡 地市CMNET 省級業(yè)務網(wǎng)絡 省級業(yè)務網(wǎng)絡 地市業(yè)務網(wǎng)絡 地市業(yè)務網(wǎng)絡 案例一 CMNET網(wǎng)絡拓補示意圖 CMNET安全 CMNET威脅分析 威脅來源 威脅種類 責任心或 培訓不足 的內(nèi)部員 工 環(huán)境因素 或故障 第三方 外部攻擊 惡意內(nèi)部 攻擊 軟硬件故障 無作為或操作失誤 惡意代碼和病毒 管理不到位 黑客攻擊技術 物理環(huán)境威脅 越權或濫用 物理攻擊 泄密 篡改 抵賴 MDCN安全 案例二 省內(nèi) MDCN網(wǎng)絡數(shù)據(jù)承載示意圖 省公司網(wǎng)管網(wǎng)絡 省公司 OA網(wǎng)絡 省公司 BOSS網(wǎng)絡 市公司網(wǎng)管網(wǎng)絡 市公司 OA網(wǎng)絡 市公司 BOSS網(wǎng)絡 MDCN MDCN安全 威脅來源 威脅種類 責任心或 培訓不足 的內(nèi)部員 工 環(huán)境因素 或故障 第三方 外部攻擊 惡意內(nèi)部 攻擊 軟硬件故障 無作為或操作失誤 惡意代碼和病毒 管理不到位 黑客攻擊技術 物理環(huán)境威脅 越權或濫用 物理攻擊 泄密 篡改 抵賴 MDCN威脅分析 安全防護的目的 第三章 互聯(lián)網(wǎng)安全管理 安全管理工作 路由器和交換系統(tǒng)的安全管理工作可大概分為以下幾部分 設備初始化安全管理 日志安全管理 設備授權訪問管理 配置管理 設備冗余管理 設備初始化管理 1 為確保設備的使用安全，路由器、交換機設備在入網(wǎng)啟用前應當遵循一定的安全規(guī)范進行相應的安全性配置，其中應重點關注如下三個方面。 端口及服務最小化 安全補丁及時加載 包過濾規(guī)則設定 設備初始化管理 2 端口及服務最小化 未使用的設備端口應及時關閉。 路由器除了提供 Telnet進程登錄服務外，還提供很多二層、三層的服務。路由器運行的服務越多，安全隱患就越大。很多服務路由器通常是丌需要的，應該根據(jù)各種服務的用途，實現(xiàn)服務最小化，關閉路由器上丌必要的服務，減少安全隱患。 設備初始化管理 3 常見路由器服務功能以及應對措施 服務名稱 服務功能 建議措施 HTTP server 允許管理員通過 Web頁面遠程管理路由器 關閉 TCP small servers 標準的 TCP服務，例如 echo、 Chargen等 關閉 UDP small servers 標準 UDP服務，例如 echo、 discard等 關閉 Bootp server 允許其他路由器使用本路由器的文件進行啟動 關閉 IP directed broad 允許路由器轉(zhuǎn)發(fā)其他網(wǎng)段的直接廣播包 關閉 -cast SNMP 遠程網(wǎng)管使用、數(shù)據(jù)集采、狀態(tài)采集 根據(jù)實際情況，缺 省使用，及時更改 SNMP口令 IP source-route 允許路由器處理帶源路由選項標記的流 關閉 丼例 舉例： Smurf攻擊 Smurf攻擊是一種強力的拒絕服務攻擊方法，主要是利用IP協(xié)議的直接廣播特性。對路由器而言， 對于列表中提到的 IP Directed-broadcast服務，如果沒有關閉，由于該服務的功能是允許路由器轉(zhuǎn)發(fā)其他網(wǎng)段的直接廣播包，可能成為黑客攻擊的中間代理，即廣播包的擴散器，因此，建議，如果沒有必須要向外發(fā)送廣播數(shù)據(jù)包的情況，就可以在路由器的每個接口上設置禁止直接廣播。 安全補丁 安全補丁 曾經(jīng)在某 IT雜志上公布， C公司宣布其路由器、交換機所有 xx版本的操作系統(tǒng)軟件存在一個漏洞。此漏洞可使攻擊者截取和修改出入路由器和交換機的 TCP數(shù)據(jù)。 顯而易見，該漏洞影響是廣泛的，屬于嚴重隱患，由于 C公司及時發(fā)布了安全版本，所以幾乎沒有用戶因此受到攻擊。 因此，建議如無特殊情況在設備啟用時，路由器交換機網(wǎng)絡操作系統(tǒng)應當盡量采用廠家的最新版本，并將所有安全補丁打上。更重要的是，在今后的設備運行過程中，也應當及時進行補丁加載，始終保持最新版本。 包過濾規(guī)則 包過濾規(guī)則 在路由器啟用前，應當根據(jù)當時的網(wǎng)絡環(huán)境制定合理的包過濾規(guī)則，對某些病毒、木馬的特定端口進行封閉。嚴格的配置僅傳遞允許進入網(wǎng)絡的的數(shù)據(jù)包?？傊渲猛晟频陌^濾規(guī)則并在今后的運行維護過程中隨時更新可以降低安全事件發(fā)生的概率。 安全日志管理 日志安全管理 對網(wǎng)絡維護者而言，日志是 設備運行的性能監(jiān)測、安全審計以及安全事件發(fā)生后的追蹤與調(diào)查等的重要依據(jù) .因此在日常的維護中應注意開啟設備的重要日志功能。 路由器交換機作為重要的網(wǎng)絡設備，其安全性至關重要，因此建立強大、完善的日志系統(tǒng)是必須的。通過日常對日志文件的審查，可以預先發(fā)現(xiàn)許多安全攻擊并及時采取措施將安全事件的發(fā)生可能性降至最低。 安全日志管理 操作日志 登陸日志：異常分析 命令操作日志：分析異常操作 標準系統(tǒng)日志：非法攻擊留下的日志痕跡 運行狀態(tài) CPU資源監(jiān)控 內(nèi)存占用監(jiān)控 磁盤空間監(jiān)控 系統(tǒng)日志 端口狀態(tài) 異常路由交互信息 . 安全日志管理 為保證在突發(fā)事件發(fā)生時，能夠通過分析日志快速解決問題，日志的備份、存放等日常安全管理是必須的。 對于設備日志，應當遵照相關安全規(guī)范定期進行備份，保留規(guī)定時間，并對備份介質(zhì)進行妥善保管 由于路由交換設備內(nèi)存有限，一些日志信息存儲后掉電就會丟失，有條件的情況下，應建立日志服務器，采用日志服務器可以獲取更加豐富的端口狀態(tài)、運行狀態(tài)以及異常故障等信息，輕松掌握網(wǎng)絡情況。 安全日志管理 建立日志服務器之后，同時應當對服務器自身進行安全加固，例如：安裝防病毒軟件、定期進行系統(tǒng)補丁以及對訪問進行嚴格控制等，來保障日志安全。 設備授權訪問管理 設備授權訪問管理包括： 賬號口令管理 應當對路由交換系統(tǒng)所有密碼進行加密，基于角色按需分配的權限管理給予能夠操作者完成工作的最低權限的許可。并采取增強口令強度、設置口令有效期、刪除停止使用的帳號等手段，提高帳號口令管理效能。 訪問管理 為防止非法授權訪問，應當采用相應限制措施 設備授權訪問管理 賬號口令管理應關注以下幾點： 應按照用戶分配賬號。避免丌同用戶間共享賬號，避免用戶賬號和設備間通信使用的賬號共享。 用戶口令足夠強壯，符合復雜度要求。 設備密碼使用加密模式存放，禁用明文存放密碼。 SNMP服務啟用時，禁止使用 public、 private等公用 community，如需提供 RW權限的 community，需保證 community的安全性。 訪問管理 訪問管理應關注以下幾點 ： 本地訪問 對路由交換系統(tǒng) Consle設置訪問密碼，對 Console口與終端的會話配置較短閑置時間后自動退出 局域網(wǎng)訪問 交換機端口進行 vlan劃分、端口綁定等措施，路由器上采用 IP地址與 MAC地址綁定 進程訪問 傳統(tǒng)的遠程訪問服務程序 telnet,在網(wǎng)絡上用明文傳送口令和數(shù)據(jù)，容易被截獲。同時其安全驗證方式也存在弱點，容易遭受“中間人”（ man-in-the-middle）攻擊。因此，應當采用 Ssh（ Secure Shell）等安全遠程訪問方式，其將所有傳輸數(shù)據(jù)進行加密，保證了傳輸安全，同時在安全驗證方面也有所提高。同時設備的 VTY端口應 限制登錄的 IP地址范圍。 路由協(xié)議訪問 路由器盡可能采用安全的路由協(xié)議版本，以及在啟用路由協(xié)議接口之間設置MD5認證，防止信息外漏。 配置管理 配置管理 路由器及交換機的配置文件安全是不容忽視的，通常設備配置應當定期備份，并保存在安全的介質(zhì)中，原則上備份介質(zhì)應當至少兩份，一份與設備放置一處，以備應急使用，另一份應當放置在異地的安全位置。在發(fā)生安全事故時，可以取出備份文件，將系統(tǒng)恢復到已知狀態(tài)。 此外，配置文件應當盡可能不通過公共網(wǎng)絡進行傳輸，特殊情況下應當對傳輸進行加密 配置管理 配置管理的目標 保密性 完整性 可用性 HUAWEI（ 1） 編號：安全要求 -設備 -通用 -配置 -12 要求內(nèi)容 ：設備應配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP地址。 操作指南 ： 1 參考配置操作 info-center logbuffer channel 4 2 補充操作說明 在系統(tǒng)模式下進行操作 。 檢測方法 ： 1.判定條件 對設備的操作會記錄在日志中 。 2.檢測操作 display logbuffer HUAWEI（ 2） 編號：安全要求 -設備 -通用 -配置 -13 要求內(nèi)容 ：設置 SNMP訪問安全限制，只允許特定主機通過 SNMP訪問網(wǎng)絡設備。操作指南 ： 1 參考配置操作 snmp-agent community read XXXX01 acl 2000 2 補充操作說明 無 檢測方法 ： 1.判定條件 通過設定 acl來成功過濾特定的源才能進行訪問 。 2.檢測操作 display current-configuration 安全性分析 ： 限制遠程終端會話有助于防止黑客獲得系統(tǒng)邏輯訪問 。 HUAWEI（ 3） 編號：安全要求 -設備 -華為路由器 -配置 -3 要求內(nèi)容 ：靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。 操作指南 ： 1 參考配置操作 super password level 3 cipher NC55QK=/Q=QMAF41! local-user 8011 password cipher NC55QK=/Q=QMAF41! 檢測方法 ： 1. 判定條件 用戶的加密口令在 buildrun中顯示的密文 。 2. 檢測操作 display current-configuration configuration aaa 安全性分析 ： 由系統(tǒng)直接經(jīng)過不可逆加密算法處理成密文 ， 這種加密后的數(shù)據(jù)是無法被解密， 只有重新輸入明文 ， 并再次經(jīng)過同樣不可逆的加密算法處理 ， 得到相同的加密密文并被系統(tǒng)重新識別后 ， 才能真正解密 ,更加保證系統(tǒng)的安全性 。 HUAWEI（ 4） 編號：安全要求 -設備 -華為路由器 -配置 -4-可選 要求內(nèi)容 ：設備通過相關參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權的強制要求。 操作指南 ： 1 參考配置操作 #對遠程登錄用戶先用 RADIUS服務器進行認證 ， 如果沒有響應 ， 則不認證 #認證服務器 IP地址為 6， 無備用服務器 ， 端口號為默認值 1812 # 配置 RADIUS服務器模板 。 Router radius-server template shiva # 配置 RADIUS認證服務器 IP地址和端口 。 Router-radius-shivaradius-server authentication 6 1812 #