时间戳

首页 > 技术文章 > CCSP--SECURE-1 安全理论

CCSP--SECURE-1 安全理论

btlulu 2014-09-15 22:01 原文

数通安全

 

安全模型:

ec787adf0fdb4f11ac63e3022001e2d5

 

三种攻击方向:

73c6e5402b594e54bd53973491182d6c

 

网络攻击的分类:

3bbe986a2bdb43b58b8acee3c30e4910

 

思科对网络攻击的具体分类:

168e91aaee624db2b686e2987e4e2021

 

 

Reconnaissance attacks

Packet Sniffer

实施条件:

1.只能在攻击对象所在的广播域内实现

2.使用集线器 或 交换机制不完善

解决方案:

1.准入认证(802.1x)

2.在交换设备上对用户的接入进行控制

3.利用Antisniffer tools进行检测(在网络中发送一种特殊的数据包,如果网卡处于混杂模式则处理很慢)

4.对数据进行加密

 

Port Scans and Ping Sweeps

c5f82ad838824c9c901070e564a2475f

问题:扫描流量可能来自管理员,也可能来自攻击者

解决方案:用IDS检测判断流量

 

Internet Information Queries

利用搜索引擎搜索漏洞

 

 

Access Attacks

Password Attacks

33a4848175454afca880b547c46bcfd4

5d0adf0124c045dabc78462b22f320f8

 

Trust Exploitation

问题:很多网络为了方便管理,配置了域环境。每个域里有一个域控制服务器,黑客只要攻破了 域控制服务器,就可以利用信任关系控制这个域内所有的机器。

解决方案:对域控制服务器做好完善的安全机制

 

Port Redirection

将跳板的某一本地端口与内网服务器的某一功能端口映射在一起,当访问跳板的这一本地端口时自动跳转到那个功能端口

原因:安全设备屏蔽了此服务端口的访问流量

f959faa74bce420da437149bb1781211

 

Man-in-the-Middle Attacks

b8de497bb72b4f9586ce85db599b5d3a

问题:收集信息甚至是修改原始信息

解决方案:在广域网通信时加VPN通信隧道

 

 

Denial of Service Attacks

服务器无法对外提供服务。只能缓解,无法根治

都得通过IP欺骗

攻击方式:ICMP、TCP(利用三次握手)

解决方案:使用安全设备监控TCP的连接过程,设定定时器,超时则向两方发送RST信号

 

 

Worms, viruses, and Trojan horses

99d6470fcba34283b33839065e2f23ff

 

 

IP Plane Security(IP安全平面)

bcae3b597c274034b3f637706cf54f37

数据平面:用户通信流量

控制平面:控制流量转发的流量,如路由协议

管理平面:用户到网络设备的管理流量,网络设备发送的用于网络管理的流量

服务平面:承载用户流量,如VPN

 

573c7ffe724e462abb306cd52e664a1d475353aa08c6498995c74925ffb2d2e4404f8d6b02c74aa9b0d455d3926afef6

 

针对不同环境制定的不同安全策略:

9dc73def960f4a2686721523d8be387c

9d51e532113b4ebc9363672ad1dd81ff

7385e93b2e5f4e1388da0b7dd7e877bb

 

VTP:由于开发不完善,思科不推荐使用。如果想用可以在组网阶段配置,组网完毕后将所有设备都设为透明模式。

 

参考文献:

fb03ed4ddaf94ee98da5fb4b94f10cbb

 

Cisco Catalyst 交换机的安全特性:

495cb4229050440b8e4e856014c7d12f

 

Cisco ISR(集成多业务路由器) 的安全特性:

e4fbbafadd6542aaa0bedbfd88672cc0

 

数通安全的目标:

b3ddf9f965c54f35a9a186d8253f9b58

机密性、完整性、可靠性

 

交换网络的攻击技术:

18ad1c870593473f86925ba9502e4f5f

 

交换网络的安全技术:

aa1d471a7c00461cbc26d054a72a6065

 

 

PVLAN

二层VLAN技术。PVLAN主要部署在DMZ区,防止跨站攻击,开发目的就是为了服务器的分段保护。

PVLAN可以通过trunk链路跨交换机配置。

PVLAN分为主VLAN和辅助VLAN,辅助VLAN又分为团体VLAN和孤立VLAN。

端口模式分为团体端口、孤立端口和混杂端口,混杂端口主要用于连接网关。

一个VLAN内的隔离技术。

 

PVLAN的配置:

9e1e667e3df944acb95441673116c86d

pvlan配置手册:http://download.csdn.net/detail/lbt52pk/7928333

 

cf32ac406042451cbd0e7a1f73eb7a72

 

show vlan private-vlan

 

PVLAN跳转攻击:

越过PVLAN的限制,直接互访。如R2和R3之间互访。

R2:

ip route 172.16.0.3 255.255.255.255 172.16.0.254

R3:

ip route 172.16.0.2 255.255.255.255 172.16.0.254

将对方的静态路由指向网关。

PVLAN跳转攻击防御:

GW(config)#access-list 101 permit ip any host 172.16.0.254

GW(config)#access-list 101 deny   ip 172.16.0.0 0.0.0.255 172.16.0.0 0.0.0.255

GW(config)#access-list 101 permit ip any any

GW(config)#interface fastEthernet 0/0

GW(config-if)#ip access-group 101 in

 

要是PVLAN的网络里有多台交换机,则它们之间的中继得能通过主VLAN,也得通过辅助VLAN。

 

PVLAN是3560及以上的设备才有的特性。之前的设备用保护端口实现PVLAN的某些功能。

配置:在端口下    switchport protected

效果:同时部署了保护端口的端口下的用户无法互相通信

 

 

若在三层交换机上配置PVLAN,而且这台三层交换机还是DHCP服务器,则需配置多层交换的混杂端口(即int vlan *)。

在多层交换机上配DHCP服务器,得配置主机所在VLAN的VLAN接口地址,因为DHCP使用UDP工作,交换机上的dhcp会寻找与该vlan接口相对应的dhcp网段分配给客户端。网关不一定是自己。

80dec665f00a4047bfc6cea07b9a9841

4795f5282e694761ad9fcc9fd424c1ce

推荐阅读