摘要
随着信息技术的普及,生产、生活、工作、学习,到处可以看到计算机和网络,几乎互联网已经成为我们人类生存中不可缺少的一个重要组成部分。政府机关、事业单位,甚至我们的军队中,也出现了计算机网络。
如今,国内外黑客技术不断发展壮大,已经远远超过我们现有的防卫力量,网络安全威胁已经成为一个不可忽视的问题。大国之间的军备竞赛也涉及到网络,纷纷成立网络军队,使得互联网技术也成为了一把锋利的双刃剑。
IT行业不断发展,互联网应用将会越来越广泛,如今已经成为我们生产、生活不可分割的一部分,信息安全却成为我们迫在眉睫的问题。为了使我们使用网络更加方便,为了更好的进行管理,运营商和大型公司,都在纷纷建立数据中心,保障数据中心的网络安全,便成为我们工作的重中之重。
本次模拟试验是根据目前黑客拥有并掌握的攻防技术,以及Cisco公司指出的相关网络安全技术,通过网络安全方案实施,能够应对一般的网络安全攻击的威胁。
Abstract
With the spread of information technology, production, living, working, learning, computers and networks can be seen everywhere, the Internet has become almost indispensable to human existence is an important part. Government agencies, institutions, and even our armed forces, there have been computer networks.
Today, technology continues to grow and develop domestic and international hackers have been far more than our existing defense forces, the network has become a security threat can not be ignored. The arms race between the major powers involved in the network, have set up the network army, making Internet technology has also become a sharp double-edged sword.
The continuous development of IT industry, Internet applications will become increasingly widespread, and now has become our production, an integral part of life, information security has become our immediate problem. To make our network more convenient to use, in order to better manage, operators and large companies, have set up in data centers, security.
目录
摘要 ..................................................................................................................................................... - 1 -Abstract ................................................................................................................................................ - 2 -目录 ..................................................................................................................................................... - 3 -前言 ..................................................................................................................................................... - 4 -1 IDC安全机制综述........................................................................................................................... - 5 -
1.1 国际先进的网络安全技术................................................................................................... - 5 -
1.2 网络隔离机制....................................................................................................................... - 5 -
1.3 防火墙机制 .......................................................................................................................... - 5 -
1.4 入侵检测系统....................................................................................................................... - 6 -
1.5 硬件防毒技术....................................................................................................................... - 7 -
1.6 密码学 .................................................................................................................................. - 9 -
1.7 数据加密传递机制............................................................................................................. - 10 -
2 实验环境基本需求 ....................................................................................................................... - 12 -
2.1 桥交换 ................................................................................................................................ - 12 -
2.1.1 VLAN配置............................................................................................................... - 12 -
2.1.2 layer2 provisionging a robust L2 .............................................................................. - 13 -
2.1.3 Frame-relay ............................................................................................................... - 13 -
2.1.4 交换部分.................................................................................................................. - 14 -
2.1.5 端口转发.................................................................................................................. - 14 -
2.2. 路由技术的相关需求........................................................................................................ - 14 -
2.2.1 OSPF配置................................................................................................................ - 15 -
2.2.2 EIGRP配置.............................................................................................................. - 15 -
2.2.3 BGP配置.................................................................................................................. - 15 -
2.2.4 MPLS配置 ............................................................................................................... - 16 -
2.2.5 OER .......................................................................................................................... - 16 -
2.3 多播路由配置..................................................................................................................... - 16 -
2.3.1 multicast配置........................................................................................................... - 16 -
2.3.2 ipv4 SSM配置 ......................................................................................................... - 17 -
2.4 安全 .................................................................................................................................... - 17 -
2.4.1 CoPP ACL访问控制................................................................................................ - 17 -
2.4.2 Copp配置................................................................................................................. - 18 -
2.4.3 LinkFragmentation 链路标记.................................................................................. - 18 -
2.4.4 MLS Qos for Video 配置......................................................................................... - 18 -
2.4.5 MHSRP配置............................................................................................................ - 19 -
2.4.6 DHCP动态地址配置............................................................................................... - 19 -
2.4.7 RSVP资源预留协议配置........................................................................................ - 20 -
2.4.8 NTP时钟设置.......................................................................................................... - 20 -
2.5 QoS ...................................................................................................................................... - 20 -
2.5.1 IP服务水平协议...................................................................................................... - 20 -
2.5.2简单网络管理协议配置........................................................................................... - 21 -
2.5.3日志、管理与核心转储的配置............................................................................... - 21 -
3 技术路线 ....................................................................................................................................... - 22 -
3.1 建立模拟器试验平台......................................................................................................... - 22 -
3.2 平台搭建方案..................................................................................................................... - 22 -
4 实施 (28)
4.1 桥交换 (28)
4.1.1 VLAN配置 (28)
4.1.2 layer2 provisionging a robust L2 (28)
4.1.3 Frame-relay (29)
4.1.4 交换部分 (30)
4.1.5 端口转发 (32)
4.2. 路由技术的相关需求 (32)
4.2.1 OSPF配置 (33)
4.2.2 EIGRP配置 (34)
4.2.3 BGP配置 (35)
4.2.4 MPLS配置 (37)
4.2.5 OER (40)
4.3 多播路由配置 (41)
4.3.1 multicast配置 (41)
4.3.2 ipv4 SSM配置 (42)
4.4 安全 (42)
4.4.1 CoPP ACL访问控制 (42)
4.4.2 Copp配置 (43)
4.4.3 LinkFragmentation 链路标记 (44)
4.4.4 MLS Qos for Video 配置 (46)
4.4.5 MHSRP配置 (47)
4.4.6 DHCP动态地址配置 (47)
4.4.7 RSVP资源预留协议配置 (49)
4.4.8 NTP时钟设置 (50)
4.5 QoS (51)
4.5.1 IP服务水平协议 (51)
4.5.2简单网络管理协议配置 (51)
4.5.3日志、管理与核心转储的配置 (52)
4.6 切入点的选择 (53)
4.7 首次攻击实施及效果评估 (54)
4.8 安全措施及防攻击原理 (55)
4.8.1 密码管理 (55)
4.8.2 入侵检测 (55)
4.8.3 内网用户攻击防范 (56)
4.8.4 身份识别 (56)
4.8.5 反伪装信息路由跟踪 (57)
4.8.6 围点打援(路由饿死) (58)
4.8.7 虚拟核心技术 (58)
5 方案实施总结 (60)
致谢 (61)
参考文献 (62)
前言
自从人类拥了有计算机技术和互联网通信技术,就总有个别人希望将他人的数据信息占为己有。也许是由于局部争端,也许是因为个人恩怨,甚至是国家利益的驱使。正因为如此,在网络通讯技术不断发展的今天,黑客技术也在不断发展,黑客队伍也在不断强大,从原先的个体行为,发展到如今的庞大的黑客队伍,甚至在黑客领域中,还有各种各样形形色色的帮派组织。
然而,随着信息技术的普及,生产、生活、工作、学习,到处可以看到计算机和网络,几乎互联网已经成为我们人类生存中不可缺少的一个重要组成部分。如今的政府机关、事业单位,甚至我们的军队中,也出现了计算机网络。
如今,国内外黑客技术不断发展壮大,已经远远超过我们现有的防卫力量,网络安全威胁已经成为一个不可忽视的问题。大国之间的军备竞赛也涉及到网络,纷纷成立网络军队,使得互联网技术也成为了一把锋利的双刃剑。
IT行业不断发展,互联网应用将会越来越广泛,如今已经成为我们生产、生活不可分割的一部分,信息安全却成为我们迫在眉睫的问题。为了使我们使用网络更加方便,为了更好的进行管理,运营商和大型公司,都在纷纷建立数据中心,保障数据中心的网络安全,便成为我们工作的重中之重。
数据中心的网络安全,有别于其他环境的网络安全。我们将通过长度加密、密码HASH、动态口令这三个方面对数据或信息进行加密,再通过抓包软件,将数据流截取,并进行分析和筛选,选出带有加密认证的数据包,再通过密码破译体系,将传输数据所带的密码和数据进行分离,提取用户密码后,伪装用户数据,进入目标网络区域,对网络环境进行进行剖析,从而进入关键节点,破坏核心网络环境。
针对以上攻击模式,进行策略防护的研究。例如:采取虚拟目标网络,给攻击者一个虚假的目标,从而保护我们真实的网络环境。
1 IDC安全机制综述
1.1 国际先进的网络安全技术
国际标准的网络安全技术,是通过ISO认证的国际标准的网络安全体系。其中针对IDC的安全运维也有相关介绍。接下来我们通过防火墙机制、入侵检测机制、硬件杀毒机制、软件管理机制、密码学、国际网络数据标准化加密传递机制,分别介绍国际上先进的安全水平。
1.2 网络隔离机制
国际标准组织认定:内、外双网并存时,采用物理隔离和逻辑隔离两种办法来划分内外网络。其中,物理隔离的操作模式,是将内外网分别建立,两者之间没有设备和链路相连;逻辑隔离则是通过VLAN等机制,将网络设备的端口划分给内网或者是外网,从而做到端口隔离,再通过路由机制、IP地址、访问控制机制,给内外网数据包,打上标记,再进行策略路由,似的内外网实现逻辑分离。
1.3 防火墙机制
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是自己的保护选择。
一个个人防火墙。通常软件应用过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。这样防火墙过滤所有信息进入或留下被连接的网络。以下是两个主要类防火墙:网络层防火墙和应用层防火墙。
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由
管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
1.4 入侵检测系统
一般可以从以下几个方面去评价一个入侵检测系统:
能保证自身的安全
和其他系统一样,入侵检测系统本身也往往存在安全漏洞。如果查询bugtraq的邮件列表,诸如AxentNetProwler,NFR,ISSRealsecure等知名产品都有漏洞被发觉出来。若对入侵检测系统攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。因此入侵检测系统首先必须保证自己的安全性。
(1)运行与维护系统的开销
(2)较少的资源消耗,不影响受保护主机或网络的正常运行。
(3)入侵检测系统报警准确率
(4)误报和漏报的情况尽量少。
(5)网络入侵检测系统负载能力以及可支持的网络类型
根据网络入侵检测系统所布署的网络环境不同要求也不同。如果在512K 或2M专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎,而在负荷较高的环境中,性能是一个非常重要的指标。网络入侵检测系统是非常消耗资源的,但很少有厂商公布自己的pps (packet persecond)参数。
(6)是否支持IP碎片重组
由于 IP碎片攻击是攻击者常用的方法,而在入侵检测中分析单个的数据包会导致许多误报和漏报,因此是否支持IP碎片的重组对于整个入侵检测系统检测的精确度有直接影响。IP碎片重组的评测标准有三个性能参数:能重组的最大IP分片数;能同时重组的IP包数;能进行重组的最大IP数据包的长度。
(7)是否支持TCP流重组
TCP 流重组是为了对完整的网络对话进行分析,它是网络入侵检测系统对应用层进行分析的基础。如检查邮件内容、附件,检查FTP传输的数据,禁止访问有害网站、判断非法HTTP请求等。
1.5 硬件防毒技术
硬件防病毒技术,我们将通过“缓冲区溢出”和“攻击”两个方面进行分析。
缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生。缓冲区边界检查被认为是不会有收益的管理支出,计算机资源不够或者内存不足是编程者不编写缓冲区边界检查语句的理由,然而技术的飞速发展已经使这一理由失去了存在的基础,但是多数用户日常主要应用的程序中大多数其实仍然是十年甚至二十年前的程序代码,并没有检查缓冲区边界的功能。
缓冲区溢出是病毒编写者和特洛伊木马编写者偏爱使用的一种攻击方法。攻击者或者病毒善于在系统当中发现容易产生缓冲区溢出之处,运行特别程序,获得优先级,指示计算机破坏文件,改变数据,泄露敏感信息,产生后门访问点,感染或者攻击其他计算机。
对于缓冲区溢出攻击,防毒杀毒软件虽然也可以处理,但也只能是亡羊补牢,而操作系统和应用软件的漏洞又是难以预测的,随时可能被利用,引来缓冲区溢出攻击。在这种情况下,预防缓冲区溢出攻击应该从硬件层次着手,开始成为许多IT厂商的共识,于是大家俗称的CPU硬件防病毒功能应运而生了。
缓冲区溢出攻击最基本的实现途径是向正常情况下不包含可执行代码的内存区域插入可执行的代码,并欺骗CPU执行这些代码。而如果我们在这些内存页面的数据区域设置某些标志(No eXecute或eXcute Disable),当CPU 读取数据时检测到该内存页面有这些标志时就拒绝执行该区域的可执行指令,从而可防止恶意代码被执行,这就是CPU的防缓冲区溢出攻击实现的原理。
而对于开启了EDB或EVP功能的计算机来说,一般也就可实现数据和代码的分离,而在内存某个页面将被设置为只做数据页,而任何企图在其中执行代码的行为都将被CPU所拒绝。当然,开启EDB、EVP功能的CPU是无法独立完成标注不可执行代码内存页面以及进行相关检测防治工作的,它还需要相关操作系统和应用程序的配合。
技术现况
目前,Windows XP SP2、Windows Server 2003 SP1及64位或更高版本的Windows操作系统都提供了对EDB、EVP技术的支持。如果你使用的操作系统是Windows XP SP2,那么启用其中的DEP(Data Execution Protection,数据执行保护)功能即可为你的电脑提供比较全面的防缓冲区溢出攻击功能。DEP是可以独立运行的,并也可帮助防御某些类型的恶意代码攻击,但要充分利用DEP可以提供的保护功能,就需要CPU的配合了。DEP可单独或和兼容的CPU一起将内存的某些页面位置标注为不可执行,如果某个程序尝试从被保护的位置运行代码,将会被CPU拒绝同时DEP会关闭程序并通知用户,从而在一定程度上保障用户电脑的安全。
未来展望
CPU内嵌的防病毒技术以及操作系统的防病毒技术因此在目前来说可能还存在着一些兼容性的问题,例如因应用程序设计的缺陷或驱动程序而导致的误报(特别是一些比较老的驱动程序);另外,对于有些程序来说,是采用实时生成代码方式来执行动态代码的,而生成的代码就有可能位于标记为不可执行的内存区域,这就有可能导致DEP将其检测为非法应用程序而将其关闭。而