计算机网络安全课件(沈鑫剡)第4章优质PPT.ppt
- 文档编号:7162388
- 上传时间:2023-05-08
- 格式:PPT
- 页数:38
- 大小:2.03MB
计算机网络安全课件(沈鑫剡)第4章优质PPT.ppt
《计算机网络安全课件(沈鑫剡)第4章优质PPT.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全课件(沈鑫剡)第4章优质PPT.ppt(38页珍藏版)》请在冰点文库上搜索。
防DHCP欺骗;
防ARP欺骗攻击。
以太网接入控制,黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用户终端的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;
交换机端口是用户终端的物理连接处,防止黑客终端接入以太网的关键技术是授权用户终端具有难以伪造的标识符,交换机端口具有识别授权用户终端标识符的能力。
允许为交换机每一个端口配置访问控制列表,列表中给出允许接入的终端的MAC地址;
配置访问控制列表的端口只允许转发源MAC地址属于列表中MAC地址的MAC帧,因此对于接入端口,只允许物理连接MAC地址属于列表中MAC地址的终端。
以太网接入控制,访问控制列表,安全端口是自动建立访问控制列表的机制;
允许为每一个交换机端口设置MAC地址数N,从端口学习到的前N个MAC地址作为访问控制列表的MAC地址;
不允许转发源地址是N个地址以外的MAC帧。
以太网接入控制,安全端口,802.1X基于端口认证机制,一旦完成认证过程,端口就处于正常转发状态,这种方式适用于交换机B的认证端口,不适用交换机A的认证端口;
802.1X基于MAC地址认证机制是认证和访问控制列表的有机结合,一旦交换机通过对某个用户的身份认证,将该用户终端的MAC地址记录在访问控制列表的中,这种方式下,访问控制列表的中的MAC地址是动态的,随着用户接入增加,随着用户退出减少。
以太网接入控制,实现802.1X接入控制过程的网络结构,认证数据库表明:
允许用户名为用户A,具有口令PASSA的用户接入以太网;
交换机A将端口7设置为认证端口,意味着必须根据认证数据库指定的认证机制:
EAP-CHAP完成用户身份认证的用户终端的MAC地址才能记录在端口7的访问控制列表的中。
以太网接入控制,用户A向认证服务器证明自己身份:
用户名为用户A,具有口令PASSA。
用户A终端的MAC地址记录在访问控制列表中。
以太网其他安全功能,由于站表容量是有限的,当某个黑客终端大量发送源MAC地址伪造的MAC帧时,很容易使站表溢出;
一旦站表溢出,正常终端的MAC地址无法进入站表,导致正常终端之间传输的MAC帧以广播方式传输。
站表溢出攻击,解决方法限制交换机从每一个端口学习到的地址数。
伪造的DHCP服务器为终端配置错误的网络信息,导致终端发送的数据都被转发到冒充默认网关的黑客终端。
以太网其他安全功能,将连接授权DHCP服务器的端口和互连交换机的端口设置为信任端口,其他端口为非信任端口,只允许转发从信任端口接收到的DHCP响应报文。
终端B通过发送将终端A的IP地址和自己MAC地址绑定的ARP报文,在其他终端和路由器的ARP缓冲器中增添一项,导致其他终端和路由器将目的IP地址为IPA的IP分组,全部封装成以MACB为目的地址的MAC帧。
以太网其他安全功能,ARP欺骗攻击过程,解决方法基于终端配置通过DHCP服务器获得;
交换机侦听通过信任端口接收到的DHCP响应报文,并将响应报文中作为终端标识符的MAC地址和DHCP分配给终端的IP地址记录在DHCP配置表中;
一旦交换机接收到ARP报文,根据ARP报文中给出的IP地址和MAC地址对匹配DHCP配置表,如果找到匹配项,继续转发ARP报文,否则,丢弃ARP报文。
4.2安全路由,路由器和路由项认证;
路由项过滤;
单播反向路径验证。
这些功能一是确保只有授权路由器之间才能传输路由消息,且路由器只处理传输过程中未被篡改的路由消息;
二是防止内部网络结构外泄;
三是拒绝黑客终端的源IP地址欺骗攻击。
路由器和路由项认证,黑客终端伪造和LAN4直接相连的路由项,并通过路由消息将该路由项组播给路由器R1、R2;
路由器R1将通往LAN4传输路径的下一跳改为黑客终端;
所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客终端。
黑客终端伪造路由项过程,路由器和路由项认证的基本思路是认证发送者和检测路由消息的完整性;
相邻路由器配置共享密钥K,路由消息附带消息认证码(MAC),由于计算MAC需要共享密钥K,因此,一旦接收路由器根据密钥K和路由消息计算MAC的结果和路由消息附带的MAC相同,可以保证发送者具有和自己相同的密钥K(授权路由器),路由消息传输过程中未被篡改。
发送路由器,接收路由器,路由器和路由项认证,路由项过滤,路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由器的透明性。
三个网络,其中两个是内部网络。
过滤器中的目的网络包含两个内部网络。
路由消息中不包含被过滤器屏蔽掉的两个内部网络。
单播反向路径验证,单播反向路径验证的目的是丢弃伪造源IP地址的IP分组;
路由器通过检测接收IP分组的端口和通往源终端的端口是否相同确定源IP地址是否伪造。
4.3虚拟网络,虚拟局域网;
虚拟路由器;
虚拟专用网络。
这里的虚拟是指逻辑上等同于独立局域网、独立路由器或者专用网络,物理上且和其他虚拟局域网、虚拟路由器或者虚拟专用网络共享同一物理网络或物理路由器的一种技术。
虚拟局域网,同一个以太网是一个广播域,以太网内广播是不可避免的,但广播一是浪费带宽,二是产生安全问题;
同一以太网两个终端之间通信不需要经过路由器,而路由器具有比交换机更强的信息传输控制能力;
一些黑客攻击手段,如伪造DHCP服务器,ARP欺骗攻击等,都是针对同一以太网的终端的。
同一物理以太网,三个功能上完全独立的以太网,一般用户终端和服务器不在同一个VLAN,用户终端访问服务器必须经过路由器,可以用路由器的信息传输控制功能对用户终端访问服务器过程进行控制;
配置网络设备的终端A和网络设备内嵌的Web服务器处于同一个VLAN,且和其他VLAN没有任何逻辑联系,是一个孤立的网络,避免其他网络终端配置网络设备。
虚拟局域网,物理网络,由物理网络划分成的三个虚拟局域网,虚拟路由器,基于安全的原因,有些单位要求连接内部网络资源的办公网络和用于访问外部网络资源的网络相互独立;
但办公终端和用于访问外部网络资源的终端不是一成不变的,需要经常调整,当然,这种调整最好不要改变网络的物理结构。
虚拟路由器就用于实现将单一物理网络划分为多个独立的逻辑网络的功能。
物理网络,两个独立的互连网,将一个物理互连网划分为两个独立的互连网;
一个物理路由器成为两个独立的逻辑路由器,路由器的每一个接口可以成为逻辑路由器的接口;
每一个逻辑路由器具有路由器全部功能:
连接不同的网络、运行路由协议、建立路由表、转发IP分组;
在本例中,进入接口的IP分组根据封装该IP分组的MAC帧的VLANID确定用于转发该IP分组的逻辑路由器;
任何逻辑路由器只在它所连接的VLAN间转发IP分组。
虚拟路由器,物理网络,办公网络,访问外部资源网络,虚拟专用网络,两个VPNA(或两个VPNB)是物理上分隔的属于同一内部网络的两个子网,分配内部IP地址(本地IP地址),只在内部网络终端之间交换数据;
这两个子网通过公共传输网络实现互连,但又需要使用本地IP地址、具有内部网络传输数据的安全性;
要求PE1和PE2之间为每一个内部网络(VPNA或VPNB)提供类似专用通路的传输路径。
为建立CE1和CE3之间、CE2和CE4之间独立的传输通路,PE1、PE2都需要分解为两个独立虚拟路由器,同时需要单独建立两对虚拟路由器之间的传输路径,以此对应VPNA和VPNB;
但两对虚拟路由器共享一对LSP,因此,经过LSP传输的MPLS帧结构必须携带VPN标识符,以此确定接收和发送MPLS帧的虚拟路由器。
虚拟专用网络,4.4信息流管制,信息流分类;
管制算法;
信息流管制抑制拒绝服务攻击机制。
信息流管制的目的是限制特定信息流的流量,特定信息流是指定源和目的终端之间和某个应用相关的IP分组序列,这样的IP分组通过源和目的终端地址、源和目的端口号、协议字段值等参数唯一标识。
信息流分类,分类终端A用浏览器访问Web服务器的信息流的标准:
源IP地址192.1.1.1&
目的IP地址192.1.3.5;
源端口号*目的端口号80;
协议字段值6(TCP)。
终端A192.1.1.1/24,Web服务器192.1.3.5/24,管制算法,漏斗管制算法保证信息流恒速输出;
突发性信息流存储在分组输出队列,队列稳定器以指定速率输出分组;
如果分组输出队列溢出,丢弃后续分组,如果分组输出队列空,输出链路空闲。
漏斗,漏斗管制算法实现过程,管制算法,令牌生成器恒速生成令牌(每秒V令牌),但一旦令牌桶溢出,丢弃后续令牌,每一个令牌对应K字节,令牌桶容量为U令牌;
如果分组输出队列头的分组的字节数(P1)K,则只当令牌桶中包含的令牌数P时,才允许输出该分组,并从令牌桶中取走P个令牌,如果令牌桶中令牌数P,停止输出,直到令牌桶中令牌数P;
平均输出速率VK/s(单位字节),突发性数据长度UK(单位字节)。
信息流管制抑制拒绝服务攻击机制,为了抑制SYN泛洪攻击,在S7、S8、S9连接VLAN1、VLAN2、VLAN3端口设置流量管制器:
目的IP地址192.1.7.0/24;
协议字段值6(TCP)TCP首部控制标志位值:
SYN=1.ACK=0;
速率限制:
平均传输速率64kbps,突发性数据长度8000B。
为了抑制DDOS攻击,在S7、S8、S9连接VLAN1、VLAN2、VLAN3端口设置流量管制器:
协议字段值1(ICMP)ICMP类型字段值8或0;
4.5网络地址转换,端口地址转换;
动态NAT;
静态NAT;
NAT弱安全性。
内部网络分配本地地址的终端发送给外部网络的IP分组,在进入外部网络时,源地址需变换成全球IP地址,同样,外部网络终端发送给内部网络终端的IP分组,在进入内部网络时,目的IP地址需变换成本地地址,这个过程称为网络地址转换(NAT)。
内部网络的本地地址对外部网络是透明的。
由于外部网络终端看不到内部网络分配了本地地址的终端,无法发起对内部网络终端的攻击,因此,NAT具有一定的增强内部网络终端安全性的功能。
端口地址转换,内部网络终端发送的IP分组,进入Internet时,以边缘路由器连接Internet端口的全球IP地址为源IP地址,为了正确鉴别源终端,用内部网络唯一的源端口号取代IP分组终端唯一的源端口号。
内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位,会话开始时通过地址转换表建立绑定,会话结束时取消绑定;
端口地址转换技术只能用于IP分组净荷是运输层报文的情况。
动态NAT,动态地址转换以会话为单位,会话开始时在全球IP地址池中分配一个未使用的IP地址,并在地址转换表中将全球IP地址和本地地址之间的绑定与会话关联在一起,会话结束时取消绑定和关联;
IP分组进入Internet时,用全球IP地址取代本地地址。
IP分组进入内部网络时,用本地地址取代全球IP地址;
动态NAT不需改动源端口号,因此,原则可用于IP分组净荷不是运输层报文的情况。
静态NAT,端口地址转换和动态NAT在建立本地地址和全球IP地址之间绑定前,内部网络终端对外部网络是透明的。
而且,建立本地地址和全球IP地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现,因此,只允许内部网络终端发起建立和外部网络终端之间的会话,这样,增强了内部网络的安全性,但不允许外部网络终端发起和内部网络终端之间的会话;
静态NAT将建立本地地址和全球IP地址的固定关联,这样,允许外部网络终端随时通过该全球IP地址访问和该全球IP地址建立固定关系的本地地址所标识的内部网络终端。
NAT的弱安全性,NAT弱安全性体现在外部网络终端对内部网络的透明性,在建立本地地址和全球IP地址之间绑定之前,外部网络终端无法用全球IP地址和内部网络终端进行通信;
一旦建立本地地址和全球IP地址之间的绑定,外部网络终端可以通过全球IP地址或者端口号确定内部网络终端,并因此实现和内部网络终端之间的通信,黑客可以通过截获的IP分组获得和某个内部网络终端绑定的全球IP地址或端口号。
4.6容错网络结构,核心层容错结构;
网状容错结构;
生成树协议;
冗余链路。
容错网络是指在发生链路或结点故障的情况下,仍然能够保持网络连通性的网络结构,容错网络的原旨是提高网络的可靠性,但黑客攻击的目标就是瘫痪某段链路或某个结点,因此,高可靠性的容错网络结构也具有较高的安全性。
核心层容错结构,核心层容错是用两个以太网互连这些路由器,因此,只要有一个以太网保持连通性,就可保证这些路由器之间的通信;
两个核心层交换机最好异地放置。
核心层容错网络结构,网状容错结构,分组交换,多条端到端传输路径是分组交换网络高可靠性的保证,也是研发分组交换网络的原因;
通过监测网络状态和合理选择端到端传输路径,保证端到端传输的可靠性。
生成树协议,交换机两个端口之间不允许存在两条以上的交换路径,因此,以太网普遍使用树形结构;
但树形结构的以太网缺少容错性,某段链路发生故障,或是某台交换机发生故障,都有可能导致一部以太网端口不能和其他以太网端口连通;
生成树协议允许交换机端口之间存在环路,但通过阻塞一些端口消除这些环路,一旦某段链路发生故障,通过开启阻塞端口,使交换机各个端口之间保持连通。
生成树协议通过阻塞一些端口,使网状形的以太网结构,变成树形以太网结构,消除了端口之间的环路。
一旦树形以太网结构中的某段链路发生故障,导致一部分交换机端口无法和其他交换机端口保持连通。
通过开启一些原本阻塞的端口,重新使各个交换机端口之间保持连通。
冗余链路,生成树协议可以解决通过冗余链路提高可靠性和保证以太网树形结构之间的矛盾,但从链路发生故障到重新保持交换机端口之间连通需要较长的时间,这段时间内,可能导致一些交换机端口之间的连通发生问题;
主干链路要求对故障做出快速反应,以保证终端之间的连通,冗余链路技术就是一种对链路故障作出快速反应的技术。
主链路,备用链路,正常情况下,主链路工作,备用链路阻塞。
一旦主链路发生故障,备用链路立即工作。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 网络安全 课件 沈鑫剡