数通安全
安全模型:
三种攻击方向:
网络攻击的分类:
思科对网络攻击的具体分类:
Reconnaissance attacks
Packet Sniffer
实施条件:
1.只能在攻击对象所在的广播域内实现
2.使用集线器 或 交换机制不完善
解决方案:
1.准入认证(802.1x)
2.在交换设备上对用户的接入进行控制
3.利用Antisniffer tools进行检测(在网络中发送一种特殊的数据包,如果网卡处于混杂模式则处理很慢)
4.对数据进行加密
Port Scans and Ping Sweeps
问题:扫描流量可能来自管理员,也可能来自攻击者
解决方案:用IDS检测判断流量
Internet Information Queries
利用搜索引擎搜索漏洞
Access Attacks
Password Attacks
Trust Exploitation
问题:很多网络为了方便管理,配置了域环境。每个域里有一个域控制服务器,黑客只要攻破了 域控制服务器,就可以利用信任关系控制这个域内所有的机器。
解决方案:对域控制服务器做好完善的安全机制
Port Redirection
将跳板的某一本地端口与内网服务器的某一功能端口映射在一起,当访问跳板的这一本地端口时自动跳转到那个功能端口
原因:安全设备屏蔽了此服务端口的访问流量
Man-in-the-Middle Attacks
问题:收集信息甚至是修改原始信息
解决方案:在广域网通信时加VPN通信隧道
Denial of Service Attacks
服务器无法对外提供服务。只能缓解,无法根治
都得通过IP欺骗
攻击方式:ICMP、TCP(利用三次握手)
解决方案:使用安全设备监控TCP的连接过程,设定定时器,超时则向两方发送RST信号
Worms, viruses, and Trojan horses
IP Plane Security(IP安全平面):
数据平面:用户通信流量
控制平面:控制流量转发的流量,如路由协议
管理平面:用户到网络设备的管理流量,网络设备发送的用于网络管理的流量
服务平面:承载用户流量,如VPN
针对不同环境制定的不同安全策略:
VTP:由于开发不完善,思科不推荐使用。如果想用可以在组网阶段配置,组网完毕后将所有设备都设为透明模式。
参考文献:
Cisco Catalyst 交换机的安全特性:
Cisco ISR(集成多业务路由器) 的安全特性:
数通安全的目标:
机密性、完整性、可靠性
交换网络的攻击技术:
交换网络的安全技术:
PVLAN
二层VLAN技术。PVLAN主要部署在DMZ区,防止跨站攻击,开发目的就是为了服务器的分段保护。
PVLAN可以通过trunk链路跨交换机配置。
PVLAN分为主VLAN和辅助VLAN,辅助VLAN又分为团体VLAN和孤立VLAN。
端口模式分为团体端口、孤立端口和混杂端口,混杂端口主要用于连接网关。
一个VLAN内的隔离技术。
PVLAN的配置:
show vlan private-vlan
PVLAN跳转攻击:
越过PVLAN的限制,直接互访。如R2和R3之间互访。
R2:
ip route 172.16.0.3 255.255.255.255 172.16.0.254
R3:
ip route 172.16.0.2 255.255.255.255 172.16.0.254
将对方的静态路由指向网关。
PVLAN跳转攻击防御:
GW(config)#access-list 101 permit ip any host 172.16.0.254
GW(config)#access-list 101 deny ip 172.16.0.0 0.0.0.255 172.16.0.0 0.0.0.255
GW(config)#access-list 101 permit ip any any
GW(config)#interface fastEthernet 0/0
GW(config-if)#ip access-group 101 in
要是PVLAN的网络里有多台交换机,则它们之间的中继得能通过主VLAN,也得通过辅助VLAN。
PVLAN是3560及以上的设备才有的特性。之前的设备用保护端口实现PVLAN的某些功能。
配置:在端口下 switchport protected
效果:同时部署了保护端口的端口下的用户无法互相通信
若在三层交换机上配置PVLAN,而且这台三层交换机还是DHCP服务器,则需配置多层交换的混杂端口(即int vlan *)。
在多层交换机上配DHCP服务器,得配置主机所在VLAN的VLAN接口地址,因为DHCP使用UDP工作,交换机上的dhcp会寻找与该vlan接口相对应的dhcp网段分配给客户端。网关不一定是自己。
