互聯(lián)網(wǎng)安全及CMNET城域網(wǎng)組網(wǎng)技術(shù)體制

互聯(lián)網(wǎng)安全及 CMNET城域網(wǎng)組網(wǎng)技術(shù)體制 2010年 3月 第一章 互聯(lián)網(wǎng)安全基礎(chǔ)知識(shí)概述 培訓(xùn)要點(diǎn) 培訓(xùn)知識(shí)要點(diǎn) 管理層 安全管理員 安全技術(shù)員 系統(tǒng)管理員 普通人員 1 IP地址和子網(wǎng)掩碼 2 TCP建立連接三次握手的過程及 TCP、UDP的特性 3 路由器工作原理 4 路由協(xié)議和路由器的安全功能 5 相關(guān)標(biāo)準(zhǔn)和規(guī)范 基礎(chǔ)知識(shí) Internet 協(xié)議組和 OSI 參考模型比較 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 傳輸層 會(huì)話層 應(yīng)用層 表示層 物理接口 (LAN - ETH, TR, FDDI) (WAN - Serial lines, FR, ATM) IP層 (IP) 傳輸層 (TCP or UDP) 應(yīng)用層 (FTP, TELNET, SNMP, DNS, SMTP ) ICMP, IGMP ARP, RARP 基礎(chǔ)知識(shí) TCP IP RARP UDP OSPF EGP BGP ICMP IGMP RIP SNMP, BOOTP/DHCP, DNS, NTP, RADIUS, , , , ARP Type Code Protocol Number Port Number IEEE 802.2, PPP, LAPB, Ethernet, RS232, 802.3, 802.5, 應(yīng)用層 傳輸層 IP層 物理鏈路層 基礎(chǔ)知識(shí) TCP 常用端口 端口號(hào) 協(xié)議 7 20 21 23 25 53 79 80 104 139 160 -223 Echo File Transfer Protocol (FTP) data File Transfer Protocol (FTP) control Telnet Simple Mail Transfer Protocol (SMTP) Domain name server (DNS) Finger World Wide Web (WWW) X400 Mail Sending NetBIOS session service Reserved 基礎(chǔ)知識(shí) 基礎(chǔ)知識(shí) 以太網(wǎng)擴(kuò)展功能 -虛擬網(wǎng) 基礎(chǔ)知識(shí) 路由器的工作原理包含以下兩個(gè)關(guān)鍵因素： 子網(wǎng)尋徑及路由 路由算法、路由協(xié)議、尋徑 基礎(chǔ)知識(shí) 靜態(tài)路由和勱態(tài)路由 靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由丌會(huì)發(fā)生變化。由亍靜態(tài)路由丌能對(duì)網(wǎng)絡(luò)的改變作出反映，一般用亍網(wǎng)絡(luò)規(guī)模丌大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點(diǎn)是簡(jiǎn)單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級(jí)最高。當(dāng)勱態(tài)路由不靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。 勱態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會(huì)重新計(jì)算路由，并發(fā)出新的路由更新信息。這些信息通過各個(gè)網(wǎng)絡(luò)，引起各路由器重新啟勱其路由算法，并更新各自的路由表以勱態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。勱態(tài)路由適用亍網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。當(dāng)然，各種勱態(tài)路由協(xié)議會(huì)丌同程度地占用網(wǎng)絡(luò)帶寬和 CPU資源。 基礎(chǔ)知識(shí) 勱態(tài)路由協(xié)議分類 內(nèi)部網(wǎng)關(guān)協(xié)議（ IGP） RIP、 OSPF等 外部網(wǎng)關(guān)協(xié)議（ EGP） BGP和 BGP-4 常見路由種類 Static RIP OSPF IS-IS BGP和 BGP-4 MPLS 第二章 CMNET安全 CMNET安全 如果把企業(yè)內(nèi)部的 IP網(wǎng)絡(luò)看作是一個(gè)食物鏈的話，路由器和交換系統(tǒng)無疑處于這個(gè)鏈的頂端。 路由器和交換系統(tǒng)在企業(yè) IP網(wǎng)絡(luò)中的地位 CMNET安全 而對(duì)于電信運(yùn)營(yíng)商所運(yùn)營(yíng)的 IP網(wǎng)絡(luò)來說，如 CMNET，路由器和交換系統(tǒng)是客戶端請(qǐng)求和收取服務(wù)器信息資源的唯一通道。 CMNET 路由器和交換系統(tǒng)在運(yùn)營(yíng)商 IP網(wǎng)絡(luò)中的地位 CMNET安全 黑客的存在 CMNET安全 案例一 CMNET安全 路由器和交換系統(tǒng)發(fā)生安全事件可能的結(jié)果 設(shè)備丌可用，造成承載業(yè)務(wù)中斷 設(shè)備性能下降，影響承載業(yè)務(wù)的運(yùn)行 重要信息泄露或被篡改，包括設(shè)備自身信息和承載業(yè)務(wù)數(shù)據(jù)信息 安全事件責(zé)任者的抵賴 CMNET安全 中國(guó)移勱設(shè)備通用安全功能和配置規(guī)范 中國(guó)移勱路由器設(shè)備安全功能規(guī)范 中國(guó)移勱 JUNIPER路由器安全配置規(guī)范 中國(guó)移勱華為路由器安全配置規(guī)范 中國(guó)移勱思科路由器安全配置規(guī)范 CMNET安全 內(nèi)部網(wǎng)絡(luò)濫用 內(nèi)部、外部泄密 拒絕服務(wù)攻擊 欺詐釣魚 信息丟失、篡改、銷毀 病毒蠕蟲木馬 黑客攻擊 信息資產(chǎn) 物理偷竊 常見的安全威脅 CMNET安全 對(duì)于我們中國(guó)移動(dòng)所屬的數(shù)據(jù)網(wǎng)絡(luò)，安全威脅的來源可能有以下幾個(gè)方面： 環(huán)境因素或故障 外部入侵和攻擊 第三方 責(zé)任心或培訓(xùn)不足的內(nèi)部員工 惡意內(nèi)部人員 CMNET安全 威脅來源 威脅種類 責(zé)任心或 培訓(xùn)不足 的內(nèi)部員 工 環(huán)境因素 或故障 第三方 外部攻擊 惡意內(nèi)部 攻擊 軟硬件故障 無作為或操作失誤 惡意代碼和病毒 管理不到位 黑客攻擊技術(shù) 物理環(huán)境威脅 越權(quán)或?yàn)E用 物理攻擊 泄密 篡改 抵賴 常見威脅 CMNET安全 路由器和交換系統(tǒng)在中國(guó)移勱的應(yīng)用場(chǎng)景 業(yè)務(wù)網(wǎng)絡(luò) 外部網(wǎng)絡(luò)，如 CMNET 內(nèi)部網(wǎng)絡(luò)，如 IP承載網(wǎng) 網(wǎng)管網(wǎng)絡(luò) 支撐網(wǎng)絡(luò) OA、 BOSS、 MDCN等 業(yè)務(wù)系統(tǒng) 如彩鈴、彩信、 MDC、 POC等 CMNET安全 請(qǐng)思考： 問題 1：不同應(yīng)用場(chǎng)景下的各類網(wǎng)絡(luò)有何特點(diǎn)？ 問題 2：不同應(yīng)用場(chǎng)景下的路由器和交換系統(tǒng)所面臨的安全威脅是否相同？ 問題 3：不同應(yīng)用場(chǎng)景下的路由器和交換系統(tǒng)進(jìn)行的安全防護(hù)重點(diǎn)分別應(yīng)該是什么？ CMNET安全 國(guó)干 CMNET 省干路由器 省干路由器 地市CMNET Internet 其它 ISP網(wǎng)絡(luò) 地市CMNET 省級(jí)業(yè)務(wù)網(wǎng)絡(luò) 省級(jí)業(yè)務(wù)網(wǎng)絡(luò) 地市業(yè)務(wù)網(wǎng)絡(luò) 地市業(yè)務(wù)網(wǎng)絡(luò) 案例一 CMNET網(wǎng)絡(luò)拓補(bǔ)示意圖 CMNET安全 CMNET威脅分析 威脅來源 威脅種類 責(zé)任心或 培訓(xùn)不足 的內(nèi)部員 工 環(huán)境因素 或故障 第三方 外部攻擊 惡意內(nèi)部 攻擊 軟硬件故障 無作為或操作失誤 惡意代碼和病毒 管理不到位 黑客攻擊技術(shù) 物理環(huán)境威脅 越權(quán)或?yàn)E用 物理攻擊 泄密 篡改 抵賴 MDCN安全 案例二 省內(nèi) MDCN網(wǎng)絡(luò)數(shù)據(jù)承載示意圖 省公司網(wǎng)管網(wǎng)絡(luò) 省公司 OA網(wǎng)絡(luò) 省公司 BOSS網(wǎng)絡(luò) 市公司網(wǎng)管網(wǎng)絡(luò) 市公司 OA網(wǎng)絡(luò) 市公司 BOSS網(wǎng)絡(luò) MDCN MDCN安全 威脅來源 威脅種類 責(zé)任心或 培訓(xùn)不足 的內(nèi)部員 工 環(huán)境因素 或故障 第三方 外部攻擊 惡意內(nèi)部 攻擊 軟硬件故障 無作為或操作失誤 惡意代碼和病毒 管理不到位 黑客攻擊技術(shù) 物理環(huán)境威脅 越權(quán)或?yàn)E用 物理攻擊 泄密 篡改 抵賴 MDCN威脅分析 安全防護(hù)的目的 第三章 互聯(lián)網(wǎng)安全管理 安全管理工作 路由器和交換系統(tǒng)的安全管理工作可大概分為以下幾部分 設(shè)備初始化安全管理 日志安全管理 設(shè)備授權(quán)訪問管理 配置管理 設(shè)備冗余管理 設(shè)備初始化管理 1 為確保設(shè)備的使用安全，路由器、交換機(jī)設(shè)備在入網(wǎng)啟用前應(yīng)當(dāng)遵循一定的安全規(guī)范進(jìn)行相應(yīng)的安全性配置，其中應(yīng)重點(diǎn)關(guān)注如下三個(gè)方面。 端口及服務(wù)最小化 安全補(bǔ)丁及時(shí)加載 包過濾規(guī)則設(shè)定 設(shè)備初始化管理 2 端口及服務(wù)最小化 未使用的設(shè)備端口應(yīng)及時(shí)關(guān)閉。 路由器除了提供 Telnet進(jìn)程登錄服務(wù)外，還提供很多二層、三層的服務(wù)。路由器運(yùn)行的服務(wù)越多，安全隱患就越大。很多服務(wù)路由器通常是丌需要的，應(yīng)該根據(jù)各種服務(wù)的用途，實(shí)現(xiàn)服務(wù)最小化，關(guān)閉路由器上丌必要的服務(wù)，減少安全隱患。 設(shè)備初始化管理 3 常見路由器服務(wù)功能以及應(yīng)對(duì)措施 服務(wù)名稱 服務(wù)功能 建議措施 HTTP server 允許管理員通過 Web頁(yè)面遠(yuǎn)程管理路由器 關(guān)閉 TCP small servers 標(biāo)準(zhǔn)的 TCP服務(wù)，例如 echo、 Chargen等 關(guān)閉 UDP small servers 標(biāo)準(zhǔn) UDP服務(wù)，例如 echo、 discard等 關(guān)閉 Bootp server 允許其他路由器使用本路由器的文件進(jìn)行啟動(dòng) 關(guān)閉 IP directed broad 允許路由器轉(zhuǎn)發(fā)其他網(wǎng)段的直接廣播包 關(guān)閉 -cast SNMP 遠(yuǎn)程網(wǎng)管使用、數(shù)據(jù)集采、狀態(tài)采集 根據(jù)實(shí)際情況，缺 省使用，及時(shí)更改 SNMP口令 IP source-route 允許路由器處理帶源路由選項(xiàng)標(biāo)記的流 關(guān)閉 丼例 舉例： Smurf攻擊 Smurf攻擊是一種強(qiáng)力的拒絕服務(wù)攻擊方法，主要是利用IP協(xié)議的直接廣播特性。對(duì)路由器而言， 對(duì)于列表中提到的 IP Directed-broadcast服務(wù)，如果沒有關(guān)閉，由于該服務(wù)的功能是允許路由器轉(zhuǎn)發(fā)其他網(wǎng)段的直接廣播包，可能成為黑客攻擊的中間代理，即廣播包的擴(kuò)散器，因此，建議，如果沒有必須要向外發(fā)送廣播數(shù)據(jù)包的情況，就可以在路由器的每個(gè)接口上設(shè)置禁止直接廣播。 安全補(bǔ)丁 安全補(bǔ)丁 曾經(jīng)在某 IT雜志上公布， C公司宣布其路由器、交換機(jī)所有 xx版本的操作系統(tǒng)軟件存在一個(gè)漏洞。此漏洞可使攻擊者截取和修改出入路由器和交換機(jī)的 TCP數(shù)據(jù)。 顯而易見，該漏洞影響是廣泛的，屬于嚴(yán)重隱患，由于 C公司及時(shí)發(fā)布了安全版本，所以幾乎沒有用戶因此受到攻擊。 因此，建議如無特殊情況在設(shè)備啟用時(shí)，路由器交換機(jī)網(wǎng)絡(luò)操作系統(tǒng)應(yīng)當(dāng)盡量采用廠家的最新版本，并將所有安全補(bǔ)丁打上。更重要的是，在今后的設(shè)備運(yùn)行過程中，也應(yīng)當(dāng)及時(shí)進(jìn)行補(bǔ)丁加載，始終保持最新版本。 包過濾規(guī)則 包過濾規(guī)則 在路由器啟用前，應(yīng)當(dāng)根據(jù)當(dāng)時(shí)的網(wǎng)絡(luò)環(huán)境制定合理的包過濾規(guī)則，對(duì)某些病毒、木馬的特定端口進(jìn)行封閉。嚴(yán)格的配置僅傳遞允許進(jìn)入網(wǎng)絡(luò)的的數(shù)據(jù)包?？傊?，配置完善的包過濾規(guī)則并在今后的運(yùn)行維護(hù)過程中隨時(shí)更新可以降低安全事件發(fā)生的概率。 安全日志管理 日志安全管理 對(duì)網(wǎng)絡(luò)維護(hù)者而言，日志是 設(shè)備運(yùn)行的性能監(jiān)測(cè)、安全審計(jì)以及安全事件發(fā)生后的追蹤與調(diào)查等的重要依據(jù) .因此在日常的維護(hù)中應(yīng)注意開啟設(shè)備的重要日志功能。 路由器交換機(jī)作為重要的網(wǎng)絡(luò)設(shè)備，其安全性至關(guān)重要，因此建立強(qiáng)大、完善的日志系統(tǒng)是必須的。通過日常對(duì)日志文件的審查，可以預(yù)先發(fā)現(xiàn)許多安全攻擊并及時(shí)采取措施將安全事件的發(fā)生可能性降至最低。 安全日志管理 操作日志 登陸日志：異常分析 命令操作日志：分析異常操作 標(biāo)準(zhǔn)系統(tǒng)日志：非法攻擊留下的日志痕跡 運(yùn)行狀態(tài) CPU資源監(jiān)控 內(nèi)存占用監(jiān)控 磁盤空間監(jiān)控 系統(tǒng)日志 端口狀態(tài) 異常路由交互信息 . 安全日志管理 為保證在突發(fā)事件發(fā)生時(shí)，能夠通過分析日志快速解決問題，日志的備份、存放等日常安全管理是必須的。 對(duì)于設(shè)備日志，應(yīng)當(dāng)遵照相關(guān)安全規(guī)范定期進(jìn)行備份，保留規(guī)定時(shí)間，并對(duì)備份介質(zhì)進(jìn)行妥善保管 由于路由交換設(shè)備內(nèi)存有限，一些日志信息存儲(chǔ)后掉電就會(huì)丟失，有條件的情況下，應(yīng)建立日志服務(wù)器，采用日志服務(wù)器可以獲取更加豐富的端口狀態(tài)、運(yùn)行狀態(tài)以及異常故障等信息，輕松掌握網(wǎng)絡(luò)情況。 安全日志管理 建立日志服務(wù)器之后，同時(shí)應(yīng)當(dāng)對(duì)服務(wù)器自身進(jìn)行安全加固，例如：安裝防病毒軟件、定期進(jìn)行系統(tǒng)補(bǔ)丁以及對(duì)訪問進(jìn)行嚴(yán)格控制等，來保障日志安全。 設(shè)備授權(quán)訪問管理 設(shè)備授權(quán)訪問管理包括： 賬號(hào)口令管理 應(yīng)當(dāng)對(duì)路由交換系統(tǒng)所有密碼進(jìn)行加密，基于角色按需分配的權(quán)限管理給予能夠操作者完成工作的最低權(quán)限的許可。并采取增強(qiáng)口令強(qiáng)度、設(shè)置口令有效期、刪除停止使用的帳號(hào)等手段，提高帳號(hào)口令管理效能。 訪問管理 為防止非法授權(quán)訪問，應(yīng)當(dāng)采用相應(yīng)限制措施 設(shè)備授權(quán)訪問管理 賬號(hào)口令管理應(yīng)關(guān)注以下幾點(diǎn)： 應(yīng)按照用戶分配賬號(hào)。避免丌同用戶間共享賬號(hào)，避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。 用戶口令足夠強(qiáng)壯，符合復(fù)雜度要求。 設(shè)備密碼使用加密模式存放，禁用明文存放密碼。 SNMP服務(wù)啟用時(shí)，禁止使用 public、 private等公用 community，如需提供 RW權(quán)限的 community，需保證 community的安全性。 訪問管理 訪問管理應(yīng)關(guān)注以下幾點(diǎn) ： 本地訪問 對(duì)路由交換系統(tǒng) Consle設(shè)置訪問密碼，對(duì) Console口與終端的會(huì)話配置較短閑置時(shí)間后自動(dòng)退出 局域網(wǎng)訪問 交換機(jī)端口進(jìn)行 vlan劃分、端口綁定等措施，路由器上采用 IP地址與 MAC地址綁定 進(jìn)程訪問 傳統(tǒng)的遠(yuǎn)程訪問服務(wù)程序 telnet,在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，容易被截獲。同時(shí)其安全驗(yàn)證方式也存在弱點(diǎn)，容易遭受“中間人”（ man-in-the-middle）攻擊。因此，應(yīng)當(dāng)采用 Ssh（ Secure Shell）等安全遠(yuǎn)程訪問方式，其將所有傳輸數(shù)據(jù)進(jìn)行加密，保證了傳輸安全，同時(shí)在安全驗(yàn)證方面也有所提高。同時(shí)設(shè)備的 VTY端口應(yīng) 限制登錄的 IP地址范圍。 路由協(xié)議訪問 路由器盡可能采用安全的路由協(xié)議版本，以及在啟用路由協(xié)議接口之間設(shè)置MD5認(rèn)證，防止信息外漏。 配置管理 配置管理 路由器及交換機(jī)的配置文件安全是不容忽視的，通常設(shè)備配置應(yīng)當(dāng)定期備份，并保存在安全的介質(zhì)中，原則上備份介質(zhì)應(yīng)當(dāng)至少兩份，一份與設(shè)備放置一處，以備應(yīng)急使用，另一份應(yīng)當(dāng)放置在異地的安全位置。在發(fā)生安全事故時(shí)，可以取出備份文件，將系統(tǒng)恢復(fù)到已知狀態(tài)。 此外，配置文件應(yīng)當(dāng)盡可能不通過公共網(wǎng)絡(luò)進(jìn)行傳輸，特殊情況下應(yīng)當(dāng)對(duì)傳輸進(jìn)行加密 配置管理 配置管理的目標(biāo) 保密性 完整性 可用性 HUAWEI（ 1） 編號(hào)：安全要求 -設(shè)備 -通用 -配置 -12 要求內(nèi)容 ：設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的 IP地址。 操作指南 ： 1 參考配置操作 info-center logbuffer channel 4 2 補(bǔ)充操作說明 在系統(tǒng)模式下進(jìn)行操作 。 檢測(cè)方法 ： 1.判定條件 對(duì)設(shè)備的操作會(huì)記錄在日志中 。 2.檢測(cè)操作 display logbuffer HUAWEI（ 2） 編號(hào)：安全要求 -設(shè)備 -通用 -配置 -13 要求內(nèi)容 ：設(shè)置 SNMP訪問安全限制，只允許特定主機(jī)通過 SNMP訪問網(wǎng)絡(luò)設(shè)備。操作指南 ： 1 參考配置操作 snmp-agent community read XXXX01 acl 2000 2 補(bǔ)充操作說明 無 檢測(cè)方法 ： 1.判定條件 通過設(shè)定 acl來成功過濾特定的源才能進(jìn)行訪問 。 2.檢測(cè)操作 display current-configuration 安全性分析 ： 限制遠(yuǎn)程終端會(huì)話有助于防止黑客獲得系統(tǒng)邏輯訪問 。 HUAWEI（ 3） 編號(hào)：安全要求 -設(shè)備 -華為路由器 -配置 -3 要求內(nèi)容 ：靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。 操作指南 ： 1 參考配置操作 super password level 3 cipher NC55QK=/Q=QMAF41! local-user 8011 password cipher NC55QK=/Q=QMAF41! 檢測(cè)方法 ： 1. 判定條件 用戶的加密口令在 buildrun中顯示的密文 。 2. 檢測(cè)操作 display current-configuration configuration aaa 安全性分析 ： 由系統(tǒng)直接經(jīng)過不可逆加密算法處理成密文 ， 這種加密后的數(shù)據(jù)是無法被解密， 只有重新輸入明文 ， 并再次經(jīng)過同樣不可逆的加密算法處理 ， 得到相同的加密密文并被系統(tǒng)重新識(shí)別后 ， 才能真正解密 ,更加保證系統(tǒng)的安全性 。 HUAWEI（ 4） 編號(hào)：安全要求 -設(shè)備 -華為路由器 -配置 -4-可選 要求內(nèi)容 ：設(shè)備通過相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動(dòng)，滿足帳號(hào)、口令和授權(quán)的強(qiáng)制要求。 操作指南 ： 1 參考配置操作 #對(duì)遠(yuǎn)程登錄用戶先用 RADIUS服務(wù)器進(jìn)行認(rèn)證 ， 如果沒有響應(yīng) ， 則不認(rèn)證 #認(rèn)證服務(wù)器 IP地址為 6， 無備用服務(wù)器 ， 端口號(hào)為默認(rèn)值 1812 # 配置 RADIUS服務(wù)器模板 。 Router radius-server template shiva # 配置 RADIUS認(rèn)證服務(wù)器 IP地址和端口 。 Router-radius-shivaradius-server authentication 6 1812 #