互聯(lián)網(wǎng)安全及CMNET城域網(wǎng)組網(wǎng)技術(shù)體制

互聯(lián)網(wǎng)安全及 CMNET城域網(wǎng)組網(wǎng)技術(shù)體制 2010年 3月 第一章 互聯(lián)網(wǎng)安全基礎(chǔ)知識概述 培訓要點 培訓知識要點 管理層 安全管理員 安全技術(shù)員 系統(tǒng)管理員 普通人員 1 IP地址和子網(wǎng)掩碼 2 TCP建立連接三次握手的過程及 TCP、UDP的特性 3 路由器工作原理 4 路由協(xié)議和路由器的安全功能 5 相關(guān)標準和規(guī)范 基礎(chǔ)知識 Internet 協(xié)議組和 OSI 參考模型比較 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 傳輸層 會話層 應(yīng)用層 表示層 物理接口 (LAN - ETH, TR, FDDI) (WAN - Serial lines, FR, ATM) IP層 (IP) 傳輸層 (TCP or UDP) 應(yīng)用層 (FTP, TELNET, SNMP, DNS, SMTP ) ICMP, IGMP ARP, RARP 基礎(chǔ)知識 TCP IP RARP UDP OSPF EGP BGP ICMP IGMP RIP SNMP, BOOTP/DHCP, DNS, NTP, RADIUS, , , , ARP Type Code Protocol Number Port Number IEEE 802.2, PPP, LAPB, Ethernet, RS232, 802.3, 802.5, 應(yīng)用層 傳輸層 IP層 物理鏈路層 基礎(chǔ)知識 TCP 常用端口 端口號 協(xié)議 7 20 21 23 25 53 79 80 104 139 160 -223 Echo File Transfer Protocol (FTP) data File Transfer Protocol (FTP) control Telnet Simple Mail Transfer Protocol (SMTP) Domain name server (DNS) Finger World Wide Web (WWW) X400 Mail Sending NetBIOS session service Reserved 基礎(chǔ)知識 基礎(chǔ)知識 以太網(wǎng)擴展功能 -虛擬網(wǎng) 基礎(chǔ)知識 路由器的工作原理包含以下兩個關(guān)鍵因素： 子網(wǎng)尋徑及路由 路由算法、路由協(xié)議、尋徑 基礎(chǔ)知識 靜態(tài)路由和勱態(tài)路由 靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由丌會發(fā)生變化。由亍靜態(tài)路由丌能對網(wǎng)絡(luò)的改變作出反映，一般用亍網(wǎng)絡(luò)規(guī)模丌大、拓撲結(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級最高。當勱態(tài)路由不靜態(tài)路由發(fā)生沖突時，以靜態(tài)路由為準。 勱態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實時地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會重新計算路由，并發(fā)出新的路由更新信息。這些信息通過各個網(wǎng)絡(luò)，引起各路由器重新啟勱其路由算法，并更新各自的路由表以勱態(tài)地反映網(wǎng)絡(luò)拓撲變化。勱態(tài)路由適用亍網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓撲復(fù)雜的網(wǎng)絡(luò)。當然，各種勱態(tài)路由協(xié)議會丌同程度地占用網(wǎng)絡(luò)帶寬和 CPU資源。 基礎(chǔ)知識 勱態(tài)路由協(xié)議分類 內(nèi)部網(wǎng)關(guān)協(xié)議（ IGP） RIP、 OSPF等 外部網(wǎng)關(guān)協(xié)議（ EGP） BGP和 BGP-4 常見路由種類 Static RIP OSPF IS-IS BGP和 BGP-4 MPLS 第二章 CMNET安全 CMNET安全 如果把企業(yè)內(nèi)部的 IP網(wǎng)絡(luò)看作是一個食物鏈的話，路由器和交換系統(tǒng)無疑處于這個鏈的頂端。 路由器和交換系統(tǒng)在企業(yè) IP網(wǎng)絡(luò)中的地位 CMNET安全 而對于電信運營商所運營的 IP網(wǎng)絡(luò)來說，如 CMNET，路由器和交換系統(tǒng)是客戶端請求和收取服務(wù)器信息資源的唯一通道。 CMNET 路由器和交換系統(tǒng)在運營商 IP網(wǎng)絡(luò)中的地位 CMNET安全 黑客的存在 CMNET安全 案例一 CMNET安全 路由器和交換系統(tǒng)發(fā)生安全事件可能的結(jié)果 設(shè)備丌可用，造成承載業(yè)務(wù)中斷 設(shè)備性能下降，影響承載業(yè)務(wù)的運行 重要信息泄露或被篡改，包括設(shè)備自身信息和承載業(yè)務(wù)數(shù)據(jù)信息 安全事件責任者的抵賴 CMNET安全 中國移勱設(shè)備通用安全功能和配置規(guī)范 中國移勱路由器設(shè)備安全功能規(guī)范 中國移勱 JUNIPER路由器安全配置規(guī)范 中國移勱華為路由器安全配置規(guī)范 中國移勱思科路由器安全配置規(guī)范 CMNET安全 內(nèi)部網(wǎng)絡(luò)濫用 內(nèi)部、外部泄密 拒絕服務(wù)攻擊 欺詐釣魚 信息丟失、篡改、銷毀 病毒蠕蟲木馬 黑客攻擊 信息資產(chǎn) 物理偷竊 常見的安全威脅 CMNET安全 對于我們中國移動所屬的數(shù)據(jù)網(wǎng)絡(luò)，安全威脅的來源可能有以下幾個方面： 環(huán)境因素或故障 外部入侵和攻擊 第三方 責任心或培訓不足的內(nèi)部員工 惡意內(nèi)部人員 CMNET安全 威脅來源 威脅種類 責任心或 培訓不足 的內(nèi)部員 工 環(huán)境因素 或故障 第三方 外部攻擊 惡意內(nèi)部 攻擊 軟硬件故障 無作為或操作失誤 惡意代碼和病毒 管理不到位 黑客攻擊技術(shù) 物理環(huán)境威脅 越權(quán)或濫用 物理攻擊 泄密 篡改 抵賴 常見威脅 CMNET安全 路由器和交換系統(tǒng)在中國移勱的應(yīng)用場景 業(yè)務(wù)網(wǎng)絡(luò) 外部網(wǎng)絡(luò)，如 CMNET 內(nèi)部網(wǎng)絡(luò)，如 IP承載網(wǎng) 網(wǎng)管網(wǎng)絡(luò) 支撐網(wǎng)絡(luò) OA、 BOSS、 MDCN等 業(yè)務(wù)系統(tǒng) 如彩鈴、彩信、 MDC、 POC等 CMNET安全 請思考： 問題 1：不同應(yīng)用場景下的各類網(wǎng)絡(luò)有何特點？ 問題 2：不同應(yīng)用場景下的路由器和交換系統(tǒng)所面臨的安全威脅是否相同？ 問題 3：不同應(yīng)用場景下的路由器和交換系統(tǒng)進行的安全防護重點分別應(yīng)該是什么？ CMNET安全 國干 CMNET 省干路由器 省干路由器 地市CMNET Internet 其它 ISP網(wǎng)絡(luò) 地市CMNET 省級業(yè)務(wù)網(wǎng)絡(luò) 省級業(yè)務(wù)網(wǎng)絡(luò) 地市業(yè)務(wù)網(wǎng)絡(luò) 地市業(yè)務(wù)網(wǎng)絡(luò) 案例一 CMNET網(wǎng)絡(luò)拓補示意圖 CMNET安全 CMNET威脅分析 威脅來源 威脅種類 責任心或 培訓不足 的內(nèi)部員 工 環(huán)境因素 或故障 第三方 外部攻擊 惡意內(nèi)部 攻擊 軟硬件故障 無作為或操作失誤 惡意代碼和病毒 管理不到位 黑客攻擊技術(shù) 物理環(huán)境威脅 越權(quán)或濫用 物理攻擊 泄密 篡改 抵賴 MDCN安全 案例二 省內(nèi) MDCN網(wǎng)絡(luò)數(shù)據(jù)承載示意圖 省公司網(wǎng)管網(wǎng)絡(luò) 省公司 OA網(wǎng)絡(luò) 省公司 BOSS網(wǎng)絡(luò) 市公司網(wǎng)管網(wǎng)絡(luò) 市公司 OA網(wǎng)絡(luò) 市公司 BOSS網(wǎng)絡(luò) MDCN MDCN安全 威脅來源 威脅種類 責任心或 培訓不足 的內(nèi)部員 工 環(huán)境因素 或故障 第三方 外部攻擊 惡意內(nèi)部 攻擊 軟硬件故障 無作為或操作失誤 惡意代碼和病毒 管理不到位 黑客攻擊技術(shù) 物理環(huán)境威脅 越權(quán)或濫用 物理攻擊 泄密 篡改 抵賴 MDCN威脅分析 安全防護的目的 第三章 互聯(lián)網(wǎng)安全管理 安全管理工作 路由器和交換系統(tǒng)的安全管理工作可大概分為以下幾部分 設(shè)備初始化安全管理 日志安全管理 設(shè)備授權(quán)訪問管理 配置管理 設(shè)備冗余管理 設(shè)備初始化管理 1 為確保設(shè)備的使用安全，路由器、交換機設(shè)備在入網(wǎng)啟用前應(yīng)當遵循一定的安全規(guī)范進行相應(yīng)的安全性配置，其中應(yīng)重點關(guān)注如下三個方面。 端口及服務(wù)最小化 安全補丁及時加載 包過濾規(guī)則設(shè)定 設(shè)備初始化管理 2 端口及服務(wù)最小化 未使用的設(shè)備端口應(yīng)及時關(guān)閉。 路由器除了提供 Telnet進程登錄服務(wù)外，還提供很多二層、三層的服務(wù)。路由器運行的服務(wù)越多，安全隱患就越大。很多服務(wù)路由器通常是丌需要的，應(yīng)該根據(jù)各種服務(wù)的用途，實現(xiàn)服務(wù)最小化，關(guān)閉路由器上丌必要的服務(wù)，減少安全隱患。 設(shè)備初始化管理 3 常見路由器服務(wù)功能以及應(yīng)對措施 服務(wù)名稱 服務(wù)功能 建議措施 HTTP server 允許管理員通過 Web頁面遠程管理路由器 關(guān)閉 TCP small servers 標準的 TCP服務(wù)，例如 echo、 Chargen等 關(guān)閉 UDP small servers 標準 UDP服務(wù)，例如 echo、 discard等 關(guān)閉 Bootp server 允許其他路由器使用本路由器的文件進行啟動 關(guān)閉 IP directed broad 允許路由器轉(zhuǎn)發(fā)其他網(wǎng)段的直接廣播包 關(guān)閉 -cast SNMP 遠程網(wǎng)管使用、數(shù)據(jù)集采、狀態(tài)采集 根據(jù)實際情況，缺 省使用，及時更改 SNMP口令 IP source-route 允許路由器處理帶源路由選項標記的流 關(guān)閉 丼例 舉例： Smurf攻擊 Smurf攻擊是一種強力的拒絕服務(wù)攻擊方法，主要是利用IP協(xié)議的直接廣播特性。對路由器而言， 對于列表中提到的 IP Directed-broadcast服務(wù)，如果沒有關(guān)閉，由于該服務(wù)的功能是允許路由器轉(zhuǎn)發(fā)其他網(wǎng)段的直接廣播包，可能成為黑客攻擊的中間代理，即廣播包的擴散器，因此，建議，如果沒有必須要向外發(fā)送廣播數(shù)據(jù)包的情況，就可以在路由器的每個接口上設(shè)置禁止直接廣播。 安全補丁 安全補丁 曾經(jīng)在某 IT雜志上公布， C公司宣布其路由器、交換機所有 xx版本的操作系統(tǒng)軟件存在一個漏洞。此漏洞可使攻擊者截取和修改出入路由器和交換機的 TCP數(shù)據(jù)。 顯而易見，該漏洞影響是廣泛的，屬于嚴重隱患，由于 C公司及時發(fā)布了安全版本，所以幾乎沒有用戶因此受到攻擊。 因此，建議如無特殊情況在設(shè)備啟用時，路由器交換機網(wǎng)絡(luò)操作系統(tǒng)應(yīng)當盡量采用廠家的最新版本，并將所有安全補丁打上。更重要的是，在今后的設(shè)備運行過程中，也應(yīng)當及時進行補丁加載，始終保持最新版本。 包過濾規(guī)則 包過濾規(guī)則 在路由器啟用前，應(yīng)當根據(jù)當時的網(wǎng)絡(luò)環(huán)境制定合理的包過濾規(guī)則，對某些病毒、木馬的特定端口進行封閉。嚴格的配置僅傳遞允許進入網(wǎng)絡(luò)的的數(shù)據(jù)包?？傊?，配置完善的包過濾規(guī)則并在今后的運行維護過程中隨時更新可以降低安全事件發(fā)生的概率。 安全日志管理 日志安全管理 對網(wǎng)絡(luò)維護者而言，日志是 設(shè)備運行的性能監(jiān)測、安全審計以及安全事件發(fā)生后的追蹤與調(diào)查等的重要依據(jù) .因此在日常的維護中應(yīng)注意開啟設(shè)備的重要日志功能。 路由器交換機作為重要的網(wǎng)絡(luò)設(shè)備，其安全性至關(guān)重要，因此建立強大、完善的日志系統(tǒng)是必須的。通過日常對日志文件的審查，可以預(yù)先發(fā)現(xiàn)許多安全攻擊并及時采取措施將安全事件的發(fā)生可能性降至最低。 安全日志管理 操作日志 登陸日志：異常分析 命令操作日志：分析異常操作 標準系統(tǒng)日志：非法攻擊留下的日志痕跡 運行狀態(tài) CPU資源監(jiān)控 內(nèi)存占用監(jiān)控 磁盤空間監(jiān)控 系統(tǒng)日志 端口狀態(tài) 異常路由交互信息 . 安全日志管理 為保證在突發(fā)事件發(fā)生時，能夠通過分析日志快速解決問題，日志的備份、存放等日常安全管理是必須的。 對于設(shè)備日志，應(yīng)當遵照相關(guān)安全規(guī)范定期進行備份，保留規(guī)定時間，并對備份介質(zhì)進行妥善保管 由于路由交換設(shè)備內(nèi)存有限，一些日志信息存儲后掉電就會丟失，有條件的情況下，應(yīng)建立日志服務(wù)器，采用日志服務(wù)器可以獲取更加豐富的端口狀態(tài)、運行狀態(tài)以及異常故障等信息，輕松掌握網(wǎng)絡(luò)情況。 安全日志管理 建立日志服務(wù)器之后，同時應(yīng)當對服務(wù)器自身進行安全加固，例如：安裝防病毒軟件、定期進行系統(tǒng)補丁以及對訪問進行嚴格控制等，來保障日志安全。 設(shè)備授權(quán)訪問管理 設(shè)備授權(quán)訪問管理包括： 賬號口令管理 應(yīng)當對路由交換系統(tǒng)所有密碼進行加密，基于角色按需分配的權(quán)限管理給予能夠操作者完成工作的最低權(quán)限的許可。并采取增強口令強度、設(shè)置口令有效期、刪除停止使用的帳號等手段，提高帳號口令管理效能。 訪問管理 為防止非法授權(quán)訪問，應(yīng)當采用相應(yīng)限制措施 設(shè)備授權(quán)訪問管理 賬號口令管理應(yīng)關(guān)注以下幾點： 應(yīng)按照用戶分配賬號。避免丌同用戶間共享賬號，避免用戶賬號和設(shè)備間通信使用的賬號共享。 用戶口令足夠強壯，符合復(fù)雜度要求。 設(shè)備密碼使用加密模式存放，禁用明文存放密碼。 SNMP服務(wù)啟用時，禁止使用 public、 private等公用 community，如需提供 RW權(quán)限的 community，需保證 community的安全性。 訪問管理 訪問管理應(yīng)關(guān)注以下幾點 ： 本地訪問 對路由交換系統(tǒng) Consle設(shè)置訪問密碼，對 Console口與終端的會話配置較短閑置時間后自動退出 局域網(wǎng)訪問 交換機端口進行 vlan劃分、端口綁定等措施，路由器上采用 IP地址與 MAC地址綁定 進程訪問 傳統(tǒng)的遠程訪問服務(wù)程序 telnet,在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，容易被截獲。同時其安全驗證方式也存在弱點，容易遭受“中間人”（ man-in-the-middle）攻擊。因此，應(yīng)當采用 Ssh（ Secure Shell）等安全遠程訪問方式，其將所有傳輸數(shù)據(jù)進行加密，保證了傳輸安全，同時在安全驗證方面也有所提高。同時設(shè)備的 VTY端口應(yīng) 限制登錄的 IP地址范圍。 路由協(xié)議訪問 路由器盡可能采用安全的路由協(xié)議版本，以及在啟用路由協(xié)議接口之間設(shè)置MD5認證，防止信息外漏。 配置管理 配置管理 路由器及交換機的配置文件安全是不容忽視的，通常設(shè)備配置應(yīng)當定期備份，并保存在安全的介質(zhì)中，原則上備份介質(zhì)應(yīng)當至少兩份，一份與設(shè)備放置一處，以備應(yīng)急使用，另一份應(yīng)當放置在異地的安全位置。在發(fā)生安全事故時，可以取出備份文件，將系統(tǒng)恢復(fù)到已知狀態(tài)。 此外，配置文件應(yīng)當盡可能不通過公共網(wǎng)絡(luò)進行傳輸，特殊情況下應(yīng)當對傳輸進行加密 配置管理 配置管理的目標 保密性 完整性 可用性 HUAWEI（ 1） 編號：安全要求 -設(shè)備 -通用 -配置 -12 要求內(nèi)容 ：設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP地址。 操作指南 ： 1 參考配置操作 info-center logbuffer channel 4 2 補充操作說明 在系統(tǒng)模式下進行操作 。 檢測方法 ： 1.判定條件 對設(shè)備的操作會記錄在日志中 。 2.檢測操作 display logbuffer HUAWEI（ 2） 編號：安全要求 -設(shè)備 -通用 -配置 -13 要求內(nèi)容 ：設(shè)置 SNMP訪問安全限制，只允許特定主機通過 SNMP訪問網(wǎng)絡(luò)設(shè)備。操作指南 ： 1 參考配置操作 snmp-agent community read XXXX01 acl 2000 2 補充操作說明 無 檢測方法 ： 1.判定條件 通過設(shè)定 acl來成功過濾特定的源才能進行訪問 。 2.檢測操作 display current-configuration 安全性分析 ： 限制遠程終端會話有助于防止黑客獲得系統(tǒng)邏輯訪問 。 HUAWEI（ 3） 編號：安全要求 -設(shè)備 -華為路由器 -配置 -3 要求內(nèi)容 ：靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。 操作指南 ： 1 參考配置操作 super password level 3 cipher NC55QK=/Q=QMAF41! local-user 8011 password cipher NC55QK=/Q=QMAF41! 檢測方法 ： 1. 判定條件 用戶的加密口令在 buildrun中顯示的密文 。 2. 檢測操作 display current-configuration configuration aaa 安全性分析 ： 由系統(tǒng)直接經(jīng)過不可逆加密算法處理成密文 ， 這種加密后的數(shù)據(jù)是無法被解密， 只有重新輸入明文 ， 并再次經(jīng)過同樣不可逆的加密算法處理 ， 得到相同的加密密文并被系統(tǒng)重新識別后 ， 才能真正解密 ,更加保證系統(tǒng)的安全性 。 HUAWEI（ 4） 編號：安全要求 -設(shè)備 -華為路由器 -配置 -4-可選 要求內(nèi)容 ：設(shè)備通過相關(guān)參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強制要求。 操作指南 ： 1 參考配置操作 #對遠程登錄用戶先用 RADIUS服務(wù)器進行認證 ， 如果沒有響應(yīng) ， 則不認證 #認證服務(wù)器 IP地址為 6， 無備用服務(wù)器 ， 端口號為默認值 1812 # 配置 RADIUS服務(wù)器模板 。 Router radius-server template shiva # 配置 RADIUS認證服務(wù)器 IP地址和端口 。 Router-radius-shivaradius-server authentication 6 1812 #