3 網(wǎng)絡設備安全

通信網(wǎng)絡安全與防護密碼學基本概念、古典加密體制報文摘要算法

內(nèi)容回顧現(xiàn)代加密體制、AES、RSA密鑰分配與管理安全認證-消息認證、數(shù)字簽名、身份認證PKI體制中，保證數(shù)字證書不被篡改的方法是（)A.用證書主人的私鑰對數(shù)字證書簽名；B.用CA的私鑰對數(shù)字證書簽名；C.用CA的公鑰對數(shù)字證書簽名；D.用證書主人的公鑰對數(shù)字證書簽名；

內(nèi)容回顧關于消息認證,以下哪一項描述是錯誤的?A.消息認證碼既可提供消息鑒別又可提供保密性B.密鑰是發(fā)送端和接收端之間的共享密鑰C.通過密鑰和消息計算得出消息認證碼D.黑客無法根據(jù)篡改后的消息計算出正確的消息認證碼第三章網(wǎng)絡設備安全《通信網(wǎng)絡安全與防護》引言網(wǎng)絡中大量的信息資源和信息服務是通過路由器、交換機、無線接入器等網(wǎng)絡設備提供給用戶的，而這些設備中存在的漏洞造成了極大的網(wǎng)絡安全隱患。網(wǎng)絡設備（包括主機和網(wǎng)絡設施）的安全始終是通信網(wǎng)絡安全的一個重要方面。網(wǎng)絡設備的安全除了技術安全之外，還應該包括網(wǎng)絡設備的物理安全，諸如防人為損壞、防斷電、防雷擊、防靜電、防灰塵等環(huán)境安全問題教學目標主要內(nèi)容1.了解網(wǎng)絡設備安全的基本概念及安全隱患；2.熟悉機房安全、通信線路安全、硬件設備安全等物理安全措施；3.掌握交換機、路由器的安全配置；4.熟悉服務器與操作系統(tǒng)安全。3.1物理安全3.2路由器的安全技術3.3交換機的安全技術3.4服務器與操作系統(tǒng)安全物理安全是整個通信網(wǎng)絡系統(tǒng)安全的前提，是保護通信網(wǎng)絡設備、設施及其他媒介免遭地震、水災、火災等環(huán)境事故、人為操作失誤或人為損壞導致被破壞的過程。3.1物理安全物理安全硬件設備安全通信線路安全電源系統(tǒng)安全機房安全3.1.1機房安全技術1.機房的安全要求減少無關人員進入機房的機會；選址時應避免靠近公共區(qū)域，避免窗戶鄰街；機房最好不要安排在底層或頂層；在較大的樓層內(nèi)，機房應靠近樓層的一邊安排；保證所有進出機房的人都在管理人員的監(jiān)控之下3.1.1機房安全技術對機房內(nèi)重要的設備和存儲媒體應采取嚴格的防盜措施

光纖電纜防盜系統(tǒng)特殊標簽防盜系統(tǒng)

視頻監(jiān)視防盜系統(tǒng)2.機房的防盜要求3.1.1機房安全技術三度溫度濕度潔凈度3.機房的三度要求3.1.1機房安全技術靜電的危害50年代中期，美軍演習中，兩枚“民兵1”導彈發(fā)射后在飛行中自毀。1967年春，越南戰(zhàn)爭中，美軍的直升機因靜電造成爆炸。4.防靜電措施3.1.1機房安全技術機房的內(nèi)裝修材料采用乙烯材料；機房內(nèi)安裝防靜電地板，并將地板和設備接地；機房內(nèi)的重要操作臺應有接地平板；工作人員的服裝和鞋最好用低阻值的材料制作；機房內(nèi)應保持一定濕度。4.防靜電措施3.1.1機房安全技術接地是指整個通信網(wǎng)絡系統(tǒng)中各處電位均以大地電位為零參考電位。直流地屏蔽地靜電地雷擊地保護地地線種類可分為

5.接地與防雷3.1.1機房安全技術防雷，是指通過組成攔截、疏導最后泄放入地的一體化系統(tǒng)方式以防止由直擊雷或雷電的電磁脈沖對建筑物本身或其內(nèi)部設備造成損害的防護技術。機房外部防雷應使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道；

5.接地與防雷3.1.1機房安全技術機房內(nèi)部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護等技術措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的；機房的設備本身也應有避雷裝置和設施。過電壓保護等電位連接防閃器合理布線

5.接地與防雷3.1.1機房安全技術機房內(nèi)應有火災、水災自動報警系統(tǒng)；機房上層有用水設施須加防水層；機房內(nèi)應放置適用于通信機房的滅火器，并建立應急計劃和防火制度等。6.機房的防火、防水措施3.1.1機房安全技術與機房安全相關的國家標準主要有：GB/T2887-2011《計算機場地通用規(guī)范》GB50174-2008《電子信息系統(tǒng)機房設計規(guī)范》GB/T9361-2011《計算站場地安全要求》3.1.2通信線路安全通信線路可能受到的攻擊：竊聽中斷干擾3.1.2通信線路安全電纜兩端加壓，連接監(jiān)視器，如果監(jiān)測到變化，則啟動報警器。加壓電纜是屏蔽在波紋鋁鋼包皮中，幾乎沒有電磁輻射，對利用電磁感應的竊聽行為有一定的抵抗力。3.1.2通信線路安全1.電纜加壓技術降低電磁感應，提高抗干擾能力。屏蔽式雙絞線的抗干擾能力更強，對于干擾嚴重的區(qū)域應使用屏蔽式雙絞線，還可將其放在金屬管內(nèi)以增強抗干擾能力。屏蔽式雙絞線提高抗干擾能力增強抗干擾3.1.2通信線路安全2.電纜屏蔽技術光纖的“天然”保密性？3.1.2通信線路安全3.光纖通信技術光纖竊聽方法光纖彎曲法V型槽切口法散射法光束分離法漸近耦合法3.1.2通信線路安全3.光纖通信技術嚴格按硬件設備的操作使用規(guī)程進行操作；建立設備使用情況日志，并登記使用過程；建立硬件設備故障情況登記表；堅持對設備進行例行維護和保養(yǎng)，并指定專人負責。3.1.3硬件設備安全1.硬件設備的管理維護

（1）硬件設備的使用管理定期檢查線纜連接的緊固性；定期清除表面及內(nèi)部灰塵；定期檢查供電系統(tǒng)的各種保護裝置及地線是否正常（2）常用硬件設備的維護和保養(yǎng)3.1.3硬件設備安全1.硬件設備的管理維護電磁兼容性：（EMC，ElectromagnaticCompatibility）設備或系統(tǒng)在共同的電磁環(huán)境中，能夠正常工作且不對該環(huán)境中的任何事物構成不能承受的電磁騷擾的能力。3.1.3硬件設備安全2.電磁兼容和電磁輻射的防護（1）電磁兼容電磁兼容：設備或系統(tǒng)在共同的電磁環(huán)境中，能夠和諧工作而不影響各自功能的共存狀態(tài)。電磁不兼容危害實例1982年5月4日號稱英國海軍最先進的“謝菲爾德號”導彈驅(qū)逐艦，由于沒有解決好衛(wèi)星通信系統(tǒng)和雷達系統(tǒng)的頻率使用問題，以至于兩個系統(tǒng)不能同時工作，戰(zhàn)斗中，該艦與指揮所進行衛(wèi)星通信，雷達系統(tǒng)關機，沒能及時發(fā)現(xiàn)來襲的阿根廷戰(zhàn)機，最終被飛魚導彈擊中，艦毀人亡。英軍的謝菲爾德號導彈驅(qū)逐艦3.1.3硬件設備安全視情：是防護自身對外輻射，還是防護其它設備電磁輻射對自身的影響。采用各種電磁屏蔽措施采用干擾的防護措施（2）電磁輻射防護的措施3.1.3硬件設備安全2.電磁兼容和電磁輻射的防護DES按設計時的分析，需要2283年才能破譯；DES的密鑰量太小，密鑰量為256；1977年，Diffie.Hellman提出制造一個每秒測試106的VLSI芯片，則一天就可以搜索完整個密鑰空間，當時造價2千萬美元。CRYPTO’93：R.Session，M.Wiener提出并行密鑰搜索芯片，每秒測試5x107個密鑰，5760片這種芯片，造價10萬美元，平均一天即可找到密鑰。電磁輻射防護不良危害實例美軍航母起火事件：福萊斯特級航空母艦1967年7月25日，上午11時，受該艦雷達波干擾，一枚“阻尼”空地火箭意外地從停在艦艉飛行甲板末端的F-4飛機機翼下點火，擊中了一架A-4攻擊機的副油箱，導致一系列爆炸。事故原因：阻尼火箭的屏蔽電纜老化，受到艦載對空搜索雷達的波束掃描，使火箭的引信形成電壓差，導致火箭的發(fā)射。后果：34人死亡27架飛機被毀，43架飛機嚴重受傷重修費用：7200萬美元重修時間：2年作好對硬盤、光盤、磁帶、打印紙等存儲媒體的安全管理威脅：數(shù)據(jù)恢復、垃圾搜索等3.1.3硬件設備安全3.信息存儲媒體的安全管理3.1.4電源系統(tǒng)安全指標：供電連續(xù)性、可靠性、穩(wěn)定性和抗干擾性等指標。風險：因電源系統(tǒng)電壓波動、浪涌電流和突然斷電等導致計算機系統(tǒng)存儲信息丟失、設備損壞。機房的供配電系統(tǒng)設計要求：滿足設備自身運轉(zhuǎn)和網(wǎng)絡應用的要求，保證網(wǎng)絡系統(tǒng)運行的可靠性，保證設備的設計壽命，保證信息安全，保證機房人員的工作環(huán)境。3.2路由器的安全技術

安全問題：身份問題、漏洞問題、訪問控制問題、路由協(xié)議問題、配置管理問題等一、路由器存在的安全問題及對策端口登錄口令：可以登錄到路由器，一般只能查看部分信息特權用戶口令：可以使用全部的查看、配置和管理命令。1.路由器口令的設置3.2路由器的安全技術1.路由器口令的設置一、路由器存在的安全問題及對策口令加密設置端口登錄口令加密特權用戶口令防止口令修復[Router]local-useruser-namepasswordcipherpassword[Router]user-interfacevty014[Router-ui-vty0-14]authentication-modeaaa3.2路由器的安全技術2.網(wǎng)絡服務的安全設置禁止HTTP服務禁止一些默認狀態(tài)下開啟的服務

如：思科發(fā)現(xiàn)協(xié)議CDP（CiscoDiscoveryProtocol）是用來獲取相鄰設備的協(xié)議地址以及發(fā)現(xiàn)這些設備的平臺，就是說當思科的設備連接到一起時，不需要額外的配置，用showcdpneighbor就可以查看到鄰居的狀態(tài)。關閉其他一些易受攻擊的端口服務

Noipunreachables//防smurf攻擊一、路由器存在的安全問題及對策3.2路由器的安全技術3.保護內(nèi)部網(wǎng)絡lP地址利用路由器的網(wǎng)絡地址轉(zhuǎn)換隱藏內(nèi)部地址利用地址解析協(xié)議防止盜用內(nèi)部IP地址通過ARP可以固定地將IP地址綁定在某一MAC上一、路由器存在的安全問題及對策3.2路由器的安全技術4.利用訪問控制列表有效防范網(wǎng)絡攻擊訪問控制列表ACL使用包過濾技術，在路由器上讀取第三層及第四層數(shù)據(jù)包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。利用ACL禁止ping相關接口利用ACL防止IP地址欺騙利用ACL防止SYN攻擊利用ACL防范網(wǎng)絡病毒攻擊一、路由器存在的安全問題及對策3.2路由器的安全技術5.防止包嗅探使用SSH或支持Kerberos的Telnet，或使用IPSec加密路由器所有的管理流6.校驗數(shù)據(jù)流路徑的合法性使用RPF（Reversepathforwarding）反相路徑轉(zhuǎn)發(fā)7.為路由器間的協(xié)議交換增加認證功能，提高網(wǎng)絡安全性8.使用安全的SNMP管理方案一、路由器存在的安全問題及對策3.2路由器的安全技術1.路由器口令安全配置2.路由器網(wǎng)絡服務的安全設置3.保護內(nèi)部網(wǎng)絡IP地址的配置4.利用ACL防范網(wǎng)絡攻擊的配置5.利用ACL防范病毒攻擊的配置6.利用ACL對HTTP服務進行服務控制及權限管理Router(config)#access-list1permit30Router(config)#iphttpaccess-classlRouter(config)#iphttpauthenticationaaa二、路由器的安全配置3.3交換機的安全技術1.利用交換機端口安全技術限制端口接入的隨意性2.利用虛擬局域網(wǎng)技術限制局域網(wǎng)廣播及ARP攻擊范圍3.強化Trunk端口設置避免利用封裝協(xié)議缺陷實行VLAN的跳躍攻擊4.使用交換機包過濾技術增加網(wǎng)絡交換的安全性5.使用交換機的安全網(wǎng)管6.使用交換機集成的入侵檢測技術7.使用交換機集成的用戶認證技術一、交換機存在的安全問題及對策3.3交換機的安全技術路由器登錄口令、加密等安全措施也適用于交換機打開端口的端口安全功能，命令如下。Switch(config-if)#switchportport-security設置端口上安全地址的最大個數(shù)，命令如下。Switch(config-if)#switchportport-secruitymaximum1配置處理違例的方式，命令如下。Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}二、交換機的安全配置3.4服務器與操作系統(tǒng)安全限制用戶數(shù)量。去掉所有的測試賬戶、共享賬號和普通部門賬號等。用戶組策略設置相應權限、并且經(jīng)常檢查系統(tǒng)的賬號，刪除已經(jīng)不適用的賬號。管理員賬號設置:更改默認名稱、陷井帳號安全登錄口令設置屏幕保護／屏幕鎖定口令安全文件管理安裝防病毒軟件一、Windows操作系統(tǒng)安全3.4服務器與操作系統(tǒng)安全備份盤的安全禁止不必要的服務使用IPSec來控制端口訪問定期查看日志經(jīng)常訪問微軟升級程序站點，了解補丁的最新發(fā)布情況一、Windows操作系統(tǒng)安全1.明確安全需求（1）主機系統(tǒng)的安全需求：確保主機系統(tǒng)的認證機制，嚴密地設置及管理訪問口令，是主機系統(tǒng)抵御威脅的有力保障。（2）web服務器的安全需求選擇合適的程序，該類型web服務器的漏洞最少；對服務器的管理操作只能由授權用戶執(zhí)行；拒絕通過Web訪問web服務器上不公開的內(nèi)容；能夠禁止內(nèi)嵌在操作系統(tǒng)或web服務器軟件中的不必要的網(wǎng)絡服務；有能力控制對各種形式的執(zhí)行程序的訪問；能對某些Web操作進行日志記錄，以便于入侵檢測和入侵企圖分析；具有適當?shù)娜蒎e功能。3.4服務器