zoukankan      html  css  js  c++  java

  • CCSPSECURE1 安全理论

    数通安全

    安全模型:

    ec787adf0fdb4f11ac63e3022001e2d5

    三种攻击方向:

    73c6e5402b594e54bd53973491182d6c

    网络攻击的分类:

    3bbe986a2bdb43b58b8acee3c30e4910

    思科对网络攻击的具体分类:

    168e91aaee624db2b686e2987e4e2021

    Reconnaissance attacks

    Packet Sniffer

    实施条件:

    1.只能在攻击对象所在的广播域内实现

    2.使用集线器 或 交换机制不完善

    解决方案:

    1.准入认证(802.1x)

    2.在交换设备上对用户的接入进行控制

    3.利用Antisniffer tools进行检测(在网络中发送一种特殊的数据包,如果网卡处于混杂模式则处理很慢)

    4.对数据进行加密

    Port Scans and Ping Sweeps

    c5f82ad838824c9c901070e564a2475f

    问题:扫描流量可能来自管理员,也可能来自攻击者

    解决方案:用IDS检测判断流量

    Internet Information Queries

    利用搜索引擎搜索漏洞

    Access Attacks

    Password Attacks

    33a4848175454afca880b547c46bcfd4

    5d0adf0124c045dabc78462b22f320f8

    Trust Exploitation

    问题:很多网络为了方便管理,配置了域环境。每个域里有一个域控制服务器,黑客只要攻破了 域控制服务器,就可以利用信任关系控制这个域内所有的机器。

    解决方案:对域控制服务器做好完善的安全机制

    Port Redirection

    将跳板的某一本地端口与内网服务器的某一功能端口映射在一起,当访问跳板的这一本地端口时自动跳转到那个功能端口

    原因:安全设备屏蔽了此服务端口的访问流量

    f959faa74bce420da437149bb1781211

    Man-in-the-Middle Attacks

    b8de497bb72b4f9586ce85db599b5d3a

    问题:收集信息甚至是修改原始信息

    解决方案:在广域网通信时加VPN通信隧道

    Denial of Service Attacks

    服务器无法对外提供服务。只能缓解,无法根治

    都得通过IP欺骗

    攻击方式:ICMP、TCP(利用三次握手)

    解决方案:使用安全设备监控TCP的连接过程,设定定时器,超时则向两方发送RST信号

    Worms, viruses, and Trojan horses

    99d6470fcba34283b33839065e2f23ff

    IP Plane Security(IP安全平面)

    bcae3b597c274034b3f637706cf54f37

    数据平面:用户通信流量

    控制平面:控制流量转发的流量,如路由协议

    管理平面:用户到网络设备的管理流量,网络设备发送的用于网络管理的流量

    服务平面:承载用户流量,如VPN

    573c7ffe724e462abb306cd52e664a1d475353aa08c6498995c74925ffb2d2e4404f8d6b02c74aa9b0d455d3926afef6

    针对不同环境制定的不同安全策略:

    9dc73def960f4a2686721523d8be387c

    9d51e532113b4ebc9363672ad1dd81ff

    7385e93b2e5f4e1388da0b7dd7e877bb

    VTP:由于开发不完善,思科不推荐使用。如果想用可以在组网阶段配置,组网完毕后将所有设备都设为透明模式。

    参考文献:

    fb03ed4ddaf94ee98da5fb4b94f10cbb

    Cisco Catalyst 交换机的安全特性:

    495cb4229050440b8e4e856014c7d12f

    Cisco ISR(集成多业务路由器) 的安全特性:

    e4fbbafadd6542aaa0bedbfd88672cc0

    数通安全的目标:

    b3ddf9f965c54f35a9a186d8253f9b58

    机密性、完整性、可靠性

    交换网络的攻击技术:

    18ad1c870593473f86925ba9502e4f5f

    交换网络的安全技术:

    aa1d471a7c00461cbc26d054a72a6065

    PVLAN

    二层VLAN技术。PVLAN主要部署在DMZ区,防止跨站攻击,开发目的就是为了服务器的分段保护。

    PVLAN可以通过trunk链路跨交换机配置。

    PVLAN分为主VLAN和辅助VLAN,辅助VLAN又分为团体VLAN和孤立VLAN。

    端口模式分为团体端口、孤立端口和混杂端口,混杂端口主要用于连接网关。

    一个VLAN内的隔离技术。

    PVLAN的配置:

    9e1e667e3df944acb95441673116c86d

    pvlan配置手册:http://download.csdn.net/detail/lbt52pk/7928333

    cf32ac406042451cbd0e7a1f73eb7a72

    show vlan private-vlan

    PVLAN跳转攻击:

    越过PVLAN的限制,直接互访。如R2和R3之间互访。

    R2:

    ip route 172.16.0.3 255.255.255.255 172.16.0.254

    R3:

    ip route 172.16.0.2 255.255.255.255 172.16.0.254

    将对方的静态路由指向网关。

    PVLAN跳转攻击防御:

    GW(config)#access-list 101 permit ip any host 172.16.0.254

    GW(config)#access-list 101 deny   ip 172.16.0.0 0.0.0.255 172.16.0.0 0.0.0.255

    GW(config)#access-list 101 permit ip any any

    GW(config)#interface fastEthernet 0/0

    GW(config-if)#ip access-group 101 in

    要是PVLAN的网络里有多台交换机,则它们之间的中继得能通过主VLAN,也得通过辅助VLAN。

    PVLAN是3560及以上的设备才有的特性。之前的设备用保护端口实现PVLAN的某些功能。

    配置:在端口下    switchport protected

    效果:同时部署了保护端口的端口下的用户无法互相通信

    若在三层交换机上配置PVLAN,而且这台三层交换机还是DHCP服务器,则需配置多层交换的混杂端口(即int vlan *)。

    在多层交换机上配DHCP服务器,得配置主机所在VLAN的VLAN接口地址,因为DHCP使用UDP工作,交换机上的dhcp会寻找与该vlan接口相对应的dhcp网段分配给客户端。网关不一定是自己。

    80dec665f00a4047bfc6cea07b9a9841

    4795f5282e694761ad9fcc9fd424c1ce
  • 相关阅读:
    Linux查看物理CPU个数、核数、逻辑CPU个数
    epoll、cpoll、xpoll
    Curl命令简介
    ps:分钟级监控服务内存变化情况
    linux系统/var/log目录下的信息详解
    pthread_create、pthread_join
    【转载】nginx中gzip的各项配置以及配置参数的意思详解
    linux——Nginx——反向代理服务器
    点击复制文本 ctrl+v粘贴
    npm源切换
  • 原文地址:https://www.cnblogs.com/btlulu/p/3973834.html
Copyright © 2011-2022 走看看