CCSP--SECURE-1 安全理论

标签：style   blog   http   io   os   使用   ar   strong   for   

数通安全

安全模型：

三种攻击方向：

网络攻击的分类：

思科对网络攻击的具体分类：

Reconnaissance attacks

Packet Sniffer

实施条件：

1.只能在攻击对象所在的广播域内实现

2.使用集线器 或 交换机制不完善

解决方案：

1.准入认证（802.1x）

2.在交换设备上对用户的接入进行控制

3.利用Antisniffer tools进行检测（在网络中发送一种特殊的数据包，如果网卡处于混杂模式则处理很慢）

4.对数据进行加密

Port Scans and Ping Sweeps

问题：扫描流量可能来自管理员，也可能来自攻击者

解决方案：用IDS检测判断流量

Internet Information Queries

利用搜索引擎搜索漏洞

Access Attacks

Password Attacks

Trust Exploitation

问题：很多网络为了方便管理，配置了域环境。每个域里有一个域控制服务器，黑客只要攻破了 域控制服务器，就可以利用信任关系控制这个域内所有的机器。

解决方案：对域控制服务器做好完善的安全机制

Port Redirection

将跳板的某一本地端口与内网服务器的某一功能端口映射在一起，当访问跳板的这一本地端口时自动跳转到那个功能端口

原因：安全设备屏蔽了此服务端口的访问流量

Man-in-the-Middle Attacks

问题：收集信息甚至是修改原始信息

解决方案：在广域网通信时加VPN通信隧道

Denial of Service Attacks

服务器无法对外提供服务。只能缓解，无法根治

都得通过IP欺骗

攻击方式：ICMP、TCP（利用三次握手）

解决方案：使用安全设备监控TCP的连接过程，设定定时器，超时则向两方发送RST信号

Worms, viruses, and Trojan horses

IP Plane Security（IP安全平面）：

数据平面：用户通信流量

控制平面：控制流量转发的流量，如路由协议

管理平面：用户到网络设备的管理流量，网络设备发送的用于网络管理的流量

服务平面：承载用户流量，如VPN

针对不同环境制定的不同安全策略：

VTP：由于开发不完善，思科不推荐使用。如果想用可以在组网阶段配置，组网完毕后将所有设备都设为透明模式。

参考文献：

Cisco Catalyst 交换机的安全特性：

Cisco ISR（集成多业务路由器） 的安全特性：

数通安全的目标：

机密性、完整性、可靠性

交换网络的攻击技术：

交换网络的安全技术：

PVLAN

二层VLAN技术。PVLAN主要部署在DMZ区，防止跨站攻击，开发目的就是为了服务器的分段保护。

PVLAN可以通过trunk链路跨交换机配置。

PVLAN分为主VLAN和辅助VLAN，辅助VLAN又分为团体VLAN和孤立VLAN。

端口模式分为团体端口、孤立端口和混杂端口，混杂端口主要用于连接网关。

一个VLAN内的隔离技术。

PVLAN的配置：

show vlan private-vlan

PVLAN跳转攻击：

越过PVLAN的限制，直接互访。如R2和R3之间互访。

R2：

ip route 172.16.0.3 255.255.255.255 172.16.0.254

R3：

ip route 172.16.0.2 255.255.255.255 172.16.0.254

将对方的静态路由指向网关。

PVLAN跳转攻击防御：

GW(config)#access-list 101 permit ip any host 172.16.0.254

GW(config)#access-list 101 deny   ip 172.16.0.0 0.0.0.255 172.16.0.0 0.0.0.255

GW(config)#access-list 101 permit ip any any

GW(config)#interface fastEthernet 0/0

GW(config-if)#ip access-group 101 in

要是PVLAN的网络里有多台交换机，则它们之间的中继得能通过主VLAN，也得通过辅助VLAN。

PVLAN是3560及以上的设备才有的特性。之前的设备用保护端口实现PVLAN的某些功能。

配置：在端口下    switchport protected

效果：同时部署了保护端口的端口下的用户无法互相通信

若在三层交换机上配置PVLAN，而且这台三层交换机还是DHCP服务器，则需配置多层交换的混杂端口（即int vlan *）。

在多层交换机上配DHCP服务器，得配置主机所在VLAN的VLAN接口地址，因为DHCP使用UDP工作，交换机上的dhcp会寻找与该vlan接口相对应的dhcp网段分配给客户端。网关不一定是自己。

CCSP--SECURE-1 安全理论

标签：style   blog   http   io   os   使用   ar   strong   for   

原文地址：http://www.cnblogs.com/btlulu/p/3973834.html