东华理工大学毕业设计(论文) 网络系统安全风险分析
2.5 来自互联网的威胁
(1) 黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到服务器的口令文件并将之送回。黑客侵入服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、入侵检测技术、访问控制技术来保护网络内的信息资源,防止黑客攻击。 (2) 恶意代码
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹和其他未经同意的软件。所以应该加强对恶意代码的检测。 (3) 病毒的攻击
计算机病毒一直是计算机安全的主要威胁。病毒不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行,重则使机器处于瘫痪,会给用户带来不可估量的损失。能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。
2.6 网络的攻击手段
一般认为,目前对网络的攻击手段主要表现在:
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,通常包括信息在传输中或者存储介质中丢失、泄漏,或通过建立隐蔽隧道窃取敏感信息等。 破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意修改数据,以干扰用户的正常使用。 拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
7
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
3 企业局域网的安全设计方案
本公司有100台左右的计算机,主要使用网络的部门有:生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分,如图3.1所示。
网络基本结构为:整个网络中干部分采用3台Catalyst 1900网管型交换机(分别命名为:Switch1、Switch2和Switch3,各交换机根据需要下接若干个集线器,主要用于非VLAN用户)、一台Cisco 2514路由器,整个网络都通过路由器Cisco 2514与外部互联网进行连接。
图 3.1 企业局域网的安全设计方案
3.1 企业局域网安全设计的原则
企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需要相当的费用支出。因此分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个
8
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
3.2 安全服务、机制与技术
安全服务:控制服务、对象认证服务、可靠性服务等; 安全机制:访问控制机制、认证机制等;
安全技术:防火墙技术、病毒防治技术、攻击检测技术、审计监控技术等; 在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现,而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
3.3 企业局域网安全配置方案
3.3.1 物理安全技术
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。 3.3.2 路由器安全配置
作为企业局域网与外部Internet互联网络连接的第一关,路由器的配置是很重要的,既要保证网络的畅通,也不能忽略网络的安全性而只取其一(我们所使用的是Cisco 2514路由器),因此,除了对路由器与Internet外网连接配置外,我们对路由器还采用了如下安全配置:
(1) 路由器网络服务安全配置
a、禁止CDP(Cisco Discovery Protocol)。 Router(Config)#no cdp run Router(Config-if)# no cdp enable b、禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers Router(Config)# no service udp-small-servers c、禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger
9
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
d、禁止HTTP服务。
Router(Config)# no ip http server
启用了HTTP服务则需要对其进行安全配置:设置用户名和密码,采用访问列表进行控制。
e、禁止BOOTP服务。
Router(Config)# no ip bootp server f、禁止IP Source Routing。 Router(Config)# no ip source-route g、禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast h、禁止IP Classless。
Router(Config)# no ip classless
i、禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。 Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply j、明确禁止不使用的端口。 Router(Config)# interface eth0/3 Router(Config)# shutdown
(2) 路由器路由协议安全配置
a、启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。
b、配置uRPF。uRPF有三种方式,strict方式、ACL方式和loose方式。在接入路由器上实施时,对于通过单链路接入网络的用户,建议采用strict方式;对于通过多条链路接入到网络的用户,可以采用ACL方式和loose方式。在出口路由器上实施时,采用loose方式。
Strict方式:
Router# config t !启用CEF
Router(Config)# ip cef
!启用Unicast Reverse-Path Verification Router(Config)# interface eth0/1
Router(Config-if)# ip verify unicast reverse-path
ACL方式: interface pos1/0
ip verify unicast reverse-path 190
access-list 190 permit ip {customer network} {customer network mask} any
10
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
access-list 190 deny ip any any [log]
这个功能检查每一个经过路由器的数据包的源地址,若是不符合ACL的,路由器将丢弃该数据包。
Loose方式: interface pos 1/0
ip ver unicast source reachable-via any
这个功能检查每一个经过路由器的数据包,在路由器的路由表中若没有该数据包源IP地址的路由,路由器将丢弃该数据包。
2 启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。
c、RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。
d、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。
e、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。如: Router(Config)# access-list 10 deny 172.18.124.0 255.255.255.0 Router(Config)# access-list 10 permit any !禁止路由器接收更新172.18.124.0网络的路由信息 Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 in !禁止路由器转发传播172.18.124.0网络的路由信息 Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out
(3) 路由器其他安全配置
a、IP欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(172.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
Router(Config)# access-list 100 deny ip 172.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any
11
企业网络安全解决方案的设计
