《网络安全-郑万波》网络安全-7.ppt
《《网络安全-郑万波》网络安全-7.ppt》由会员分享,可在线阅读,更多相关《《网络安全-郑万波》网络安全-7.ppt(103页珍藏版)》请在三一文库上搜索。
1、网络安全,第 7 讲,2,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 访问控制列表配置,3,引言,路由器是一种用于网络互连的专用计算机设备,在网络建设中具有不可替代的作用。路由器工作在OSI参考模型的第三层网络层,它的主要作用是为收到的报文寻找正确的路径,并把它们转发出去。 作为路由器,必须具备: 两个或两个以上的接口(用于连接不同的网络); 协议至少实现到网络层(只有理解网络层协议才能与网络层通讯); 至少支持两种以上的子网协议; 具有存储、转发、寻址功能; 一组路由协议。,4,引言,路由器的用途: 异种网络互连:主要是指具有异种子网协议的网络互连。路由器在报文转发的
2、过程中实现协议转换; 速率适配:不同接口具有不同的速率,路由器可以利用自己的缓冲区、队列等能力实现对不同速率网络的适配; 隔离网络,防止广播风暴,链路层的报文不会通过路由器转发,网络层的广播报文也不会穿过路由器转发; 路由(寻址):路由表建立、刷新、查找; 分片与重组:接口的MTU不同时,超过接口的MTU的报文会被路由器分片,只有到达目的地的报文才会被重组; 备份流控等。,5,引言,在默认情况下,路由器访问密码存储在固定位置,用sniffer嗅探器很容易获得登录名和密码,使得路由器完全受到攻击者控制,从而入侵整个路由器管理的网络。 目前的路由器种类繁多,优质的路由器都有自己丰富的安全机制,一般
3、都内置了防火墙、入侵检测系统等,但还进一步需要网络管理员配置相应的安全策略及进行相应的管理。 国内应用最多的主要有思科公司的IOS平台和华为公司的VRP平台。,6,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 访问控制列表配置,7,路由器安全概述,路由器相关安全特性具有两层含义:保证内部局域网的安全和保护外部进行数据交换的安全。 在开放式的网络环境中,每个网络都是一种对等关系,相互之间可以直接访问。为了增强网络的安全性,需要将这种对等界定在一定的范围之内。使开放的环境处于一种受控的状态。,8,路由器安全概述,针对网络存在的各种安全隐患,路由器必须具有的安全特性包括:身份认
4、证、访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。 可靠性要求主要针对故障恢复、负载能力和主设备运行故障时,备份自动接替工作。 负载分担主要指网络流量增大时,备份链路承担部分主要链路的工作。 线路安全指的是线路本身的安全性,用于防止非法用户利用线路进行访问。 网络安全身份认证包括:访问路由器时的身份认证、Console登录配置、Telnet登录配置 、SNMP登录配置、Modem远程配置、对其它路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。,9,路由器安全概述,身份认证是网络安全中的重要问题之一,主要保证只有
5、合法的用户和经过授权的用户才可以访问、控制路由器。如需要配置路由器时,需要验证用户名和密码。路由器安全技术中包括AAA(Authentication、Authorization、Accounting),它是验证、授权和记账的简称。网络安全服务提供一个实现身份认证的框架来支持验证、授权、记账服务,使用RADIUS等协议实现对网络的访问控制。AAA技术可以提供基于用户的验证、授权、记账服务。基于用户的含义是,AAA技术不是根据IP地址等信息来验证用户,而是根据用户名、口令对用户进行验证。RADIUS采用客户机/服务器(Client/Server)结构。验证、授权时客户端的任务是将用户(User)的
6、信息发送到指定的服务器,然后根据服务器的不同响应进行相应处理。,10,路由器安全概述,访问控制是路由器提供的一种重要策略,访问控制可以有效地防止一些非法的访问。包过滤技术提供访问控制的基本框架,从而实现基于IP地址等信息的包过滤、提供基于接口的包过滤和提供基于时间段的包过滤,包过滤技术是利用访问控制列表实现的一种防火墙技术。它是最常用的访问控制手段。 可以通过地址转换技术来实现信息隐藏,使用地址转换技术可以隐藏内网的网络结构、IP地址等信息,增强了内网的安全特性。,11,路由器安全概述,利用公网传输数据不可避免地面临数据窃听的问题,于是出现了数据加密和防伪技术。相关技术包括:数据加密技术、数字
7、签名技术、IPSec协议等。数据加密技术主要是将需要在Internet上传递的数据加密。加密技术包含两个方面:普通的加密和防伪。其中防伪技术能够防止报文被不法分子截获之后,将报文修改,然后重新放到网上继续传递。路由器提供IPSec和IKE技术。IPSec可以实现数据的加密以及防伪,可以在不安全的线路上传输加密信息从而形成“安全的隧道”。IKE为通信双方提供交换密钥等服务,它定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。,12,路由器安全概述,虚拟私有网(Virtual Private Network,VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。许
8、多企业趋向于利用Internet来替代他们的私有数据网络。相对于企业原有的Intranet,这种利用Internet的虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。VPN的一个核心技术就是“隧道技术”,这种技术的主要思想是将一种类型网络的数据包通过另一种类型网络进行传输。二层隧道是建立在链路层的隧道,三层隧道是建立在网络层的隧道。,13,路由器安全概述,安全管理是指保证重要的网络设备处于安全的运行环境,防止人为破坏、保护访问口令等重要的安全信息、进行安全策略管理,有效利用安全策略,在网络出入口实现报文审计和过滤,提供网络运行的必要信息。对路由器等重要网络设备的管理是保证路由器安全运行
9、的一个重要方面,必须要保证没有权限的用户不能随便配置路由器,也不能得到路由器的配置信息。另外同样需要保障网络拓扑信息的安全。安全接入Internet包括基于接口的包过滤、基于时间段定义过滤规则、通过地址转换访问Internet、外部不能直接访问内部网络,可以通过地址转换向外提供WWW、FTP等服务,避免内部服务器直接受到攻击,日志主机可以记录网络运行情况便于用户的安全分析和管理。,14,路由器安全概述,通用路由平台( Versatile Router Platform, VRP)是由华为公司推出的支持多种网络设备的网络操作系统,它可运行于集中或分布式的网络设备架构之上。也就是说,VRP能运行于
10、低端、中端或核心路由器之上。VRP的这一特点可使一个平台运行于各式路由器和交换机之上,并可使用相同的一组操作来为各级路由器配置协议和功能。为了使单一软件平台能运行于各类路由器和交换机之上,VRP软件模块采用了组件架构,各种协议和模块之间采用了开放的标准接口。,15,路由器安全概述,VRP的安全特性如下: 基于RADIUS的AAA服务可以提供对接入用户的验证、授权和计费安全服务,防止非法访问; 验证协议:在PPP线路上支持CHAP和PAP验证; 包过滤:用ACL实现,允许指定可以(或禁止)通过路由器的报文类型; 应用层报文过滤:也称状态防火墙,它检查应用层协议信息并且监控基于连接的应用层协议状态
11、,维护每一个连接的状态信息,并动态地决定数据包是否被允许通过防火墙或者被丢弃;,16,路由器安全概述,VRP的安全特性如下: 网络层安全(IPSec):特定的通信方之间在IP层通过加密与数据源验证,来保证数据包在Internet上传输时的私有性、完整性和真实性; 事件日志:记录系统安全事件,实时跟踪非法侵入; 地址转换:NAT网关将公共网络和内部网络分隔开来,在公共网络中隐藏企业内部设备的IP地址等信息,阻止来自公共网络上的攻击; 相邻路由器验证:确保所交换路由信息的可靠性; 视图分级保护:将用户分成4级,每级用户赋予不同的配置权限,级别低的用户不能进入高级视图。系统命令行采用分级保护方式,命
12、令行划分为参观级、监控级、配置级和管理级4个级别,只有提供了正确的登录口令,才能使用相应的命令。,17,路由器安全概述,18,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 访问控制列表配置,19,AAA介绍,AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制,包括: 哪些用户可以访问网络服务器? 具有访问权的用户可以
13、得到哪些服务? 如何对正在使用网络资源的用户进行计费? 针对以上问题,AAA必须提供下列服务: 认证:验证用户是否可获得访问权,可以选择使用RADIUS协议。 授权:授权用户可使用哪些服务。 计费:记录用户使用网络资源的情况。 AAA为拨入用户动态分配地址,20,AAA介绍,AAA工作过程:用户通过拨号建立一条从用户端到NAS的PPP连接,然后NAS(网络接入服务器)按配置好的验证方式(如PAP,CHAP)要求用户输入用户名,密码等信息。用户按提示输入。NAS得到这些信息后,把这些信息传递给AAA服务器,并根据服务器的响应来决定用户是否可以接入。,21,AAA介绍,AAA的优点:由于AAA一般
14、采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息,因此,AAA框架具有如下的优点: 具有良好的可扩展性 可以使用标准化的认证方法 容易控制,便于用户信息的集中管理 可以使用多重备用系统来提升整个框架的安全系数,22,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 访问控制列表配置,23,RADIUS协议概述,如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。 什么是RADIUS? RADIUS是Remote Authenticat
15、ion Dial-In User Service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用来管理使用串口和调制解调器的大量分散拨号用户)。,24,RADIUS协议概述,25,RADIUS协议概述,RADIUS负责接收用户的连接请求,完成验证,并把用户所需要的配置信息返回给NAS。 当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取
16、得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS,在这里NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。,26,RADIUS协议概述,NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的
17、。在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。,27,RADIUS协议概述,RADIUS在协议栈中的位置,28,RADIUS协议概述,RADIUS的包结构,29,RADIUS协议概述,RADIUS包结构解析(1),30,RADIUS协议概述,RADIUS包结构解析(2),31,RADIUS协议概述,RADIUS包结构 解析(3),16字节长。用于验证RADIUS服务器传回的请求以及密码隐藏算法。分为: request authenticator response authenticator RequestAut
18、h = 16字节的随机码 ResponseAuth = MD5(Code+ID+Length+RequestAuth+Attribute+Secret),32,RADIUS协议概述,RADIUS包结构解析(4),33,RADIUS协议概述,RADIUS包结构解析属性列表(1),34,RADIUS协议概述,RADIUS包结构解析 属性列表(2),35,RADIUS协议概述,RADIUS验证流程,36,复习,AAA与Radius Radius工作流程,37,复习,共享密钥,16字节长。用于验证Radius服务器传回的请求以及密码隐藏算法。包括Request authenticator和Respon
19、se authenticator。 Request authenticator是一个16位的随机码。 Response authenticator要经过一个加密计算,它是一个通过MD5算法将报文的code、id、Length、Request authenticator、属性和共享密钥通过md5计算后得到的值。 共享密钥:在NAS和AAA之间共享的一个字符串,双方在使用MD5算法中引用此共享密钥,结果一致则完成了双方之间的认证关系。,38,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 访问控制列表配置,39,Radiu
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全-郑万波 网络安全 郑万波
链接地址:https://www.31doc.com/p-3071853.html