NGN承載網(wǎng)安全課件_第1頁
NGN承載網(wǎng)安全課件_第2頁
NGN承載網(wǎng)安全課件_第3頁
NGN承載網(wǎng)安全課件_第4頁
NGN承載網(wǎng)安全課件_第5頁
已閱讀5頁,還剩65頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

NGN承載網(wǎng)安全基礎1內(nèi)容提要NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊2NGN承載網(wǎng)安全概述傳統(tǒng)PSTN網(wǎng)絡的特點NGN網(wǎng)絡的特點和風險NGN網(wǎng)絡安全需求3NGN承載網(wǎng)安全概述傳統(tǒng)PSTN網(wǎng)絡的特點終端傻瓜化:簡單,一般不具備復雜的功能;資源控制:網(wǎng)絡對每個用戶的資源使用嚴格控制(64K/128K等);呼叫接納控制:在大量用戶同時使用網(wǎng)絡的情況下,支持的用戶數(shù)取決于網(wǎng)絡的帶寬。多級組網(wǎng):整個網(wǎng)絡由多級構成,存在接入層、匯聚層設備;一般出現(xiàn)問題時也只是影響局部用戶,破壞力有限;4NGN承載網(wǎng)安全概述NGN網(wǎng)絡的特點和風險終端智能化傾向:終端的能力較強;引入軟終端:軟終端的使用導致在NGN網(wǎng)絡中引入了許多IP網(wǎng)的固有安全問題,如DOS攻擊等;資源不受控:比如一個語音終端可以使用超過128Kbps的流量;平面組網(wǎng)結(jié)構:大部分NGN網(wǎng)絡架構是終端/AG等設備直接接入,軟交換直接對終端可見,報文可以直達軟交換等設備。軟交換等設備容易受攻擊;5NGN承載網(wǎng)安全概述NGN網(wǎng)絡的特點和風險IP網(wǎng)絡常見的攻擊:DOS攻擊,包括SYNFlooding,UDPFlooding,ICMPFlooding;DOS攻擊在NGN網(wǎng)絡中的新類型:

信令報文泛洪攻擊(SignalingFlooding)

媒體流泛洪攻擊(MediaFlooding)6NGN承載網(wǎng)安全概述NGN網(wǎng)絡的安全需求防范DOS攻擊,尤其是信令報文的DOS攻擊隱藏NGN網(wǎng)絡拓撲:NGN核心設備對終端不直接可見;對終端資源進行限制:比如對呼叫占用的帶寬進行限制;防范通常IP網(wǎng)絡的攻擊;其他:如防止終端非法漫游等。7內(nèi)容提要NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃

相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術8NGN承載網(wǎng)安全規(guī)劃

根據(jù)不同的功能、安全級別劃分區(qū)域區(qū)域設備規(guī)則核心網(wǎng)絡區(qū)A5020MGC、A5020CSC、Sylantro、AS、SCP、SG、核心區(qū)TG信令口等。純信令設備核心媒體區(qū)MediaServer、MCU、核心區(qū)TG媒體口等。信令、媒體兼有的設備管理維護區(qū)CMC1300,GUI等網(wǎng)管/計費/維護設備半信任區(qū)Firewall-PC、內(nèi)部測試終端等允許外網(wǎng)訪問并通過其訪問信任區(qū)其它設備非信任區(qū)SBC、Internet、CMCClient、非核心區(qū)TG、AG、NGNTerminals(IAD、IPPhone……)外網(wǎng)設備9NGN承載網(wǎng)安全規(guī)劃

在不同的區(qū)域之間設置訪問控制策略區(qū)域/ACL核心網(wǎng)絡區(qū)(目的)核心媒體區(qū)(目的)管理維護區(qū)(目的)半信任區(qū)(目的)非信任區(qū)(目的)核心網(wǎng)絡區(qū)(源)ALLSIP,H.248,ICMPSNMP,TFTP,NTP,ICMP,BILL[A1]SIP,H.248,F(xiàn)TP,ICMPSIP,H.248,ICMP核心媒體區(qū)(源)SIP,H.248,ICMPALLSNMP,NTP,TFTP,ICMPRTP,ICMPRTP,ICMP管理維護區(qū)(源)SNMP,F(xiàn)TP,OCI,HTTPS,HTTP,TELNET,ROMA,ICMP,BILLSNMP,F(xiàn)TP,HTTP,TELNET,ICMPALLSNMP,ICMPSNMP,ICMP,TELNET,HTTP,X11,socket?[A2]半信任區(qū)(源)TELNET,SSH,OCI,F(xiàn)TP,SIP,H.248TELNET,RTPTELNET,NTPALLRTP,ICMP,TCP非信任區(qū)(源)SIP,H.248RTPSNMP,NTP,X11,socket?[D3]RTP,SSH,NMTALL

[A1]5020MGC與USBS之間的私有協(xié)議;

[A2]CMCclient與CMC1300之間的私有協(xié)議;

[D3]CMCclient與CMC1300之間的私有協(xié)議。10NGN承載網(wǎng)安全規(guī)劃

其他注意事項策略具有單向性,A->B,B->A雙向都需要設置;策略中應該只允許業(yè)務需要的報文通過,拒絕其他所有報文;安全策略應該不斷完善和更新,隨著上層應用的變化而變化的,而不是一成不變的。11NGN承載網(wǎng)安全規(guī)劃

典型的兩種規(guī)劃方式方式A1.所有NGN網(wǎng)絡核心設備都安置在防火墻后端,得到安全保護。

2.防火墻負荷較大,除了NGN信令消息流以外,還包括部分媒體流(主要為視頻會議媒體流和錄音通知媒體流)。方式B 1.所有NGN網(wǎng)絡主要純信令核心設備都安置在防火墻后端。

2.防火墻負荷較小,主要為NGN信令消息流,僅當需要遠程維護時才會有用于操作堡壘PC的媒體流穿過防火墻。

3.MCU和媒體服務器未受防火墻保護,相關的業(yè)務安全程度較低(主要為視頻會議業(yè)務和錄音通知相關業(yè)務)。12內(nèi)容提要NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊13相關TCP/IP知識為什么分層

14相關TCP/IP知識OSI七層模型

15相關TCP/IP知識TCP/IP五層模型應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層應用層傳輸層網(wǎng)絡層7654321物理層數(shù)據(jù)鏈路層OSI參考模型TCP/IP16相關TCP/IP知識TCP/IP協(xié)議棧HTTP、Telnet、FTP、TFTP、Ping、etcTCP/UDPARP/RARPIPICMPEthernet、802.3、PPP、HDLC、FR、etc接口和線纜應用層傳輸層網(wǎng)絡層

數(shù)據(jù)鏈路層提供應用程序網(wǎng)絡接口建立端到端連接尋址和路由選擇物理介質(zhì)訪問二進制數(shù)據(jù)流傳輸物理層17相關TCP/IP知識TCP/IP協(xié)議數(shù)據(jù)封裝TELNETFTPSMTPTFTPTCP/UDPSEGMENTS

IPPACKETSFRAMESBITS18相關TCP/IP知識應用層協(xié)議文件傳輸:FTP、TFTP郵件服務:SMTP、POP3網(wǎng)絡管理:SNMP、Telnet網(wǎng)絡服務:HTTP、DNS語音服務:SIP、H.323、H.24819相關TCP/IP知識傳輸層協(xié)議應用層傳輸層網(wǎng)絡層網(wǎng)絡接入層TCPUDP20相關TCP/IP知識TCP/UDP報文格式0816243116位源端口16位目的端口32位序列號32位確認號URGACKPSHRSTSYNFIN首部長度保留(6位)16位窗口大小16位TCP校驗和16位緊急指針選項數(shù)據(jù)0816243116位源端口16位目的端口16位UDP校驗和數(shù)據(jù)UDP報文格式TCP報文格式16位UDP長度21相關TCP/IP知識TCP/UDP的端口號傳輸層協(xié)議用端口號來標識和區(qū)分各種上層應用程序。HTTPFTPTelnetSMTPDNSTFTPSNMPTCPUDPIP數(shù)據(jù)包套接字8020/212325536916122相關TCP/IP知識網(wǎng)絡層協(xié)議

數(shù)據(jù)鏈路層應用層傳輸層網(wǎng)絡層IPARPRARPICMP23相關TCP/IP知識IP報文格式24相關TCP/IP知識ARP-地址解析協(xié)議需要的MAC地址?IP:/24MAC:00-E0-FC-00-00-11IP:/24MAC:00-E0-FC-00-00-12ARPRequest?ARPReply

對應的MAC:00-E0-FC-00-00-1225相關TCP/IP知識ICMP協(xié)議B可達嗎?ICMPEchoRequestICMPEchoReply我在。AB26內(nèi)容提要NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊27防火墻核心技術介紹防火墻的定義InternetUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為內(nèi)部網(wǎng)兩個安全域之間的通信流的唯一通道一種高級訪問控制設備,置于不同網(wǎng)絡安全域之間的一系列部件的組合,它是不同網(wǎng)絡安全域間通信流的唯一通道,能根據(jù)企業(yè)有關的安全政策控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡的訪問行為。28防火墻核心技術介紹簡單包過濾防火墻

包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包,防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包過濾防火墻簡單,但是缺乏靈活性,對一些動態(tài)協(xié)商端口沒有辦法設置規(guī)則。另外包過濾防火墻每包需要都進行策略檢查,策略過多會導致性能急劇下降。狀態(tài)檢測防火墻

狀態(tài)檢測是一種高級通信過濾。它檢查應用層協(xié)議信息并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)。對于所有連接,每一個連接狀態(tài)信息都將被維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。代理型防火墻

代理型防火墻使得防火墻做為一個訪問的中間節(jié)點,對Client來說防火墻是一個Server,對Server

來說防火墻是一個Client。代理型防火墻安全性較高,但是開發(fā)代價很大。對每一種應用開發(fā)一個對應的代理服務是很難做到的,因此代理型防火墻不能支持很豐富的業(yè)務,只能針對某些應用提供代理支持。防火墻的分類29防火墻核心技術介紹簡單包過濾防火墻應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層鏈路層物理層優(yōu)點:速度快,性能高對應用程序透明缺點:不能根據(jù)狀態(tài)信息進行控制不能處理網(wǎng)絡層以上的信息網(wǎng)絡層30應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關應用層控制很弱簡單包過濾防火墻的工作原理31防火墻核心技術介紹狀態(tài)檢測防火墻應用層表示層會話層傳輸層鏈路層物理層應用層表示層會話層傳輸層鏈路層物理層應用層表示層會話層傳輸層鏈路層物理層抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表網(wǎng)絡層網(wǎng)絡層網(wǎng)絡層根據(jù)通信和應用程序狀態(tài)確定是否允許包的通行在數(shù)據(jù)包進入防火墻時就根據(jù)狀態(tài)表進行識別和判斷,無需重復查找ACL32應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關應用層控制很弱建立連接狀態(tài)表狀態(tài)檢測包過濾防火墻的工作原理33防火墻核心技術介紹應用代理技術介紹應用層表示層會話層傳輸層鏈路層物理層應用層表示層會話層傳輸層鏈路層物理層應用層表示層會話層傳輸層鏈路層物理層優(yōu)點:安全性高提供應用層的安全缺點:性能差只支持有限的應用對用戶不透明FTPHTTPSMTP網(wǎng)絡層網(wǎng)絡層網(wǎng)絡層34應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)101001001001010010000011100111101111011001001001010010000011100111101111011不檢查IP、TCP報頭不建立連接狀態(tài)表網(wǎng)絡層保護比較弱應用代理防火墻的工作原理35防火墻核心技術介紹防火墻的基本工作流程傳統(tǒng)包過濾防火墻36防火墻核心技術介紹防火墻的基本工作流程狀態(tài)檢測防火墻37內(nèi)容提要NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊38NAT技術基本原理

修改數(shù)據(jù)包的源地址/端口和目的地址/端口,并生成一張轉(zhuǎn)換對應關系表39NAT技術三種實現(xiàn)方式靜態(tài)地址轉(zhuǎn)換(StaticNAT)動態(tài)地址轉(zhuǎn)換(DynamicNAT)復用地址轉(zhuǎn)換(OverloadingNAT)40NAT技術三種實現(xiàn)方式靜態(tài)地址轉(zhuǎn)換(StaticNAT)1.一對一地址轉(zhuǎn)換

2.手工配置私有地址和公有地址的對應關系,一經(jīng)配置,地址轉(zhuǎn)換表永久存在。

3.NAT轉(zhuǎn)換表:

--->41NAT技術三種實現(xiàn)方式動態(tài)地址轉(zhuǎn)換(DynamicNAT)1.多對多地址轉(zhuǎn)換

2.配置一個地址池,當需要地址轉(zhuǎn)換的時候隨機從地址池中選取一個地址。

3.NAT轉(zhuǎn)換表:

--->--->

。。。。。。。42NAT技術三種實現(xiàn)方式復用地址轉(zhuǎn)換(OverloadingNAT)

1.一對多地址轉(zhuǎn)換,PAT,EasyIP

2.多個私有地址使用同一個公有地址進行地址轉(zhuǎn)換,在tcp和udp中使用(ip,port)實現(xiàn)復用,在icmp中可以使用(ip,id)實現(xiàn)復用。

3.NAT轉(zhuǎn)換表:

,1024--->,32768

,1025--->,32769

。。。。。。。43NAT技術具有NAT功能時數(shù)據(jù)包的轉(zhuǎn)發(fā)流程SNAT數(shù)據(jù)包進入數(shù)據(jù)包離開DNATRouting44ALG技術ALG(ApplicationLevelGateway)

NAT主要是通過對數(shù)據(jù)包的ip頭中的ip地址和tcp(udp)頭端口號進行修改,但是當一些應用協(xié)議的payload位中包含端口號或者ip地址的時候,常規(guī)的nat無法實現(xiàn)轉(zhuǎn)換。因此需要有一種方法能讀取到payload中的地址和端口,ALG是解決這種特殊應用穿越NAT的一種常用方式,該方法按照地址轉(zhuǎn)換規(guī)則,對載荷中的IP地址和端口號進行替換,從而實現(xiàn)對該應用的透明中

繼。45ALG技術普通NAT時

ftp的數(shù)據(jù)通信無法建立FTPClientNATFTPServer0控制連接三次握手控制連接三次握手Port,10,3RETRtest.txtRETRtest.txtsyn0,2563Port,10,3X46ALG技術使用了ALG后可以對port命令修改,并產(chǎn)生相應的NAT表項FTPClientNATFTPServer0控制連接三次握手控制連接三次握手Port,10,3Port,20,4,2563-->,5124RETRtest.txtRETRtest.txtsyn,5124syn,2563數(shù)據(jù)傳送47ALG技術其他的一些ALG應用

ICMPDNSH323SIP48ALG技術ALG技術對訪問控制的增強

1.它檢查應用層協(xié)議信息并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)。對于所有連接,每一個連接狀態(tài)信息都將被維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄;

2.能夠?qū)δ承┕暨M行過濾;

3.不能對所有的應用進行智能的報文過濾。49ALG技術ALG技術對訪問控制的增強工作原理

針對單通道連接時:對于TCP數(shù)據(jù)包,因為TCP有狀態(tài)機的概念,因此其工作過程為:

1.收到syn報文時建立一條相應的session表項

2.收到后續(xù)的報文時檢測acl,并更新session狀態(tài)

3.收到fin,rst報文后刪除session表項對于udp數(shù)據(jù)包,因為udp沒有狀態(tài)機的概念,因此收到第一個報文認為發(fā)起連接,收到第一個返回報文認為連接建立,Session表項和ACL的刪除取決于空閑超時50ALG技術ALG技術對訪問控制的增強工作原理

針對多通道連接時:

1.主控制通道的處理和單通道的tcp一致

2.其他控制通道或者數(shù)據(jù)通道的session和acl則需要檢測主控制通道在應用層中的信息來建立

3.典型的應用有ftp、h323、rstp、sip51ALG技術ALG技術對訪問控制的增強一些注意事項

1.有些網(wǎng)絡質(zhì)量不是很好,數(shù)據(jù)包的響應時間比較長,有可能超過session表項的超時時間,導致數(shù)據(jù)包被丟棄;2.必須保證狀態(tài)表項的完整性和及時更新,數(shù)據(jù)包出去和返回的通路必須一致.52內(nèi)容提要NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關TCP/IP知識防火墻核心技術介紹NAT技術和ALG技術常見網(wǎng)絡攻擊53常見網(wǎng)絡攻擊單報文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip-fragment54常見網(wǎng)絡攻擊分片報文攻擊TearDropPingofdeath拒絕服務類攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscan55常見網(wǎng)絡攻擊Fraggle特征:UDP報文,目的端口7(echo)或19(CharacterGenerator)目的:echo服務會將發(fā)送給這個端口的報文再次發(fā)送回去CharacterGenerator服務會回復無效的字符串攻擊者偽冒受害者地址,向目的地址為廣播地址的上述端口,發(fā)送請求,會導致受害者被回應報文泛濫攻擊如果將二者互指,源、目的都是廣播地址,會造成網(wǎng)絡帶寬被占滿原理:過濾UDP類型的目的端口號為7或19的報文56常見網(wǎng)絡攻擊IPSpoof特征:地址偽冒目的:偽造IP地址發(fā)送報文原理:對源地址進行路由表查找,如果發(fā)現(xiàn)報文進入接口不是本機所認為的這個IP地址的出接口,丟棄報文57常見網(wǎng)絡攻擊Land特征:源目的地址都是受害者的IP地址,或者源地址為127這個網(wǎng)段的地址目的:導致被攻擊設備向自己發(fā)送響應報文,通常用在synflood攻擊中配置:firewalldefendlandenable防范原理:對符合上述特征的報文丟棄58常見網(wǎng)絡攻擊Smurf特征:偽冒受害者IP地址向廣播地址發(fā)送pingecho目的:使受害者被網(wǎng)絡上主機回復的響應淹沒原理:丟棄目的地址為廣播地址的報文59常見網(wǎng)絡攻擊TCPflag特征:報文的所有可設置的標志都被標記,明顯有沖突。比如同時設置SYN、FIN、RST等位目的:使被攻擊主機因處理錯誤死機原理:丟棄符合特征的報文60常見網(wǎng)絡攻擊Winnuke特征:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論