Cisco安全解决方案.doc

安全威胁cisco安全解决方案安全连接:VPN技术威胁防卫:防火墙(PIX,ASA,FWSM,IPS,IDS)信任和身份识别:workadmincontrol)(网络准入机制,什么情况下可以接入网络),ACS,:MARS(managementanalyzereportsystem)安全实现的三个步骤integratedsecurity集成的安全:把安全功能整合到网络设备上,使得网络安全不依赖于边界collaborativesecuritysystem互操作性的安全系统:把不同设备整合到一起,协同工作,共同对应安全事件adaptivethreatdefense自适应的威胁防范:能够自动发现安全威胁(由IPS,AV等对控制服务器发出告警,由控制服务器指示网络设备做出反应,隔离威胁流量)(反病毒,蠕虫,垃圾邮件,攻击…)网络攻击的分类reconnaissance侦测:essattacks:提升或者获取权限访问机密信息DoS:是系统不能正常提供服务编写木马,病毒,蠕虫;针对应用层漏洞的攻击;威胁网络管理流量reconnaissance侦测攻击:packetsniffer,portscan,pingsweep,informationqueries(通过英特网获取信息)sniffer:大多需要将网卡设置为promiscuousmode混杂模式目标:监听流量中明文内容,,ftp,snmp,pop,http等如果用以太网口抓包,需要保证攻击者和目标在同一冲突域内sniffer的防御方法:使用更加有效的认证方式。如果密码是明文的话,尽量使用OTP一次性密码(如使用tokencard,S/key软件)尽量使用加密方式,ipsec,ssh,ssl等antisniffertool。用来比较正常响应时间和实际响应时间,来发现是否存在中间人攻击使用switch架构,而不是hubpoarscan分类:全连接扫描:向开放的端口建立完整的TCP连接半连接扫描:向端口发送连接请求SYN,收到ACK响应就认为端口是开放的(比全连接扫描更加隐蔽)基于奇特的TCP标志位组合的扫描:[TCP标志位有SYN,ACK,FIN,RESET,PUSH(push整个数据包很紧急),URT(urgent数据包中的某个位置很紧急)] 例如6个标志位全为1,全为0,或者一开始就发送FIN消息等。LINUX,UNIX收到奇异标志位的话,会中止会话,这样就能够得知端口是否开放[扫描工具NmapWin,blue’sportscanner]poarscan,pingsweep的防御方法:扫描来自外网的话,防火墙可以限制针对来自内网的扫描,只能通过IPS,informationqueries: essattacks:密码猜解,信任关系漏洞,端口重定向,中间人攻击,利用程序缓存溢出漏洞密码猜解:通过sniffer或者木马或者字典/暴力破解或者网络钓鱼手段[WIN:SAM;Linux:shawsd数据库中中存着用户密码文件,可以获取后做离线破解]防御方法:不同系统不使用相同密码;尝试多次后所定账户;密码不使用明文方式存放;使用强壮的密码[DMZ主机和内网主机之间不应该建立域信任关系]portredirection端口重定向:利用攻破DMZ主机后安全端口重定向程序,使外网-内网的访问可以绕过防火墙的限