第四章

第四章 网络安全与管理

网络安全技术概述 安全接入技术访问控制列表ACL 网络安全设施网络管理 Contents

计算机安全基础 • 什么是计算机安全 • 国际标准化组织ISO对计算机安全作了如下定义：计算机安全是指为保护数据处理系统而采取的技术的和管理的安全措施，保护计算机硬件、软件和数据不会因偶然或故意的原因而遭到破坏、更改和泄密。 • 计算机安全的主要内容 • 计算机硬件的安全性 • 软件安全性 • 数据安全性 • 计算机运行安全性

破坏计算机安全的途径 • 破坏计算机安全的途径 • 窃取计算机用户密码、上机或通过网络非法访问数据、复制、删改软件和数据。 • 通过磁盘、网络等传播计算机病毒。 • 通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。 • 偷窃存储有重要数据的存储介质，如光盘、磁带、硬盘、U盘等。 • “黑客”通过网络非法侵入计算机系统。

保护计算机安全的措施 • 保护计算机安全的措施 • 物理措施包括机房安全，严格的安全制度，采取防窃听、防辐射措施等。 • 数据加密，对磁盘上的数据或通过网络传输的数据进行加密。 • 防止计算机病毒，计算机病毒会对计算机系统的资源产生很大的危害，甚至造成重大损失。 • 采取安全访问措施，如使用身份认证和密码，设置数据或文件的访问权限。 • 采取其他安全措施，包括确保数据的完整性、计算机容错、数据备份和加强审计等。 • 最重要的是要加强安全教育，培养安全意识。

网络安全基础 • 网络安全的内涵 • 网络安全的传统提法一般是指信息的保密性（Security）、完整性（Integrity）和可靠性（Reliability）。后来，计算机安全专家又提出了一种新的安全框架，在原来的基础上增加了实用性（Utility）、真实性（Authenticity）和占有性（Possession）。 • 可能受到威胁的网络资源 • 硬件设备，如服务器、交换机、路由器、集线器和存储设备等；软件，如操作系统、应用软件、开发工具等；数据或信息。 • 网络安全问题日益突出的主要原因

网络安全控制措施 • 物理安全 • 访问控制 • 密码 • 网络资源属主、属性和访问权限 • 网络安全监视 • 审计和跟踪 • 加密与数字签名 • SSL协议 • 电子邮件安全 • 防火墙

什么是PKI • Public Key Infrastructure，公钥基础结构 • PKI由公钥加密技术、数字证书、证书颁发机构（CA），注册机构（RA）等共同组成 • 数字证书用于用户的身份验证 • CA是一个可信任的实体，负责发布、更新和吊销证书 • RA接受用户的请求等功能 • PKI体系能够实现的功能有 • 身份认证 • 数据完整性 • 数据机密性 • 操作的不可否认性

公钥加密技术 • 公钥（Public Key）和私钥（Private Key） • 密钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密 • 不能根据一个密钥来推算得出另一个密钥 • 公钥对外公开；私钥只有私钥的持有人才知道 • 私钥应该由密钥的持有人妥善保管

数据加密 • 发送方使用接收方的公钥加密数据 • 当接收方使用自己的私钥解密这些数据 • 数据加密能保证所发送数据的机密性

数字签名 • 发送方使用自己的私钥加密 • 接收方使用发送方的公钥解密 • 身份验证、数据的完整性、操作的不可否认性

什么是证书2-1 • PKI系统中的数字证书简称证书 • 它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身份证号等）捆绑在一起 • 证书的主体可以是用户、计算机、服务等 • 证书可以用于很多方面 • Web 用户身份验证 • Web 服务器身份验证 • 安全电子邮件 • Internet 协议安全（IPSec）

什么是证书2-2 • 数字证书是由权威公正的第三方机构即CA签发的 • 证书包含以下信息 • 使用者的公钥值 • 使用者标识信息（如名称和电子邮件地址） • 有效期（证书的有效时间） • 颁发者标识信息 • 颁发者的数字签名

CA的作用 • CA的核心功能就是颁发和管理数字证书 • 具体描述如下 • 处理证书申请 • 鉴定申请者是否有资格接收证书 • 证书的发放 • 证书的更新 • 接收最终用户数字证书的查询、撤销 • 产生和发布证书吊销列表（CRL） • 数字证书的归档 • 密钥归档 • 历史数据归档

证书的发放过程3-1 Page 16/32

证书的发放过程3-2 • 1）证书申请 • 用户根据个人信息填好申请证书的信息并提交证书申请信息 • 2）RA确认用户 • 在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性 • 3）证书策略处理 • 如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等 • 4）RA提交用户申请信息到CA • RA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的 Page 17/32

证书的发放过程3-3 • 5）CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进行签名，生成电子证书 • 这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中 • 6）CA将电子证书传送给批准该用户的RA • 7）RA将电子证书传送给用户（或者用户主动取回） • 8）用户验证CA颁发的证书 • 确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发 Page 18/32

网络安全技术概述 安全接入技术访问控制列表ACL 网络安全设施网络管理 Contents

远程访问系统 • 远程用户的管理信息配置在网络上的拨号访问服务器（NAS）设备中，其内容包括相应用户的账号、密码、访问权限等信息，由NAS直接负责进行用户身份认证和访问授权控制。

AAA介绍 • AAA 是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。 • AAA（Authentication、Authorization、Accounting，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架 • AAA主要解决的是网络安全访问控制的问题

AAA介绍(续) • Authentication：认证模块可以验证用户是否可获得访问权。 • Authorization：授权模块可以定义用户可使用哪些服务或这拥有哪些权限。 • Accounting：计费模块可以记录用户使用网络资源的情况。可实现对用户使用网络资源情况的记帐、统计、跟踪。

AAA介绍(续) • 相对与其他的本地身份认证、端口安全等安全策略，AAA能够提供更高等级的安全保护。 • AAA优点： • 灵活性 • 可控性 • 可扩展性 • 可靠性 • 标准化协议

AAA基本模型 • AAA基本模型中分为用户、NAS、认证服务器三个部分

AAA基本模型(续) • 用户向NAS设备发起连接请求 • NAS设备将用户的请求转发给认证服务器 • 认证服务器返回认证结果信息给NAS设备 • NAS设备根据认证服务器返回的认证结果对用户采取相应认证、授权、计费的操作

配置AAA ——Authentication • 启用AAA • Router(config)#aaa new-model • 配置验证列表 • Router(config)#aaa authenticationservice { default | list-name } method1 [ method2… ] • 验证列表用于定义对用户进行身份认证的多种方法，这样确保在第一种方法失败的情况下，可以使用备份验证方式和备份验证系统。 • 只有在前一种方法没有应答的情况下，NAS设备才会尝试下一种方法 • 如果在验证列表中的最后一种认证方式而还没有成功，则身份认证宣告失败

配置AAA ——Authentication • 参数service表示针对哪种接入方式行为进行认证，可以选择的方式为： • dot1x：对802.1x的接入行为进行认证。 • enable：对enable（进入特权模式）行为进行认证。 • login：对登录本地的行为进行认证。 • ppp：对PPP接入进行认证。

配置AAA ——Authentication • 参数method表示此验证列表中使用的认证方式，认证方法可以有以下几种方式： • group radius：使用所有的RADIUS服务器进行验证 • group group-name：使用RADIUS服务器组中的服务器进行验证 • local：使用本地用户数据库进行验证。当配置local参数使用本地用户数据库进行验证时，需要使用usernameusernamepassword password命令预先在本地创建用户 • None：不验证。此参数可以作为最后的备用验证方式，如果由于网络或设备故障导致无法正常的进行验证时，在验证列表的最后一步可以使用none不对用户进行验证

配置AAA——Authentication • 应用验证列表 • Router(config-line)#loginauthentication { default | list-name } • 将验证列表应用到PPP接口： • Router(config-if)#ppp authentication { default | list-name }

Authentication配置示例

配置AAA——Authorization • 配置授权列表： • Router(config)#aaa authorization network { default |list-name } method 1 [ method 2...] • network：对网络访问进行授权，例如PPP、SLIP、Ethernet。 • default：默认授权列表。默认情况下，默认的授权列表default将应用于所有接口和线路。 • list-name：定义授权列表的名称，后续将指定的授权列表应用于具体的接口、线路时将引用此名称。 • method：定义授权方法，授权方法包括group radius、local和none。 • 将授权列表应用到PPP接口： • Router(config-if)#ppp authorization { default |list-name }

配置AAA——配置Accounting • 配置计费列表： • Router(config)#aaa accounting network { default | list-name } start-stop method 1 [method 2…] • network：对网络应用进行计费，例如PPP、SLIP、Ethernet。 • default：默认计费列表。默认情况下，默认的计费列表default将应用于所有接口和线路。 • stard-stop：网络访问服务器在用户开始和结束访问网络的时候向RADIUS服务器发送计费信息； • list-name：定义计费列表的名称。后续将指定的计费列表应用于具体的接口、线路时将引用此名称。 • method：定义计费方法，计费方法包括group radius、group group-name。 • 将计费列表应用到PPP接口： • Router(config-if)#ppp accounting { default |list-name }

Radius协议概述 • RADIUS ( Remote Authentication Dial In User Service 远程认证拨号用户服务 )是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议客户端主机交换机 Radius服务器

Radius协议模型 Radius协议模型客户端主机交换机 Radius服务器 Radius服务器 NAS USER

RADIUS协议特点 • RADIUS协议特点 • 客户/服务器模型：网络接入设备（NAS）通常作为RADIUS服务器的客户端。 • 安全性：RADIUS服务器与NAS之间使用共享密钥对敏感信息进行加密，该密钥不会在网络上传输。 • 可扩展的协议设计：RADIUS使用属性-长度-值（AVP，Attribute-Length-Value）数据封装格式，用户可以自定义其他的私有属性，扩展RADIUS的应用。 • 灵活的鉴别机制：RADIUS服务器支持多种方式对用户进行认证，支持PAP、CHAP、UNIX login等多种认证方式。

RADIUS认证过程

RADIUS授权过程

RADIUS计费过程

配置RADIUS • 配置RADIUS服务器 • Router(config)#radius-server hostip-address [ auth-portport | acct-portport ]* • ip-address表示远程RADIUS服务器的IP地址。 • auth-port参数表示配置RADIUS服务器的认证和授权端口号，默认情况下RADIUS服务器的认证和授权端口号为UDP 1812；acct-port参数表示配置RADIUS服务器的计费端口号，默认情况下RADIUS服务器的计费端口号为UDP 1813。 • 以使用此命令添加多个RADIUS服务器，当一个RADIUS服务器不可用时将使用下一个配置的RADIUS服务器，NAS将按照配置的顺序进行查找。

配置RADIUS • 配置RADIUS服务器认证密钥 • Router(config)#radius-server host key { 0 string | 7 string | string} • 配置服务器组 • Router(config)#aaa group server radiusgroup-name • 将RADIUS服务器加入到服务器组中： • Router(config-gs-radius)#radius-server hostip-address [ auth-portport | acct-portport ]*

Q • Q • qsdgfwdfas

RADIUS高级配置 • 配置RADIUS超时时间 • Router(config)#radius-server timeoutseconds • 配置RADIUS重传次数 • Router(config)#radius-server retransmit retries • 配置RADIUS服务器的死亡时间 • Router(config)#radius-server deadtime minutes • 配置发送请求的源接口 • Router(config)#ip radius source-interface interface

AAA及RADIUS配置示例 • 在上图所示的拓扑中，需要对远程登录到NAS设备上的用户进行AAA认证。认证方法首先使用RADIUS进行验证，如果RADIUS无法访问，则进行本地验证。

AAA及RADIUS配置示例(续)

802.1x概述 • 局域网的特点 • IEEE 802局域网协议定义的局域网不提供认证 • 只要用户接入到网络，就可以访问网络资源 • 威胁内部网络安全 • 移动办公、WLAN • 802.1x • 起初用于解决802.11无线局域网的接入认证问题 • 现在有线网络中也可到了广泛部署 • 提供安全机制 • 低成本 • 灵活性 • 扩展性 • 基于端口的网络接入控制（Port Based Network Access Control） • 只有用户通过认证，端口才被”开放“，否则端口处于”关闭“状态

802.1x认证体系 • 802.1x是一个Client/Server结构 • 802.1x认证体系中的组件 • 恳求者系统（Supplicant System） • 认证系统（Authenticator System） • 认证服务器系统（Authentication Server System）

802.1x认证组件 • 恳求者系统（Supplicant） • 也称为客户端（Client） • 通常为支持802.1x认证的用户终端设备 • 安装802.1x客户端软件 • Ruijie Supplicant • Windows XP • 认证系统（Authenticatior System） • 对恳求者进行认证 • 作为恳求者与认证服务器之间的“中介” • 为恳求者提供服务端口（物理、逻辑） • 受控端口 • 始终处于双向连通状态，用来传递EAPoL协议帧

802.1x认证组件(续) • 非受控端口 • 只有在认证通过的状态下才打开，用于传递网络资源和服务 • 认证通过之前只允许EAPoL（Extensible Authentication Protocol over LAN）帧通过 • 认证系统与认证服务器之间也运行EAP • 认证系统将EAP帧封装到RADIUS报文中发送给认证服务器 • 认证服务器系统（Authentication Server System） • 提供认证服务 • 通常是一个RADIUS服务器 • 将认证结果返回给认证系统

802.1x认证组件(续)

802.1x工作机制 • 802.1x工作机制概述 • 在客户端与交换机之间，EAP协议报文（承载认证信息）直接被封装到LAN协议中 • 在交换机与RADIUS服务器之间，EAP协议报文被封装到RADIUS报文中，即EAPoRADIUS报文 • 交换机在整个认证过程中不参与认证，所有的认证工作都由RADIUS服务器完成 • 当RADIUS服务器对客户端身份进行认证后，将认证结果（接受或拒绝）返回给交换机，交换机根据认证结果决定受控端口的状态

第四章

第四章

Presentation Transcript