中小型企业/单位 简单安全网络架构
- 网络架构问题
- 安全隐患
- 安全设计
- 安全访问
假设某单位/企业有如下的IPV4网络环境
网络架构问题
- 请指出该网络环境的安全隐患,分析原因,并指出可能由此引起的攻击事件。
- 从网络管理员角度对此网络环境进行安全设计。请详细设计(软、硬件)安全方案,并说明理由,绘出结构图。
- 对于出差在外地的员工,如何保证安全访问该网络?请详细介绍所用技术原理以及具体方案。
安全隐患
一、安全隐患分析
1. 数据链路层
(1) 安全隐患1
交换机不能阻止广播信息。面对广播帧,交换机会传播到网络上的每台主机。因此如果广播帧不能被妥善处理,大量的广播帧有可能在内网中流传造成内网计算机与服务器运行负担。
同样是广播方式发送的还有ARP请求(相反ARP响应是单播方式发送)。ARP请求如果在内网中被大量转发就会造成网络拥塞甚至崩溃。
(2) 安全隐患2
计算机的ARP表默认情况下根据接收到ARP应答包直接进行更新,再加上ARP协议本身是不连接不可靠非认证的协议,就有可能导致伪造的、篡改的ARP应答包发送至内网主机、服务器或者是路由器进而欺骗其ARP表,甚至使其溢出。
2. 网络层
(1) 安全隐患1
倘若路由器并未安装防火墙或是设置任何安全策略,就会接收下所有互联网上发来的数据。那么就有可能接收到伪造、海量、入侵、攻击数据并转发,造成路由器本身以及内网的损失伤害。
(2) 安全隐患2
路由器默认使用的路由表是系统路由表,如果路由表是动态更新的,路由器就会信任地接收可能伪造的路由报文(RIP、ICMP)导致被欺骗并错误地刷新路由表。这同时也是基于这些网络层协议缺乏身份鉴别、验证和数据保护机制的原因。
(3) 安全隐患3
同样网络层容易受广播数据的影响。路由器没有过滤广播数据包的功能,并且内网主机/服务器的操作系统是Linux(自Windows 2003开始Windows系统不再对广播信息作响应),会使得来自外网的广播数据自由进入内网迫使内网主机/服务器作出响应。
(4) 安全隐患4
网络地址转换NAT机制可以有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。缺失该机制,会导致内部网络的拓扑结构暴露,降低安全性。
(5) 安全隐患5
仅使用IP协议的通信无法保证通信双方过程的机密性、数据完整性和不可否认性,可能会导致通信数据被监听、篡改、伪造、否认等。
3.传输层
(1)安全隐患1
内网主机/服务器上不必要的服务端口如果处于开启状态,有可能会被基于TCP、UDP的端口扫描方法所发现并被定向攻击。
4.应用层
(1)安全隐患1
服务器打开80端口用于提供http服务,由于http协议是非加密、无状态、基于TCP连接的协议,所以无法保证数据的机密性、数据完整性和来源的可靠性,通信过程可能面临被嗅探监听、篡改、假冒、攻击等问题。
二、攻击事件分析
1.数据链路层
(1)安全隐患1可能引起的攻击事件
针对于广播数据,可能会引起的攻击有广播风暴和ARP雪崩。
广播风暴可能发生于内网中,由内网主机发起攻击,或是外网攻击者攻陷内网其中一台主机再控制其发起广播风暴攻击。
ARP雪崩发生于路由器上,攻击者向路由器发送大量请求,致使其在内网中发送大量ARP广播请求查找相应请求的MAC地址,造成内网拥塞或崩溃。
(2)安全隐患2可能引起的攻击事件
ARP欺骗攻击,可以欺骗主机/服务器的ARP表更新错误的ARP记录,进而引发更深层次的攻击:ARP中间人攻击、DoS攻击、断网攻击、ARP扫描攻击等等。
2.网络层
(1)安全隐患1可能引起的攻击事件
由于路由器对于发来的数据全部接收,那就会导致很多不同类型的攻击。
对路由器本身,可能因为接收了DoS数据导致路由器自身被DoS攻击;
对路由器内的网络,同样容易受所有类型的DoS攻击(如基于TCP、UDP、HTTP类型的DoS攻击)的影响;没有防火墙的过滤保护,像IP分片攻击等也容易实施;同时还包括扫描、监听、伪造、篡改通信数据以及入侵的问题存在。
(2)安全隐患2可能引起的攻击事件
因为路由表不是静态而是动态更新,所以如果接收到伪造、篡改的路由报文就会造成路由欺骗/中毒攻击(RIP中间人/欺骗、黑洞、ICMP重定向),甚至是路由淹没攻击*等等。
(3)安全隐患3可能引起的攻击事件
路由器如果没有处理广播数据的能力,就会将广播数据引入内网,类似的会引起如Smurf攻击。
(4)安全隐患4可能引起的攻击事件
没有启用NAT机制,一来IP地址会不够分配到内网的每台主机,而来如果内网主机使用自己的真实IP连接外网,容易被攻击者作流量分析,得出内网网络拓扑结构*。
(5)安全隐患5可能引起的攻击事件
通常情况下常用IP协议进行通信,但无法维持一个安全信道,可能面临IP嗅探攻击、IP篡改攻击等。
3.传输层
(1)安全隐患1可能引起的攻击事件
针对服务器,无需对外提供服务的端口如果开启,面临着基于TCP、UDP的端口扫描攻击以及DoS攻击。
4.应用层
(1)安全隐患1
由于http协议的弱点,单纯提供使用http协议提供WWW服务就会导致外网针对服务器的http嗅探攻击、http中间人攻击、http DoS攻击等等。
安全设计
一、防火墙(FW)设计
(1)类型
防火墙主要类型选择应用级网关,这是当前最安全的防火墙结构之一,为每个服务提供特定代理,特定代理会检查和过滤通过网关的整个数据包,同时作为代理存在,避免了内外主机之间的直接连接,提高安全性。
设计中还存在包过滤防火墙,具体被放置在路由器中。
应用级网关下的类别可再细分出Web应用防火墙(WAF),Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
(2)结构
防火墙体系结构采用最安全的屏蔽子网体系结构。需要构造周边网络,也称“非军事区”(DMZ),处于Internet和内部网络之间,其中包含有两个路由器以及堡垒主机(代理服务器)三个设备。
结构设计上,基本遵循屏蔽子网体系结构的构造。单位的服务器运行在DMZ区中并对外网提供WWW服务,同时添加了WAF作为服务器专用的防火墙,两个路由器分别设置了包过滤防火墙,应用级网关则作为外部路由器之后的第二道防线,过滤和检查来往通过的整个数据包。
(3)规则/策略/功能
内部网络可以单向访问DMZ区域,部分内部用户可以访问外部网络,限制DMZ区域访问外部网络,外部网络也可以单向访问DMZ区域,但不能访问内部网络,且DMZ区域不能访问内网。如此一来便可实现内部网络与外部网络的分离。
二、入侵检测/防御系统(IDS/IPS)设计
(1)类型
入侵检测系统IDS包含有基于网络的IDS(NIDS)与基于主机的IDS(HIDS),分别用于截获数据包检测,和审计主机记录日志。但IDS一般只做检测工作,并不做防护工作,因此引入IPS。
入侵防御系统IPS区别于IDS,不仅能检测出攻击,还能对已知攻击类型进行防御,属于访问控制类工具,与防火墙类似,而IDS属于审计类工具。
(2)结构
根据IDS和IPS的功能分类,将NIDS放置在流量入口处,HIDS放置在服务器上,IPS作为交叉口的检测关键来放置。
(3)规则/策略/功能
内部网络中有一个NIDS基于网络的入侵检测系统,检测进出内部网络的数据流量。
DMZ区域也有一个NIDS,用于检测进出服务器的数据流量。
在服务器上还放置了HIDS基于主机的入侵检测系统,负责审计服务器主机内的日志记录,结合WAF一起检测外部网络用户对服务器的访问。
IPS入侵防御系统放置在网络出口处,检测入侵攻击行为的同时对攻击行为进行防御阻断。
三、路由器设计
(1)规则/策略/功能
外部路由器:
①作为屏蔽子网体系结构的第一道屏障,其主要作用是保护周边网络和内部网络。首先需要设置对周边网络以及内部网络访问的过滤规则:限制外部网络用户只能访问周边网络而不能访问内部网络,限制周边网络访问外部网络。
②在该路由器上还需要具备包过滤防火墙的功能,对数据包的过滤规则包括:限制广播数据、DoS数据、ICMP重定向报文等。
③对路由器自身的保护还要保护其路由表不被恶意更改,因此要使用静态路由表,使其不易被外部网络数据所随意更改。
④在路由器上还要添加NAT机制,为内部网络主机访问外部网络提供IP地址转换。
⑤在路由器上部署IPSec,弥补IP协议的缺点,方便制定安全策略。
⑥使用支持VPN功能的路由器,提供远程人员访问内部网络的支持。
内部路由器:
①作为屏蔽子网体系结构的第二道屏障,其主要作用是隔离周边网络和内部网络。需要设置针对内部网络用户访问的过滤规则:限制内部网络用户访问外部网络和周边网络,部分内部用户允许,部分内部用户禁止;周边网络也被限制访问内部网络。
②与外部路由器类似,需要具备包过滤防火墙功能、使用静态路由表。
四、交换机设计
(1)规则/策略/功能
①交换机上选择配置IEEE 802.1x协议(基于端口的访问控制协议)。主机在连接交换机时需进行身份认证和授权。
②交换机使用静态MAC地址表避免地址表被欺骗和恶意更改。
五、主机/服务器设计
(1)规则/策略/功能
①内部网络的主机在不对外提供服务时需要关闭不必要的端口以防止被监听或攻击。
②若是Linux系统需要关闭对广播消息的响应(Windows系统不响应广播消息)。
③建立静态ARP表,将MAC地址与IP地址静态绑定,同时缩短ARP表缓存时间。
④安装安全防护软件。
⑤针对服务器,不再使用http协议,关闭80端口。使用https协议作为替代,打开443端口以https协议为基础对外部网络提供WWW服务。
六、整体设计
(1)考虑到单位可能存在不同部门,因此在上面设计的基础上做了进一步的架构规划。假设有4个不同的部门,做了交换机的级联。同时内外路由器、应用级网关(防火墙)和IPS都两次布置,使得其中某一个设备即便出现故障或是被攻陷,也不会影响到单位网络的正常运转。
(2)注:红色线表示与黑色线不相交。
安全访问
一、设计思路
要安全访问该网络,首先会想到是使用VPN技术。那么就要考虑使用哪个种类的VPN技术,常见的VPN技术有PPTP VPN、L2TP VPN、IPSec VPN和SSL/TLS VPN。
分析题目要求可以得出,通信双方对象是“远程人员”和“网络”,即Client-to-LAN。然后一个个VPN技术进行分析。
首先PPTP VPN,可以用于个人用户远程访问VPN服务器网络,但由于PPTP本身没有定义加密功能,只是对加密PPP数据作封装,因此安全性不足,不采纳。
L2TP VPN,因为L2TP没有安全机制,不保证机密性和完整性,所以需要借助IPSec来加密隧道,同时需要架设LAC与LAS才能保证其正常运行,不采纳。
IPSec VPN,被广泛应用到VPN中。在认证加密方式上,ESP协议不认证包头,所以最好是采用AH认证、ESP加密,但采用了AH,就无法通过NAT机制的防火墙。因此IPSec VPN是无法通过防火墙的,不采纳。(查阅资料发现有解决方法,说是使用UDP,具体没有细究)
SSL/TLS VPN,对应的客户端程序就是浏览器,使用方便。其次不会受到防火墙等NAT设备的影响,克服了穿透防火墙、IP地址冲突的问题。但相比于IPSec,安全性稍稍弱一点,且性能远不如IPSec VPN。
综上,选择SSL/TLS VPN,其更适合远程用户访问内部网络。
二、技术原理
SSL/TLS VPN显而易见是基于SSL/TLS协议的,因此技术原理上不讲解协议内容,只列出SSL/TLS VPN的大致工作过程。
(1)首先远程主机与SSL VPN网关之间建立SSL连接,建立过程需要进行基于证书的身份验证。
(2)SSL连接建立成功后进入SSL VPN网关的登录页面,准确输入用户名和密码验证成功后进入Web访问页面。
(3)接着远程用户可以在访问页面上查看可以访问的资源列表,如Web服务器资源、文件共享资源等。
(4)选择需要访问的资源后,再通过SSL连接将访问请求发送给SSL VPN网关。
(5)SSL VPN网关接收后,检查用户权限是否足够访问指定资源,再将访问请求转发到内部网络服务器。
(6)内部网络服务器接收到请求后,将响应以明文形式发送给SSL VPN网关。
(7)SSL VPN网关再将服务器响应通过SSL连接发送给远程主机。完成访问过程。
三、技术方案
SSL VPN是基于Web浏览器的,因此不需要为此额外安装客户端,一般的PC机上都自带浏览器,可直接作为SSL VPN的客户端使用。
SSL VPN网关也可称为SSL代理服务器,一般部署在网络的防火墙内,具体部署方式有以下四种。
(1)与防火墙集成
包过滤防火墙一般安装在路由器上,因此与防火墙集成其实是与外部/内部路由器集成。与外部路由器集成,需要路由器本身的443端口开启,作为最外层防火墙开启这样的服务端口会大大增大被攻击的可能性;与内部路由器集成,虽然被攻击可能性不大,但集成后会增加内部路由器的安全和性能负担。综上,不可行。
(2)部署在内部网络
如果SSL VPN网关在内部网络中,即完全位于防火墙之后,其加密数据无法经过防火墙等检查过滤,有可能让恶意数据直接入侵到内网中。同时,如果SSL VPN网关自身被攻陷,也会给内网设备带来威胁。因此不可行。
(3)部署在周边网络(DMZ区域)
部署在DMZ区可以避免SSL VPN网关自身被攻陷后危害内网设备,但也由于处在DMZ区中,且SSL VPN网关需要对SSL连接的数据解密后再转发,所以明文数据也会存在于DMZ区中,存在安全威胁,不可行。解决办法是下面第四种部署方式。
(4)以双网卡形式部署在周边网络(DMZ区域)
双网卡形式的SSL VPN网关分为内部网卡与外部网卡,内部网卡连接内部路由器,外部网卡连接DMZ区。远程用户通过外部网卡建立SSL连接再发送数据,SSL VPN网关解密数据后再通过内部网卡经由内部路由器(防火墙)转发。
这样一来,解密后的数据没有经过DMZ区域,保障了不会被监听,且数据经过了防火墙的检查过滤,保证了内网安全。即便DMZ区域被攻击,也只会影响SSL VPN网关的外部网卡,不会影响内部网卡,更不会威胁到内网设备。
