《网络安全特性V40.ppt》由会员分享,可在线阅读,更多相关《网络安全特性V40.ppt(40页珍藏版)》请在三一文库上搜索。
1、第二章 网络安全特性,学习目标,了解安全特性的基本内容 明确AAA服务的具体内容 掌握RADIUS协议的基本原理和配置,学习完本课程,您应该能够:,课程内容,第一章 安全特性概述 第二章 AAA 第三章 RADIUS,网络安全概述,网络安全是Internet必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义: 保证内部局域网的安全(不被非法侵入) 保护和外部进行数据交换的安全 网络安全技术的完善和更新,网络安全关注的范围,常常从如下几个方面综合考虑整个网络的安全 保护网络物理线路不会轻易遭受攻击 有效识别合法的和非法的用户 实现有效的访问控制 保证内部网络的隐蔽性 有效的
2、防伪手段,重要的数据重点保护 对网络设备、网络拓扑的安全管理 病毒防范 提高安全防范意识,网络安全的必要技术,针对网络存在的各种安全隐患,安全路由器必须具有如下安全特性: 可靠性和线路安全 身份认证 访问控制 信息隐藏 数据加密和防伪 安全管理,可靠 性和线路安全,可靠性要求主要针对于故障恢复和负载能力 主备运行:主接口故障时,备份接口自动接替主用接口的工作 负载分担:网络流量增大时,备份链路承担部分主用链路的工作 线路安全指的是线路本身的安全性 防止非法用户利用线路接口进行访问,身份认证,访问路由器时的身份认证 Console口配置 Telnet登陆配置 SNMP配置 Modem远程配置 对
3、其它路由的身份认证 直接相连的邻居路由器 逻辑连接的对等体 路由信息的身份认证 防止伪造路由信息的侵入,访问控制,对网络设备的访问控制 分级保护 不同级别的用户拥有不同的操作权限 基于五元组的访问控制 根据数据包信息进行数据分类 不同的数据流采用不同的策略 基于用户的访问控制 对于接入服务用户,设定特定的过滤属性,信息隐藏,地址转换 隐藏私网内部地址 仅仅是内部用户可以直接发起建立连接请求 应用场合 内部局域网访问Internet,数据加密和防伪,数据加密 利用公网传输数据不可避免的面临数据窃听的问题 传输之前进行数据加密,保证只有与之通信的对端能够解密 数据防伪 报文在传输过程中,被截获、修
4、改,重新投放到网络上 接受端进行数据识别,丢弃被修改的报文 相关技术 数据加密 数字签名 IPSec,安全管理,保证重要的网络设备处于安全的运行环境,防止人为破坏 保护好访问口令、密码等重要的安全信息 进行安全策略管理,有效利用安全策略 在网络出入口实现报文审计和过滤,提供网络运行的必要信息,路由器的安全技术,AAA(Authentication,Authorization,Accounting)网络安全服务 提供一个实现身份认证的主框架 提供验证、授权、记帐服务 使用RADIUS等协议实现对网络的访问控制,路由器的安全技术(续),包过滤技术 提供访问控制的基本框架 提供基于IP地址等信息的包
5、过滤 提供基于接口的包过滤 提供基于时间段的包过滤,路由器的安全技术(续),地址转换技术 地址转换技术提供内部用户透明访问外部网络的功能 有效屏蔽内部网络的地址,禁止外部主机直接访问内部网络 实现内部主机的隐藏,路由器的安全技术(续),IPSec和IKE技术 IPSec(IP Security)可以实现数据的加密以及防伪,可以使在不安全的线路上传输加密信息,形成“安全的隧道”。可以为用户在Internet上提供安全的VPN解决方案。 IKE(密钥交换协议)为通信双方提供交换密钥等服务,IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。并且保证永远不在不安全的网络上直接
6、传送密钥,而是通过一系列交换信息计算密钥。,路由器的安全技术(续),隧道技术 隧道技术是实现VPN的核心技术 二层隧道技术主要有VPDN,主要用来提供拨号接入服务 三层隧道技术主要有GRE,主要用来使用户在Internet上构建自己的虚拟专网,二层隧道示意图,三层隧道示意图,安全接入Internet,基于接口的包过滤 基于时间段定义过滤规则 通过地址转换灵活访问Internet 外部不能直接访问内部网络 可以通过地址转换向外提供WWW、FTP等服务器,组建安全的VPN,出差员工通过当地的ISP接入到Internet,进而接入公司总部 办事处及分支机构通过GRE和IPSec实现与总部间的互联,数
7、据采取加密传输,课程内容,第一章 安全特性概述 第二章 AAA 第三章 RADIUS,AAA概述,验证(Authentication) 授权(Authorization) 计费(Accounting),Router,Router,AAA Server,本地实现AAA,使用服务器实现AAA,提供AAA支持的服务,Router,Router,Router,EXEC,远程设备,FTP Client,PPP,验证与授权,验 证,授 权,用户名、口令验证,PPP的CHAP验证,主叫号码认证,服务类型,回呼号码,隧道属性,计费及AAA使用特别提醒,记录用户使用资源 情况 只能使用AAA服务器进行计费 对于
8、进行了验证的用户缺省都要进行计费 如果不希望计费一定钥配置如下命令: aaa accounting-scheme optional,AAA基本配置命令,配置命令 aaa-enable aaa accounting-scheme optional aaa authentication-scheme login default | methods-list method1 method2 . aaa authentication-scheme ppp default | methods-list method1 method2 . 方法表 5种有效组合:radius、local、none、radi
9、us local、radius none,本地用户数据库,本地用户数据库,用户名,用户口令,授权服务,主叫号码,回呼号码,FTP授权目录,相关命令,Local-user Display aaa user,用 户 数 据,AAA配置举例,启动AAA Router(config)#aaa-enable 配置PPP用户的缺省验证方法表 Router(config)#aaa authentication-scheme login default local 配置不计费时仍然允许用户访问 Router(config)#aaa accounting-scheme optional 将缺省方发表应用到封装了
10、PPP的接口 Router(config-if)#ppp authentication-mode pap scheme default,调试和监控信息,显示在线用户 show aaa user 原语调试信息,观察AAA请求与结果 debugging radius primitive 事件调试信息,观察AAA过程 debugging radius event,RADIUS概述,RADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协议 实现AAA(授权Authorization、验证Authentication和计费Accou
11、nting)功能,RADIUS实现AAA的流程,用户上网,验证请求,验证授权通过,授权并允许用户上网,RADIUS结构及基本原理,RADIUS协议采用客户机/服务器(Client/Server)结构,使用UDP协议作为传输协议 RADIUS使用MD5加密算法对数据包进行数字签名,以及对口令进行加密 RADIUS包机构灵活,扩展性好,各属性,类型,长度,值,类型码,ID,长度,验证字,RADIUS验证与授权,验证、授权过程如下: 路由器将得到的用户信息打包向RADIUS服务器发送 RADIUS服务器对用户进行验证: 合法用户返回访问接受包(用户授权信息) 非法用户返回访问拒绝包 路由器接受服务器
12、的响应包: 访问接受包允许上网,使用其授权信息对用户进行处理 访问拒绝包拒绝用户上网请求,每次计费过程包括计费请求、计费应答 对一个用户的计费过程有: 计费信息: 计费失败处理,RADIUS计费,计费开始,实时计费,计费结束,会话时长,输入字节数,输出字节数,输入包数,输出包数,RADIUS用户管理,RADIUS协议为标准协议,遵循RADIUS协议的所有服务器可以互通 用户管理放置在RADIUS服务器端进行,有相应的管理软件 用户可以灵活选用RUDIUS服务器及用户管理软件,RADIUS基本配置,配置RADIUS服务器 radius server hostname | ip-address a
13、uthentication-port port-number accouting-port port-number radius shared-key string 配置重传参数 radius-server retransmit radius-server timeout 配置实时计费 radius-server realtime-acct-timeout,RADIUS配置举例,启用AAA Router(config)#aaa-enable 配置PPP用户的缺省验证方发表 Router(config)#aaa authentication-scheme login default radius
14、 local 配置RADIUS服务器IP地址和端口,使用默认端口号 Router(config)#radius server 129.7.66.68 Router(config)#radius server 129.7.66.66 accouting-port 0 Router(config)#radius server 129.7.66.67 authentication-port 0,RADIUS配置举例(续),配置RADIUS服务器密钥、重传次数、超时定时器 Router(config)#radius shared-key this-is-my-secret Router(config)#radius retry 2 Router(config)#radius timer response-timeout 5 将缺省方发表应用到封装了PPP的接口 Router(config-if)ppp authentication-mode pap scheme default,RADIUS包调试信息,协议报文调试信息开关 debugging radius packet 帮助诊断RADIUS故障 观察发送、接受数据包的情况及整个RADIUS包的内容,本章总结,安全特性概述 AAA服务 RADIUS服务器,