网络信息安全认证.ppt_三一文库31doc.com

资源描述

《网络信息安全认证.ppt》由会员分享，可在线阅读，更多相关《网络信息安全认证.ppt（243页珍藏版）》请在三一文库上搜索。

1、网络信息安全认证,嘉为教育,第一部分信息安全的基础知识,网络信息安全讲座,一、什么是信息安全,网络安全背景,与Internet相关的安全事件频繁出现安全问题遍及流行的软件如Navigator和IE，以及复杂的电子商务服务器；黑客攻击及计算机病毒愈来愈多 Internet已经成为商务活动、通讯及协作的重要平台 Internet最初被设计为开放式网络开放式网络（Open Network）：允许自由访问的一组服务器和计算机；从一个安全的角度看，Internet是天生不安全的，TCP/IP协议没有内置保护信息的能力；然而现在，商业团体和个人开始需要Internet应用安全的原则，以保护敏感

2、的数据。,什么是安全？,安全的定义：信息安全的定义：为了防止未经授权就对知识、事实、数据或能力进行实用、滥用、修改或拒绝使用而采取的措施。信息安全的组成：信息安全是一个综合的解决方案，包括物理安全、通信安全、辐射安全、计算机安全、网络安全等。信息安全专家的工作：安全专家的工作就是在开放式的网络环境中，确保识别并消除信息安全的威胁和缺陷。,安全是一个过程而不是指产品,不能只依赖于一种类型的安全为组织的信息提供保护，也不能只依赖于一种产品提供我们的计算机和网络系统所需要的所有安全性。因为安全性所涵盖的范围非常广阔，包括：防病毒软件；访问控制；防火墙；智能卡；生物统计学；入侵检

3、测；策略管理；脆弱点扫描；加密；物理安全机制。,百分百的安全神话,绝对的安全：只有与网络无连接并且被关闭的锁在一个安全的地方（钥匙被扔掉）的计算机，才是真正唯一安全的计算机。只要有连通性，就存在安全风险。相对的安全：可以达到的某种安全水平是：使得几乎所有最熟练的和最坚定的黑客不能登录你的系统，使黑客对你的公司的损害最小化。安全的平衡：一个关键的安全原则是使用有效的但是并不会给那些想要真正获取信息的合法用户增加负担的方案。,第一部分信息安全的基础知识,网络信息安全讲座,二、常见的攻击类型我们可以将常见的攻击类型分为四大类：针对用户的攻击、针对应用程序的攻击、针对计算机的攻击

4、和针对网络的攻击。,第一类：针对用户的攻击,1、前门攻击密码猜测在这个类型的攻击中，一个黑客通过猜测正确的密码，伪装成一个合法的用户进入系统，因为一个黑客拥有一个合法用户的所有信息，他（她）就能够很简单地从系统的“前门”正当地进入。 2、暴力和字典攻击暴力攻击暴力攻击类似于前门攻击，一个黑客试图使用计算机和信息的结合去破解一个密码它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，花掉八天的时间去破解加密算法。字典攻击字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。 Lab2-1：使用LC4破解Win

5、dows系统口令 Lab2-2：Office Password Recovery & WinZip Password Recovery,第一类：针对用户的攻击,3、病毒计算机病毒是一个被设计用来破坏网络设备的恶意程序，病毒分为以下几类：引导扇区/主引导记录（MBR）：感染软盘或硬盘的特定部分；文件感染：病毒附着在合法程序上，运行程序将激活病毒；宏/脚本：通常在E-Mail附件中，利用Office应用程序与操作系统之间的信任关系。 4、社会工程和非直接攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息打电话请求密码一个黑客冒充一个系统经理去打电话给一个公司，在解释了他的帐号被意

6、外锁定了后，他说服公司的某位职员根据他的指示修改了管理员权限，然后黑客所需要做的就是登录那台主机伪造E-mail 黑客利用假的E-mail来进行社交工程。为了获得密码了其它敏感信息黑客发送那些看上去来自合法用户的E-mail，因为用户经常认为任何一个E-mail必须来自一个合法的用户。 Lab2-3：发送伪造的E-Mail消息,第二类：针对应用程序的攻击,5、缓冲区溢出目前最流行的一种应用程序类攻击就是缓冲区溢出。当目标操作系统收到了超过它设计时在某一时间所能接收到的信息量时发生缓冲区溢出。这种多余数据将使程序的缓存溢出，然后覆盖了实际程序数据，这种修改的结果是在系统上产生了一个后门。

7、6、邮件中继目前互连网上的邮件服务器所受攻击有两类：一类就是中继利用(Relay)，你的机器不仅成为发送垃圾邮件的帮凶，也会使你的网络国际流量激增，同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam)，即人们常说的邮件炸弹，是指在很短时间内服务器可能接收大量无用的邮件，从而使邮件服务器不堪负载而出现瘫痪。 Lab 2-4：通过邮件中继发送E-Mail消息 7、网页涂改是一种针对Web服务器的网页内容进行非法篡改，以表达不同的观点或社会现象。这种攻击通常损害的是网站的声誉。,第三类：针对计算机的攻击,8、物理攻击许多公司和组织应用了复杂的安全软件，却因为主机没有加

8、强物理安全而破坏了整体的系统安全。通常，攻击者会通过物理进入你的系统等非Internet手段来开启Internet的安全漏洞。 Lab 2-5：操作一个对Windows 2000 Server的物理攻击 9、特洛伊木马和Root Kits 任何已经被修改成包含非法文件的文件叫做“特洛伊程序”。特洛伊程序通常包含能打开端口进入Root Shell或具有管理权限的命令行文件，他们可以隐藏自己的表现（无窗口），而将敏感信息发回黑客并上载程序以进一步攻击系统及其安全。 Lab 2-6：遭受NetBus特洛伊木马感染,第三类：针对计算机的攻击,10、系统Bug和后门一个Bug是一个程序中的错误，它产

9、生一个不注意的通道，黑客经常了解这些问题并充分利用它们。一个后门是一个在操作系统上或程序上未被记录的通道。程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持。 11、Internet蠕虫 Internet蠕虫是一种拒绝服务病毒，最近流行的红色代码也是类似的一种蠕虫病毒，其版本2发作会自动开启600个线程来对外扫描并传播，并会安装木马，它是利用微软Windows IIS服务器的一个安全漏洞进行攻击和传播，已危害全世界数十万台主机。蠕虫病毒消耗完系统的物理CPU和内存资源而导致系统缓慢甚至崩溃，而没有其他的破坏。,第四类：针对网络的攻击,12、拒绝服务攻击在一个拒绝

10、服务攻击中，一个黑客阻止合法用户获得服务。这些服务可以是网络连接，或者任何一个系统提供的服务。分布式拒绝服务攻击DDOS 是指几个远程系统一起工作攻击一个远程主机，通常通过大量流量导致主机超过负载而崩溃。DDOS通过将远程主机的网络管道（T1或T3）使用欺骗性的流量充满，而使得没有其他人可以访问该服务。 13、哄骗哄骗和伪装都是偷窃身份的形式，它是一台计算机模仿另一台机器的能力。特定的例子包括IP哄骗，ARP哄骗，路由器哄骗和DNS哄骗等。在IPv4中，所有服务器都假定发送信息的计算机具有合法的IP地址，由于TCP/IP没有内置的验证功能，如果你的安全完全依赖于TCP/IP标识，则有可能

11、造成IP哄骗。,第四类：针对网络的攻击,14、信息泄漏几乎所有的网络后台运行程序在默认设置的情况下都泄漏了很多的信息，在连接过程中，每台计算机为了在服务器和Internet之间建立一个连接，必须提供具有潜在敏感性的信息。组织结构必须决定如何最少化提供给公众的信息，哪些信息是必要的，哪些信息是不必要的。 Lab 2-7：通过Telnet连接Exchange服务器的SMTP、POP3等服务 15、劫持和中间人攻击中间人攻击是黑客企图对一个网络的主机发送到另一台主机的包进行操作的攻击。黑客在物理位置上位于两个被攻击的合法主机之间。最常见的包括：嗅探包：以获得用户名和密码信息，任何以明文方式传送

12、的信息都有可能被嗅探；包捕获和修改：捕获包修改后重新再发送；包植入：插入包到数据流；连接劫持：黑客接管两台通信主机中的一台，通常针对TCP会话。但非常难于实现。 Lab 2-8：网络包嗅探outlook Express邮件账号口令,第二部分信息安全的实际解决方案,网络信息安全讲座,三、加密技术,加密系统,加密把容易读取的源文件变成加密文本，能够读取这种加密文本的方法是获得密钥（即把原来的源文件加密成加密文本的一串字符）加密技术通常分为三类：对称加密：使用一个字符串（密钥）去加密数据，同样的密钥用于加密和解密。非对称加密：使用一对密钥来加密数据。这对密钥相关有关联，尽管分析公钥和获

13、得私钥是很困难的（几乎是不可能的），这对密钥一个用于加密，一个用于解密，反之亦然。非对称加密的另外一个名字是公钥加密。 HASH加密：更严格的说它是一种算法，使用一个叫HASH函数的数学方程式去加密数据。理论上HASH函数把信息进行混杂，使得它不可能恢复原状。这种形式的加密将产生一个HASH值，这个值带有某种信息，并且具有一个长度固定的表示形式。,加密能做什么？,对称密钥加密系统,在对称加密或叫单密钥加密中，只有一个密钥用来加密和解密信息。对称加密的好处就是快速并且强壮。对称加密的缺点是有关密钥的传播，所有的接收者和查看者都必须持有相同的密钥，因此所有的用户必须寻求一种安全的方法来发送和接

14、收密钥。,非对称密钥加密系统,非对称加密在加密的过程中使用一对密钥，一对密钥中一个用于加密，另一个用来解密。这对密钥中一个密钥用来公用，另一个作为私有的密钥：用来向外公布的叫做公钥，另一半需要安全保护的是私钥。非对称加密的一个缺点就是加密的速度非常慢，因为需要强烈的数学运算程序。非对称加密的另一个名字叫公钥加密。,非对称密钥加密系统,尽管私钥和公钥都有与数学相关的，但从公钥中确定私钥的值是非常困难的并且也是非常耗时的。在互联网上通信，非对称加密的密钥管理是容易的因为公钥可以任意的传播，私钥必须在用户手中小心保护。,非对称密钥对的用法,用于加密的密钥对,用公钥加密,用私钥解密,Hash加密和数

15、字签名,HASH加密把一些不同长度的信息转化成杂乱的128位的编码里，叫做HASH值。HASH加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能的，是通过比较两上实体的值是否一样而不用告之其它信息。,加密系统算法的强度,加密技术的强度受三个主要因素影响：算法强度、密钥的保密性、密钥的长度。算法强度：是指如果不尝试所有可能的密钥的组合将不能算术地反转信息的能力。密钥的保密性：算法不需要保密，但密钥必须进行保密。密钥的长度：密钥越长，数据的安全性越高。美国政府把使用超过40位的密钥的加密规定为强加密，这种加密出口相关的法律已经获得通过。美国国内公司想要出口使用强加密的产品，首先

16、要获得美国国务院的许可。,常用对称加密算法,常用对称加密算法,常用不对称加密算法和Hash算法,第二部分信息安全的实际解决方案,网络信息安全讲座,三、加密技术数字证书与CA认证及其应用,何为数字证书？,数字证书又称为数字标识（Digital Certificate，Digital ID）。它提供了一种在Internet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或单位在Internet的身份证。数字证

17、书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。一个标准的X.509数字证书包含以下一些内容：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称（命名规则一般采用X.500格式）及其用私钥的签名；证书的有效期；证书使用者的名称及其公钥的信息。,数字证书的用途,在使用数字证书的过程中应用公开密钥加密技术，建立起一套严密的身份认证系统，它能够保证：信息除发送方和接受方外不被其他人窃取；信息在传输过程中不被篡改；接收方能够通过数字证书来确认发送方的身份；发送方对于自己发送的信息不能抵赖。

18、随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展，数字证书开始广泛地应用到各个领域之中，目前主要包括：发送安全电子邮件、访问安全站点、网上招标投标网上签约、网上订购、安全网上公文传送网上缴费、网上缴税、网上炒股、网上购物和网上报关等。,数字证书的颁发,数字证书是由认证中心颁发的。认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造，认证中心的公共密钥必须是可靠的，认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性，后一种方法导致了多级别认证中心的出现。数字证书颁发过程如下：用户首先产生自己的密

19、钥对，并将公共密钥及部分个人身份信息传送给认证中心；认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来；然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息；用户就可以使用自己的数字证书进行相关的各种活动。,CA认证中心(Certificate Authority),职责接受用户的请求 (由RA负责对用户的身份信息进行验证) 用自己的私钥签发证书提供证书查询接受证书注销请求提供证书注销表各个组件和功能示意图,CA信任关系,当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？信任难以度量，

20、总是与风险联系在一起可信CA 如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA 信任模型基于层次结构的信任模型以用户为中心的信任模型,CA层次结构,对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成它可以建立一个CA层次结构,根CA具有一个自签名的证书根CA依次对它下面的CA进行签名层次结构中叶子节点上的CA用于对安全个体进行签名对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的,以用户为中心的信任模型,对于每一个用户而言，应该建立各种信任关系，这

21、种信任关系可以被扩展例子：用户的浏览器配置,PKI中密钥和证书的管理,密钥/证书生命周期管理的各个阶段：初始化阶段颁发阶段取消阶段证书过期证书撤销,PKI: 初始化阶段,在终端实体能够使用PKI支持的服务之前，它们必须初始化以进入PKI。初始化由以下几步组成：终端实体注册；密钥对产生；证书创建和密钥/证书分发；证书分发；密钥备份。,PKI: 颁发阶段,一旦私钥和公钥证书已经产生并适当地分发，密钥/证书生命周期管理的颁发阶段即开始。这个阶段包括：证书检索远程资料库的证书检索。证书验证确定一个证书的有效性（包括证书路径的验证）。密钥恢复当不能正常访问密钥资料时，从CA或

22、信任第三方处恢复。密钥更新当一个合法的密钥对将过期时，进行新的公/私钥的自动产生和相应证书的颁发。,PKI: 撤消阶段,密钥/证书生命周期管理以取消阶段来结束。此阶段包括如下内容：证书过期证书生命周期的自然结束。证书撤销宣布一个合法证书（及其相关私有密钥）不再有效。密钥历史维持一个有关密钥资料的记录（一般是关于终端实体的），以便被过期的密钥资料所加密的数据能够被解密。密钥档案出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的安全第三方储存。,S/MIME电子邮件加密,发送方和接收方在发送E-mail信息之前要得到对方的公钥。发送方产生一个随机的会话密钥，用于加密E-mail

23、信息和附件。这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。算法通过使用DES，Triple DES，AES，RC5等等。发送者然后把这个会话密钥和信息进行一次单向加密得到一个HASH值。这个值用来保证数据的完整性因为它在传输的过程中不会被改变。在这步通常使用MD2，MD4，MD5或SHA。MD5用于SSL，而S/MIME默认使用SHA。发送者用自己的私钥对这个HASH值加密。通过使用发送者自己的私钥加密，接收者可以确定信息确实是从这个发送者发过来的。加密后的HASH值我们称作信息摘要。发送者然后用在第二步产生的会话密钥对E-mail信息和所有的附件加密。这种加密提供了数据的保

24、密性。发送者用接收者的公钥对这个会话密钥加密，来确保信息只能被接收者用其自己的私钥解密。这步提供了认证。然后把加密后的信息和数字摘要发送给接收方。解密的过程正好以相反的顺序执行。,基于SSL的Web服务器加密,SSL协议允许应用程序在公网上秘密的交换数据，因此防止了窃听，破坏和信息伪造。 SSL允许两个应用程序通过使用数字证书认证后在网络中进行通信，它还使用加密及信息摘要来保证数据的可靠性。SSL是整附在传输层协议之上的。所有的浏览器都支持SSL，所以应用程序在使用它时不需要特殊的代码。,第二部分信息安全的实际解决方案,网络信息安全讲座,四、身份认证技术,安全系统的认证逻辑结构,认证技

25、术是信息安全理论与技术的一个重要方面。身份认证是安全系统中的第一道关卡，如图所示，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。访问控制和审计系统都要依赖于身份认证系统的提供的“信息”用户的身份。黑客攻击的目标往往就是身份认证系统。,身份认证的方法,用户或系统能够通过四种方法来证明他们的身份： What you know？基于口令的认证方式是最常用的一种技术，但它存在严重的安全问题。它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充。 What yo

26、u have？更加精密的认证系统，要求不仅要有通行卡而且要有密码认证。如：智能卡和数字证书的使用。智能卡具有硬件加密功能，有较高的安全性。每个用户持有一张智能卡，智能卡存储用户个性化的秘密信息，同时在验证服务器中也存放该秘密信息。进行认证时，用户输入PIN（个人身份识别码），智能卡认证PIN，成功后，即可读出智能卡中的秘密信息，进而利用该秘密信息与主机之间进行认证。,身份认证的方法,用户或系统能够通过四种方法来证明他们的身份： Who you are？这种认证方式以人体惟一的、可靠的、稳定的生物特征（如指纹、虹膜、脸部、掌纹等）为依据，采用计算机的强大功能和网络技术进行图像处理和模式识

27、别。该技术具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段，对该技术的研究和应用如火如荼，前景十分广阔。 Where you are？最弱的身份验证形式，根据你的位置来决定你的身份。如Unix中的rlogin和rsh程序通过源IP地址来验证一个用户，主机或执行过程；反向DNS查询防止域名哄骗等。,常见的身份认证技术,口令鉴别协议（PAP）简单“用户ID-口令”，认证信息以明文方式传输口令是静态的，也就是说在一定时间内是不变的，而且可重复使用，口令极易被网上嗅探劫持一次性口令鉴别技术（OTP）用户和机器

28、之间必须共知一条通行短语，而这通行短语对外界是完全保密的。和静态口令不同的是，这个通行短语并不在网络上进行传输，所以黑客通过网络窃听是不可能的。每次的口令是三个按一定算法计算（Hash计算）得到的结果，这三个因子分别是种子（seed）、迭代值（iteration）和通行短语。种子：决定于用户，一般在一台机器上，一个种子对应于一个用户，也就是说，种子在一个系统中应具有唯一性，这不是秘密的而是公开的。迭代值：迭代值是不断变化的，而种子和通行短语是相对不变的，所以迭代值的作用就是使口令发生变化。通行短语：通行短语是保密的，而种子和迭代值是公开的，这样就决定了口令的机密性。当用户登录时，系统

29、会向用户提出挑战，包括种子和迭代值，然后用户用得到的种子和迭代值再加上自己知道的通行短语计算出一个答复，并传送给系统，因为系统也知道这个通行短语，所以系统可以验证答复是否正确。,常见的身份认证技术,Kerberos认证技术 Kerberos是由美国麻省理工学院提出的基于可信赖的第三方的认证系统。Kerberos提供了一种在开放式网络环境下进行身份认证的方法,它使网络上的用户可以相互证明自己的身份。 Kerberos是一种被证明为非常安全的双向身份认证技术，其身份认证强调了客户机对服务器的认证，而别的身份认证技术往往只解决了服务器对客户机的认证。Kerberos有效地防止了来自服务器端身份冒领的

30、欺骗。 Kerberos密钥分配中心KDC（即Kerberos服务器）由认证服务器AS和许可证颁发服务器TGS构成 Kerberos的认证过程如图所示,常见的身份认证技术,公钥认证体系（PKI）在认证机制中通信双方出于安全方面的考虑，可能均需要对方对某种信息的数字签名，而验证签名则需要相应的公钥。另外，公钥虽然不适宜于对大量信息进行加密，但使用公钥对会话密钥或主密钥进行加密却是常用的。因此，用户公钥是否正确在信息认证中也是一个重要问题。一种方法是将所有用户公钥存储于一个公钥服务器中，每个用户均可通过公钥服务器查询到其他用户的公钥 X.509是定义目录服务建议X.500系列的一部分，其核心是建

31、立存放每个用户的公钥证书的目录库。用户公钥证书由可信赖的CA创建，并由CA或用户存放于目录中若A想获得B的公钥，A先在目录中查找IDB，利用CA的公钥和hash算法验证B的公钥证书的完整性，从而判断公钥的是否正确显然X.509是一种基于证书的公钥认证机制，这种机制的实现必须要有可信赖的CA的参与,第二部分信息安全的实际解决方案,网络信息安全讲座,五、防火墙技术,防火墙简介,防火墙的定义防火墙指的是位于可信网络（如内部网络）和不可信网络（如Internet）之间并对经过其间的网络流量进行检查的一台或多台计算机。防火墙具有如下特性：所有的通信都经过防火墙；防火墙只放行经过授权的流量；

32、防火墙能经受得起对其本身的攻击。防火墙的优势和弱点防火墙的优势：实施一个公司的整体安全策略创建一个阻塞点（网络边界）记录Internet活动限制网络暴露防火墙的弱点：防火墙不能防范经过授权的东西。防火墙只能按对其配置的规则进行有效的工作；防火墙对社交工程类型的攻击或一个授权的用户利用合法访问进行的恶意攻击不起作用；防火墙不能修复脆弱的管理措施或设计有问题的安全策略；防火墙不能阻止那些不经过它的攻击。,防火墙的硬件与操作系统,运行于通用操作系统上的防火墙一些防火墙运行于通用操作系统如Windows NT/2000、Linux/Unix上，它们通过修改系统的内核和TCP/

33、IP协议栈来检测流量。要想获得较高的安全性，就必须对操作系统进行加固、修补和维护。此类防火墙如：运行于Linux/Unix、Windows NT/2000平台上的Check Point Firewall-1，Symantec企业防火墙，Microsoft ISA 2004等。硬件防火墙硬件防火墙集成了操作系统和防火墙的功能，形成了一个整体牢固、功能专一的设备。这种防火墙也提供了功能完善的管理接口。硬件防火墙在使用时不需要做很多主机加固的工作，不用再费心于重新配置和修补通用操作系统，而可以集中注意力构思防火墙规则，减少了操作和维护的成本。此类防火墙如：Cisco PIX、Netscr

34、een、SonicWall，以及运行于Nokia IPSO平台上的Check Point Firewall-1。,第二部分信息安全的实际解决方案,网络信息安全讲座,五、防火墙技术防火墙管理的TCP/IP基础,TCP/IP安全简介,如果你是一个网络管理员或安全管理员，你需要对OSI(Open System Interconnect Reference Model, 开放式系统互联参考模型)参考模型非常熟悉。TCP/IP堆栈包括四层。为了更好的理解TCP/IP，请与OSI模型进行比较。,TCP/IP物理层及其安全,物理层由传输在缆线上的电子信号组成。物理层上的安全保护措施不多。如果一个潜在的

35、黑客可以访问物理介质，如搭线窃听和sniffer，他将可以复制所有传送的信息。唯一有效的保护是使用加密，流量添充等。,TCP/IP网络层及其安全,Internet协议(IP)： IP报头中包含一些信息和控制字段，以及32位的源IP地址和32位的目的IP地址。这个字段包括一些信息，如IP的版本号，长度，服务类型和其它配置等。黑客经常利用一种叫做IP欺骗的技术，把源IP地址替换成一个错误的IP地址。接收主机不能判断源IP地址是不正确的，并且上层协议必须执行一些检查来防止这种欺骗 Lab 6-1：安装网络包捕获软件，捕获包信息，分析IP报头,TCP/IP网络层及其安全,Internet控制信息协议

36、（ICMP）： Internet控制信息协议（ICMP）报文由接收端或者中间网络设备发回给发送端，用来在TCP/IP包发送出错时给出回应。 ICMP消息类型 ICMP消息包含三个字段：Type、Code和Checksum，Type和Code字段决定了ICMP消息的类型。 0 响应回复：Ping命令发回的包； 3 目标不可达：由Router发回。 Code 0：网络不可达； Code 1：主机不可达； Code 2：协议不可达； Code 3：端口不可达。 8 响应请求：由Ping命令发出；阻止ICMP消息近来的攻击方法包括Tribal flood Network （TFN）系列的程序利用I

37、CMP消耗带宽来有效地摧毁站点。到今天，微软的站点对于ping并不做出响应，因为微软已经过滤了所有的ICMP请求。一些公司现在也在他们的防火墙上过滤了ICMP流量。 Lab 6-2：通过网络包捕获软件，捕获ICMP包，分析ICMP报头,TCP/IP传输层及其安全,传输控制协议（TCP） TCP是一个面向连接的协议：对于两台计算机的通信，它们必须通过握手过程来进行信息交换。 TCP包头 TCP包头的标记区建立和中断一个基本的TCP连接。有三个标记来完成这些过程： SYN：同步序列号； FIN：发送端没有更多的数据要传输的信号； ACK：识别数据包中的确认信息。建立一个TCP连接：SYN和ACK

38、经过三次握手。中止一个TCP连接：FIN和ACK 结束一个TCP连接的四个基本步骤。攻击TCP SYN溢出是TCP的最常见威胁，黑客能够建立多个TCP半连接，当服务器忙于创建一个端口时，黑客留给服务器一个连接，然后又去建立另一个连接并也留给服务器。这样建立了几千个连接，直到目标服务器打开了几百个或上千个半连接。因此，服务器的性能受到严重限制，或服务器实际已经崩溃。防火墙必须配置为能够侦测这种攻击。 Lab 6-3：通过网络包捕获软件，捕获TCP包，分析TCP报头,TCP/IP传输层及其安全,用户数据报协议（UDP） UDP是一个非面向连接的协议。它经常用做广播类型的协议，如音频和视频数据

39、流。 UDP很少有安全上的隐患。因为主机发出一个UDP信息并不期望收到一个回复，在这种数据报文里面嵌入一个恶意的活动是很困难的。 Lab 6-4：通过网络包捕获软件，捕获UDP包，分析UDP报头,TCP/IP应用层及其安全,文件传输协议（FTP） FTP 用两个端口通信：利用TCP21端口来控制连接的建立，控制连接端口在整个FTP会话中保持开放。 FTP服务器可能不需要对客户端进行认证：当需要认证时，所有的用户名和密码都是以明文传输的。同样使用的技术包括FTP服务器上的日志文件，黑客添满硬盘，使日志文件没有空间再记录其它事件，这样黑客企图进入操作系统或其它服务而不被日志文件所检查到。因此，

40、推荐将FTP根目录与操作系统和日志文件分别放在不同的分区上。超文本传输协议（HTTP） HTTP有两种明显的安全问题：客户端浏览应用程序和HTTP服务器外部应用程序。对用Web用户的一个安全问题是下载有破坏性的ActiveX控件或JAVA applets。这些程序在用户的计算机上执行并含有某种类别的代码，包括病毒或特洛伊木马。为了扩大和扩展Web服务器的功能，一些扩展的应用程序可以加入到HTTP服务器中。这些扩展的应用程序包括JAVA，CGI，AST等等。这些程序都有一些安全漏洞，一旦Web服务器开始执行代码，那么它有可能遭到破坏。对于这种破坏的保护方法是留意最新的安全补丁，下载并安装这

41、些补丁。,TCP/IP应用层及其安全,Telnet Telnet 是以明文的方式发送所有的用户名和密码的。有经验的黑客可以劫持一个Telnet会话。因此，它不应该应用到互联网上。你还应该在防火墙上过滤掉所有的Telnet流量。简单网络管理协议（SNMP） SNMP允许管理员检查状态并且有时修改SNMP节点的配置。它使用两个组件，即SNMP管理者和SNMP节点。SNMP通过UDP的161和162端口传递所有的信息。 SNMP所提供的唯一认证就是community name。如果一个黑客危及到community name，他将能够查询和修改网络上所有使用SNMP的节点。另一个安全问题是所有的

42、信息都是以明文传输的。SNMP是在你公司私有的网络中可用的网络管理解决方案，但是所有的SNMP流量要在防火墙上过滤掉。,TCP/IP应用层及其安全,域名系统（DNS） DNS使用UDP 53端口解析DNS请求，但是在执行区域传输时使用TCP53端口。区域传输是以下面两种情况完成的：一个客户端利用nslookup命令向DNS服务器请求进行区域传输；当一个从属域名服务器向主服务器请求得到一个区域文件；针对DNS常见的两种攻击是： DNS中毒：黑客注入错误的数据到区域传输中，其结果使得其产生错误的映射。获得非法的区域传输：黑客可以攻击一个DNS服务器并得到它的区域文件。这种攻击的结果是黑客可

43、以知道这个区域中所有系统的IP地址和计算机名字。 Lab 6-5：通过Whois、Nslookup查询域名DNS中的记录,使用地址转换隐藏私有地址,网络地址转换,使用地址转换隐藏私有地址,端口地址转换,使用过滤路由器的访问控制列表保护网络,第二部分信息安全的实际解决方案,网络信息安全讲座,五、防火墙技术防火墙的体系结构,包过滤防火墙,包过滤防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。包过滤规则路的样本：包过滤的优点是：不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。包过滤最大的缺点就是：不能分辨哪些是“好”包哪些是“坏”包

44、，对包哄骗没有防范能力；不支持更多的其他验证，如用户认证；创建这些规则非常消耗时间。 Lab 6-6：安装Microsoft ISA Server 2004,应用级网关,应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。应用级网关可以作为一些应用程序如电子邮件、FTP、Telnet、WWW等的中介。使用应用级网关的优点有：指定对连接的控制。通过限制某些协议的传出请求，来减少网络中不必要的服务。大多数代理防

45、火墙能够记录所有的连接，包括地址和持续时间。使用应用级网关的缺点有：必须在一定范围内定制用户的系统，这取决于所用的应用程序。一些应用程序可能根本不支持代理连接。 Lab 6-7：安装Microsoft ISA Server 2004，配置应用服务发布规则,包过滤防火墙与应用级网关图示,电路级网关,电路级网关型防火墙的运行方式与应用级网关型防火墙很相似，但是它有一个典型的特征，它更多的是面向非交互式的应用程序。在用户通过了最初的身份验证之后，电路级网关型防火墙就允许用户穿过网关来访问服务器了，在此过程中，电路级网关型防火墙只是简单的中转用户和服务器之间的连接而已。电路级网关型防火墙的典型

46、应用例子就是代理服务器和SOCKS服务器。电路级网关通常提供一个重要的安全功能：网络地址转移（NAT），将所有公司内部的IP地址映射到一个“安全”的IP地址。电路级网关的优缺点：电路级网关的主要优点就是提供NAT，在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。电路级网关一个主要的缺点是需要修改应用程序和执行程序，并不是所有的应用程序都被编写成可与电路级代理一起工作的。,状态包检测型防火墙,状态包检测型防火墙是使用了一种SPI引擎的方式来工作的。它是前三种防火墙的一个折中。状态包检测型防火墙的运行方式是： 1.检查数据包SYN位并作出判断是否是正在进行连接的，如果是，对

47、数据包内容进行检查，否则检查数据包是否符合连接规则，如果符合规则，则对数据包内容进行检查，如果不符合就进行阻隔。 2.数据包通过内容检查，如果不符合就阻隔，符合则进行策略集对数据包内容检查，如果策略集检查通过，则数据送往目的地址并更新对话列表，进行日值记录，如果不通过，则进行阻隔。,防火墙的配置方案,双宿主机网关（Dual Homed Gateway）,防火墙的配置方案,屏蔽主机网关（Screened Host Gateway）,防火墙的配置方案,屏蔽子网（Screened Subnet）,第二部分信息安全的实际解决方案,网络信息安全讲座,六、VPN技术为什么需要VPN？,企业联网的需求,

48、为什么不选择加密的链路,VPN能带来奇迹吗？,第二部分信息安全的实际解决方案,网络信息安全讲座,六、VPN技术 VPN技术详解,提纲,VPN简介,VPN的典型应用,VPN的安全性,已有的VPN解决方案,基于IPSec的VPN解决方案基于第二层的VPN解决方案,基于IPSec的VPN解决方案,基于第二层的VPN解决方案,Point-to-Point Tunneling Protocol,第二层隧道协议提供PPTP客户机和PPTP服务器之间的加密通信 Point-to-Point Protocol (PPP)协议的扩展允许封装多种协议：TCP/IP、IPX等使用RSA公司的RC4加密方法

49、，但不进行隧道验证用户需要在客户端配置PPTP,Internet,Remote PPTP Client,ISP Remote Access Switch,PPTP RAS Server,Corporate Network,Layer 2 Tunneling Protocol (L2TP),第二层隧道协议结合并扩展了 PPTP和L2F (Cisco supported protocol) 对隧道进行验证，但对传输中的数据不加密没有包括数据包的验证、数据完整性和密钥管理,Internet,Remote L2TP Client,ISP L2TP Concentrator,L2TP Server,Corporate Network,VPN的工作原理,IPSec Internet密钥交换解析建立VPN通道的四种方式一个完整的VPN工作原理图,IPSec的基本概念,安全关联,IPSec框架的组成,认证头部AH,传输模式下的AH认证工作原理,通道模式下的AH认证工作原理,负载安全封装（ESP）,传输模式下的ESP工作原理,通道模式下的ESP工作原理,组合IPSec协议,为什么还要AH协议？,Internet密钥交换协议概要,ISAKMP/Oakley阶段一

展开阅读全文