23：第8章 網(wǎng)絡(luò)安全問題

1、第8章 網(wǎng)絡(luò)平安問題 課件23.主要內(nèi)容網(wǎng)絡(luò)平安框架與機(jī)制 IPv4網(wǎng)絡(luò)的平安問題 因特網(wǎng)效力的平安問題 網(wǎng)絡(luò)平安的加強(qiáng)技術(shù) 網(wǎng)絡(luò)多級(jí)平安技術(shù) IPv6網(wǎng)絡(luò)的平安機(jī)制 網(wǎng)絡(luò)平安根底設(shè)備PKI/PMI .主要內(nèi)容網(wǎng)絡(luò)平安框架與機(jī)制 IPv4網(wǎng)絡(luò)的平安問題 因特網(wǎng)效力的平安問題 網(wǎng)絡(luò)平安的加強(qiáng)技術(shù) 網(wǎng)絡(luò)多級(jí)平安技術(shù) IPv6網(wǎng)絡(luò)的平安機(jī)制 網(wǎng)絡(luò)平安根底設(shè)備PKI/PMI .信息平安與信息對(duì)抗信息平安那么是指防止任何對(duì)數(shù)據(jù)進(jìn)展未授權(quán)訪問的措施，或者防止呵斥信息有意無(wú)意泄露、破壞、喪失等問題的發(fā)生，讓數(shù)據(jù)處于遠(yuǎn)離危險(xiǎn)、免于要挾的形狀或特性。而網(wǎng)絡(luò)平安那么是指計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的信息平安。 “信息對(duì)抗也是

2、一個(gè)概念廣泛的術(shù)語(yǔ)，其主要含義是指爭(zhēng)斗的雙方利用各種手段獲取信息的控制權(quán)，進(jìn)而使己方在爭(zhēng)斗過(guò)程中處于自動(dòng)位置。.信息的平安需求內(nèi)容嚴(yán)密性完好性可用性 .信息平安概念與技術(shù)的開展單機(jī)系統(tǒng)的信息嚴(yán)密階段 網(wǎng)絡(luò)信息平安階段 信息保證階段 .網(wǎng)絡(luò)平安框架(平安效力)對(duì)等實(shí)體鑒別效力 訪問控制效力 數(shù)據(jù)嚴(yán)密效力 數(shù)據(jù)完好性效力 數(shù)據(jù)源點(diǎn)鑒別 不可否認(rèn)效力 .1234567對(duì)等實(shí)體鑒別YYY訪問控制YYYY連接保密YYYYY無(wú)連接保密YYYY選擇字段保密Y報(bào)文流安全YYY可恢復(fù)的連接完整性Y無(wú)恢復(fù)的連接完整性YYY選擇字段連接完整性Y無(wú)連接完整性YYY選擇字段無(wú)連接完整性Y數(shù)據(jù)源點(diǎn)鑒別YYY不可否認(rèn)來(lái)源Y

3、不可否認(rèn)交付Y網(wǎng)絡(luò)平安框架層次服務(wù).網(wǎng)絡(luò)平安機(jī)制加密機(jī)制 數(shù)據(jù)簽名機(jī)制 訪問控制機(jī)制 數(shù)據(jù)完好性機(jī)制 鑒別交換機(jī)制 業(yè)務(wù)流量填充機(jī)制 路由控制機(jī)制 公證機(jī)制 .網(wǎng)絡(luò)平安機(jī)制機(jī)制服務(wù)數(shù)據(jù)加密數(shù)據(jù)簽名訪問控制數(shù)據(jù)完整性交換鑒別業(yè)務(wù)流填充路由控制公證機(jī)構(gòu)對(duì)等實(shí)體鑒別YYYY訪問控制Y連接的保密性YY選擇字段的保密性Y業(yè)務(wù)流安全YYY數(shù)據(jù)的完整性YYY數(shù)據(jù)源鑒別YY禁止否認(rèn)YYY.主要內(nèi)容網(wǎng)絡(luò)平安框架與機(jī)制 IPv4網(wǎng)絡(luò)的平安問題 因特網(wǎng)效力的平安問題 網(wǎng)絡(luò)平安的加強(qiáng)技術(shù) 網(wǎng)絡(luò)多級(jí)平安技術(shù) IPv6網(wǎng)絡(luò)的平安機(jī)制 .網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊是指網(wǎng)絡(luò)攻擊者利用目前網(wǎng)絡(luò)通訊協(xié)議如TCP/IP協(xié)議本身存在的或因配置

4、不當(dāng)而產(chǎn)生的平安破綻、用戶運(yùn)用的操作系統(tǒng)內(nèi)在缺陷或者用戶運(yùn)用的程序文語(yǔ)本身所具有的平安隱患等，經(jīng)過(guò)運(yùn)用網(wǎng)絡(luò)命令，或者從Internet上下載的公用軟件例如，SATAN等網(wǎng)絡(luò)掃描軟件，或者攻擊者本人編寫的軟件，非法進(jìn)入本地或者遠(yuǎn)程用戶主機(jī)系統(tǒng)，非法獲得、修正、刪除用戶系統(tǒng)的信息以及在用戶系統(tǒng)上添加渣滓、色情或有害信息如特洛伊木馬等一系列過(guò)程的總稱。.破綻概念破綻(Hole)就是就是系統(tǒng)硬件或者軟件存在某種方式的平安方面的脆弱性，這種脆弱性存在的直接后果是允許非法用戶未經(jīng)授權(quán)獲得訪問權(quán)或提高其訪問權(quán)限。大多數(shù)的破綻表達(dá)在軟件系統(tǒng)中，如操作系統(tǒng)軟件、網(wǎng)絡(luò)效力軟件、各類運(yùn)用軟件和數(shù)據(jù)庫(kù)系統(tǒng)及其運(yùn)用系統(tǒng)

5、。系統(tǒng)的平安機(jī)制本身就有缺陷，或系統(tǒng)管理員對(duì)系統(tǒng)的平安配置有缺陷，或在一個(gè)平安系統(tǒng)中新添加的功能都能夠?qū)е孪到y(tǒng)破綻的出現(xiàn)。.網(wǎng)絡(luò)攻擊.常見網(wǎng)絡(luò)攻擊技術(shù)探測(cè)類攻擊破綻類攻擊控制類攻擊欺騙類攻擊阻塞類攻擊病毒類攻擊.探測(cè)類攻擊探測(cè)類攻擊主要是搜集目的系統(tǒng)的各種與網(wǎng)絡(luò)平安有關(guān)的信息，為下一步入侵提供協(xié)助。 典型的有：破綻信息、效力信息、操作系統(tǒng)信息、網(wǎng)絡(luò)拓?fù)湫畔⒌取?破綻類攻擊破綻類攻擊利用的是系統(tǒng)、協(xié)議或運(yùn)用軟件本身存在的平安缺陷進(jìn)展的攻擊，往往是許多其他類型攻擊的根底 。 常見破綻攻擊：緩沖區(qū)溢出破綻、UNICODE破綻、ASP破綻、CGI破綻、IPC$破綻、輸入法破綻.控制類攻擊控制類攻擊是一

6、類試圖獲得目的系統(tǒng)控制權(quán)的攻擊。典型的控制類攻擊： 口令攻擊 特洛伊木馬攻擊.欺騙類攻擊欺騙類攻擊經(jīng)過(guò)冒充合法網(wǎng)絡(luò)主機(jī)騙取敏感信息，或者經(jīng)過(guò)配置、設(shè)置一些假信息來(lái)實(shí)施欺騙攻擊 。常見方式： Web欺騙， IP欺騙.阻塞類攻擊阻塞類攻擊企圖經(jīng)過(guò)強(qiáng)行占有信道資源、網(wǎng)絡(luò)銜接資源、存儲(chǔ)空間資源，使效力器解體或資源耗盡無(wú)法繼續(xù)對(duì)外提供效力。常見的方法 Smurf攻擊、分布式回絕效力攻擊.病毒類攻擊計(jì)算機(jī)病毒就是一段惡意的計(jì)算機(jī)程序。網(wǎng)絡(luò)病毒 可以在網(wǎng)絡(luò)上自動(dòng)傳播的計(jì)算機(jī)病毒常見網(wǎng)絡(luò)病毒舉例紅色代碼、震蕩波.IPv4的平安問題TCP/IP本身不提供加密傳輸功能 TCP/IP本身不支持信息流填充機(jī)制 TCP

7、/IP本身不提供對(duì)等實(shí)體鑒別功能 TCP/IP協(xié)議體系本身存在缺陷，容易遭遭到攻擊由TCP/IP支持的Internet中的各個(gè)子網(wǎng)是平等的，難以實(shí)現(xiàn)分級(jí)平安的網(wǎng)絡(luò)構(gòu)造如樹狀構(gòu)造，無(wú)法實(shí)現(xiàn)有效的平安管理。 許多廠商提供的TCP/IP運(yùn)用層協(xié)議適用軟件中存在嚴(yán)重的平安破綻，經(jīng)常被黑客用作網(wǎng)絡(luò)攻擊的工具。 .主要內(nèi)容網(wǎng)絡(luò)平安框架與機(jī)制 IPv4網(wǎng)絡(luò)的平安問題 因特網(wǎng)效力的平安問題 網(wǎng)絡(luò)平安的加強(qiáng)技術(shù) 網(wǎng)絡(luò)多級(jí)平安技術(shù) IPv6網(wǎng)絡(luò)的平安機(jī)制 網(wǎng)絡(luò)平安根底設(shè)備PKI/PMI .Web效力的平安問題平安破綻Web欺騙 平安決策問題，暗示 Web欺騙防護(hù).FTP效力的平安問題匿名登錄 FTP代理效力器 跳

8、板(Bounce)攻擊問題 .Telnet的平安問題傳輸明文 沒有強(qiáng)力認(rèn)證過(guò)程 沒有完好性檢查 傳送的數(shù)據(jù)都沒有加密 .電子郵件的平安問題軟件問題outlook, foxmail緩存破綻 歷史記錄破綻 攻擊性代碼破綻 .主要內(nèi)容網(wǎng)絡(luò)平安框架與機(jī)制 IPv4網(wǎng)絡(luò)的平安問題 因特網(wǎng)效力的平安問題 網(wǎng)絡(luò)平安的加強(qiáng)技術(shù) 網(wǎng)絡(luò)多級(jí)平安技術(shù) IPv6網(wǎng)絡(luò)的平安機(jī)制 網(wǎng)絡(luò)平安根底設(shè)備PKI/PMI .Keberos系統(tǒng)Kerberos系統(tǒng)運(yùn)用56位DES加密算法加密網(wǎng)絡(luò)銜接，并且提供用戶身份的認(rèn)證。Kerberos環(huán)境依賴于Kerberos認(rèn)證效力器的存在，它執(zhí)行密鑰管理和控制的功能。Kerberos認(rèn)證效

9、力器維護(hù)一個(gè)保管一切客戶密鑰的數(shù)據(jù)庫(kù)。每當(dāng)兩個(gè)用戶要進(jìn)展平安通訊及認(rèn)證懇求時(shí)，Kerberos認(rèn)證效力器就產(chǎn)生會(huì)話密鑰。.Kerberos的主要功能認(rèn)證 授權(quán) 記賬與審計(jì) . Keberos認(rèn)證協(xié)議. Kerberos會(huì)話密鑰交換過(guò)程.Kerberos的缺乏 (1) 它添加了網(wǎng)絡(luò)環(huán)境管理的復(fù)雜性，系統(tǒng)管理必需維護(hù)Kerberos認(rèn)證效力器以支持網(wǎng)絡(luò)。假設(shè)Kerberos認(rèn)證效力器停頓訪問或不可訪問，用戶就不能運(yùn)用網(wǎng)絡(luò)(2) 假設(shè)Kerberos認(rèn)證效力器遭到入侵，整個(gè)網(wǎng)絡(luò)的平安性就被破壞(3) 對(duì)Kerberos配置文件的維護(hù)是比較復(fù)雜而且很耗時(shí)(4) 一些Kerberos實(shí)現(xiàn)對(duì)多用戶系統(tǒng)是不

10、平安的(5) Kerberos無(wú)法防止回絕效力的攻擊(6) Kerberos無(wú)法防止口令破解程序的攻擊.SSL平安協(xié)議SSL(Security Socket Layer)是NetsCape公司于1996年推出的平安協(xié)議，它為網(wǎng)絡(luò)運(yùn)用層的通訊提供了認(rèn)證、數(shù)據(jù)嚴(yán)密和數(shù)據(jù)完好性的效力，較好地處理了Internet上數(shù)據(jù)平安傳輸?shù)膯栴}。 SSL的主要目的是為網(wǎng)絡(luò)環(huán)境中兩個(gè)通訊運(yùn)用進(jìn)程Client與Server之間提供一個(gè)平安通道。 .SSL平安協(xié)議該協(xié)議共分上、下兩層。下層是SSL記錄協(xié)議SSL Record Protocol，它的作用是對(duì)上層傳來(lái)的數(shù)據(jù)加密后傳輸。SSL記錄協(xié)議可以建立在任何可靠的傳

11、輸協(xié)議之上如TCP。上層是SSL握手協(xié)議SSL Handshake Protocol，它的主要作用是 ：Client和Server之間相互驗(yàn)證身份 ；Client和Server之間協(xié)商平安參數(shù) 。. SSL與TCP/IP的關(guān)系. SSL會(huì)話形狀變量Session ID由Server選擇的代表一次會(huì)話的標(biāo)識(shí)Peer Certificate通信對(duì)方的證書Compression Method當(dāng)前使用的壓縮算法Cipher Spec當(dāng)前使用的數(shù)據(jù)加密算法、hash算法以及算法參數(shù)Master SecretClient與Server之間共享的秘密信息is Resumable本次會(huì)話是否允許復(fù)用的標(biāo)志.

12、SSL銜接形狀變量Server and Client RandomClient與Server各自為每次連接選擇的隨機(jī)數(shù)Server Write MAC SecretServer的寫MAC密鑰Client Write MAC SecretClient的寫MAC密鑰Server Write KeyServer的數(shù)據(jù)加密密鑰Client的數(shù)據(jù)解密密鑰Client Write KeyClient的數(shù)據(jù)加密密Server的數(shù)據(jù)解密密鑰Initialization Vector數(shù)據(jù)加解密的初始化向量(CBC模式)Sequence NumbersClient與Server各自分別維護(hù)兩個(gè)序列號(hào)， 一個(gè)輸入一

13、個(gè)輸出. SSL握手協(xié)議.SSL記錄協(xié)議SSL 記錄協(xié)議(SSL Record Protocol)的作用是運(yùn)用當(dāng)前的形狀對(duì)上層傳來(lái)的數(shù)據(jù)進(jìn)展維護(hù)。.SSL記錄協(xié)議SSL記錄協(xié)議對(duì)上層傳來(lái)的數(shù)據(jù)進(jìn)展以下三步的處置 ：(1) 由于運(yùn)用協(xié)議運(yùn)用的PDU和SSL記錄協(xié)議運(yùn)用的PDU長(zhǎng)度能夠不一樣，所以第一步要對(duì)運(yùn)用數(shù)據(jù)進(jìn)展分割或重組。(2) 運(yùn)用當(dāng)前會(huì)話形狀中的CompressionMethods對(duì)第一步的結(jié)果進(jìn)展緊縮(3) 運(yùn)用當(dāng)前會(huì)話形狀的CipherSpec包括數(shù)據(jù)加密算法和MAC算法對(duì)第二步的結(jié)果進(jìn)展加密和hash運(yùn)算，算法運(yùn)用的密鑰在當(dāng)前形狀的銜接形狀變量中。 .IPSecIP本身不提供平安

14、維護(hù)，所以網(wǎng)絡(luò)入侵者就可以經(jīng)過(guò)數(shù)據(jù)包嗅探sniffer、IP電子欺騙spoofing、會(huì)話截獲session hijacking和重放攻擊replay等方法來(lái)攻擊。針對(duì)這些問題，IPSec可以有效地維護(hù)IP數(shù)據(jù)包的性數(shù)據(jù)沒有被他人看過(guò)和完好性包括數(shù)據(jù)的真實(shí)性及數(shù)據(jù)未被修正以及一定程度的抗重放才干。 .IPSecIPSec即IP Seccnity，它的目的是為確保IP數(shù)據(jù)報(bào)的平安性。如今，有兩個(gè)平安機(jī)制存于IPSec中，第一個(gè)平安機(jī)制是認(rèn)證頭AHAuthentication Head，它們提供IP數(shù)據(jù)報(bào)的完好性和認(rèn)證功能，但不能確保數(shù)據(jù)的嚴(yán)密性Confidentiality。第二個(gè)平安機(jī)制是封裝

15、平安凈荷ESP(Encapsulating Security Payload)。它可以確保IP數(shù)據(jù)報(bào)的嚴(yán)密性，也可以提供完好性和認(rèn)證功能視加密算法和運(yùn)用方式而定。在IPSec中，這二個(gè)機(jī)制可以單獨(dú)運(yùn)用，也可一同運(yùn)用。. IPSec認(rèn)證頭AH格式. IPSec中ESP的格式Security AssociationIdentifier (SPI)Opaque Transform Data(可變長(zhǎng)度). 受IPSec維護(hù)的數(shù)據(jù)包.主要內(nèi)容網(wǎng)絡(luò)平安框架與機(jī)制 IPv4網(wǎng)絡(luò)的平安問題 因特網(wǎng)效力的平安問題 網(wǎng)絡(luò)平安的加強(qiáng)技術(shù) 網(wǎng)絡(luò)多級(jí)平安技術(shù) IPv6網(wǎng)絡(luò)的平安機(jī)制 網(wǎng)絡(luò)平安根底設(shè)備PKI/PMI .網(wǎng)

16、絡(luò)多級(jí)平安技術(shù) 和操作系一致樣，網(wǎng)絡(luò)系統(tǒng)也存在多級(jí)平安問題。網(wǎng)絡(luò)中除了需求操作系統(tǒng)中的強(qiáng)迫訪問控制、標(biāo)志和可信等原理外，還有網(wǎng)絡(luò)本人的多級(jí)平安特性。在網(wǎng)絡(luò)環(huán)境中下，各用戶訪問要求和所訪問目的的敏感程度多有不同，因此，網(wǎng)絡(luò)應(yīng)該提供不同平安等級(jí)的效力。在多級(jí)平安網(wǎng)絡(luò)中，通常采用軍用平安模型，網(wǎng)絡(luò)中的數(shù)據(jù)按敏感程度分類并按照主題標(biāo)志。.網(wǎng)絡(luò)多級(jí)平安技術(shù) 可信網(wǎng)絡(luò)基平安通訊效力器 多級(jí)平安信道 . 有TNB支持的多級(jí)平安網(wǎng)絡(luò). 由通訊效力器支持的多級(jí)平安網(wǎng)絡(luò). 多級(jí)平安信道的分隔表示圖. 信道分隔方式的多級(jí)平安網(wǎng)絡(luò).主要內(nèi)容網(wǎng)絡(luò)平安框架與機(jī)制 IPv4網(wǎng)絡(luò)的平安問題 因特網(wǎng)效力的平安問題 網(wǎng)絡(luò)平安的加

17、強(qiáng)技術(shù) 網(wǎng)絡(luò)多級(jí)平安技術(shù) IPv6網(wǎng)絡(luò)的平安機(jī)制 網(wǎng)絡(luò)平安根底設(shè)備PKI/PMI .IPv6新一代網(wǎng)絡(luò)的平安機(jī)制IPv6除了對(duì)IP地址作了改動(dòng)之外，也完全改動(dòng)了IPv4的數(shù)據(jù)包格式。IPv6數(shù)據(jù)包有一個(gè)固定大小的根本首部Base Header，其后可以允許有零個(gè)或多個(gè)擴(kuò)展首部Extension Header，再后是數(shù)據(jù)。 IPsec包含兩個(gè)平安措施：AH(Authentication Head)和ESP(Encapsulating Security Payload)。 . 認(rèn)證過(guò)的TCP數(shù)據(jù)包舉例IPv6報(bào)頭AHTCP報(bào)文段IPv6報(bào)頭路由報(bào)頭AHTCP報(bào)文段IPv6報(bào)頭AH端到端選項(xiàng)TCP報(bào)文段. 認(rèn)證報(bào)頭格式下一個(gè)報(bào)頭有效凈荷長(zhǎng)度保留SPI序列號(hào)字段認(rèn)證數(shù)據(jù)（長(zhǎng)度可變）. ESP的通用格式32位SPI32位序列號(hào)加密數(shù)據(jù)和參數(shù)認(rèn)證數(shù)據(jù).密鑰的分發(fā)因特網(wǎng)平安協(xié)會(huì)和密鑰管理協(xié)議ISAKMP為密鑰交換協(xié)議的實(shí)現(xiàn)提供了一個(gè)非常通用的框架。一