信息與網(wǎng)絡(luò)安全教學(xué)課件作者程光第十章

第10章安全網(wǎng)絡(luò)技術(shù)VPN技術(shù)無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6網(wǎng)絡(luò)安全VoIP安全工具介紹第10章安全網(wǎng)絡(luò)技術(shù)VPN技術(shù)1VPN概念VPN是英文VirtualPrivateNetwork的縮寫，中文譯為“虛擬專用網(wǎng)絡(luò)”。VPN利用現(xiàn)有的公用網(wǎng)（包括Internet網(wǎng)、電信部門提供的公用電話網(wǎng)、幀中繼網(wǎng)及ATM網(wǎng)絡(luò)等）來(lái)搭建自己的虛擬專用網(wǎng)絡(luò)。VPN網(wǎng)絡(luò)的任意兩個(gè)結(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)建設(shè)所需的點(diǎn)到點(diǎn)的物理鏈路，而是架構(gòu)在公用網(wǎng)所提供的網(wǎng)絡(luò)平臺(tái)之上的邏輯網(wǎng)絡(luò)。通過(guò)相應(yīng)的加密和認(rèn)證技術(shù)來(lái)保證用戶內(nèi)部數(shù)據(jù)在公網(wǎng)上安全傳輸，從而真正實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)乃接行?。VPN概念VPN是英文VirtualPrivateNet2VPN概念公用網(wǎng)絡(luò)VPN連接服務(wù)器服務(wù)器VPN示意圖VPN概念公用網(wǎng)絡(luò)VPN連接服務(wù)器服務(wù)器VPN示意圖3VPN作用一是遠(yuǎn)程訪問(wèn)，主要為在外出差、移動(dòng)辦公和在家中辦公的人員訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)；二是企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)，在內(nèi)部各分支機(jī)構(gòu)網(wǎng)絡(luò)與總部網(wǎng)絡(luò)之間實(shí)現(xiàn)安全互聯(lián)；三是與合作伙伴建立安全通信。VPN作用一是遠(yuǎn)程訪問(wèn)，主要為在外出差、移動(dòng)辦公和在家中辦公4VPN分類從技術(shù)上分類以IPSec為代表的、基于用戶設(shè)備的VPN技術(shù)，由網(wǎng)絡(luò)廠商提供VPN技術(shù)和解決方案，既可用于網(wǎng)絡(luò)互聯(lián)，又可用于遠(yuǎn)程訪問(wèn)；以MPLSVPN為代表的、基于網(wǎng)絡(luò)的VPN技術(shù)，由電信運(yùn)營(yíng)商提供VPN服務(wù)，主要用于網(wǎng)絡(luò)遠(yuǎn)程互聯(lián)。從實(shí)際使用上分類軟件VPN：對(duì)數(shù)據(jù)的傳輸速率不高，安全性能也不強(qiáng)，如微軟的Windows2000以后的系統(tǒng)就可以實(shí)現(xiàn)純軟件平臺(tái)的VPN連接。

硬件VPN：可以滿足企業(yè)和個(gè)人用戶對(duì)高數(shù)據(jù)安全及通信性能的需求，但是它成本高，對(duì)于中小企業(yè)和用戶很難承受。

輔助硬件VPN：主要以現(xiàn)有的網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再添加適當(dāng)?shù)能浖?，它既具備了硬件VPN的高性能和安全性，又具有軟件VPN的靈活管理性，使目前絕大多數(shù)企業(yè)首選的VPN解決方案。VPN分類從技術(shù)上分類5VPN實(shí)現(xiàn)技術(shù)VPN的安全技術(shù)：隧道技術(shù)（Tunneling）它是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。加解密技術(shù)（Encryption&Decryption）它是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。密鑰管理技術(shù)（KeyManagement）它的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。VPN實(shí)現(xiàn)技術(shù)VPN的安全技術(shù)：6VPN實(shí)現(xiàn)技術(shù)VPN在OSI中的層次VPN實(shí)現(xiàn)技術(shù)應(yīng)用層SSLVPN會(huì)話層Socks5VPN網(wǎng)絡(luò)層IPSecVPN數(shù)據(jù)鏈路層PPTP及L2TP凡是在公共網(wǎng)絡(luò)中實(shí)現(xiàn)了安全通信（主要包括通信實(shí)體的身份識(shí)別和通信數(shù)據(jù)的機(jī)密性處理等）的協(xié)議都可以稱之為VPN協(xié)議。

VPN已經(jīng)在網(wǎng)絡(luò)協(xié)議的多個(gè)層次上實(shí)現(xiàn)，從數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層直到應(yīng)用層。以O(shè)SI模型為參照標(biāo)準(zhǔn)，不同的VPN技術(shù)可以在不同的OSI協(xié)議層實(shí)現(xiàn)。

VPN實(shí)現(xiàn)技術(shù)VPN在OSI中的層次VPN實(shí)現(xiàn)技術(shù)應(yīng)用7VPN實(shí)現(xiàn)技術(shù)應(yīng)用層VPNSSL協(xié)議：SSL是一個(gè)端到端協(xié)議，因而是在處于通信通路端點(diǎn)的機(jī)器上實(shí)現(xiàn)（通常是在客戶機(jī)和服務(wù)器上），而不需要在通信通路的中間節(jié)點(diǎn)（如路由器或防火墻）上實(shí)現(xiàn)。會(huì)話層VPNSocks4協(xié)議：它為TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP協(xié)議（不包括UDP）的客戶/服務(wù)器程序提供了一個(gè)無(wú)需認(rèn)證的防火墻，建立了一個(gè)沒(méi)有加密認(rèn)證的VPN隧道。Socks5協(xié)議：Socks5協(xié)議擴(kuò)展了Socks4，以使其支持UDP、TCP框架規(guī)定的安全認(rèn)證方案、地址解析方案中所規(guī)定的IPv4、域名解析和IPv6。

VPN實(shí)現(xiàn)技術(shù)應(yīng)用層VPN8VPN實(shí)現(xiàn)技術(shù)網(wǎng)絡(luò)層VPNIPSec協(xié)議：它是第三層即IP層的加密。鏈路層VPN技術(shù)

PPTP協(xié)議：PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）是由PPTP論壇開發(fā)的點(diǎn)到點(diǎn)的安全隧道協(xié)議L2F協(xié)議：L2F（Layer2Forwarding）是由Cisco公司提出的，可以在多種介質(zhì)（如ATM、FR、IP）上建立多協(xié)議的安全VPN的通信方式。L2TP協(xié)議：IETF建議將PPTP和L2F的優(yōu)點(diǎn)組合起來(lái)組成了一個(gè)工業(yè)標(biāo)準(zhǔn)，即第二層隧道協(xié)議。

VPN實(shí)現(xiàn)技術(shù)9目錄VPN技術(shù)無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6網(wǎng)絡(luò)安全VoIP安全工具介紹目錄VPN技術(shù)10無(wú)線網(wǎng)絡(luò)安全無(wú)線網(wǎng)絡(luò)特殊機(jī)理以及IEEE802.11等無(wú)線安全加密認(rèn)證機(jī)制本身的不完善，使得無(wú)線網(wǎng)絡(luò)的安全性相對(duì)有線網(wǎng)絡(luò)更為脆弱和敏感。便攜式移動(dòng)終端由于功能限制不可能提供強(qiáng)有力的安全保障，而且各種新興的網(wǎng)絡(luò)增值業(yè)務(wù)也提出了更高的安全需求。無(wú)線網(wǎng)絡(luò)安全無(wú)線網(wǎng)絡(luò)特殊機(jī)理以及IEEE802.11等11無(wú)線網(wǎng)絡(luò)分類根據(jù)網(wǎng)絡(luò)組織形式有結(jié)構(gòu)網(wǎng)絡(luò)有結(jié)構(gòu)無(wú)線網(wǎng)絡(luò)具備固定的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，負(fù)責(zé)移動(dòng)終端的接入和認(rèn)證，并提供網(wǎng)絡(luò)服務(wù)，包括蜂窩通信網(wǎng)絡(luò)和無(wú)線局域網(wǎng)等等；自組織網(wǎng)絡(luò)自組織網(wǎng)絡(luò)按照自發(fā)形式組網(wǎng)，網(wǎng)絡(luò)中不存在集中管理機(jī)制，各節(jié)點(diǎn)按照分布式途徑協(xié)同提供網(wǎng)絡(luò)服務(wù)，包括傳感器網(wǎng)絡(luò)和自組織網(wǎng)絡(luò)。無(wú)線網(wǎng)絡(luò)分類根據(jù)網(wǎng)絡(luò)組織形式12無(wú)線網(wǎng)絡(luò)分類根據(jù)數(shù)據(jù)發(fā)送的距離、傳輸速率和用途名稱縮寫代表技術(shù)傳輸速率發(fā)送距離無(wú)線廣域網(wǎng)WWANGSM、3G、4G>2Mb/s10km無(wú)線城域網(wǎng)WMANIEEE802.16（Wi-MAX）70Mb/s50kmIEEE802.20/（Mobile-Fi）l~4Mb/s15km無(wú)線局域網(wǎng)WLANIEEE802.11x11~56Mb/s100m~10km無(wú)線個(gè)人網(wǎng)WPANIEEE802.15、B1ueTooth1~10Mb/s0.1~10m無(wú)線網(wǎng)絡(luò)分類根據(jù)數(shù)據(jù)發(fā)送的距離、傳輸速率和用途名稱縮寫代表技13無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)缺點(diǎn)不需鋪設(shè)傳輸介質(zhì)線路，具有充分的靈活性傳輸距離短，傳輸數(shù)據(jù)率低，傳輸帶寬有限，可靠性差無(wú)縫覆蓋，使用戶接入網(wǎng)絡(luò)方便傳輸線路可靠性受天氣環(huán)境影響大可移動(dòng)通信，能在寬廣范圍漫游信息在空中傳播，使網(wǎng)絡(luò)攻擊變的非常方便無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)缺點(diǎn)不需鋪設(shè)傳輸介質(zhì)線路14無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的安全隱患無(wú)線竊聽(tīng)無(wú)線信道是一個(gè)開放的信道，任何具有適當(dāng)無(wú)線設(shè)備的人都可以通過(guò)竊聽(tīng)無(wú)線信道而獲得上述信息。無(wú)線竊聽(tīng)可以導(dǎo)致信息(如通話信息、身份信息、位置信息、數(shù)據(jù)信息以及移動(dòng)站與網(wǎng)絡(luò)控制中心之間的信令信息等)泄露。假冒攻擊無(wú)線信道中傳送的任何信息都可能被竊聽(tīng)。當(dāng)攻擊者截獲到一個(gè)合法用戶的身份信息時(shí)，他就可以利用這個(gè)身份信息假冒該合法用戶的身份入網(wǎng)無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的安全隱患15無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的安全隱患信息篡改信息篡改是指主動(dòng)攻擊者將竊聽(tīng)到的信息進(jìn)行修改(如刪除和/或替代部分或者全部信息)之后再將信息傳送給原本的接收者。重傳攻擊重傳攻擊包括非法訪問(wèn)、惡意破壞，它指攻擊者將竊聽(tīng)到的有效信息經(jīng)過(guò)一段時(shí)間后再傳給消息的接收者。攻擊者的目的是企圖利用曾經(jīng)有效的信息在改變了的情形下達(dá)到同樣的目的，例如攻擊者利用截獲到的合法用戶日令來(lái)獲得網(wǎng)絡(luò)控制中心的授權(quán)，從而訪問(wèn)網(wǎng)絡(luò)資源。無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的安全隱患16無(wú)線網(wǎng)絡(luò)安全技術(shù)WEP加密技術(shù)WEP(WiredEquivalentPrivacy)是IEEE設(shè)計(jì)的加解密的機(jī)制，期望無(wú)線網(wǎng)絡(luò)使用者能獲得與一般有線網(wǎng)絡(luò)同等的私密性。WEP采用對(duì)稱式加解密系統(tǒng)(SymmetricCryptographySystem)，原始密鑰的長(zhǎng)度是40/104bits。用戶的密鑰只有和AP的密鑰匙相同才能訪問(wèn)網(wǎng)絡(luò)，這樣就阻止了非授權(quán)用戶的監(jiān)聽(tīng)和訪問(wèn)。缺點(diǎn)：惡意黑客能相對(duì)容易地?cái)r截并破壞WEP密碼，進(jìn)入到局域網(wǎng)當(dāng)中；缺少密鑰管理。無(wú)線網(wǎng)絡(luò)安全技術(shù)WEP加密技術(shù)17無(wú)線網(wǎng)絡(luò)安全技術(shù)WPA技術(shù)Wi-FiProtectedAccess(WPA)是一種過(guò)渡性行業(yè)標(biāo)準(zhǔn)，它通過(guò)升級(jí)到基于802.11i的無(wú)線網(wǎng)絡(luò)適配器的固件和無(wú)線訪問(wèn)點(diǎn)(AP)來(lái)保護(hù)802.11i無(wú)線LAN聯(lián)網(wǎng)的安全。WPA將臨時(shí)密鑰完整性協(xié)議(TKIP)與Michael（即完成數(shù)據(jù)校驗(yàn)的MIC算法）結(jié)合起來(lái)，取代了有線對(duì)等保密(WEP)；臨時(shí)密鑰完整性協(xié)議可通過(guò)加密來(lái)保證數(shù)據(jù)機(jī)密性，Michael可保證數(shù)據(jù)完整性。WPA繼承了WEP基本原理而又解決了WEP缺點(diǎn)，它改變了密鑰生成方式，能夠更頻繁地變換密鑰，還增加了消息完整性檢查功能來(lái)防止數(shù)據(jù)包偽造。無(wú)線網(wǎng)絡(luò)安全技術(shù)WPA技術(shù)18無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具Stumbling工具主要作用是確認(rèn)無(wú)線網(wǎng)絡(luò)的存在并探測(cè)其行為；尋找信號(hào)幀；廣播客戶請(qǐng)求，等待可能的AP回應(yīng)。Stumbling工具有：Netstumbler，Ministumbler，actrumbler，Airfart等。Sniffing則用于捕捉無(wú)線流量、觀察數(shù)據(jù)。Sniffing工具有：Ethereal，Kismet，KisMAC，Packetyzer，AirTraf，Airscanner等。其中以NetStumbler和Kismet最為知名。無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具19無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具NetstumblerNetstumble支持pcmcia無(wú)線網(wǎng)卡，同時(shí)支持全球GPS衛(wèi)星定位系統(tǒng)。這個(gè)工具現(xiàn)在是免費(fèi)的，僅僅支持Windows系統(tǒng)，源代碼不公開，而且該軟件的開發(fā)者還保留在適當(dāng)?shù)那闆r下對(duì)授權(quán)協(xié)議的修改權(quán)。NetStumbler支持服務(wù)集識(shí)別符(ServiceSetIdentifier，SSID)、有線等同保密(WEP)、開放式認(rèn)證、共享密碼認(rèn)證、MAC地址認(rèn)證等。

無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具20無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具KismetKismet是一款802.11b網(wǎng)絡(luò)嗅探、分析程序，依賴無(wú)線網(wǎng)卡的能力來(lái)報(bào)告數(shù)據(jù)包，支持SSID解碼。大多數(shù)常見(jiàn)的無(wú)線網(wǎng)卡——包括Linksys，D-Link，CiscoAironet和Orinoco都支持這一功能。Kismet是設(shè)計(jì)運(yùn)行在Linux平臺(tái)上的，在Windows平臺(tái)上要安裝Cygwin并在Cygwin環(huán)境下運(yùn)行Kismet。Kismet可以同時(shí)檢測(cè)到多個(gè)源數(shù)據(jù)包。無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具21無(wú)線網(wǎng)絡(luò)監(jiān)視工具入侵檢測(cè)工具AirDefenseAirdefense為空中防護(hù)，其引申為無(wú)線防護(hù)。即對(duì)Wireless，LAN的網(wǎng)絡(luò)防護(hù)，具有防入侵，安全網(wǎng)絡(luò)規(guī)劃等功能。Airdefense主要是由Server，Sensor和一個(gè)中央管理器三部分組成，Sensor用來(lái)監(jiān)視和捕捉AP的數(shù)據(jù)，Server則用來(lái)做IDS的分析和統(tǒng)計(jì)，而中央管理器則可以使網(wǎng)管清晰的看到被檢測(cè)的每一步的數(shù)據(jù)。AirIDS第一款無(wú)線(802.11)入侵檢測(cè)系統(tǒng)。通過(guò)使用強(qiáng)大的過(guò)濾系統(tǒng)，較好的設(shè)備驅(qū)動(dòng)，以及主動(dòng)防御措施，AirIDS能成功檢測(cè)和挫敗一些惡意行為，如網(wǎng)絡(luò)stumbling，MAC地址欺騙，未授權(quán)無(wú)線接入，WEP攻擊等。無(wú)線網(wǎng)絡(luò)監(jiān)視工具入侵檢測(cè)工具22無(wú)線網(wǎng)絡(luò)監(jiān)視工具無(wú)線網(wǎng)絡(luò)審計(jì)工具商用開源AirDefense：使用置于各地的網(wǎng)絡(luò)的IDS傳感器和向中央管理服務(wù)器或控制臺(tái)報(bào)告信息WIDZ：提供無(wú)賴AP檢測(cè)，監(jiān)視網(wǎng)絡(luò)中可能的惡意流量WiSentry：是基于IDS的軟件，通過(guò)各個(gè)小的客戶進(jìn)程檢測(cè)發(fā)現(xiàn)可疑活動(dòng)AirIDS：提供基本的IDS能力AirMagnet：提供一系列軟件工具，用于診斷安全問(wèn)題和其他無(wú)線網(wǎng)絡(luò)問(wèn)題Kismet：能檢測(cè)可疑主機(jī)，如運(yùn)行AirJack等攻擊軟件的客戶端NAISniffer：具有IDS功能的無(wú)線協(xié)議分析器HotSpot-DefenceKit：監(jiān)視WMAC地址，ESSID，以及其他各種指標(biāo)（如信號(hào)強(qiáng)度的突然波動(dòng)）。常用于抵制一些黑客軟件如AirSnarf。AiroPeek：具有IDS傳感器功能的無(wú)線協(xié)議分析器無(wú)線網(wǎng)絡(luò)監(jiān)視工具無(wú)線網(wǎng)絡(luò)審計(jì)工具商用23無(wú)線網(wǎng)絡(luò)監(jiān)視工具增加無(wú)線網(wǎng)絡(luò)安全方法改變系統(tǒng)ID禁用SSID廣播，并啟動(dòng)MAC地址過(guò)濾啟用加密不用DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)，使用確認(rèn)的，私有的IP；對(duì)于安全和機(jī)密要求比較高的企業(yè)網(wǎng)絡(luò)等，采用VPN和強(qiáng)大的加密機(jī)制加強(qiáng)AP的管理為PC打補(bǔ)丁、升級(jí)無(wú)線網(wǎng)絡(luò)監(jiān)視工具增加無(wú)線網(wǎng)絡(luò)安全方法24VPN技術(shù)無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6網(wǎng)絡(luò)安全VoIP安全工具介紹目錄VPN技術(shù)目錄25IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6歷史IP第6版（IPv6）是繼IP第4版（IPv4）以后，Internet協(xié)議的一個(gè)新版本。主要為了解決IPv4地址局限性問(wèn)題，互聯(lián)網(wǎng)工程任務(wù)組IETF（InternetEngineeringTaskForce）于1993年后期形成的IPng（IP-thenextgeneration）工作組著手下一代互聯(lián)網(wǎng)的制定工作。最后推薦以“簡(jiǎn)單因特網(wǎng)協(xié)議（SimpleInternetProtocolPlus，SIPP）細(xì)則（128位ver）”里描述的協(xié)議改編作為IPng的依據(jù)，作為因特網(wǎng)的下一代協(xié)議。IPv5已經(jīng)被用于一個(gè)在Internet上實(shí)時(shí)傳輸聲音、視頻及分布式仿真或游戲等多媒體流的IP層協(xié)議IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6歷史26IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6相對(duì)IPv4的變化地址容量的擴(kuò)展Pv6把IP地址的大小從32位增至128位首部格式的簡(jiǎn)化IPv6的首部固定長(zhǎng)度為40個(gè)字節(jié)，字段減少為8個(gè)字段。支持?jǐn)U展和選項(xiàng)的改進(jìn)IPv6中使用擴(kuò)展頭來(lái)實(shí)現(xiàn)各種選項(xiàng)。數(shù)據(jù)流標(biāo)簽的能力IPv6中引入了“流”的概念，使得那些發(fā)送者要求特殊處理的屬于特別的傳輸“流”的包能夠貼上“標(biāo)簽”。安全支持IPv6集成了IPsec，為網(wǎng)絡(luò)層及上層數(shù)據(jù)提供認(rèn)證和保密。IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6相對(duì)IPv4的變化27IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6頭部IPv6頭部格式IPv6擴(kuò)展頭部一個(gè)IPv6頭部可以攜帶零個(gè)，一個(gè)或者更多的擴(kuò)展頭部，每個(gè)擴(kuò)展頭部由前一個(gè)頭部中的“下一個(gè)頭部”字段標(biāo)識(shí)。當(dāng)在同一個(gè)包中使用多于一個(gè)擴(kuò)展頭部時(shí)，擴(kuò)展頭部要按下列順序排列：IPv6頭部、Hop-by-Hop選項(xiàng)頭部、目的地址選項(xiàng)頭部、路由頭部、分片頭部、認(rèn)證頭部、封裝安全有效載荷頭部、目的地址選項(xiàng)頭部、上層協(xié)議頭部。版本(4bit)傳輸類別(8bit)數(shù)據(jù)流標(biāo)簽(20bit))有效載荷長(zhǎng)度(16bit)下一個(gè)頭部(8bit)跳數(shù)限制(8bit)源地址(128bit)目的地址(128bit)IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6頭部版本(4bit)傳輸類別(8bi28IPv6與IPSecIPv6與IPSecIPSec在在IPv6中是一個(gè)必須的組成部分。IPv6通過(guò)IPsec為IP層傳輸提供多種安全服務(wù)。包括訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、抗重播保護(hù)和數(shù)據(jù)保密性。在IPv6中，是通過(guò)兩種安全性擴(kuò)展頭部來(lái)支持IP頭部驗(yàn)證（AH）和IP封裝安全載荷（ESP）。在傳送模式中，AH和ESP被看作端到端的有效載荷，因而應(yīng)該出現(xiàn)在逐跳（Hop-by-Hop）擴(kuò)展頭，路由擴(kuò)展頭和分片擴(kuò)展頭之后。目的選項(xiàng)擴(kuò)展頭既可以在ESP頭之前，也可以在ESP頭之后。但是，因?yàn)镋SP僅保護(hù)ESP頭之后的字段，通常它可能愿意把目的選項(xiàng)頭放在ESP頭之后。IPv6與IPSecIPv6與IPSec29IPv6與IPSec原始IP頭擴(kuò)展頭（如果有）TCP數(shù)據(jù)IPv6AH應(yīng)用前原始IP頭逐跳、目的*、路由、分片AH目的選項(xiàng)*TCP數(shù)據(jù)<———————已驗(yàn)證（除可變字段外）———————>AH應(yīng)用后IPv6傳輸模式中AH應(yīng)用前后對(duì)比

*如果存在，可以在AH之前、之后或者前后都有IPv6與IPSec原始IP頭擴(kuò)展頭TCP數(shù)據(jù)IPv6AH30IPv6與IPSec原始IP頭擴(kuò)展頭（如果有）TCP數(shù)據(jù)IPv6ESP應(yīng)用前ESP應(yīng)用后IPv6傳輸模式中ESP應(yīng)用前后對(duì)比

*如果存在，可以在ESP之前、之后或者前后都有原始IP頭逐跳，目的*，路由、分片ESP目的選項(xiàng)*TCP數(shù)據(jù)ESP尾部ESP驗(yàn)證<——————已加密——————><————————已驗(yàn)證———————>IPv6與IPSec原始IP頭擴(kuò)展頭TCP數(shù)據(jù)IPv6ESP31IPv6與IPSec新IP頭擴(kuò)展頭（如果有）AH原始IP頭擴(kuò)展頭（如果有）TCP數(shù)據(jù)<————————已驗(yàn)證（除新IP頭中可變字段）————————>新IP頭新擴(kuò)展頭ESP原始IP頭原始擴(kuò)展頭TCP數(shù)據(jù)ESP尾部ESP驗(yàn)證<————————已加密——————><—————————已驗(yàn)證——————>隧道模式中應(yīng)用AH隧道模式中ESP應(yīng)用IPv6IPv6IPv6與IPSec新IP頭擴(kuò)展頭（如果有）AH原始IP32IPv6的安全問(wèn)題IPSec本身的問(wèn)題大規(guī)模的密鑰管理和分發(fā)問(wèn)題并沒(méi)有得到實(shí)施IPsec不能保證其上層應(yīng)用的安全I(xiàn)Psec與現(xiàn)有網(wǎng)絡(luò)安全設(shè)備的沖突等問(wèn)題的存在IPv6自身的問(wèn)題IPv6地址空間巨大訪問(wèn)控制自動(dòng)地址配置和鄰節(jié)點(diǎn)發(fā)現(xiàn)協(xié)議移動(dòng)性的安全過(guò)渡期的問(wèn)題IPv6的安全問(wèn)題IPSec本身的問(wèn)題33VPN技術(shù)無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6網(wǎng)絡(luò)安全VoIP安全工具介紹目錄VPN技術(shù)目錄34VoIP概述VoiceoverInternetProtocol(VoIP)：通過(guò)使用IP協(xié)議的公共網(wǎng)絡(luò)本身或者公共或個(gè)人通信網(wǎng)絡(luò)提供的各種語(yǔ)音服務(wù)。VoIP是包交換而PSTN是電路交換。VoIP，或IP電話，是通過(guò)將語(yǔ)音模擬信號(hào)轉(zhuǎn)換成可以通過(guò)IP網(wǎng)絡(luò)傳輸?shù)臄?shù)字信號(hào)，經(jīng)IP網(wǎng)絡(luò)進(jìn)行傳送，到達(dá)目的地后，再還原成模擬信號(hào)的聲音。VoIP的優(yōu)勢(shì)在于它以低廉的價(jià)格提供更多的服務(wù)。VoIP概述VoiceoverInternetProt35信息與網(wǎng)絡(luò)安全教學(xué)課件作者程光第十章36信息與網(wǎng)絡(luò)安全教學(xué)課件作者程光第十章37VoIP系統(tǒng)VoIP關(guān)鍵技術(shù)包括信令技術(shù)、編碼技術(shù)、實(shí)時(shí)傳輸技術(shù)、QoS保證技術(shù)及網(wǎng)絡(luò)傳輸技術(shù)等。此外還有靜音檢測(cè)技術(shù)和回聲消除技術(shù)、網(wǎng)關(guān)互聯(lián)技術(shù)、網(wǎng)絡(luò)管理及安全認(rèn)證等技術(shù)。VoIP技術(shù)涉及到多種協(xié)議：話音建立和控制信令協(xié)議：H.323和SIP；傳統(tǒng)語(yǔ)音的數(shù)字化壓縮編碼協(xié)議：ITU-T的G.711、G.722、G.723、G.728、G.729；；保證QoS的RSVP（資源預(yù)留協(xié)議）在IP網(wǎng)絡(luò)中實(shí)時(shí)傳輸數(shù)據(jù)流的RTP（實(shí)時(shí)傳輸協(xié)議）和RTCP（實(shí)時(shí)傳輸控制協(xié)議）VoIP系統(tǒng)VoIP關(guān)鍵技術(shù)38VoIP系統(tǒng)VoIP關(guān)鍵技術(shù)H.323規(guī)定了在不能保證服務(wù)質(zhì)量的分組網(wǎng)絡(luò)上的多媒體通信的技術(shù)要求。提供了點(diǎn)對(duì)點(diǎn)或多點(diǎn)會(huì)議中音頻（以及可選的視頻及數(shù)據(jù)）的通信能力。H.323是一個(gè)系列，由多個(gè)協(xié)議組成。它的標(biāo)準(zhǔn)范圍不包括網(wǎng)絡(luò)接口、物理網(wǎng)絡(luò)和網(wǎng)絡(luò)上的傳輸協(xié)議。目前，我國(guó)的IP電話運(yùn)營(yíng)主要是以H.323為基礎(chǔ)的。SIPSIP是與H.323并行的IP電話協(xié)議，它具有簡(jiǎn)單、擴(kuò)展性好及和現(xiàn)有的Internet應(yīng)用緊密結(jié)合的特點(diǎn)。SIP是繼基于文本的SMTP和HTTP協(xié)議之后基于客戶端/服務(wù)器結(jié)構(gòu)的模型，它是一個(gè)獨(dú)立于現(xiàn)行包協(xié)議（TCP、UDP、ATM、X.25）的應(yīng)用層協(xié)議。VoIP系統(tǒng)VoIP關(guān)鍵技術(shù)39H.323和SIP介紹H.323簡(jiǎn)要介紹H.323終端設(shè)備VideoI/OequipmentAudioI/OequipmentUserDataApplicationT.120,etc.SystemControlUserInterface.VideoCodecH.261,H.263AudioCodecG.711,G.722,G.723,G.728,G.729

SystemControlH.245ControlCallControlH.225.0RSAControlH.225.0H.225.0LayerNetworkInterfaceScopeofRec.H.323receivepathDelay注：虛線框以外的部分為H.323體系范圍外的終端單元，虛線框以內(nèi)的部分為H.323體系范圍內(nèi)的終端單元。H.323和SIP介紹H.323簡(jiǎn)要介紹H.323終端設(shè)備40H.323和SIP介紹H.323簡(jiǎn)要介紹范圍外的終端單元：配接的音頻設(shè)備：提供話音激活功能、麥克風(fēng)和揚(yáng)聲器、電話機(jī)或等效設(shè)備、多麥克風(fēng)混合器以及回音抵消設(shè)備。配接的視頻設(shè)備：攝像機(jī)和監(jiān)視器及其控制和選擇、改善壓縮或提供拆分屏幕功能的視頻處理。數(shù)據(jù)應(yīng)用及其相關(guān)的用戶接口：在數(shù)據(jù)信道上使用T.120或其它數(shù)據(jù)服務(wù)。配接的網(wǎng)絡(luò)接口：根據(jù)國(guó)內(nèi)或國(guó)際標(biāo)準(zhǔn)提供與分組交換網(wǎng)的接口并支持適當(dāng)?shù)男帕詈碗娖?。人機(jī)用戶系統(tǒng)控制：用戶接口和操作。H.323和SIP介紹H.323簡(jiǎn)要介紹41H.323和SIP介紹H.323簡(jiǎn)要介紹

標(biāo)準(zhǔn)以內(nèi)的終端單元：視頻編解碼器（H.261等）對(duì)來(lái)自視頻源（如攝像機(jī)）的視頻進(jìn)行編碼發(fā)送，對(duì)接收到的視頻碼進(jìn)行解碼并輸出到視頻顯示器。音頻編碼器（G.711等）對(duì)來(lái)自麥克風(fēng)的音頻信號(hào)進(jìn)行編碼發(fā)送，對(duì)接收到的音頻碼進(jìn)行解碼并輸出到揚(yáng)聲器。數(shù)據(jù)信道支持遠(yuǎn)程信息處理應(yīng)用，如電子白板、靜態(tài)圖像傳輸、文件交換、數(shù)據(jù)庫(kù)訪問(wèn)、音頻圖形會(huì)議等。建議T.120是實(shí)時(shí)音頻圖形會(huì)議的標(biāo)準(zhǔn)數(shù)據(jù)應(yīng)用。其它應(yīng)用和協(xié)議也可以通過(guò)H.245協(xié)商使用。系統(tǒng)控制單元（H.245，H.225.0）為H.323終端的正確的操作提供信令。它提供呼叫控制、能力交換、命令和指示的信令以及消息。H.225.0層（H.225.0）對(duì)發(fā)送的視頻、音頻、數(shù)據(jù)和控制流進(jìn)行格式化，形成消息輸出到網(wǎng)絡(luò)接口；從網(wǎng)絡(luò)接口接收到的消息中提取視頻、音頻、數(shù)據(jù)和控制流。另外，對(duì)每一種媒體類型，完成適當(dāng)?shù)倪壿嫵蓭?、順序編?hào)、差錯(cuò)檢測(cè)和差錯(cuò)糾正。

H.323和SIP介紹H.323簡(jiǎn)要介紹42H.323和SIP介紹H.322相關(guān)概念介紹H.245H.245是H.323協(xié)議體系中用于媒體信道控制的協(xié)議，主要完成多媒體通信中每個(gè)邏輯通道的建立、維護(hù)和釋放，同時(shí)，它還完成多點(diǎn)會(huì)議呼叫中邏輯信道的配合控制功能。H.245定義了兩類信道：控制信道（也稱H.245信道）和邏輯信道（也稱媒體信道或通信信道）。H.245的主要控制過(guò)程有：能力交換、邏輯信道信令過(guò)程、主從確定過(guò)程、往返時(shí)延確定、環(huán)路維護(hù)及其它命令和指示。RAS信令功能RAS信令功能利用H.225.0消息來(lái)執(zhí)行在端點(diǎn)和關(guān)守之間的注冊(cè)、接入、帶寬改變、狀態(tài)、以及脫離過(guò)程。RAS信令信道獨(dú)立于呼叫信令信道和H.245控制信道。RSA信令信道的打開先于H.323端點(diǎn)之間任何其它信道的建立。H.323和SIP介紹H.322相關(guān)概念介紹43H.323和SIP介紹SIP介紹用戶代理服務(wù)器（UAS）：當(dāng)接到SIP請(qǐng)求時(shí)聯(lián)系用戶，并代表用戶返回響應(yīng)。代理服務(wù)器（ProxyServer）：代表其他客戶機(jī)發(fā)起請(qǐng)求，既充當(dāng)服務(wù)器又充當(dāng)客戶機(jī)的應(yīng)用程序。它在轉(zhuǎn)發(fā)請(qǐng)求之前可能改寫原請(qǐng)求消息中的內(nèi)容。重定向服務(wù)器（RedirectServer）：接收SIP請(qǐng)求，把請(qǐng)求中的原地址映射成零個(gè)或多個(gè)新地址，返回給客戶機(jī)。注冊(cè)服務(wù)器（RegistrarServer）：接收客戶機(jī)的注冊(cè)請(qǐng)求，完成用戶地址的注冊(cè)。SIP組成及功能請(qǐng)求回復(fù)媒體流1234567891011121314SIPClient(UserAgentServer)SIPProxySIPRedirectServerSIPProxyLocationServiceSIPClient(UserAgentClient)SIPProxyH.323和SIP介紹SIP介紹SIP組成及功能請(qǐng)求回復(fù)媒體44VoIP的安全H.235：H系列（H.323和其他基于H.245的）多媒體系統(tǒng)的安全性框架H.235介紹H.235建議中的安全方法摘要具體解決方案SIP協(xié)議安全傳輸層和網(wǎng)絡(luò)層的安全HTTP認(rèn)證S/MIMEVoIP的安全H.235：H系列（H.323和其他基于H.245VPN技術(shù)無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6網(wǎng)絡(luò)安全VoIP安全工具介紹目錄VPN技術(shù)目錄46工具介紹配置MicrosoftWindows2003Server系統(tǒng)下PPTPVPN服務(wù)器1．服務(wù)器配置硬件：需要兩塊網(wǎng)卡（1）VPN服務(wù)器基本配置工具介紹配置MicrosoftWindows2003Se47工具介紹配置MicrosoftWindows2003Server系統(tǒng)下PPTPVPN服務(wù)器1．服務(wù)器配置 （2）VPN服務(wù)器屬性 （3）配置接口篩選器工具介紹配置MicrosoftWindows2003Se48工具介紹配置MicrosoftWindows2003Server系統(tǒng)下PPTPVPN服務(wù)器1．服務(wù)器配置 （4）創(chuàng)建遠(yuǎn)程訪問(wèn)策略 ①設(shè)置用戶訪問(wèn)權(quán)限 ②遠(yuǎn)程訪問(wèn)策略工具介紹配置MicrosoftWindows2003Se49工具介紹配置MicrosoftWindows2003Server系統(tǒng)下PPTPVPN服務(wù)器1．服務(wù)器配置 （4）創(chuàng)建遠(yuǎn)程訪問(wèn)策略 ②遠(yuǎn)程訪問(wèn)策略

工具介紹配置MicrosoftWindows2003Se50工具介紹配置MicrosoftWindows2003Server系統(tǒng)下PPTPVPN服務(wù)器2．客戶端設(shè)置 在InsistsoftSSLPNServer中，通過(guò)配置程序“ControlPanel”中的“PortService”模塊對(duì)服務(wù)進(jìn)行設(shè)置，還可以通過(guò)“CAManager”進(jìn)行簡(jiǎn)單證書管理。通過(guò)服務(wù)引擎“ServiceEngine”對(duì)服務(wù)進(jìn)行管理。

工具介紹配置MicrosoftWindows2003Se51本章小結(jié)VPN無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6VoIP工具介紹本章小結(jié)VPN52第10章安全網(wǎng)絡(luò)技術(shù)VPN技術(shù)無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6網(wǎng)絡(luò)安全VoIP安全工具介紹第10章安全網(wǎng)絡(luò)技術(shù)VPN技術(shù)53VPN概念VPN是英文VirtualPrivateNetwork的縮寫，中文譯為“虛擬專用網(wǎng)絡(luò)”。VPN利用現(xiàn)有的公用網(wǎng)（包括Internet網(wǎng)、電信部門提供的公用電話網(wǎng)、幀中繼網(wǎng)及ATM網(wǎng)絡(luò)等）來(lái)搭建自己的虛擬專用網(wǎng)絡(luò)。VPN網(wǎng)絡(luò)的任意兩個(gè)結(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)建設(shè)所需的點(diǎn)到點(diǎn)的物理鏈路，而是架構(gòu)在公用網(wǎng)所提供的網(wǎng)絡(luò)平臺(tái)之上的邏輯網(wǎng)絡(luò)。通過(guò)相應(yīng)的加密和認(rèn)證技術(shù)來(lái)保證用戶內(nèi)部數(shù)據(jù)在公網(wǎng)上安全傳輸，從而真正實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)乃接行浴PN概念VPN是英文VirtualPrivateNet54VPN概念公用網(wǎng)絡(luò)VPN連接服務(wù)器服務(wù)器VPN示意圖VPN概念公用網(wǎng)絡(luò)VPN連接服務(wù)器服務(wù)器VPN示意圖55VPN作用一是遠(yuǎn)程訪問(wèn)，主要為在外出差、移動(dòng)辦公和在家中辦公的人員訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)；二是企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)，在內(nèi)部各分支機(jī)構(gòu)網(wǎng)絡(luò)與總部網(wǎng)絡(luò)之間實(shí)現(xiàn)安全互聯(lián)；三是與合作伙伴建立安全通信。VPN作用一是遠(yuǎn)程訪問(wèn)，主要為在外出差、移動(dòng)辦公和在家中辦公56VPN分類從技術(shù)上分類以IPSec為代表的、基于用戶設(shè)備的VPN技術(shù)，由網(wǎng)絡(luò)廠商提供VPN技術(shù)和解決方案，既可用于網(wǎng)絡(luò)互聯(lián)，又可用于遠(yuǎn)程訪問(wèn)；以MPLSVPN為代表的、基于網(wǎng)絡(luò)的VPN技術(shù)，由電信運(yùn)營(yíng)商提供VPN服務(wù)，主要用于網(wǎng)絡(luò)遠(yuǎn)程互聯(lián)。從實(shí)際使用上分類軟件VPN：對(duì)數(shù)據(jù)的傳輸速率不高，安全性能也不強(qiáng)，如微軟的Windows2000以后的系統(tǒng)就可以實(shí)現(xiàn)純軟件平臺(tái)的VPN連接。

硬件VPN：可以滿足企業(yè)和個(gè)人用戶對(duì)高數(shù)據(jù)安全及通信性能的需求，但是它成本高，對(duì)于中小企業(yè)和用戶很難承受。

輔助硬件VPN：主要以現(xiàn)有的網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再添加適當(dāng)?shù)能浖?，它既具備了硬件VPN的高性能和安全性，又具有軟件VPN的靈活管理性，使目前絕大多數(shù)企業(yè)首選的VPN解決方案。VPN分類從技術(shù)上分類57VPN實(shí)現(xiàn)技術(shù)VPN的安全技術(shù)：隧道技術(shù)（Tunneling）它是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。加解密技術(shù)（Encryption&Decryption）它是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。密鑰管理技術(shù)（KeyManagement）它的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。VPN實(shí)現(xiàn)技術(shù)VPN的安全技術(shù)：58VPN實(shí)現(xiàn)技術(shù)VPN在OSI中的層次VPN實(shí)現(xiàn)技術(shù)應(yīng)用層SSLVPN會(huì)話層Socks5VPN網(wǎng)絡(luò)層IPSecVPN數(shù)據(jù)鏈路層PPTP及L2TP凡是在公共網(wǎng)絡(luò)中實(shí)現(xiàn)了安全通信（主要包括通信實(shí)體的身份識(shí)別和通信數(shù)據(jù)的機(jī)密性處理等）的協(xié)議都可以稱之為VPN協(xié)議。

VPN已經(jīng)在網(wǎng)絡(luò)協(xié)議的多個(gè)層次上實(shí)現(xiàn)，從數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層直到應(yīng)用層。以O(shè)SI模型為參照標(biāo)準(zhǔn)，不同的VPN技術(shù)可以在不同的OSI協(xié)議層實(shí)現(xiàn)。

VPN實(shí)現(xiàn)技術(shù)VPN在OSI中的層次VPN實(shí)現(xiàn)技術(shù)應(yīng)用59VPN實(shí)現(xiàn)技術(shù)應(yīng)用層VPNSSL協(xié)議：SSL是一個(gè)端到端協(xié)議，因而是在處于通信通路端點(diǎn)的機(jī)器上實(shí)現(xiàn)（通常是在客戶機(jī)和服務(wù)器上），而不需要在通信通路的中間節(jié)點(diǎn)（如路由器或防火墻）上實(shí)現(xiàn)。會(huì)話層VPNSocks4協(xié)議：它為TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP協(xié)議（不包括UDP）的客戶/服務(wù)器程序提供了一個(gè)無(wú)需認(rèn)證的防火墻，建立了一個(gè)沒(méi)有加密認(rèn)證的VPN隧道。Socks5協(xié)議：Socks5協(xié)議擴(kuò)展了Socks4，以使其支持UDP、TCP框架規(guī)定的安全認(rèn)證方案、地址解析方案中所規(guī)定的IPv4、域名解析和IPv6。

VPN實(shí)現(xiàn)技術(shù)應(yīng)用層VPN60VPN實(shí)現(xiàn)技術(shù)網(wǎng)絡(luò)層VPNIPSec協(xié)議：它是第三層即IP層的加密。鏈路層VPN技術(shù)

PPTP協(xié)議：PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）是由PPTP論壇開發(fā)的點(diǎn)到點(diǎn)的安全隧道協(xié)議L2F協(xié)議：L2F（Layer2Forwarding）是由Cisco公司提出的，可以在多種介質(zhì)（如ATM、FR、IP）上建立多協(xié)議的安全VPN的通信方式。L2TP協(xié)議：IETF建議將PPTP和L2F的優(yōu)點(diǎn)組合起來(lái)組成了一個(gè)工業(yè)標(biāo)準(zhǔn)，即第二層隧道協(xié)議。

VPN實(shí)現(xiàn)技術(shù)61目錄VPN技術(shù)無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6網(wǎng)絡(luò)安全VoIP安全工具介紹目錄VPN技術(shù)62無(wú)線網(wǎng)絡(luò)安全無(wú)線網(wǎng)絡(luò)特殊機(jī)理以及IEEE802.11等無(wú)線安全加密認(rèn)證機(jī)制本身的不完善，使得無(wú)線網(wǎng)絡(luò)的安全性相對(duì)有線網(wǎng)絡(luò)更為脆弱和敏感。便攜式移動(dòng)終端由于功能限制不可能提供強(qiáng)有力的安全保障，而且各種新興的網(wǎng)絡(luò)增值業(yè)務(wù)也提出了更高的安全需求。無(wú)線網(wǎng)絡(luò)安全無(wú)線網(wǎng)絡(luò)特殊機(jī)理以及IEEE802.11等63無(wú)線網(wǎng)絡(luò)分類根據(jù)網(wǎng)絡(luò)組織形式有結(jié)構(gòu)網(wǎng)絡(luò)有結(jié)構(gòu)無(wú)線網(wǎng)絡(luò)具備固定的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，負(fù)責(zé)移動(dòng)終端的接入和認(rèn)證，并提供網(wǎng)絡(luò)服務(wù)，包括蜂窩通信網(wǎng)絡(luò)和無(wú)線局域網(wǎng)等等；自組織網(wǎng)絡(luò)自組織網(wǎng)絡(luò)按照自發(fā)形式組網(wǎng)，網(wǎng)絡(luò)中不存在集中管理機(jī)制，各節(jié)點(diǎn)按照分布式途徑協(xié)同提供網(wǎng)絡(luò)服務(wù)，包括傳感器網(wǎng)絡(luò)和自組織網(wǎng)絡(luò)。無(wú)線網(wǎng)絡(luò)分類根據(jù)網(wǎng)絡(luò)組織形式64無(wú)線網(wǎng)絡(luò)分類根據(jù)數(shù)據(jù)發(fā)送的距離、傳輸速率和用途名稱縮寫代表技術(shù)傳輸速率發(fā)送距離無(wú)線廣域網(wǎng)WWANGSM、3G、4G>2Mb/s10km無(wú)線城域網(wǎng)WMANIEEE802.16（Wi-MAX）70Mb/s50kmIEEE802.20/（Mobile-Fi）l~4Mb/s15km無(wú)線局域網(wǎng)WLANIEEE802.11x11~56Mb/s100m~10km無(wú)線個(gè)人網(wǎng)WPANIEEE802.15、B1ueTooth1~10Mb/s0.1~10m無(wú)線網(wǎng)絡(luò)分類根據(jù)數(shù)據(jù)發(fā)送的距離、傳輸速率和用途名稱縮寫代表技65無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)缺點(diǎn)不需鋪設(shè)傳輸介質(zhì)線路，具有充分的靈活性傳輸距離短，傳輸數(shù)據(jù)率低，傳輸帶寬有限，可靠性差無(wú)縫覆蓋，使用戶接入網(wǎng)絡(luò)方便傳輸線路可靠性受天氣環(huán)境影響大可移動(dòng)通信，能在寬廣范圍漫游信息在空中傳播，使網(wǎng)絡(luò)攻擊變的非常方便無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)缺點(diǎn)不需鋪設(shè)傳輸介質(zhì)線路66無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的安全隱患無(wú)線竊聽(tīng)無(wú)線信道是一個(gè)開放的信道，任何具有適當(dāng)無(wú)線設(shè)備的人都可以通過(guò)竊聽(tīng)無(wú)線信道而獲得上述信息。無(wú)線竊聽(tīng)可以導(dǎo)致信息(如通話信息、身份信息、位置信息、數(shù)據(jù)信息以及移動(dòng)站與網(wǎng)絡(luò)控制中心之間的信令信息等)泄露。假冒攻擊無(wú)線信道中傳送的任何信息都可能被竊聽(tīng)。當(dāng)攻擊者截獲到一個(gè)合法用戶的身份信息時(shí)，他就可以利用這個(gè)身份信息假冒該合法用戶的身份入網(wǎng)無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的安全隱患67無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的安全隱患信息篡改信息篡改是指主動(dòng)攻擊者將竊聽(tīng)到的信息進(jìn)行修改(如刪除和/或替代部分或者全部信息)之后再將信息傳送給原本的接收者。重傳攻擊重傳攻擊包括非法訪問(wèn)、惡意破壞，它指攻擊者將竊聽(tīng)到的有效信息經(jīng)過(guò)一段時(shí)間后再傳給消息的接收者。攻擊者的目的是企圖利用曾經(jīng)有效的信息在改變了的情形下達(dá)到同樣的目的，例如攻擊者利用截獲到的合法用戶日令來(lái)獲得網(wǎng)絡(luò)控制中心的授權(quán)，從而訪問(wèn)網(wǎng)絡(luò)資源。無(wú)線網(wǎng)絡(luò)分類無(wú)線網(wǎng)絡(luò)的安全隱患68無(wú)線網(wǎng)絡(luò)安全技術(shù)WEP加密技術(shù)WEP(WiredEquivalentPrivacy)是IEEE設(shè)計(jì)的加解密的機(jī)制，期望無(wú)線網(wǎng)絡(luò)使用者能獲得與一般有線網(wǎng)絡(luò)同等的私密性。WEP采用對(duì)稱式加解密系統(tǒng)(SymmetricCryptographySystem)，原始密鑰的長(zhǎng)度是40/104bits。用戶的密鑰只有和AP的密鑰匙相同才能訪問(wèn)網(wǎng)絡(luò)，這樣就阻止了非授權(quán)用戶的監(jiān)聽(tīng)和訪問(wèn)。缺點(diǎn)：惡意黑客能相對(duì)容易地?cái)r截并破壞WEP密碼，進(jìn)入到局域網(wǎng)當(dāng)中；缺少密鑰管理。無(wú)線網(wǎng)絡(luò)安全技術(shù)WEP加密技術(shù)69無(wú)線網(wǎng)絡(luò)安全技術(shù)WPA技術(shù)Wi-FiProtectedAccess(WPA)是一種過(guò)渡性行業(yè)標(biāo)準(zhǔn)，它通過(guò)升級(jí)到基于802.11i的無(wú)線網(wǎng)絡(luò)適配器的固件和無(wú)線訪問(wèn)點(diǎn)(AP)來(lái)保護(hù)802.11i無(wú)線LAN聯(lián)網(wǎng)的安全。WPA將臨時(shí)密鑰完整性協(xié)議(TKIP)與Michael（即完成數(shù)據(jù)校驗(yàn)的MIC算法）結(jié)合起來(lái)，取代了有線對(duì)等保密(WEP)；臨時(shí)密鑰完整性協(xié)議可通過(guò)加密來(lái)保證數(shù)據(jù)機(jī)密性，Michael可保證數(shù)據(jù)完整性。WPA繼承了WEP基本原理而又解決了WEP缺點(diǎn)，它改變了密鑰生成方式，能夠更頻繁地變換密鑰，還增加了消息完整性檢查功能來(lái)防止數(shù)據(jù)包偽造。無(wú)線網(wǎng)絡(luò)安全技術(shù)WPA技術(shù)70無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具Stumbling工具主要作用是確認(rèn)無(wú)線網(wǎng)絡(luò)的存在并探測(cè)其行為；尋找信號(hào)幀；廣播客戶請(qǐng)求，等待可能的AP回應(yīng)。Stumbling工具有：Netstumbler，Ministumbler，actrumbler，Airfart等。Sniffing則用于捕捉無(wú)線流量、觀察數(shù)據(jù)。Sniffing工具有：Ethereal，Kismet，KisMAC，Packetyzer，AirTraf，Airscanner等。其中以NetStumbler和Kismet最為知名。無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具71無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具NetstumblerNetstumble支持pcmcia無(wú)線網(wǎng)卡，同時(shí)支持全球GPS衛(wèi)星定位系統(tǒng)。這個(gè)工具現(xiàn)在是免費(fèi)的，僅僅支持Windows系統(tǒng)，源代碼不公開，而且該軟件的開發(fā)者還保留在適當(dāng)?shù)那闆r下對(duì)授權(quán)協(xié)議的修改權(quán)。NetStumbler支持服務(wù)集識(shí)別符(ServiceSetIdentifier，SSID)、有線等同保密(WEP)、開放式認(rèn)證、共享密碼認(rèn)證、MAC地址認(rèn)證等。

無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具72無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具KismetKismet是一款802.11b網(wǎng)絡(luò)嗅探、分析程序，依賴無(wú)線網(wǎng)卡的能力來(lái)報(bào)告數(shù)據(jù)包，支持SSID解碼。大多數(shù)常見(jiàn)的無(wú)線網(wǎng)卡——包括Linksys，D-Link，CiscoAironet和Orinoco都支持這一功能。Kismet是設(shè)計(jì)運(yùn)行在Linux平臺(tái)上的，在Windows平臺(tái)上要安裝Cygwin并在Cygwin環(huán)境下運(yùn)行Kismet。Kismet可以同時(shí)檢測(cè)到多個(gè)源數(shù)據(jù)包。無(wú)線網(wǎng)絡(luò)監(jiān)視工具監(jiān)視工具73無(wú)線網(wǎng)絡(luò)監(jiān)視工具入侵檢測(cè)工具AirDefenseAirdefense為空中防護(hù)，其引申為無(wú)線防護(hù)。即對(duì)Wireless，LAN的網(wǎng)絡(luò)防護(hù)，具有防入侵，安全網(wǎng)絡(luò)規(guī)劃等功能。Airdefense主要是由Server，Sensor和一個(gè)中央管理器三部分組成，Sensor用來(lái)監(jiān)視和捕捉AP的數(shù)據(jù)，Server則用來(lái)做IDS的分析和統(tǒng)計(jì)，而中央管理器則可以使網(wǎng)管清晰的看到被檢測(cè)的每一步的數(shù)據(jù)。AirIDS第一款無(wú)線(802.11)入侵檢測(cè)系統(tǒng)。通過(guò)使用強(qiáng)大的過(guò)濾系統(tǒng)，較好的設(shè)備驅(qū)動(dòng)，以及主動(dòng)防御措施，AirIDS能成功檢測(cè)和挫敗一些惡意行為，如網(wǎng)絡(luò)stumbling，MAC地址欺騙，未授權(quán)無(wú)線接入，WEP攻擊等。無(wú)線網(wǎng)絡(luò)監(jiān)視工具入侵檢測(cè)工具74無(wú)線網(wǎng)絡(luò)監(jiān)視工具無(wú)線網(wǎng)絡(luò)審計(jì)工具商用開源AirDefense：使用置于各地的網(wǎng)絡(luò)的IDS傳感器和向中央管理服務(wù)器或控制臺(tái)報(bào)告信息WIDZ：提供無(wú)賴AP檢測(cè)，監(jiān)視網(wǎng)絡(luò)中可能的惡意流量WiSentry：是基于IDS的軟件，通過(guò)各個(gè)小的客戶進(jìn)程檢測(cè)發(fā)現(xiàn)可疑活動(dòng)AirIDS：提供基本的IDS能力AirMagnet：提供一系列軟件工具，用于診斷安全問(wèn)題和其他無(wú)線網(wǎng)絡(luò)問(wèn)題Kismet：能檢測(cè)可疑主機(jī)，如運(yùn)行AirJack等攻擊軟件的客戶端NAISniffer：具有IDS功能的無(wú)線協(xié)議分析器HotSpot-DefenceKit：監(jiān)視WMAC地址，ESSID，以及其他各種指標(biāo)（如信號(hào)強(qiáng)度的突然波動(dòng)）。常用于抵制一些黑客軟件如AirSnarf。AiroPeek：具有IDS傳感器功能的無(wú)線協(xié)議分析器無(wú)線網(wǎng)絡(luò)監(jiān)視工具無(wú)線網(wǎng)絡(luò)審計(jì)工具商用75無(wú)線網(wǎng)絡(luò)監(jiān)視工具增加無(wú)線網(wǎng)絡(luò)安全方法改變系統(tǒng)ID禁用SSID廣播，并啟動(dòng)MAC地址過(guò)濾啟用加密不用DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)，使用確認(rèn)的，私有的IP；對(duì)于安全和機(jī)密要求比較高的企業(yè)網(wǎng)絡(luò)等，采用VPN和強(qiáng)大的加密機(jī)制加強(qiáng)AP的管理為PC打補(bǔ)丁、升級(jí)無(wú)線網(wǎng)絡(luò)監(jiān)視工具增加無(wú)線網(wǎng)絡(luò)安全方法76VPN技術(shù)無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6網(wǎng)絡(luò)安全VoIP安全工具介紹目錄VPN技術(shù)目錄77IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6歷史IP第6版（IPv6）是繼IP第4版（IPv4）以后，Internet協(xié)議的一個(gè)新版本。主要為了解決IPv4地址局限性問(wèn)題，互聯(lián)網(wǎng)工程任務(wù)組IETF（InternetEngineeringTaskForce）于1993年后期形成的IPng（IP-thenextgeneration）工作組著手下一代互聯(lián)網(wǎng)的制定工作。最后推薦以“簡(jiǎn)單因特網(wǎng)協(xié)議（SimpleInternetProtocolPlus，SIPP）細(xì)則（128位ver）”里描述的協(xié)議改編作為IPng的依據(jù)，作為因特網(wǎng)的下一代協(xié)議。IPv5已經(jīng)被用于一個(gè)在Internet上實(shí)時(shí)傳輸聲音、視頻及分布式仿真或游戲等多媒體流的IP層協(xié)議IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6歷史78IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6相對(duì)IPv4的變化地址容量的擴(kuò)展Pv6把IP地址的大小從32位增至128位首部格式的簡(jiǎn)化IPv6的首部固定長(zhǎng)度為40個(gè)字節(jié)，字段減少為8個(gè)字段。支持?jǐn)U展和選項(xiàng)的改進(jìn)IPv6中使用擴(kuò)展頭來(lái)實(shí)現(xiàn)各種選項(xiàng)。數(shù)據(jù)流標(biāo)簽的能力IPv6中引入了“流”的概念，使得那些發(fā)送者要求特殊處理的屬于特別的傳輸“流”的包能夠貼上“標(biāo)簽”。安全支持IPv6集成了IPsec，為網(wǎng)絡(luò)層及上層數(shù)據(jù)提供認(rèn)證和保密。IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6相對(duì)IPv4的變化79IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6頭部IPv6頭部格式IPv6擴(kuò)展頭部一個(gè)IPv6頭部可以攜帶零個(gè)，一個(gè)或者更多的擴(kuò)展頭部，每個(gè)擴(kuò)展頭部由前一個(gè)頭部中的“下一個(gè)頭部”字段標(biāo)識(shí)。當(dāng)在同一個(gè)包中使用多于一個(gè)擴(kuò)展頭部時(shí)，擴(kuò)展頭部要按下列順序排列：IPv6頭部、Hop-by-Hop選項(xiàng)頭部、目的地址選項(xiàng)頭部、路由頭部、分片頭部、認(rèn)證頭部、封裝安全有效載荷頭部、目的地址選項(xiàng)頭部、上層協(xié)議頭部。版本(4bit)傳輸類別(8bit)數(shù)據(jù)流標(biāo)簽(20bit))有效載荷長(zhǎng)度(16bit)下一個(gè)頭部(8bit)跳數(shù)限制(8bit)源地址(128bit)目的地址(128bit)IPv6網(wǎng)絡(luò)安全I(xiàn)Pv6頭部版本(4bit)傳輸類別(8bi80IPv6與IPSecIPv6與IPSecIPSec在在IPv6中是一個(gè)必須的組成部分。IPv6通過(guò)IPsec為IP層傳輸提供多種安全服務(wù)。包括訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、抗重播保護(hù)和數(shù)據(jù)保密性。在IPv6中，是通過(guò)兩種安全性擴(kuò)展頭部來(lái)支持IP頭部驗(yàn)證（AH）和IP封裝安全載荷（ESP）。在傳送模式中，AH和ESP被看作端到端的有效載荷，因而應(yīng)該出現(xiàn)在逐跳（Hop-by-Hop）擴(kuò)展頭，路由擴(kuò)展頭和分片擴(kuò)展頭之后。目的選項(xiàng)擴(kuò)展頭既可以在ESP頭之前，也可以在ESP頭之后。但是，因?yàn)镋SP僅保護(hù)ESP頭之后的字段，通常它可能愿意把目的選項(xiàng)頭放在ESP頭之后。IPv6與IPSecIPv6與IPSec81IPv6與IPSec原始IP頭擴(kuò)展頭（如果有）TCP數(shù)據(jù)IPv6AH應(yīng)用前原始IP頭逐跳、目的*、路由、分片AH目的選項(xiàng)*TCP數(shù)據(jù)<———————已驗(yàn)證（除可變字段外）———————>AH應(yīng)用后IPv6傳輸模式中AH應(yīng)用前后對(duì)比

*如果存在，可以在AH之前、之后或者前后都有IPv6與IPSec原始IP頭擴(kuò)展頭TCP數(shù)據(jù)IPv6AH82IPv6與IPSec原始IP頭擴(kuò)展頭（如果有）TCP數(shù)據(jù)IPv6ESP應(yīng)用前ESP應(yīng)用后IPv6傳輸模式中ESP應(yīng)用前后對(duì)比

*如果存在，可以在ESP之前、之后或者前后都有原始IP頭逐跳，目的*，路由、分片ESP目的選項(xiàng)*TCP數(shù)據(jù)ESP尾部ESP驗(yàn)證<——————已加密——————><————————已驗(yàn)證———————>IPv6與IPSec原始IP頭擴(kuò)展頭TCP數(shù)據(jù)IPv6ESP83IPv6與IPSec新IP頭擴(kuò)展頭（如果有）AH原始IP頭擴(kuò)展頭（如果有）TCP數(shù)據(jù)<————————已驗(yàn)證（除新IP頭中可變字段）————————>新IP頭新擴(kuò)展頭ESP原始IP頭原始擴(kuò)展頭TCP數(shù)據(jù)ESP尾部ESP驗(yàn)證<————————已加密——————><—————————已驗(yàn)證——————>隧道模式中應(yīng)用AH隧道模式中ESP應(yīng)用IPv6IPv6IPv6與IPSec新IP頭擴(kuò)展頭（如果有）AH原始IP84IPv6的安全問(wèn)題IPSec本身的問(wèn)題大規(guī)模的密鑰管理和分發(fā)問(wèn)題并沒(méi)有得到實(shí)施IPsec不能保證其上層應(yīng)用的安全I(xiàn)Psec與現(xiàn)有網(wǎng)絡(luò)安全設(shè)備的沖突等問(wèn)題的存在IPv6自身的問(wèn)題IPv6地址空間巨大訪問(wèn)控制自動(dòng)地址配置和鄰節(jié)點(diǎn)發(fā)現(xiàn)協(xié)議移動(dòng)性的安全過(guò)渡期的問(wèn)題IPv6的安全問(wèn)題IPSec本身的問(wèn)題85VPN技術(shù)無(wú)線網(wǎng)絡(luò)安全I(xiàn)Pv6網(wǎng)絡(luò)安全VoIP安全工具介紹目錄VPN技術(shù)目錄86VoIP概述VoiceoverInternetProtocol(VoIP)：通過(guò)使用IP協(xié)議的公共網(wǎng)絡(luò)本身或者公共或個(gè)人通信網(wǎng)絡(luò)提供的各種語(yǔ)音服務(wù)。VoIP是包交換而PSTN是電路交換。VoIP，或IP電話，是通過(guò)將語(yǔ)音模擬信號(hào)轉(zhuǎn)換成可以通過(guò)IP網(wǎng)絡(luò)傳輸?shù)臄?shù)字信號(hào)，經(jīng)IP網(wǎng)絡(luò)進(jìn)行傳送，到達(dá)目的地后，再還原成模擬信號(hào)的聲音。VoIP的優(yōu)勢(shì)在于它以低廉的價(jià)格提供更多的服務(wù)。VoIP概述VoiceoverInternetProt87信息與網(wǎng)絡(luò)安全教學(xué)課件作者程光第十章88信息與網(wǎng)絡(luò)安全教學(xué)課件作者程光第十章89VoIP系統(tǒng)VoIP關(guān)鍵技術(shù)包括信令技術(shù)、編碼技術(shù)、實(shí)時(shí)傳輸技術(shù)、QoS保證技術(shù)及網(wǎng)絡(luò)傳輸技術(shù)等。此外還有靜音檢測(cè)技術(shù)和回聲消除技術(shù)、網(wǎng)關(guān)互聯(lián)技術(shù)、網(wǎng)絡(luò)管理及安全認(rèn)證等技術(shù)。VoIP技術(shù)涉及到多種協(xié)議：話音建立和控制信令協(xié)議：H.323和SIP；傳統(tǒng)語(yǔ)音的數(shù)字化壓縮編碼協(xié)議：ITU-T的G.711、G.722、G.723、G.728、G.729；；保證QoS的RSVP（資源預(yù)留協(xié)議）在IP網(wǎng)絡(luò)中實(shí)時(shí)傳輸數(shù)據(jù)流的RTP（實(shí)時(shí)傳輸協(xié)議）和RTCP（實(shí)時(shí)傳輸控制協(xié)議）VoIP系統(tǒng)VoIP關(guān)鍵技術(shù)90VoIP系統(tǒng)VoIP關(guān)鍵技術(shù)H.323規(guī)定了在不能保證服務(wù)質(zhì)量的分組網(wǎng)絡(luò)上的多媒體通信的技術(shù)要求。提供了點(diǎn)對(duì)點(diǎn)或多點(diǎn)會(huì)議中音頻（以及可選的視頻及數(shù)據(jù)）的通信能力。H.323是一個(gè)系列，由多個(gè)協(xié)議組成。它的標(biāo)準(zhǔn)范圍不包括網(wǎng)絡(luò)接口、物理網(wǎng)絡(luò)和網(wǎng)絡(luò)上的傳輸協(xié)議。目前，我國(guó)的IP電話運(yùn)營(yíng)主要是以H.323為基礎(chǔ)的。SIPSIP是與H.323并行的IP電話協(xié)議，它具有簡(jiǎn)單、擴(kuò)展性好及和現(xiàn)有的Internet應(yīng)用緊密結(jié)合的特點(diǎn)。SIP是繼基于文本的SMTP和HTTP協(xié)議之后基于客戶端/服務(wù)器結(jié)構(gòu)的模型，它是一個(gè)獨(dú)立于現(xiàn)行包協(xié)議（TCP、UDP、ATM、X.25）的應(yīng)用層協(xié)議。VoIP系統(tǒng)VoIP關(guān)鍵技術(shù)91H.323和SIP介紹H.323簡(jiǎn)要介紹H.323終端設(shè)備VideoI/OequipmentAudioI/OequipmentUserDataApplicationT.120,etc.SystemControlUserInterface.VideoCodecH.261,H.263AudioCodecG.711,G.722,G.723,G.728,G.729

SystemControlH.245ControlCallControlH.225.0RSAControlH.225.0H.225.0LayerNetworkInterfaceScopeofRec.H.323receivepathDelay注：虛線框以外的部分為H.323體系范圍外的終端單元，虛線框以內(nèi)的部分為H.323體系范圍內(nèi)的終端單元。H.323和SIP介紹H.323簡(jiǎn)要介紹H.323終端設(shè)備92H.323和SIP介紹H.323簡(jiǎn)要介紹范圍外的終端單元：配接的音頻設(shè)備：提供話音激活功能、麥克風(fēng)和揚(yáng)聲器、電話機(jī)或等效設(shè)備、多麥克風(fēng)混合器以及回音抵消設(shè)備。配接的視頻設(shè)備：攝像機(jī)和監(jiān)視器及其控制和選擇、改善壓縮或提供拆分屏幕功能的視頻處理。數(shù)據(jù)應(yīng)用及其相關(guān)的用戶接口：在數(shù)據(jù)信道上使用T.120或其它數(shù)據(jù)服務(wù)。配接的網(wǎng)絡(luò)接口：根據(jù)國(guó)內(nèi)或國(guó)際