網(wǎng)絡(luò)與信息安全第8章因特網(wǎng)安全課件_第1頁
網(wǎng)絡(luò)與信息安全第8章因特網(wǎng)安全課件_第2頁
網(wǎng)絡(luò)與信息安全第8章因特網(wǎng)安全課件_第3頁
網(wǎng)絡(luò)與信息安全第8章因特網(wǎng)安全課件_第4頁
網(wǎng)絡(luò)與信息安全第8章因特網(wǎng)安全課件_第5頁
已閱讀5頁,還剩48頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

第三部分系統(tǒng)安全機(jī)制

第8章因特網(wǎng)安全,VPN和IPsec導(dǎo)讀

因特網(wǎng)在最初建立時(shí)的指導(dǎo)思想就是資源共享,為了實(shí)現(xiàn)資源共享而把系統(tǒng)做成開放式的。在建立協(xié)議模型以及協(xié)議實(shí)現(xiàn)時(shí),更多地考慮到易用性,而在安全性方面的考慮存在嚴(yán)重不足,這就給攻擊者造成了可乘之機(jī)。內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.1.2IP協(xié)議-lsize該參數(shù)定制發(fā)送數(shù)據(jù)包的大小,windows中最大為65500,命令格式:pingip-l65500

默認(rèn)發(fā)送的數(shù)據(jù)包大小為32bytesWindowsNT(servicepack3之后),linux、Solaris、和MacOS都具有抵抗一般pingofdeath攻擊的能力。對防火墻進(jìn)行配置,阻斷ICMP以及任何未知協(xié)議,都能防止此類攻擊。

2.淚滴(Teardrop)攻擊

Teardrop攻擊同死亡之ping有些類似,在這兒,一個(gè)大IP包的各個(gè)分片包并非首尾相連,而是存在重疊(Overlap)現(xiàn)象。例如,分片1的偏移等于0,長度等于15,分片2的偏移為5,這意味著分片2是從分片1的中間位置開始的,即存在10字節(jié)的重疊。系統(tǒng)內(nèi)核將試圖消除這種重疊,但是如果重疊問題嚴(yán)重,內(nèi)核將無法進(jìn)行正常處理。3.源路由(SourceRouting)

IP協(xié)議包含一個(gè)選項(xiàng),叫作IP源路由選項(xiàng)(SourceRouting),可以用來指定一條源地址和目的地址之間的直接路徑。對于一些TCP和UDP的服務(wù)來說,使用了該選項(xiàng)的IP包好象是從路徑上的最后一個(gè)系統(tǒng)傳遞過來的,而不是來自于它的真實(shí)地點(diǎn)。利用該選項(xiàng)可以欺騙系統(tǒng),使之放行那些通常是被禁止的網(wǎng)絡(luò)連接。因此,許多依靠IP源地址進(jìn)行身份認(rèn)證的服務(wù)將會(huì)產(chǎn)生安全問題以至被非法入侵。源路由選項(xiàng)允許黑客偽裝成其它的可信任機(jī)器,這使得黑客攻擊變得難于跟蹤。4.IP地址欺騙

入侵者使用假IP地址發(fā)送包,基于IP地址認(rèn)證的應(yīng)用程序?qū)⒄J(rèn)為入侵者是合法用戶。如何阻止A向B發(fā)送信息?SYNfloodX如何得到與B建立TCP連接的初始序列號?防御方法:每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許外部的IP數(shù)據(jù)包進(jìn)入局域網(wǎng)之前,先對來自外部的IP數(shù)據(jù)包進(jìn)行檢驗(yàn)。如果該IP包的IP源地址是其要進(jìn)入的局域網(wǎng)內(nèi)的IP地址,該IP包就被網(wǎng)關(guān)或路由器拒絕,不允許進(jìn)入該局域網(wǎng)。TCP協(xié)議的安全問題1.SYN洪水(SYNflood)攻擊

SYN洪水攻擊利用的是大多數(shù)主機(jī)在實(shí)現(xiàn)三次握手協(xié)議所存在的漏洞。當(dāng)主機(jī)A接收到來自主機(jī)X的SYN請求時(shí),它就必須在偵聽隊(duì)列中對此連接請求保持75秒的跟蹤。由于大多數(shù)系統(tǒng)資源有限,能夠打開的連接數(shù)有限,因而攻擊者X可以同時(shí)向主機(jī)A發(fā)送多個(gè)SYN請求,而且對A返回的SYN+ACK包不進(jìn)行應(yīng)答。這樣,偵聽隊(duì)列將很快被阻塞,從而拒絕接受其它新的連接請求,直到部分打開的連接完成或者超時(shí)。這種拒絕服務(wù)攻擊就可以作為實(shí)施上述IP地址欺騙攻擊的輔助手段,使主機(jī)A無法對來自主機(jī)B的包進(jìn)行應(yīng)答。2.序列號猜測

現(xiàn)在,主機(jī)A已經(jīng)無法對主機(jī)B發(fā)來的包進(jìn)行應(yīng)答了。攻擊者X現(xiàn)在需要解決的是初始序列號的猜測。在實(shí)際系統(tǒng)的初始序列號產(chǎn)生方法中,并非完全隨機(jī),而且很多操作系統(tǒng)TCP實(shí)現(xiàn)中初始序列號的產(chǎn)生方法是公開的。這就方便了黑客攻擊。因此關(guān)鍵在于要使初始序列號的選取近可能地隨機(jī)。3.LAND攻擊

這是最簡單的一種TCP攻擊方法:將TCP包的源地址和目的地址,源端口和目的端口都設(shè)置成相同即可。其中,地址字段都設(shè)置為目標(biāo)機(jī)器的IP地址。需要注意的是,對應(yīng)的端口必須有服務(wù)程序在監(jiān)聽。LAND攻擊可以非常有效地使目標(biāo)機(jī)器重新啟動(dòng)或者死機(jī)。要抵御LAND攻擊,只需在編程實(shí)現(xiàn)時(shí)注意到這種特殊的包,將其丟棄即可。8.1.4UDP協(xié)議

從UDP首部可以看出來,進(jìn)行UDP欺騙比進(jìn)行TCP欺騙更容易,因?yàn)閁DP沒有連接建立的過程。16位源端口號16位目的端口號16位UDP長度16位檢驗(yàn)和數(shù)據(jù)內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.2Ipv61.新包頭格式2.更大的地址空間3.內(nèi)置安全設(shè)施4.高效的層次尋址及路由結(jié)構(gòu)5.全狀態(tài)和無狀態(tài)地址配置6.更好的QoS支持7.用于相鄰節(jié)點(diǎn)交互的新協(xié)議8.可擴(kuò)展性內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.3黑客攻擊的流程1踩點(diǎn)(FootPrinting)2掃描(scanning)3查點(diǎn)(enumeration)4獲取訪問權(quán)(GainingAccess)5權(quán)限提升(EscalatingPrivilege)6竊取(pilfering)7掩蓋蹤跡(CoveringTrack)8創(chuàng)建后門(CreatingBackDoors)9拒絕服務(wù)攻擊(DenialofServices)。8.4黑客攻擊技術(shù)概述●協(xié)議漏洞滲透;●密碼分析還原;●應(yīng)用漏洞分析與滲透;●社會(huì)工程學(xué);●惡意拒絕服務(wù)攻擊;●病毒或后門攻擊。內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.5.1VPN的基本原理

虛擬專用網(wǎng)(VPN,VirtualPrivateNetwork),是指將物理上分布在不同地點(diǎn)的專用網(wǎng)絡(luò),通過不可信任的公共網(wǎng)絡(luò)構(gòu)造成邏輯上的虛擬子網(wǎng),進(jìn)行安全的通信。8.5.2VPN的應(yīng)用環(huán)境8.5.2VPN協(xié)議現(xiàn)有的封裝協(xié)議分為2類:第2層隧道協(xié)議(數(shù)據(jù)鏈路層)PPTP(PointtoPointTunnelingProtocol)L2F(Layer2Forwarding)L2TP(Layer2TunnelingProtocol)第3層隧道協(xié)議(網(wǎng)絡(luò)層)IPSec(IPSecurity)GRE(GenericRoutingEncapsulation)通用路由封裝內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.6.1IP安全性分析1.IPv4缺乏對通信雙方真實(shí)身份的驗(yàn)證能力,僅僅采用基于源IP地址的認(rèn)證機(jī)制。2.IPv4不對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包進(jìn)行機(jī)密性和完整性保護(hù),一般情況下IP包是明文傳輸?shù)?,第三方很容易竊聽到IP數(shù)據(jù)包并提取其中的數(shù)據(jù),甚至篡改竊取到的數(shù)據(jù)包內(nèi)容,而且不被發(fā)覺。3.由于數(shù)據(jù)包中沒有攜帶時(shí)間戳、一次性隨機(jī)數(shù)等,很容易遭受重放攻擊。攻擊者搜集特定IP包,進(jìn)行一定處理就可以一一重新發(fā)送,欺騙對方。8.6.2安全關(guān)聯(lián)(SecurityAssociation,SA)安全關(guān)聯(lián)可以認(rèn)為是密碼等安全參數(shù)的集合。SA中有大量的參數(shù),現(xiàn)在先看一下SA中與密碼操作無關(guān)的基本參數(shù)。(1)序列號(SequenceNumber)(2)存活時(shí)間(TimeToLive,TTL)(3)模式(Mode)(4)隧道目的地(TunnelDestination)(5)路徑最大傳輸單元(PMTU)8.6.3IPSec模式

IPSec提供了兩種操作模式——傳輸模式(TransportMode)和隧道模式(TunnelMode)。這兩種模式的區(qū)別非常直觀——它們保護(hù)的內(nèi)容不同,后者是整個(gè)IP包,前者只是IP的有效負(fù)載。

在傳輸模式中,只處理IP有效負(fù)載,并不修改原來的IP協(xié)議報(bào)頭。在隧道模式中,原來的整個(gè)IP包都受到保護(hù),并被當(dāng)作一個(gè)新的IP包的有效載荷。IPSec的相關(guān)文檔體系結(jié)構(gòu)ESPAH加密認(rèn)證相關(guān)參數(shù)密鑰管理IPSec的優(yōu)勢在防火墻,路由器中實(shí)現(xiàn)時(shí),提供很強(qiáng)的安全保證;IPSec低于傳輸層(TCP,UDP),在網(wǎng)絡(luò)層中(IP),對應(yīng)用程序透明;對最終用戶也同樣是透明的.PPTPL2TP8.6.4認(rèn)證報(bào)頭(Authentication

Header,AH)認(rèn)證報(bào)頭是IPSec協(xié)議之一,用于為IP提供數(shù)據(jù)完整性、數(shù)據(jù)源身份驗(yàn)證和一些可選的、有限的抗重放服務(wù)。它定義在RFC2402中。AH不對受保護(hù)的IP數(shù)據(jù)包的任何部分進(jìn)行加密,即不提供保密性服務(wù)。由于AH不提供保密性服務(wù),所以它不需要加密算法。AH定義了保護(hù)方法、頭的位置、身份認(rèn)證的覆蓋范圍以及輸出和輸入處理規(guī)則,但沒有對所用的身份驗(yàn)證算法進(jìn)行定義。AH可用來保護(hù)一個(gè)上層協(xié)議的數(shù)據(jù)(傳輸模式)或者一個(gè)完整的IP數(shù)據(jù)包(隧道模式)。8.6.5封裝安全有效載荷ESP提供機(jī)密性、數(shù)據(jù)源的身份驗(yàn)證、數(shù)據(jù)的完整性和抗重放服務(wù)。提供的這組服務(wù)由SA的相應(yīng)組件決定。

不管ESP處于什么模式,ESP頭都會(huì)緊跟在IP頭之后。在IPv4中,ESP頭緊跟在IP頭后面(包括選項(xiàng))。在IPv6中,ESP頭的放置與是否存在擴(kuò)展頭有關(guān)。ESP頭肯定插在擴(kuò)展頭之后,其中包括路由選擇和分片頭等,但ESP頭應(yīng)插在目的選項(xiàng)頭之前,因?yàn)槲覀兿M麑@些目標(biāo)選項(xiàng)進(jìn)行保護(hù)。與AH不同的是,除了ESP頭,還有ESP尾和ESP認(rèn)證。

內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.7.1IPSec安全關(guān)聯(lián)的人工建立

和自動(dòng)建立

因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議(InternetSecurityAssociationandKeyManagementProtocol,ISAKMP)由RFC2408定義,提供了建立安全關(guān)聯(lián)和密鑰的框架。該框架不依賴于任何技術(shù),可以同現(xiàn)有的其它安全機(jī)制一同使用。IKE(InternetKeyExchange)在RFC2409當(dāng)中定義,2005年5月的RFC4109對其做了更新。IKE使用ISAKMP作為它的框架,在兩個(gè)實(shí)體之間建立一條經(jīng)過認(rèn)證的安全隧道,并對用于IPSec的安全關(guān)聯(lián)進(jìn)行協(xié)商。這個(gè)過程需要實(shí)體之間互相認(rèn)證對方然后建立共享密鑰。8.7.2ISAKMP消息結(jié)構(gòu)當(dāng)前總共定義了13種類型的負(fù)載:●SecurityAssociationPayload●ProposalPayload●TransformPayload●KeyExchangePayload●IdentificationPayload●CertificatePayload●CertificateRequestPayload●HashPayload●SignaturePayload●NoncePayload●NotificationPayload●DeletePayload●VendorIDPayload8.7.3認(rèn)證方法

建立安全關(guān)聯(lián)前必須對通信雙方的身份進(jìn)行認(rèn)證,該認(rèn)證必須是雙向認(rèn)證。IKE支持多種認(rèn)證方法。主要有以下幾種?!耦A(yù)共享密鑰(Pre-sharedKeys)——相同的密鑰被預(yù)先安裝在各自的主機(jī)上?!窆€加密(PublicKeyCryptography)——雙方分別產(chǎn)生一個(gè)偽隨機(jī)數(shù)(nonce),并分別用對方的公開密鑰進(jìn)行加密。●數(shù)字簽名(DigitalSignature)——各方分別對數(shù)據(jù)集合進(jìn)行數(shù)字簽名并發(fā)送給對方。8.7.4IKE工作流程

IKE由兩個(gè)階段組成的。第一階段用于建立ISAKMP的安全關(guān)聯(lián)。有兩種工作模式:主模式(MainMode)和積極模式(AggressiveMode)。在主模式下,第一階段基本上包含六條消息。第二階段用于為不同的服務(wù)協(xié)商各自的安全關(guān)聯(lián)。這只有在第一階段成功完成以后才能進(jìn)行,而且使用第一階段產(chǎn)生的ISAKMPSA保護(hù)后續(xù)所有的第二階段ISAKMP消息。參與實(shí)體各自交換IPSecSA的建議,并同意

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論