CISP0204協(xié)議及網(wǎng)絡(luò)架構(gòu)安全

網(wǎng)絡(luò)協(xié)議及架構(gòu)平安中國(guó)信息平安測(cè)評(píng)中心2012-10課程內(nèi)容2網(wǎng)絡(luò)平安網(wǎng)絡(luò)架構(gòu)平安網(wǎng)絡(luò)平安設(shè)備網(wǎng)絡(luò)協(xié)議平安無(wú)線數(shù)據(jù)網(wǎng)絡(luò)協(xié)議平安無(wú)線蜂窩網(wǎng)絡(luò)協(xié)議平安防火墻入侵檢測(cè)系統(tǒng)其它網(wǎng)絡(luò)平安設(shè)備網(wǎng)絡(luò)架構(gòu)平安的概念TCP/IP協(xié)議簇平安網(wǎng)絡(luò)架構(gòu)平安的實(shí)踐知識(shí)體知識(shí)域知識(shí)子域知識(shí)域：網(wǎng)絡(luò)協(xié)議平安知識(shí)子域：TCP/IP協(xié)議平安理解開(kāi)放互聯(lián)系統(tǒng)模型ISO/OSI七層協(xié)議模型理解TCP/IP協(xié)議面臨平安威脅及平安對(duì)策理解無(wú)線網(wǎng)絡(luò)平安協(xié)議的原理和應(yīng)用了解IPV6的平安優(yōu)勢(shì)

OSI七層結(jié)構(gòu)模型OSI參考模型的各層ISO/OSI開(kāi)放互聯(lián)模型4ISO/OSI七層模型結(jié)構(gòu)5物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層數(shù)據(jù)鏈路層應(yīng)用層〔高〕數(shù)據(jù)流層7654321分層結(jié)構(gòu)的優(yōu)點(diǎn)降低復(fù)雜性促進(jìn)標(biāo)準(zhǔn)化工作各層間相互獨(dú)立，某一層的變化不會(huì)影響其他層協(xié)議開(kāi)發(fā)模塊化簡(jiǎn)化理解與學(xué)習(xí)6數(shù)據(jù)鏈路層作用定義物理鏈路的電氣、機(jī)械、通信規(guī)程、功能要求等；電壓，數(shù)據(jù)速率，最大傳輸距離，物理連接器；線纜，物理介質(zhì)；將比特流轉(zhuǎn)換成電壓；典型物理層設(shè)備光纖、雙絞線、中繼器、集線器等；常見(jiàn)物理層標(biāo)準(zhǔn)〔介質(zhì)與速率〕100BaseT,OC-3,OC-12,DS1,DS3,E1,E3；第一層：物理層7物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層作用物理尋址，網(wǎng)絡(luò)拓?fù)?，線路規(guī)章等；錯(cuò)誤檢測(cè)和通告〔但不糾錯(cuò)〕；將比特聚成幀進(jìn)行傳輸；流量控制〔可選〕尋址機(jī)制使用數(shù)據(jù)接收設(shè)備的硬件地址〔物理地址〕尋址〔如MAC地址〕典型數(shù)據(jù)鏈路層設(shè)備網(wǎng)卡、網(wǎng)橋和交換機(jī)數(shù)據(jù)鏈路層協(xié)議PPP,HDLC,FR,Ethernet,TokenRing,FDDI第二層：數(shù)據(jù)鏈路層8數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第二層：以太網(wǎng)協(xié)議標(biāo)準(zhǔn)〔兩個(gè)子層〕LLC〔LogicalLinkControl〕IEEE802.2為上層提供統(tǒng)一接口；使上層獨(dú)立于下層物理介質(zhì)；提供流控、排序等效勞；MAC〔MediaAccessControl〕IEEE802.3燒錄到網(wǎng)卡ROM；48比特；唯一性；LLCMAC物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層9第三層：網(wǎng)絡(luò)層作用邏輯尋址路徑選擇尋址機(jī)制使用網(wǎng)絡(luò)層地址進(jìn)行尋址〔如IP地址〕網(wǎng)絡(luò)層典型設(shè)備路由器三層交換機(jī)10數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第四層：傳輸層作用提供端到端的數(shù)據(jù)傳輸效勞；建立邏輯連接；尋址機(jī)制應(yīng)用程序的界面端口〔如端口號(hào)〕傳輸層協(xié)議TCP(TransmissionControlProtocol)狀態(tài)協(xié)議；按序傳輸；糾錯(cuò)和重傳機(jī)制；Socket；UDP(UserDatagramProtocol)無(wú)狀態(tài)協(xié)議；SPX11數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第五層：會(huì)話層作用不同應(yīng)用程序的數(shù)據(jù)隔離；會(huì)話建立，維持，終止；同步效勞；會(huì)話控制〔單向或雙向〕12數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第六層：表示層作用數(shù)據(jù)格式表示；協(xié)議轉(zhuǎn)換；字符轉(zhuǎn)換；數(shù)據(jù)加密/解密；數(shù)據(jù)壓縮等；表示層數(shù)據(jù)格式ASCII,MPEG,TIFF,GIF,JPEG；13數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層第七層：應(yīng)用層作用應(yīng)用接口；網(wǎng)絡(luò)訪問(wèn)流處理；流控；錯(cuò)誤恢復(fù)；應(yīng)用層協(xié)議FTP,Telnet,HTTP,SNMP,SMTP,DNS；14數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層數(shù)據(jù)發(fā)送過(guò)程---數(shù)據(jù)封裝SegmentPacketBitsFramePDU數(shù)據(jù)接收過(guò)程---數(shù)據(jù)解封OSI平安體系結(jié)構(gòu)定義的平安攻擊OSI平安體系結(jié)構(gòu)定義了被動(dòng)攻擊和主動(dòng)攻擊被動(dòng)攻擊:監(jiān)聽(tīng)流量分析主動(dòng)攻擊:假冒重放篡改拒絕效勞OSI平安體系結(jié)構(gòu)定義的平安效勞OSI平安體系結(jié)構(gòu)定義了系統(tǒng)應(yīng)當(dāng)提供的五類(lèi)平安效勞，以及提供這些效勞的八類(lèi)平安機(jī)制；某種平安效勞可以通過(guò)一種或多種平安機(jī)制提供，某種平安機(jī)制可用于提供一種或多種平安效勞鑒別；訪問(wèn)控制；數(shù)據(jù)機(jī)密性；數(shù)據(jù)完整性；抗抵賴；OSI平安體系結(jié)構(gòu)定義的平安機(jī)制加密；數(shù)字簽名；訪問(wèn)控制；數(shù)據(jù)完整性；鑒別；流量填充〔用于對(duì)抗通信流量分析，在加密時(shí)才是有效的〕；路由控制〔可以指定路由選擇說(shuō)明，回避某些特定的鏈路或子網(wǎng)〕；公證〔notarization〕；TCP/IP與OSI模型的對(duì)應(yīng)關(guān)系TCP/IP常用協(xié)議與平安威脅TCP/IP協(xié)議模型20TCP/IP協(xié)議與OSI模型的對(duì)應(yīng)21物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層數(shù)據(jù)鏈路層互聯(lián)網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)接口層TCP/IP協(xié)議結(jié)構(gòu)22應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARP網(wǎng)絡(luò)接口層平安損壞干擾電磁泄漏搭線竊聽(tīng)欺騙23拒絕效勞嗅探網(wǎng)絡(luò)接口層平安損壞：自然災(zāi)害、動(dòng)物破壞、老化、誤操作干擾：大功率電器/電源線路/電磁輻射電磁泄漏：傳輸線路電磁泄漏搭線竊聽(tīng)：物理搭線欺騙：ARP欺騙嗅探：常見(jiàn)二層協(xié)議是明文通信的〔以太、arp等〕拒絕效勞：macflooding，arpflooding等24ARP欺騙DAI〔DynamicARPInspection〕是思科交換機(jī)的一個(gè)平安特性。DAI能夠檢查arp數(shù)據(jù)包的真實(shí)性，自動(dòng)過(guò)濾虛假的arp包。利用DAI防御arp欺騙互聯(lián)網(wǎng)絡(luò)層體系結(jié)構(gòu)27應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARPIP是TCP/IP協(xié)議族中最為核心的協(xié)議不可靠〔unreliable〕通信無(wú)連接〔connectionless〕通信提供分層編址體系〔ip地址〕IP協(xié)議簡(jiǎn)介28IP報(bào)頭結(jié)構(gòu)IP地址類(lèi)別 *127(01111111)是保存用于環(huán)回測(cè)試的A類(lèi)地址，不能將其分配給網(wǎng)絡(luò)。

D類(lèi)224-23911100000到11101111組播通信地址

E類(lèi)240-25511110000到11111111保留地址，用于測(cè)試國(guó)際互聯(lián)網(wǎng)私有IP地址范圍類(lèi)私有地址范圍A

到55B

到55C

到55特點(diǎn)：構(gòu)建在IP報(bào)文結(jié)構(gòu)上，但被認(rèn)為是與IP在同一層的協(xié)議IP報(bào)頭ICMP報(bào)文8位類(lèi)型8位代碼16位校驗(yàn)和內(nèi)容ICMP協(xié)議32internetICMP查詢報(bào)文網(wǎng)關(guān)ICMP差錯(cuò)報(bào)文pingpingICMP查詢報(bào)文ICMP差錯(cuò)報(bào)文Couldn’tfind傳遞過(guò)失報(bào)文及其他需要注意的信息ICMP地址掩碼請(qǐng)求與應(yīng)答ICMP時(shí)間戮請(qǐng)求與應(yīng)答ICMP協(xié)議的作用33IP層平安拒絕效勞欺騙竊聽(tīng)偽造34互聯(lián)網(wǎng)絡(luò)層平安拒絕效勞：分片攻擊〔teardrop〕/死亡之ping欺騙：IP源地址欺騙竊聽(tīng)：嗅探偽造：IP數(shù)據(jù)包偽造35分片攻擊〔teardrop〕Teardrop的工作原理是利用分片重組漏洞進(jìn)行攻擊而造成目標(biāo)系統(tǒng)的崩潰或掛起。例如，第一個(gè)分片從偏移0開(kāi)始，而第二個(gè)分片在tcp首部之內(nèi)。理想的解決方案是對(duì)ip分片進(jìn)行重組時(shí)，保證TCP/IP實(shí)現(xiàn)不出現(xiàn)平安方面的問(wèn)題。啟用路由器、防火墻、IDS/IPS的平安特性能夠防御teardrop攻擊。36smurf攻擊攻擊者使用播送地址發(fā)送大量的欺騙icmpecho請(qǐng)求，如果路由器執(zhí)行了三層播送到二層播送轉(zhuǎn)換〔定向播送〕，那么，同一ip網(wǎng)段的大量主時(shí)機(jī)向該欺騙地址發(fā)送icmpecho應(yīng)答，導(dǎo)致某一主機(jī)〔具有欺騙地址〕收到大量的流量，從而導(dǎo)致了DoS攻擊。防御方法為關(guān)閉路由器或三層交換機(jī)的定向播送功能。37防御IP源地址欺騙〔rfc3704過(guò)濾〕大多數(shù)攻擊都伴隨著ip源地址欺騙。38傳輸層體系結(jié)構(gòu)39應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARPTCP:傳輸控制協(xié)議作用：TCP提供一種面向連接的、可靠的字節(jié)流效勞功能數(shù)據(jù)包分塊發(fā)送接收確認(rèn)超時(shí)重發(fā)數(shù)據(jù)校驗(yàn)數(shù)據(jù)包排序控制流量……TCP協(xié)議4016位源端口號(hào)16位目的端口號(hào)32位序號(hào)32位確認(rèn)序號(hào)偏移量保留UAPRSF16位窗口大小16位緊急指針16位校驗(yàn)和數(shù)據(jù)TCP包頭數(shù)據(jù)結(jié)構(gòu)TCP首部41URG緊急指針〔urgentpointer〕有效ACK確認(rèn)序號(hào)有效PSH接收方應(yīng)該盡快將這個(gè)報(bào)文段交給應(yīng)用層RST重建連接SYN同步序號(hào)，用來(lái)發(fā)起一個(gè)連接。FIN發(fā)送端完成發(fā)送任務(wù)TCP首部-標(biāo)記位42TCP/UDP通過(guò)16bit端口號(hào)來(lái)識(shí)別應(yīng)用程序知名端口號(hào)由Internet號(hào)分配機(jī)構(gòu)〔InternetAssignedNumbersAuthority,IANA〕來(lái)管理現(xiàn)狀1－255端口號(hào)分配給知名的網(wǎng)絡(luò)效勞256－1023分配給Unix操作系統(tǒng)特定的效勞1024～5000臨時(shí)分配的端口號(hào)5000以上端口號(hào)保存給應(yīng)用效勞TCP首部-端口號(hào)43TCP建立連接過(guò)程——三次握手CTL=TCP報(bào)頭中設(shè)置為1的控制位特點(diǎn)：UDP是一個(gè)簡(jiǎn)單的面向數(shù)據(jù)報(bào)的傳輸層協(xié)議不具備接收應(yīng)答機(jī)制不能對(duì)數(shù)據(jù)分組、合并不能重新排序 沒(méi)有流控制功能協(xié)議簡(jiǎn)單占用資源少，效率高……UDP協(xié)議4516位源端口號(hào)16位目的端口號(hào)16位UDP長(zhǎng)度16位UDP校驗(yàn)和數(shù)據(jù)UDP協(xié)議包頭46相同點(diǎn)同一層的協(xié)議，基于IP報(bào)文根底上不同點(diǎn)TCP是可靠的，高可用性的協(xié)議，但是復(fù)雜，需要大量資源的開(kāi)銷(xiāo)UDP是不可靠，但是高效的傳輸協(xié)議UDP與TCP比較47傳輸層平安拒絕效勞欺騙竊聽(tīng)偽造48傳輸層平安問(wèn)題拒絕效勞：synflood/udpflood、Smurf欺騙：TCP會(huì)話劫持竊聽(tīng)：嗅探偽造：數(shù)據(jù)包偽造49TCPsynflood攻擊攻擊者使用虛假地址在短時(shí)間內(nèi)向目標(biāo)主機(jī)發(fā)送大量的tcpsyn連接請(qǐng)求，導(dǎo)致目標(biāo)主機(jī)無(wú)法完成tcp三次握手，導(dǎo)致目標(biāo)主機(jī)的連接隊(duì)列被充滿，從而導(dǎo)致目標(biāo)主機(jī)拒絕為合法用戶提供tcp效勞?？梢栽诼酚善?、防火墻或IPS啟用ip源地址過(guò)濾〔rfc3704〕，并啟用tcp最大連接數(shù)和連接速率限制等特性進(jìn)行防御。50TCP會(huì)話劫持攻擊者對(duì)兩臺(tái)通信主機(jī)的信息流進(jìn)行監(jiān)視，通過(guò)猜測(cè)會(huì)話序列號(hào)可能注入其中一臺(tái)主機(jī)的信息流，當(dāng)合法主機(jī)與網(wǎng)絡(luò)的連接被斷開(kāi)后，攻擊者使用合法主機(jī)的訪問(wèn)權(quán)繼續(xù)進(jìn)行會(huì)話。最好的防御方法是使用防火墻或IPS進(jìn)行會(huì)話合法性檢查以及部署加密通信技術(shù)〔如ipsec等〕。51TCP序列號(hào)和確認(rèn)號(hào)應(yīng)用層協(xié)議域名解析：DNS電子郵件：SMTP/POP3文件傳輸：FTP網(wǎng)頁(yè)瀏覽：HTTP網(wǎng)絡(luò)終端協(xié)議:TELENET簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議:SNMP網(wǎng)絡(luò)文件系統(tǒng):NFS

路由協(xié)議:BGP53應(yīng)用層平安拒絕效勞欺騙竊聽(tīng)偽造暴力破解……54應(yīng)用層協(xié)議的平安問(wèn)題拒絕效勞：超長(zhǎng)URL鏈接、欺騙：跨站腳本、釣魚(yú)式攻擊、cookie欺騙竊聽(tīng)：嗅探偽造：應(yīng)用數(shù)據(jù)篡改暴力破解：應(yīng)用認(rèn)證口令暴力破解等……55實(shí)現(xiàn)加密通信56使用ssh替代telnet使用s替代使用S/MIME平安多用途英特網(wǎng)郵件擴(kuò)展部署ipsecvpn嗅探攻擊利用各種工具收集目標(biāo)網(wǎng)絡(luò)或系統(tǒng)的信息.常用攻擊工具:Sniffers〔數(shù)據(jù)包嗅探〕端口掃描Ping掃描嗅探攻擊的防御方法用戶和設(shè)備身份鑒別AAA效勞、dot1x、NAC等。數(shù)據(jù)加密IPSec、SSL、SSH、WAPI、802.11i等。部署IDS/IPS部署交換機(jī)根底架構(gòu)使用交換機(jī)根底架構(gòu)能夠減少數(shù)據(jù)包嗅探攻擊。訪問(wèn)攻擊特點(diǎn)訪問(wèn)攻擊的目的:獲取數(shù)據(jù)獲取訪問(wèn)特權(quán)常見(jiàn)的訪問(wèn)攻擊和工具口令攻擊〔各種口令破解工具、嗅探、病毒、木馬〕信任關(guān)系利用端口重定向中間人攻擊緩沖區(qū)溢出訪問(wèn)攻擊的防御方法使用強(qiáng)口令、一次性口令,AAA效勞等部署嚴(yán)格的邊界信任和訪問(wèn)控制防火墻或路由器Window域或活動(dòng)目錄Linux、Unix部署加密技術(shù)部署IDS/IPS部署路由協(xié)議鑒別AAA效勞Authentication〔身份鑒別〕Authorization〔授權(quán)〕Accounting〔記賬〕DoS攻擊特點(diǎn)DoS攻擊的目的是導(dǎo)致目標(biāo)網(wǎng)絡(luò)、系統(tǒng)或效勞不可用.DistributedDoS攻擊能夠協(xié)同大量的攻擊主機(jī)向同一個(gè)目標(biāo)進(jìn)行集群攻擊。DoS和DDoS攻擊通常伴隨著ip地址欺騙攻擊，以隱藏攻擊者.DoS攻擊容易實(shí)施，但是非常難以徹底防范，需要所有的互聯(lián)網(wǎng)ISP和所有的企業(yè)和用戶共同防御才能減少其危害〔互聯(lián)網(wǎng)公共道德和平安意識(shí)〕。DistributedDoS例如DoS攻擊的防御方法在路由器和防火墻部署防ip源地址欺騙在路由器和防火墻啟用防御DoS平安特性路由器Tcp攔截、常用acl策略防火墻tcp連接監(jiān)控部署網(wǎng)絡(luò)和主機(jī)IDS/IPS檢測(cè)和防御DoS攻擊在互聯(lián)網(wǎng)效勞提供商〔ISP〕部署流量限速TCP/IP協(xié)議簇的平安架構(gòu)

IPv6平安特性IPv6平安特性支持移動(dòng)性地址數(shù)量大支持端到端業(yè)務(wù)模式支持QoS和性能問(wèn)題強(qiáng)制IPSEC簡(jiǎn)化的路由表配置簡(jiǎn)單66IPv6與IPv4的地址數(shù)量差異IPv4地址數(shù)量：2^32，共4294967296個(gè)地址IPv6地址數(shù)量：2^128，共3.402823*10^38每個(gè)人可以分配到整個(gè)比原來(lái)整個(gè)IPv4還多的地址，地球上每平方米可以分配到一千多個(gè)地址IPv6提供的許多增強(qiáng)功能增強(qiáng)的IP編址簡(jiǎn)化的報(bào)頭移動(dòng)性和平安性多種過(guò)渡方式IP地址平安特性67IPv4報(bào)頭具有20個(gè)八位二進(jìn)制數(shù)和12個(gè)根本報(bào)頭字段，然后是選項(xiàng)字段和數(shù)據(jù)局部〔通常是傳輸層數(shù)據(jù)段〕IPv6報(bào)頭具有40個(gè)八位二進(jìn)制數(shù)、三個(gè)IPv4根本報(bào)頭字段和五個(gè)附加報(bào)頭字段簡(jiǎn)單報(bào)文結(jié)構(gòu)68大多數(shù)應(yīng)用協(xié)議需要進(jìn)行升級(jí)FTP,SMTP,Telnet,Rlogin需要對(duì)以下標(biāo)準(zhǔn)進(jìn)行修改全部51個(gè)Internet標(biāo)準(zhǔn)中27個(gè)20個(gè)草案中的6個(gè)130個(gè)標(biāo)準(zhǔn)建議中的25個(gè)IPv6應(yīng)用問(wèn)題69知識(shí)域：網(wǎng)絡(luò)協(xié)議平安知識(shí)子域：無(wú)線數(shù)據(jù)網(wǎng)絡(luò)協(xié)議平安無(wú)線局域網(wǎng)協(xié)議平安理解802.11無(wú)線網(wǎng)絡(luò)協(xié)議原理及其平安特性理解802.11i無(wú)線網(wǎng)絡(luò)協(xié)議原理及其平安特性了解WAPI的原理和平安特性無(wú)線應(yīng)用協(xié)議平安理解WAP的產(chǎn)生背景、原理和架構(gòu)理解WTLS協(xié)議架構(gòu)理解WAPEND-TO-END平安的實(shí)現(xiàn)原理70無(wú)線局域網(wǎng)協(xié)議平安無(wú)線網(wǎng)絡(luò)體系及標(biāo)準(zhǔn)無(wú)線局域網(wǎng)國(guó)際標(biāo)準(zhǔn)802.11簡(jiǎn)介無(wú)線局域網(wǎng)國(guó)際標(biāo)準(zhǔn)802.11平安問(wèn)題IEEE802.11i無(wú)線局域網(wǎng)平安協(xié)議介紹WAPI標(biāo)準(zhǔn)介紹71無(wú)線技術(shù)72PAN(PersonalAreaNetwork)LAN(LocalAreaNetwork)WAN(WideAreaNetwork)MAN(MetropolitanAreaNetwork)PANLANMANWANStandardsBluetooth

802.15.3

UltraWideBand(WiMedia)802.11802.11(Wi-Fi)

802.16(Wi-Max)

802.20GSM,CDMA,SatelliteSpeed<1Mbps11to54Mbps10-100+Mbps10Kbps–2MbpsRangeShortMediumMedium-LongLongApplicationsPeer-to-Peer

Device-to-DeviceEnterpriseNetworksLastMileAccessMobileDataDevices無(wú)線局域網(wǎng)的傳輸媒質(zhì)分為無(wú)線電波和光波兩類(lèi)無(wú)線電波主要使用無(wú)線電波和微波，光波主要使用紅外線無(wú)線電波和微波頻率由各個(gè)國(guó)家的無(wú)線電管理部門(mén)規(guī)定，分為專(zhuān)用頻段和自由頻段。專(zhuān)用頻段需要經(jīng)過(guò)批準(zhǔn)的單獨(dú)有償使用的頻段；自由頻段主要是指ISM頻段〔Industrical，Scientific，Medical〕無(wú)線局域網(wǎng)根本概念73IEEE802.11簡(jiǎn)介WLAN是通過(guò)無(wú)線信道來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信，并實(shí)現(xiàn)通信的移動(dòng)化、個(gè)性化和寬帶化。在WLAN中，當(dāng)前使用最為廣泛的為IEEE指定的802.11.802.11標(biāo)準(zhǔn)〔組〕包括802.11a，802.11b，802.11g及802.11n〔草案〕，加上平安方面的802.11i，以及QoS方面的802.11e。使用802.11系列協(xié)議的局域網(wǎng)又稱Wi-Fi(Wireless-Fidelity)802.11局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)75無(wú)線局域網(wǎng)安全風(fēng)險(xiǎn)

無(wú)線局域網(wǎng)平安問(wèn)題76傳統(tǒng)無(wú)線平安防護(hù)措施效勞集標(biāo)識(shí)符SSID極易暴露和偽造，沒(méi)有平安性可言物理地址〔MAC〕過(guò)濾MAC地址容易偽造，擴(kuò)展性差有線等效加密〔WEP〕IEEE802.11定義的WEP保密機(jī)制加密強(qiáng)度缺乏，在很短的時(shí)間內(nèi)WEP密鑰即可被破解AirSnort的工具程序，利用WEP弱密鑰的缺陷，可以在分析100萬(wàn)幀之后破解RC4的40位或者104位密鑰。經(jīng)過(guò)改進(jìn)，它可以在分析20000幀之后破解。77問(wèn)題例如：“中間人”攻擊后臺(tái)AS合法AP偽造AP

用戶（終端）攻擊者攻擊者利用偽造AP進(jìn)行中間人攻擊：偽造AP對(duì)用戶〔終端〕相當(dāng)于合法AP；對(duì)合法AP相當(dāng)于用戶〔終端〕78802.11i簡(jiǎn)介在WEP之后，802.11i任務(wù)組完成了提高WLAN平安能力的開(kāi)發(fā)工作為了盡快提高WLAN的平安能力，Wi-Fi聯(lián)盟公布了Wi-FiProtectedAccess(WPA)作為Wi-Fi標(biāo)準(zhǔn)802.11i標(biāo)準(zhǔn)的最終版本稱作RSN〔RobustSecurityNetwork〕。Wi-Fi的WPA2完整的實(shí)現(xiàn)了802.11i標(biāo)準(zhǔn)。802.11i的網(wǎng)絡(luò)架構(gòu)規(guī)定了二種網(wǎng)絡(luò)架構(gòu)：過(guò)渡平安網(wǎng)絡(luò)(TSN)：可以兼容現(xiàn)有的使用WEP方式工作的設(shè)備，使現(xiàn)有的無(wú)線局域網(wǎng)系統(tǒng)可以向802.11i網(wǎng)絡(luò)平穩(wěn)過(guò)渡。強(qiáng)健的平安網(wǎng)絡(luò)(RSN)：針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)，大大增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能。IEEE802.11iRSN的運(yùn)行三種加密方式的比較WEPTKIPCCMP核心算法RC4RC4AES密鑰長(zhǎng)度40/104bit128bit128/192/256bit完整性確認(rèn)CRC校驗(yàn)MIC檢驗(yàn)碼CCM算法認(rèn)證無(wú)EAP協(xié)議EAP協(xié)議WAPI標(biāo)準(zhǔn)簡(jiǎn)介WAPI(WLANAuthenticationandPrivacyInfrastructure)是我國(guó)自主研發(fā)的，擁有自主知識(shí)產(chǎn)權(quán)的無(wú)線局域網(wǎng)平安技術(shù)標(biāo)準(zhǔn)83啟動(dòng)標(biāo)準(zhǔn)編制標(biāo)準(zhǔn)推出并準(zhǔn)備強(qiáng)制啟用無(wú)限期退出強(qiáng)制執(zhí)行并申請(qǐng)國(guó)際標(biāo)準(zhǔn)政府發(fā)文促進(jìn)標(biāo)準(zhǔn)體系完善，國(guó)際標(biāo)準(zhǔn)投票失敗啟動(dòng)第二次國(guó)際標(biāo)準(zhǔn)申請(qǐng)，可能成為獨(dú)立標(biāo)準(zhǔn)標(biāo)準(zhǔn)化組織達(dá)成共識(shí)，推動(dòng)成為獨(dú)立標(biāo)準(zhǔn)計(jì)算機(jī)

WAPIGB15629.11-2003GB15629.11-2003/XG1-2006GB15629.1102-2003GB15629.1101-2006GB15629.1104-2006GB/T15629.1103-2006……5.8GHz54Mbps2.4GHz11Mbps不同國(guó)家之間漫游2.4GHz54Mbps2006年6月公布四項(xiàng)新的無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)。形成全面采用WAPI我國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)體系基于WAPI的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)體系842009-3-09基于三元結(jié)構(gòu)和對(duì)等鑒別的訪問(wèn)控制方法可普遍適用于無(wú)線、有線網(wǎng)絡(luò)

WAPI目的：“合法用戶接入合法網(wǎng)絡(luò)”用戶網(wǎng)絡(luò)合法合法WAPI的技術(shù)思想85WLAN〔AP〕終端終端終端WMAN〔基站〕有線連接2公里50米LAN〔交換機(jī)/路由器〕后臺(tái)網(wǎng)絡(luò)終端接入點(diǎn)后臺(tái)AS全I(xiàn)P架構(gòu)下的接入網(wǎng)三元結(jié)構(gòu)86WEP802.1x+EAP(802.11i)、WiMAXWAPI二元平安架構(gòu)對(duì)應(yīng)二物理實(shí)體單向鑒別無(wú)法保證平安三元平安架構(gòu)對(duì)應(yīng)三物理實(shí)體接入點(diǎn)/基站有獨(dú)立身份完整雙向認(rèn)證有效保證平安“元”在網(wǎng)絡(luò)平安接入領(lǐng)域指具有認(rèn)證功能的功能體二元平安架構(gòu)對(duì)應(yīng)三物理實(shí)體AP無(wú)獨(dú)立身份，易被攻擊仍無(wú)法保證平安WAPI構(gòu)筑三元平安架構(gòu)87STA其他網(wǎng)絡(luò)設(shè)備AS服務(wù)器AP鑒別激活接入鑒別請(qǐng)求證書(shū)鑒別請(qǐng)求證書(shū)鑒別響應(yīng)接入鑒別響應(yīng)訪問(wèn)網(wǎng)絡(luò)資源（鏈路加密）通信過(guò)程身份鑒別過(guò)程密鑰協(xié)商請(qǐng)求組播密鑰響應(yīng)密鑰協(xié)商響應(yīng)組播密鑰通告WAPI-WLAN平安接入?yún)f(xié)議采用公鑰證書(shū)機(jī)制，通過(guò)雙向身份鑒別和密鑰協(xié)商過(guò)程實(shí)現(xiàn)平安接入控制和保密通信。WAPI平安協(xié)議流程88無(wú)線應(yīng)用協(xié)議平安WAP概況WAP根底設(shè)施WAP程序設(shè)計(jì)模型無(wú)線標(biāo)識(shí)語(yǔ)言〔WML〕WAP協(xié)議體系結(jié)構(gòu)無(wú)線網(wǎng)傳輸層平安(WTLS)WAPEND-TO-END平安WAP產(chǎn)生背景1997年中期，世界幾個(gè)主要的移動(dòng)設(shè)備制造商Motorola、NokiaEricsson和美國(guó)一家軟件公司Phone.

com作為最初的發(fā)起者成立了WAP論壇，開(kāi)始進(jìn)行WAP協(xié)議的開(kāi)發(fā)。WAP協(xié)議設(shè)計(jì)目標(biāo)是，基于Internet中廣泛應(yīng)用的標(biāo)準(zhǔn)〔如HTTP,TCP/IP,SSL,XML等〕，提供一個(gè)對(duì)空中接口和無(wú)線設(shè)備獨(dú)立的無(wú)線設(shè)備獨(dú)立的無(wú)線Internet全面解決方案，同時(shí)支持未來(lái)的開(kāi)放標(biāo)準(zhǔn)。移動(dòng)終端的局限設(shè)備的限制較弱的處理器能力缺乏的內(nèi)存大小較短的電池壽命較小的顯示屏較弱的數(shù)據(jù)輸入能力無(wú)線網(wǎng)絡(luò)的限制窄帶寬大延遲低穩(wěn)定性WAP標(biāo)準(zhǔn)的主要內(nèi)容與WWW程序設(shè)計(jì)兼容的程序設(shè)計(jì)模型，B/S結(jié)構(gòu)符合XML標(biāo)準(zhǔn)的語(yǔ)言：WML〔WirelessMarkupLanguage〕適合移動(dòng)無(wú)線終端的微瀏覽器輕量級(jí)的通信協(xié)議棧無(wú)線應(yīng)用〔wirelesstelephonyapplications，WTAs〕框架，提供和Internet訪問(wèn)功能的集成WAP根底設(shè)施WAP程序設(shè)計(jì)模型

無(wú)線標(biāo)識(shí)語(yǔ)言〔WML〕

WML的重要特征支持文本和圖像支持用戶輸入支持導(dǎo)航窄帶優(yōu)化WAP協(xié)議體系結(jié)構(gòu)

WTLS協(xié)議體系結(jié)構(gòu)

WAPEND-TO-END平安基于TLS的平安架構(gòu)基于IPSec的平安架構(gòu)為什么提出WAPEND-TO-END平安基于TLS的平安架構(gòu)基于IPSec的平安架構(gòu)知識(shí)域:網(wǎng)絡(luò)協(xié)議平安知識(shí)子域:無(wú)線蜂窩網(wǎng)絡(luò)協(xié)議平安GSM的平安性了解GSM的平安機(jī)制和平安缺陷CDMA的平安性了解CDMA的平安機(jī)制和平安缺陷3G系統(tǒng)的平安性了解3G系統(tǒng)的平安機(jī)制和平安缺陷102GSM的平安措施訪問(wèn)AUC〔AuthenticationCenter，鑒權(quán)中心〕，進(jìn)行用戶認(rèn)證無(wú)線通道加密移動(dòng)設(shè)備確認(rèn)IMSI臨時(shí)身份－TMSI的使用〔用戶號(hào)碼保密和防止被別人對(duì)用戶定位〕103GSM的平安缺陷平安系統(tǒng)內(nèi)在的弱點(diǎn)固定網(wǎng)絡(luò)中的數(shù)據(jù)和信令傳輸并未得到充分的保護(hù)入侵者輕易能得到的全部有關(guān)平安的信息.SIM卡易受一種稱為“SIM克隆”的攻擊.數(shù)據(jù)業(yè)務(wù)的弱點(diǎn)短信信息在傳輸時(shí)未加密加密算法的弱點(diǎn)DavidWagner和IanGoldberg曾用不到一天的時(shí)間破解了COMP128算法。104CDMA的平安措施用防篡改的UIM〔UserIdentifyModule〕卡代替了GSM的SIM卡CDMA認(rèn)證CDMA的保密性105CDMA的平安缺陷當(dāng)前的許多系統(tǒng)不支持認(rèn)證功能既沒(méi)有認(rèn)證算法也無(wú)法輸入A-KEY參數(shù)的管理存在問(wèn)題1063G的平安措施用戶身份保密在無(wú)線鏈路上竊聽(tīng)用戶身份IMSI是不可能的；確保不能夠通過(guò)竊聽(tīng)方式獲取當(dāng)前用戶的位置；不能在無(wú)線鏈路上獲知用戶正在使用的不同的業(yè)務(wù)

3G認(rèn)證完成了網(wǎng)絡(luò)和用戶間的雙向認(rèn)證；防止重放攻擊;數(shù)據(jù)保密性數(shù)據(jù)完整性1073G系統(tǒng)的平安漏洞3G允許將比較弱的加密算法標(biāo)準(zhǔn)化以便于出口;不支持公鑰密碼體制，難以實(shí)現(xiàn)用戶數(shù)字簽名終端存儲(chǔ)能力和處理能力的增強(qiáng)更有利于病毒的傳播108知識(shí)域：網(wǎng)絡(luò)架構(gòu)平安知識(shí)子域：網(wǎng)絡(luò)架構(gòu)平安的概念理解網(wǎng)絡(luò)架構(gòu)平安的含義理解網(wǎng)絡(luò)架構(gòu)的平安需求〔平安域、平安邊界、用戶接入控制、數(shù)據(jù)平安訪問(wèn)和控制等〕109網(wǎng)絡(luò)架構(gòu)平安的含義網(wǎng)絡(luò)架構(gòu)的定義：定義一：指對(duì)網(wǎng)絡(luò)系統(tǒng)中物理部件的規(guī)劃、規(guī)格描述以及布署定義二：為設(shè)計(jì)、構(gòu)建和管理一個(gè)通信網(wǎng)絡(luò)提供一個(gè)構(gòu)架和技術(shù)根底的藍(lán)圖。定義三：指對(duì)由軟件、互聯(lián)設(shè)備、通信協(xié)議和傳輸模式等構(gòu)成的網(wǎng)絡(luò)的結(jié)構(gòu)和布署，用以確?？煽康男畔鬏敚瑵M足的業(yè)務(wù)需要。網(wǎng)絡(luò)架構(gòu)平安是網(wǎng)絡(luò)架構(gòu)在平安方面的考慮，是網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)的重要內(nèi)容之一網(wǎng)絡(luò)架構(gòu)的平安需求平安域劃分邊界平安策略路由交換設(shè)備平安配置要求防火墻平安配置要求網(wǎng)閘平安配置要求入侵檢測(cè)平安配置要求抗DDoS攻擊平安配置要求虛擬專(zhuān)用網(wǎng)〔VPN〕攻能要求流量管理部署與功能要求網(wǎng)絡(luò)監(jiān)控與審計(jì)部署與功能要求訪問(wèn)控制的功能要求網(wǎng)絡(luò)平安域

定義平安域是遵守相同平安策略的用戶和系統(tǒng)的集合平安域劃分的目的把大規(guī)模系統(tǒng)平安問(wèn)題化解為更小區(qū)域的平安保護(hù)問(wèn)題平安域的分類(lèi)按信息資產(chǎn)劃分按業(yè)務(wù)類(lèi)型劃分按區(qū)域劃分按組織架構(gòu)劃分112同級(jí)別平安域同級(jí)別平安域之間的邊界-同級(jí)別平安域之間的平安防護(hù)主要是平安隔離和可信互訪不同級(jí)別平安域不同級(jí)別平安域之間的邊界－實(shí)際設(shè)計(jì)實(shí)施時(shí)又分為高等級(jí)平安域和低等級(jí)平安域的邊界和防護(hù)遠(yuǎn)程連接用戶遠(yuǎn)程連接的用戶－對(duì)于遠(yuǎn)程接入用戶通常采用VPN結(jié)合用戶認(rèn)證授權(quán)的方式進(jìn)行邊界防護(hù)同級(jí)別平安域之間的邊界遠(yuǎn)程接入邊界的平安網(wǎng)絡(luò)平安域防護(hù)113網(wǎng)絡(luò)邊界的概念具有不同平安級(jí)別的網(wǎng)絡(luò)之間的分界線都可以定義為網(wǎng)絡(luò)邊界網(wǎng)絡(luò)常見(jiàn)邊界：核心網(wǎng)絡(luò)與互聯(lián)網(wǎng)的邊界核心網(wǎng)絡(luò)與部門(mén)、分支機(jī)構(gòu)網(wǎng)絡(luò)的邊界核心網(wǎng)絡(luò)與異地容災(zāi)中心邊界平安不同部門(mén)、分支機(jī)構(gòu)網(wǎng)絡(luò)的邊界114網(wǎng)絡(luò)邊界防護(hù)路由器防火墻；IDS。VPN設(shè)備。軟件DMz和被屏蔽的于網(wǎng)

隔離網(wǎng)閘。。。。。。。115網(wǎng)絡(luò)邊界防護(hù)部件路由交換設(shè)備平安配置要求每臺(tái)設(shè)備上要求安裝經(jīng)認(rèn)可的操作系統(tǒng)，并及時(shí)修補(bǔ)漏洞路由器設(shè)置加長(zhǎng)口令，網(wǎng)絡(luò)管理人員調(diào)離或退出本崗位時(shí)口令應(yīng)立即更換。路由器密碼不得以明文形式出現(xiàn)在紙制材料上，密碼應(yīng)隱式記錄，記錄材料應(yīng)存放于保險(xiǎn)柜中。限制邏輯訪問(wèn)，合理處置訪問(wèn)控制列表，限制遠(yuǎn)程終端會(huì)話。監(jiān)控配置更改。定期備份配置和日志。明確責(zé)任，維護(hù)人員對(duì)更改路由器配置時(shí)間、操作方式、原因和權(quán)限需要明確。入侵檢測(cè)平安配置要求中大型網(wǎng)絡(luò)平臺(tái)應(yīng)部署基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)〔NIDS〕網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)對(duì)核心局域網(wǎng)、DMZ區(qū)域進(jìn)行檢測(cè)。對(duì)大型網(wǎng)絡(luò)、分支機(jī)構(gòu)網(wǎng)絡(luò)的入侵檢測(cè)，應(yīng)采用分布式方式部署入侵檢測(cè)系統(tǒng)。入侵檢測(cè)產(chǎn)品應(yīng)有國(guó)家相關(guān)平安部門(mén)的證書(shū)。監(jiān)控配置更改時(shí)要進(jìn)行監(jiān)控。、定期備份配置和日志。入侵檢測(cè)系統(tǒng)設(shè)置加長(zhǎng)口令。如采用分布式部署方式，各級(jí)入侵檢測(cè)系統(tǒng)宜采用分級(jí)管理方式進(jìn)行管理。訪問(wèn)控制的功能要求網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能。能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)。對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制。在會(huì)話處于非活潑一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙。按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)那么，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶。知識(shí)域：網(wǎng)絡(luò)架構(gòu)平安知識(shí)子域：網(wǎng)絡(luò)架構(gòu)平安實(shí)踐掌握IP地址規(guī)劃、VLAN劃分的根本平安原那么掌握網(wǎng)絡(luò)設(shè)備平安功能和平安配置的根本原那么掌握網(wǎng)絡(luò)平安設(shè)備部署和配置的根本原那么119網(wǎng)絡(luò)架構(gòu)平安IP地址規(guī)劃VLAN規(guī)劃和實(shí)施網(wǎng)絡(luò)設(shè)備的平安功能和配置網(wǎng)絡(luò)平安設(shè)備的功能和配置IP地址規(guī)劃從IP地址規(guī)劃中可以看出一個(gè)網(wǎng)絡(luò)的規(guī)劃質(zhì)量、甚至可以反映出網(wǎng)絡(luò)設(shè)計(jì)師的技術(shù)水準(zhǔn)。121為什么需要進(jìn)行IP規(guī)劃提高路由協(xié)議的運(yùn)行效率確保網(wǎng)絡(luò)的性能確保網(wǎng)絡(luò)可擴(kuò)展確保網(wǎng)絡(luò)可管理核心設(shè)備使用相對(duì)較小的地址所有網(wǎng)關(guān)地址使用相同的末位數(shù)字，如.254都是網(wǎng)關(guān)或.1都是網(wǎng)關(guān)IP地址通常要聚合后發(fā)布，在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。IP地址規(guī)劃的技巧122非體系化的ip編址主干網(wǎng)和每個(gè)分支網(wǎng)絡(luò)需要維護(hù)全網(wǎng)的詳細(xì)IP網(wǎng)段，路由表?xiàng)l目數(shù)明顯增多，明顯增加了路由協(xié)議運(yùn)行開(kāi)銷(xiāo)。體系化的ip編址主干網(wǎng)只需維護(hù)每個(gè)分支網(wǎng)絡(luò)的一條匯總路由每個(gè)分支網(wǎng)絡(luò)只需要維護(hù)本網(wǎng)絡(luò)區(qū)域的詳細(xì)IP網(wǎng)段，對(duì)于其他每個(gè)分支網(wǎng)絡(luò)只需維護(hù)一條匯總路由。路由表題目數(shù)量很少，明顯減少了路由協(xié)議運(yùn)行開(kāi)銷(xiāo)。VLAN定義VLAN〔VirtualLocalAreaNetwork〕的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。125VLAN規(guī)劃劃分VLAN的作用有效的寬帶利用平安性多路徑負(fù)載均衡隔離故障域VLAN的分類(lèi)