《网络安全实用教程》配套()ch5精编版

第5章 网络软件安全,本章有四小节： 5. 1 网络协议的安全性 5. 2 IP安全协议 5. 3 加密文件系统 5. 4 SSL与SSH协议,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 1TCP/IP协议 基于TCP/IP协议的网络体系结构比OSI参考模型结构更简单。TCP/IP协议可分为4层，分别是网络接口层、网络层(IP层)、传输层(TCP层)和应用层。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 2TCPIP协议安全性分析 TCPIP协议本身也存在着一些不安全因素，它们是黑客实施网络攻击的重点目标。TCP/IP协议是建立在可信环境下的，这种基于地址的协议本身就存在泄漏口令、经常会运行一些无关程序等缺陷。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (1) TCP协议 TCP协议把通过连接传输的数据看成是字节流，用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生，产生机制与协议实现有关。攻击者只要向目标主机发送一个连接请求，即可获得上次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间(RTT)。已知上次连接的ISN和RTT，很容易就能预测出下一次连接的ISN。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (2) IP协议和ICMP协议 IP协议提供无连接的数据包传输机制，其主要功能有寻址、路由选择、分段和组装。传送层把报文分成若干个数据包，每个包在网关中进行路由选择，穿越一个个物理网络从源主机到达目标主机。在传输过程中每个数据包可能被分成若干小段，以满足物理网络中最大传输单元长度的要求，每一小段都当作一个独立的数据包被传输，其中只有第一个数据包含有TCP层的端口信息。在包过滤防火墙中根据数据包的端口号检查是否合法，这样后续数据包就可以不经检查而直接通过。攻击者若发送一系列有意设置的数据包，来覆盖前面的具有合法端口号的数据包，那么该路由器防火墙上的过滤规则被旁路，从而攻击者便达到了进攻目的。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (2) IP协议和ICMP协议 IP协议的改进：IPv6设计的两种安全机制被加进了IPv4，其中一种称为AH(Authentication Header)机制，提供验证和完整服务，但不提供保密服务；另一种称为ESP(Encapsulation Security payload)机制，提供完整服务、验证服务以及保密服务。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (2) IP协议和ICMP协议 ICMP是在网络层与IP一起使用的协议。如果一个网关不为IP分组选择路由、不能递交IP分组或测试到某种不正常状态，如网络拥挤影响IP分组的传递，那么就需要ICMP来通知源端主机采取措施，避免或纠正这些问题。ICMP被认为是IP协议不可缺少的组成部分，是IP协议正常工作的辅助协议。 ICMP协议存在的安全问题有：攻击者可利用ICMP重定向报文破坏路由，并以此增强其窃听能力；攻击者可利用不可达报文对某用户节点发起拒绝服务攻击。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 3TCP/IP层次安全 (1) 网络接口层安全 网络接口层安全一般可以达到点对点间较强的身份验证、保密性和连续的信道认证，在大多数情况下也可以保证数据流的安全。有些安全服务可以提供数据的完整性或至少具有防止欺骗的能力。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (2) 网络层安全 网络层安全主要是基于以下几点考虑： 控制不同的访问者对网络和设备的访问。 划分并隔离不同安全域。 防止内部访问者对无权访问区域的访问和误操作,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (2) 网络层安全 网络层安全协议可用来在Internet上建立安全的IP通道和VPN。其本质是：纯文本数据包被加密，封装在外层的IP报头里，用来对加密包进行Internet上的路由选择；到达收端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (2) 网络层安全 网络层安全性的主要优点是它的透明性，即提供安全服务不需要对应用程序、其他通信层次和网络部件做任何改动。主要缺点是网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (3) 传输层安全 由于TCP/IP协议本身很简单，没有加密、身份验证等安全特性，因此必须在传输层建立安全通信机制，为应用层提供安全保护。传输层网关在两个节点之间代为传递TCP连接并进行控制。常见的传输层安全技术有SSL、SOCKS和PCT等。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 与网络层安全机制相比，传输层安全机制的主要优点是提供基于进程对进程的安全服务。这一成就如果再加上应用级的安全服务，就可以再向前跨越一大步。原则上，任何TCP/IP应用，只要应用传输层安全协议，就必定要进行若干修改以增加相应的功能，并使用不同的IPC界面。传输层安全机制就是要对传输层IPC界面和应用程序两端都进行修改。另外，基于UDP的通信很难在传输层建立起安全机制。网络层安全机制的透明性使安全服务的提供不要求应用层做任何改变，这对传输层来说是做不到的。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (4) 应用层安全 如果确实要区分一个具体文件的不同安全性要求，那就必须借助于应用层的安全性。提供应用层的安全服务实际上是处理单个文件安全性的手段。例如，一个电子邮件系统可能需要对要发出信件的个别段落实施数据签名。较低层协议提供的安全功能一般不知道任何要发出的信件的段落结构，从而不可能知道该对哪一部分进行签名。应用层是唯一能够提供这种安全服务的层次。,51 网络协议的安全性,5.1.1 TCP/IP协议的安全性 (4) 应用层安全 现已实现的TCP/IP应用层的安全措施有：基于信用卡安全交易服务的安全电子交易(SET)协议，基于信用卡提供电子商务安全应用的安全电子付费协议(SEPP)，基于SMTP提供电子邮件安全服务的私用强化邮件(PEM)，基于HTTP协议提供Web安全使用的安全性超文本传输协议(S-HTTP)等。,51 网络协议的安全性,5.1.2 软件安全策略 1软件限制策略原则 (1) 应用软件与数据文件的独立原则 (2) 软件限制策略的冲突处理原则 (3) 软件限制的规则,51 网络协议的安全性,5.1.2 软件安全策略 2软件限制策略的应用 软件限制策略是一种技术，通过这种技术，管理员可以决定哪些程序是可信赖的，哪些是不可信赖的。对于不可信赖的程序，系统会拒绝执行。通常，管理员可利用文件路径、文件Hash值、文件证书、特定扩展名文件，以及其他强制属性等方式鉴别软件是否可信赖。,51 网络协议的安全性,5.1.2 软件安全策略 软件限制规则的简单操作如下： 第1步：打开“计算机配置”“Windows设置”“安全设置”“软件限制策略”路径，在“操作”菜单下选择“创建新的策略”(在Windows XP/SP1上，默认是没有任何策略的，但对于Windows XP/SP2系统，已经建好了默认策略)。系统将会创建“安全级别”和“其它规则”两个新条目。其中在安全级别条目下有“不允许的”和“不受限的”两条规则。前者明确默认情况下所有软件都不允许运行，只有特别配置过的少数软件才可以运行；而后者明确默认情况下所有软件都可以运行，只有特别配置过的少数软件才被禁止运行。本例中需要运行的软件都已经确定，因此需要使用“不允许的”作为默认规则。双击“不允许的”或右键单击后选择“属性”，然后点击“设为默认”按钮，并在同意警告信息后继续,51 网络协议的安全性,5.1.2 软件安全策略,51 网络协议的安全性,5.1.2 软件安全策略 软件限制规则的简单操作如下： 第2步：打开“其他规则”条目，可看到默认情况下已有了根据注册表路径设置的4个规则，且默认都设置为“不受限的”。不要修改这4个规则，否则系统运行将会遇到麻烦，因为这4个路径都涉及到重要系统程序及文件所在的位置。同时，位于系统盘下“Program Files”文件夹及“Windows”文件夹下的文件是允许运行的，而这4条默认规则已经包含了这些路径。,51 网络协议的安全性,5.1.2 软件安全策略 第2步：打开“其他规则”条目，可看到默认情况下已有了根据注册表路径设置的4个规则，且默认都设置为“不受限的”。不要修改这4个规则，否则系统运行将会遇到麻烦，因为这4个路径都涉及到重要系统程序及文件所在的位置。同时，位于系统盘下“Program Files”文件夹及“Windows”文件夹下的文件是允许运行的，而这4条默认规则已经包含了这些路径。,51 网络协议的安全性,5.1.2 软件安全策略 第3步：右键点击右侧面板的空白处，选择“新散列规则” 。再点击“浏览”按钮，定位所有允许使用的Office程序的可执行文件，并双击加入。 第4步：在“安全级别”下拉菜单下双击“不受限的”，点击“设为默认值”按钮“应用”按钮“确定”按钮退出。这样，就完成了软件的可执行文件均为不受限的设置。,52 IP安全协议(IPSec),5.2.1 IPSec概述 IP安全协议(IP Security，IPSec)是一个网络安全协议的工业标准，也是目前TCP/IP网络的安全化协议标准。IPSec最主要的功能是为IP通信提供加密和认证，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，有效抵御网络攻击，同时保持其易用性。,52 IP安全协议(IPSec),5.2.1 IPSec概述 IPSec的目标是为IP提供高质量互操作的基于密码学的一整套安全服务，其中包括访问控制、无连接完整性、数据源验证、抗重放攻击、机密性和有限的流量保密。 IPSec不是一个单独的协议，它包括网络认证协议(AH，也称认证报头)、封装安全载荷协议(ESP)、密钥管理协议(IKE)以及一些用于网络认证和加密的算法等。,52 IP安全协议(IPSec),5.2.1 IPSec概述 IPSec既可以作为一个完整的VPN方案，也可以与其他协议(如PPTP、L2TP)配合使用。它工作在IP层(网络层)，为IP层提供安全性，并可为上一层应用提供一个安全的网络连接，提供基于一种端-端的安全模式。 IPSec可用于IPv4和IPv6环境，它有两种工作模式，一种是隧道模式，另一种是传输模式。,52 IP安全协议(IPSec),5.2.2 IPsec的加密与完整性验证机制 1认证协议AH IPSec认证协议(AH)为整个数据包提供身份认证、数据完整性验证和抗重放服务。AH通过一个只有密钥持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果。 AH协议为IP通信提供数据源认证和数据完整性验证，它能保护通信免受篡改，但并不加密传输内容，不能防止窃听。,52 IP安全协议(IPSec),5.2.2 IPsec的加密与完整性验证机制 1认证协议AH 为了建立IPSec通信，两台主机在连接前必须互相认证。有如下三种认证方法: (1) Kerberos方法。 (2) 公钥证书(PKI)方法。 (3) 预共享密钥方法。,52 IP安全协议(IPSec),5.2.2 IPsec的加密与完整性验证机制 2封装安全载荷协议ESP 安全加载封装协议(ESP)通过对数据包的全部数据和加载内容进行加密来保证传输信息的机密性，这样可以避免其他用户通过监听打开信息交换的内容，因为只有受信任的用户拥有密钥打开内容。此外，ESP也能提供身份认证、数据完整性验证和防止重发。,52 IP安全协议(IPSec),5.2.2 IPsec的