08第八章网络安全.docx

08第八章网络安全.docx

《08第八章网络安全.docx》由会员分享，可在线阅读，更多相关《08第八章网络安全.docx（11页珍藏版）》请在冰豆网上搜索。

08第八章网络安全

第8章网络安全

安全方面存在的问题及其解决办法，即网络通信中的数据保密技术、签名与认证技术，以及有关网络安全威胁的理论和解决方案。

网络安全威胁：

重放：

一份报文或报文的一部分，以便产生一个被授权的效果。

拒绝服务：

当一个授权实体不能获得应有对网络资源的访问或紧急操作。

基本安全措施：

数据加密、数字签名、身份认证、防火墙和入侵检测等。

1）数据加密：

对信息的重新组合。

2）数字签名：

证明消息是由发送者签发的。

3）身份认证：

认证用户合法性。

4）防火墙：

控制数据包的进出。

网络层、传输层

5）内容检查。

应用层

信息加密技术：

1、对称密钥2、非对称密钥3、流密码加密

传统的加密系统是以密钥为基础的，这是一种对称密钥，用户使用同一个密钥加密和解密。

而公钥则是一种非对称密钥加密方法，加密者和解密者各自拥有不同的密钥。

还有流密码等加密算法。

PIX（config）#static（DMZ,outside）outside_addressinside_address//防火墙配置转换先外后内

1、DES（DataEncryptionStandard）是一种56位共享密钥的加密算法，最后产生64位的密文块。

2、三重DES使用两把密钥对报文做三次DES加密，第一层和第三层中使用相同的密钥，有效长度112位的密钥。

3、IDEA国际数据加密算法:

使用128位密钥，把明文分成64位的块，进行8轮迭代加密。

IDEA可以用硬件或软件实现。

比DES快商用

4、AES高级加密标准：

支持128、192和256位3种密钥长度，可以通过软件或硬件实现。

5、流加密算法和RC4数据流与密钥生成二进制比特流进行异或运算的加密过程。

加密密钥和解密密钥是相同的，称为公钥密钥算法或者对称密钥算法，后有使用了不同的密钥进行加密和解谜的公钥加密算法。

公钥：

加密和认证私钥:

解密和签名

6、RSA（RivestShamirandAdleman）非对称加密算法选择两个大素数p和q例：

按照RSA算法，若选两个奇数p=5,q=3,公钥e=7则私钥d为？

ed=1mod（p-1）*（q-1）即7d=1mod8=7d除8余1把选项代入计算

认证 确认对方身份。

密钥分发中心（KeyDistributionCenter，KDC）

Needham-Schroeder认证协议（N-S）一种多次提问—应答协议，可以对付重放，随机数在起作用。

基于公钥的认证用对方公钥加密，用各自私钥解密。

数字签名：

防抵赖证明发送者消息

例：

A向B发送签名的消息P

1、B可以验证消息P确实来源于A。

2、A以后不能否认发送过消息P。

3、B不能编造或改变消息P。

基于密钥的的数字签名：

设BB是A和B共同信赖的仲裁人。

基于公钥的数字签名：

  三种报文摘要：

1、MD5采用报文摘要防篡改用于差错控制，产生128位的报文摘要。

明文报文分组是按512位计算。

2、SHA安全散列算法产生160位的报文摘要。

SHA算法的缺点是速度比MD5慢，但是SHA的报文摘要更长，更有利于对抗野蛮攻击。

3、HMAC散列式报文认证码可以提供数据完整性数据源身份认证；HMAC-MD5被指定为IPsec的验证机制，提供数据认证和数据完整性保护。

HMAC-MD5采用的是‘提问/响应’式身份认证。

电子证书的概念：

是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明。

用户的数字证书由某个可信的证书发放机构（CertificationAuthority，CA）建立，发放。

证书包含公钥：

有效的公钥及其使用方法。

认证机构的签名：

用CA私钥对证书的签名。

证书的获取用户A从机构X1处获取证书，用户B已从X2处获取证书。

证书链表示为：

依次信任达到相互信任

密钥管理：

密码自产生到最终销毁。

包括初始化，密钥产生、存储、恢复/备份、装入、分配、保护、更新、控制、丢失、吊销、销毁。

密钥管理体制主要有3种：

1）适用于封闭网的技术，以传统的密钥分发中心为代表的KMI机制用于内网

2）适用于开放网络的PKI机制；用于外网

3）适用于规模化专用网的SPK技术。

KMI技术：

密钥管理基础结构KMI依赖密钥分发中心（KDC）

PKI技术：

公钥基础结构PKI在密钥管理中，不依赖秘密信道的密钥分发技术。

KMI和PKI：

两种密钥管理体制各有其优缺点和适用范围。

KMI具有很好的封闭性，而PKI具有很好的扩展性。

KMI主内，PKI主外的密钥管理结构是比较合理的。

虚拟专用网VPN特点：

1、建立在公网上。

2、虚拟性。

3、专用性。

VPN的4种关键技术：

1）隧道技术（Tunneling）

2）加密技术（Encryption&Decryption）

3）密钥管理技术（KeyManagement）

4）身份认证技术（Authentication）

VPN的3种解决方案：

1）内联网VPN（IntranetVPN）用于实现企业内各部门各个LAN之间的安全互连。

2）外联网VPN（ExtranetVPN）用于企业与客户、供应商和其它的互连互通。

3）远程接人VPN（AccessVPN）解决远程用户访问企业内部网络。

远程办公

第二层隧道协议：

虚拟专用网可以通过第二层隧道协议，这些隧道协议（例如PPTP和L2TP）都是把数据封装在点对点协议（PPP）的帧中在因特网上传输的。

L2TP协议报文封装在UDP中。

报文也是网络传输的单位，传输过程中会不断的封装成分组、包、帧来传输。

PPP协议是点对点协议组可以在点对点链路上传输多种上层协议的数据包，PPP是数据链路层协议。

链路控制协议（LCP）配置管理数据链路。

网络控制协议NCP，承载网路层协议。

认证：

1、口令认证协议PAP明文认证。

2、挑战—握手验证协议CHAP采用3次握手，传送的是用户密码生成的散列值

点对点隧道协议PPTP1、PPTP接入集中器PAC是负责客户端设备的接入。

2、PPTP网络服务器PNS是ISP提供的接入服务器。

通用路由封装GRE是在一种网络层协议上封装另外一种网路层协议的协议。

PPTP与L2TP的比较：

PPTP和L2TP都使用PPP协议对数据进行封装。

1）PPTP要求因特网络为IP网络，L2TP只要求隧道媒介提供面向数据包的点对点连接。

2）PPTP只能在两端点间建立单一隧道，L2TP支持在两端点间使用多个隧道。

3）L2TP可以提供包头压缩。

系统开销占用4个字节，而在PPTP协议下要占用6个字节。

4）L2TP可以提供隧道验证，而PPTP不支持隧道验证。

IPSec（IPSecurity）：

网络层3层功能可以划分为下面三类：

1）认证头AH：

提供了数据完整性和数据源认证，不提供保密服务。

2）封装安全负荷ESP：

提供了数据完整性和数据完整性，包括了防止重放攻击。

3）Internet密钥交换协议IKE：

用于生成和分发AH和ESP使用的密钥，对远程系统初始化。

IPSec有两种模式：

传输模式和隧道模式。

                传输模式的认证头

              隧道模式的认证头

2、封装安全负荷ESPIPSec封装安全负荷提供了数据加密功能。

               传输模式的ESP

              隧道模式的ESP

Internet密钥交换协议IPSec传送认证或加密的数据之前，必须就协议、加密算法和使用的密钥进行协商。

小结：

安全套接层（SSL）/传输层安全标准（TLS）SSL/TLS

            SSL协议栈

SSL和IPSec对比：

SSLVPN与IPSecVPN一样，都使用RSA或D-H握手协议来建立隧道，SSL和IPSec都使用了预加密、数据完整性和身份认证技术。

两种协议区别是：

IPSecVPN是在网络层建立安全隧道，适用于建立固定的虚拟专用网，而SSL的安全连接是通过应用层的WEB连接建立的，更适合移动用户远程访问公司的虚拟专用网。

SSL/TLS在Web安全通信中被称为HTTPS。

在虚拟专用网中，SSL可以承载TCP通信和UDP通信，由于SSL工作在传输层，所以SSLVPN的控制更加灵活，既可以对传输层进行访问控制，也可以对应用层进行访问控制。

HTTP使用80HTTPS/SSL使用443工作于传输层

S-HTTP安全的超文本传输协议SSL基本取代了工作于应用层的SHTTP。

PGP是一种电子邮件加密软件包，它提供数据加密和数字签名两种服务，采用RSA公钥证书进行身份认证使用IDEA（128位密钥）进行数据加密，使用MD5进行数据完整验证。

使用IDEA加密了数据，RSA加密了密钥。

S/MIMIE提供的安全服务有报文完整性验证、数字签名和数据加密。

用于提供安全的电子邮件传输服务。

安全电子交易SET（网上购物）是一个安全协议和报文格式的集合；包括KMI、SSL、S-HTTP,是电子商务中的基础设施。

Kerberos是一项认证服务，它要解决的问题是：

在公开的分布式环境中，工作站上的用户希望访问分布在网络上的服务器，希望服务器能限制授权用户的访问，并能对服务请求进行认证。

第4版使用（时间戳）第5版（序列号）。

四种安全机制：

1、AS（AuthenticationServer）：

认证服务器

2、TGS（TicketGrantingServer）：

票证授予服务。

3、V：

用户请求访问的应用服务器。

4、TGT（TicketGrantingTicket）

时间戳t可以防止重放攻击。

可信任系统一个由完整的硬件及软件所组成的系统。

等保：

由高到代为会A、B、C、D4大级7小级

1、D级，最低保护（MinimalProtection）个人计算机的系统虽未经过安全测试，D级并非没有安全保护功能，只是太弱。

自己开发的系统或软件

2、C级，自定式保护（DiscretionaryProtection），如系统管理员、用户和应用程序）的自已定义访问权。

自定义访问权限

3、B级，强制式保护（MandatoryProtection）

4、A级，可验证保护（VerifiedProtection）

例如：

微软的WindowsNT4.0有C2安全等级，也就是说，它的安全特性就在于自定式保护，NT未来可能提高到B2安全等级。

Windows2000现已顺利获得认证。

UNIX未经测试时，一般认为是C1，也有人认为是C2。

防火墙作为网络安全的第一道门户，可以实现内部可信任网络与外部不可信任网络之间（或是内部不同网络安全区域之间）的隔离和访问控制。

防火墙的定义：

1）所有的从外部到内部或从内部到外部的通信都必须经过它。

2）只有内部访问策略授权的通信才能被允许通过。

3）系统本身具有很强的可靠性。

PIX（config）#ipaddressoutside224.4.5.1255.255.255.248设置外部接口IP

PIX（config）#ipaddressinside192.168.0.2255.255.255.0设置内部接口IP

PIX（config）#global（outside）1224.4.5.2-224.4.5.6指定公网的地址范围

PIX（config）#nat（inside）100或nat（inside）10.0.0.00.0.0.0//表示所有主机都可以访问外网

PIX（config）#routeoutside00224.4.5.2设置默认路由

防火墙的类型：

1）过滤路由器。

分组过滤功能。

ACL访问控制列表

2）双宿主网关。

有两个网络接口的双宿主网关代理服务器。

3）过滤式主机网关。

过滤路由器和运行网关软件的主机。

4）过滤式子网。

5）悬挂式结构。

防火墙：

高低高低高低

病毒防护是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序，使其含有该病毒程序的一个副本。

病毒的分类和命名规则：

1）系统病毒：

前缀Win32、PE、Win95、W32、W95

2）蠕虫病毒：

前缀Worm

3）木马病毒和黑客病毒：

木马Trojan、黑客病毒Hack。

4）脚本病毒：

前缀，Script

5）宏病毒：

前缀，Macro，第二前缀，Word，Word97、Excel，Excel97.

6）后门病毒：

Backdoor

入侵检测

IPS：

入侵防御系统串联、切断网络

IDS：

入侵检测系统并联也叫（旁路）、检测网络

IDS的主要功能包括：

监测与分析，入侵检测通过实时地监控入侵事件，在造成系统损坏或数据丢失之前阻止入侵者进一步的行动。

对IDS部署的唯一要求是应当挂接在所关注流量必须流经的链路上。

能靠近攻击源。

1）服务器区域的交换机上。

DMZ区

2）Internet接入路由器之后的第一台交换机。

核心交换机

3）重点保护网段的局域网交换机上。