信息与网络安全教学课件作者程光第十章.ppt

1、第第10章章 安全网络技术安全网络技术1.VPN技术技术2.无线网络安全无线网络安全3.IPv6网络安全网络安全4.VoIP安全安全5.工具介绍工具介绍VPNVPN概念概念VPN是英文Virtual Private Network的缩写，中文译为“虚拟专用网络”。VPN利用现有的公用网（包括Internet网、电信部门提供的公用电话网、帧中继网及ATM网络等）来搭建自己的虚拟专用网络。VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网所提供的网络平台之上的逻辑网络。通过相应的加密和认证技术来保证用户内部数据在公网上安全传输，从而真正实现网络数据传输的私

2、有性。VPNVPN概念概念公用网络VPN连接服务器服务器VPN示意图VPNVPN作用作用一是远程访问，主要为在外出差、移动办公和在家中办公的人员访问企业内部网络；二是企业内部网络互联，在内部各分支机构网络与总部网络之间实现安全互联；三是与合作伙伴建立安全通信。VPNVPN分类分类从技术上分类以IPSec为代表的、基于用户设备的VPN技术，由网络厂商提供VPN技术和解决方案，既可用于网络互联，又可用于远程访问；以MPLS VPN为代表的、基于网络的VPN技术，由电信运营商提供VPN服务，主要用于网络远程互联。从实际使用上分类软件VPN：对数据的传输速率不高，安全性能也不强，如微软的Windows

3、 2000以后的系统就可以实现纯软件平台的VPN连接。硬件VPN：可以满足企业和个人用户对高数据安全及通信性能的需求，但是它成本高，对于中小企业和用户很难承受。辅助硬件VPN：主要以现有的网络设备为基础，再添加适当的软件，它既具备了硬件VPN的高性能和安全性，又具有软件VPN的灵活管理性，使目前绝大多数企业首选的VPN解决方案。VPNVPN实现技术实现技术VPN的安全技术：隧道技术（Tunneling）它是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。加解密技术（Encryption&Decryption）它是数据通信中一项较成熟的技术，

4、VPN可直接利用现有技术。密钥管理技术（Key Management）它的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。使用者与设备身份认证技术（Authentication）最常用的是使用者名称与密码或卡片式认证等方式。VPNVPN实现技术实现技术VPN在OSI中的层次 VPN实现技术 应用层 SSL VPN 会话层 Socks5 VPN 网络层 IPSec VPN数据链路层 PPTP及L2TP凡是在公共网络中实现了安全通信（主要包括通信实体的身份识别和通信数据的机密性处理等）的协议都可以称之为VPN协议。VPN已经在网

5、络协议的多个层次上实现，从数据链路层、网络层、传输层直到应用层。以OSI 模型为参照标准，不同的VPN 技术可以在不同的OSI 协议层实现。VPNVPN实现技术实现技术应用层VPNSSL协议：SSL 是一个端到端协议，因而是在处于通信通路端点的机器上实现（通常是在客户机和服务器上），而不需要在通信通路的中间节点（如路由器或防火墙）上实现。会话层VPNSocks4协议：它为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议（不包括UDP）的客户/服务器程序提供了一个无需认证的防火墙，建立了一个没有加密认证的VPN隧道。Socks5协议：Socks5协议扩展了Socks4，以使

6、其支持UDP、TCP框架规定的安全认证方案、地址解析方案中所规定的IPv4、域名解析和IPv6。VPNVPN实现技术实现技术网络层VPNIPSec协议：它是第三层即IP层的加密。链路层VPN 技术 PPTP协议：PPTP（点到点隧道协议）是由PPTP论坛开发的点到点的安全隧道协议 L2F协议：L2F（Layer 2 Forwarding）是由Cisco 公司提出的，可以在多种介质（如ATM、FR、IP）上建立多协议的安全VPN 的通信方式。L2TP协议：IETF建议将PPTP和L2F的优点组合起来组成了一个工业标准，即第二层隧道协议。目目 录录1.VPN技术技术2.无线网络安全无线网络安全3.

7、IPv6网络安全网络安全4.VoIP安全安全5.工具介绍工具介绍无线网络安全无线网络安全无线网络特殊机理以及 IEEE 802.11 等无线安全加密认证机制本身的不完善，使得无线网络的安全性相对有线网络更为脆弱和敏感。便携式移动终端由于功能限制不可能提供强有力的安全保障，而且各种新兴的网络增值业务也提出了更高的安全需求。无线网络分类无线网络分类根据网络组织形式有结构网络有结构无线网络具备固定的网络基础设施，负责移动终端的接入和认证，并提供网络服务，包括蜂窝通信网络和无线局域网等等；自组织网络自组织网络按照自发形式组网，网络中不存在集中管理机制，各节点按照分布式途径协同提供网络服务，包括传感器网

8、络和自组织网络。无线网络分类无线网络分类根据数据发送的距离、传输速率和用途名称缩写代表技术传输速率发送距离无线广域网WWANGSM、3G、4G 2Mb/s10 km无线城域网WMANIEEE802.16（Wi-MAX）70 Mb/s50 kmIEEE802.20/（Mobile-Fi）l 4 Mb/s15 km无线局域网WLANIEEE802.11x11 56Mb/s100 m10 km无线个人网WPANIEEE802.15、B1ueTooth110 Mb/s0.110 m无线网络分类无线网络分类无线网络的优缺点优 点点缺缺 点点不需铺设传输介质线路，具有充分的灵活性传输距离短，传输数据率低，

9、传输带宽有限，可靠性差无缝覆盖，使用户接入网络方便传输线路可靠性受天气环境影响大可移动通信，能在宽广范围漫游信息在空中传播，使网络攻击变的非常方便无线网络分类无线网络分类无线网络的安全隐患无线窃听 无线信道是一个开放的信道，任何具有适当无线设备的人都可以通过窃听无线信道而获得上述信息。无线窃听可以导致信息(如通话信息、身份信息、位置信息、数据信息以及移动站与网络控制中心之间的信令信息等)泄露。假冒攻击 无线信道中传送的任何信息都可能被窃听。当攻击者截获到一个合法用户的身份信息时，他就可以利用这个身份信息假冒该合法用户的身份入网 无线网络分类无线网络分类无线网络的安全隐患信息篡改信息篡改是指主动

10、攻击者将窃听到的信息进行修改(如删除和/或替代部分或者全部信息)之后再将信息传送给原本的接收者。重传攻击重传攻击包括非法访问、恶意破坏，它指攻击者将窃听到的有效信息经过一段时间后再传给消息的接收者。攻击者的目的是企图利用曾经有效的信息在改变了的情形下达到同样的目的，例如攻击者利用截获到的合法用户日令来获得网络控制中心的授权，从而访问网络资源。无线网络安全技术无线网络安全技术WEP加密技术WEP(Wired Equivalent Privacy)是IEEE设计的加解密的机制，期望无线网络使用者能获得与一般有线网络同等的私密性。WEP 采用对称式加解密系统(Symmetric Cryptograp

11、hy System)，原始密钥的长度是 40/104 bits。用户的密钥只有和AP的密钥匙相同才能访问网络，这样就阻止了非授权用户的监听和访问。缺点：恶意黑客能相对容易地拦截并破坏WEP密码，进入到局域网当中；缺少密钥管理。无线网络安全技术无线网络安全技术WPA技术Wi-Fi Protected Access(WPA)是一种过渡性行业标准，它通过升级到基于802.11i的无线网络适配器的固件和无线访问点(AP)来保护802.11i无线LAN联网的安全。WPA将临时密钥完整性协议(TKIP)与 Michael（即完成数据校验的MIC算法）结合起来，取代了有线对等保密(WEP)；临时密钥完整性协

12、议可通过加密来保证数据机密性，Michael可保证数据完整性。WPA继承了WEP基本原理而又解决了WEP缺点，它改变了密钥生成方式，能够更频繁地变换密钥，还增加了消息完整性检查功能来防止数据包伪造。无线网络监视工具无线网络监视工具监视工具Stumbling 工具主要作用是确认无线网络的存在并探测其行为；寻找信号帧；广播客户请求，等待可能的 AP 回应。Stumbling 工具有：Netstumbler，Ministumbler，actrumbler，Airfart 等。Sniffing则用于捕捉无线流量、观察数据。Sniffing工具有：Ethereal，Kismet，KisMAC，Packe

13、tyzer，AirTraf，Airscanner等。其中以NetStumbler 和 Kismet 最为知名。无线网络监视工具无线网络监视工具监视工具NetstumblerNetstumble支持pcmcia 无线网卡，同时支持全球GPS卫星定位系统。这个工具现在是免费的，仅仅支持Windows系统，源代码不公开，而且该软件的开发者还保留在适当的情况下对授权协议的修改权。NetStumbler支持服务集识别符(Service Set Identifier，SSID)、有线等同保密(WEP)、开放式认证、共享密码认证、MAC地址认证等。无线网络监视工具无线网络监视工具监视工具Kismet Kis

14、met 是一款 802.11b 网络嗅探、分析程序，依赖无线网卡的能力来报告数据包，支持SSID解码。大多数常见的无线网卡包括Linksys，D-Link，Cisco Aironet和Orinoco都支持这一功能。Kismet是设计运行在Linux平台上的，在Windows平台上要安装Cygwin并在Cygwin环境下运行Kismet。Kismet可以同时检测到多个源数据包。无线网络监视工具无线网络监视工具入侵检测工具AirDefense Airdefense为空中防护，其引申为无线防护。即对Wireless，LAN的网络防护，具有防入侵，安全网络规划等功能。Airdefense主要是由Ser

15、ver，Sensor和一个中央管理器三部分组成，Sensor用来监视和捕捉AP的数据，Server则用来做IDS的分析和统计，而中央管理器则可以使网管清晰的看到被检测的每一步的数据。AirIDS 第一款无线(802.11)入侵检测系统。通过使用强大的过滤系统，较好的设备驱动，以及主动防御措施，AirIDS能成功检测和挫败一些恶意行为，如网络stumbling，MAC地址欺骗，未授权无线接入，WEP攻击等。无线网络监视工具无线网络监视工具无线网络审计工具 商用商用 开源开源AirDefense：使用置于各地的网络的IDS传感器和向中央管理服务器或控制台报告信息WIDZ：提供无赖AP检测，监视网络

16、中可能的恶意流量WiSentry：是基于IDS的软件，通过各个小的客户进程检测发现可疑活动AirIDS：提供基本的IDS能力AirMagnet：提供一系列软件工具，用于诊断安全问题和其他无线网络问题Kismet：能检测可疑主机，如运行AirJack 等攻击软件的客户端NAI Sniffer：具有IDS功能的无线协议分析器HotSpot-Defence Kit：监视WMAC地址，ESSID，以及其他各种指标（如信号强度的突然波动）。常用于抵制一些黑客软件如AirSnarf。AiroPeek：具有IDS传感器功能的无线协议分析器无线网络监视工具无线网络监视工具增加无线网络安全方法改变系统ID 禁用SSID广播，并启动MAC地址过滤 启用加密 不用 DHCP(动态主机配置协议)，使用确认的，私有的IP；对于安全和机密要求比较高的企业网络等，采用VPN和强大的加密机制加强AP的管理为PC打补丁、升级 1.VPN技术技术2.无线网络安全无线网络安全3.IPv6网络安全网络安全4.VoIP安全安全5.工具介绍工具介绍目目 录录IPv6IPv6网络安全网络安全IPv6历史IP第6版（IPv6）是继I