基于IPSEC实现网络的安全管理系统.doc

基于ipsec实现网络的安全管理系统 许多单位的网络,一般都是通过代理服务器,(如:wingat,sygate,windows系统集成的ics等)软件实现与internet共享连接的.在这样的一个网络中,如果没有安全性的措施,则公用和专用网络对于未经访问和监视都是敏感的.这些危险可能都来自民局域网内部的攻击,也可能来自internet外部的攻击.因为在一般情况下,仅有基于用户密码的访问控制是不能保护网上传输的数据的.一、目前办公网络所面临的主要不安全因素 在没有安全措施的情况下,用户的数据可能会遭受攻击.一些攻击是被动的,这意味着信息可能被监视.另一些攻击是主动的,这意味着用户信息有可能被修改.在没有安全措施的情况下,网络数据对于下列类型的攻击来说是很脆弱的。 窃听 在通常的情况下。大部分网络通信在一个非安全或“纯文本”格式下发生,这允许获取用数据访问路径的攻击者“侦听”或读取数据流.当一个攻击者窃听用户通信时,通常指的是窃听或窥探。窃听者监视网络的能力通常是一个企业中网络管理者面对的最大的安全问题。对于没有进行基于密码规则加密的数据,当其在网上时就很可能被其他用户读取。 数据修改 当一个攻击者读取数据以后,下个步骤就是修改它.攻击者可以修改包中的信息,而无需知道发送者和接收者之间的任何信息。即使用户对于通信无需任何保密,但也不想其任何消息被修改。 身份欺骗(ip地址欺骗) 大多数网络和操作系统使用计算机的ip地址来标识有效用户.在一定的情况下,合法作为用户的ip地址有可能被其他不明身份的用户作为自己的ip地址,用来欺骗网络管理人员和用户。攻击者也可能使用特殊的程序来构造ip地址,比如从团体内部网络得来有效的地址。在获取访问网络的一个有效ip地址后,攻击者可以修改,重新路由或删除用户的数据。 基于口令的攻击 通常操作系统命名和网络安全性计划是基于对口令的访问控制.这意味着用户访问一个计算机的权利及网络资源是由用户来决定,确切地说是由用户名及用户口令组成旧的应用有时不会保护相关的身份信息.这可能会使窃听者假装成有效的用户而获取网络访问权.当攻击者找到一个有效的权利.因此,若用户拥有管理员级权利,那么攻击者也可以在后来的访问中创建账号以供以后访问时使用。 拒绝服务攻击 不像基于对口令的攻击,拒绝服务攻击则可以阻止有效用户正常地使用计算机或者网络。 中间人攻击 就像“攻击”二字本身的名字一样,中间人攻击是对两个建立通信的用户进行攻击.进行攻击的中间人可以在两个用户之间进行主动地监视和捕获,透明地控制用户之间的通信。例如:攻击者可以重路由用户数据交换.当计算机在网络低层通信时,计算机可能无法决定自己和谁在通信.中间人攻击能够成功的原因在于中间人会将自己“假扮”为合法用户从而读取用户消息.这时另一端的用户可能由于攻击者能主动回答相信其为合法用户,并且保持与攻击者交换数据及让其能获取更多的信息。 危害密钥攻击 密钥是用于解释已加密信息一的段保密代码或数字尽管对于攻击者来说获取一个密钥是件非常困难并且非常耗费资源的过程,但它仍是可能成功的。当攻击者获取一个密钥以后,该密钥则被称为危害密钥.攻击者使用危害密钥获取一个加密通信的访问权时,发送者和接收者却不会知道,有了危害密钥,攻击就可以解密或者修改数据。并且试图利用此密钥推算另外的密钥,这可能导致允许攻击者访问其他安全加密的通信。 8窃听器攻击 窃听器是一个应用程序或装置,它可以读取,监视,捕获网络数据并读取网络包. 若包没有加密,窃听器则可以完全地查看包中的信息,甚至攻击者没有获取密钥,便可以打开并读取封装的包,除非包加密。ipsec的工作原理及特点 通过对以上几种不安全的介绍,可以看出在局域网中,提高数据传输的安全性是很重要的.为此,在这次实习中 通过在网络中启用internet protocol; security(ipsec internet 协议安全性)来保护网络安全的方法. 对于ipsec的工作原理.可以通过以下3个步骤来说明 在进行数据交换之前,先相互验证双方计算机的身份。 验证身份通过以后,在这两台计算机之间建立一种安全协作关系。 在进行数据传输之前对数据进行加密。 通过这3个步骤,便可以保证网络的通信安全.即使数据中途被截获,但因为截获者不知道加密的密钥,因而也就无从了解数据的内容。在windows 2000/2003 xp中启用ipsec安全策略 在 windows 2000/2003 xp系统中已经集成了ipsec服务.下面就来介绍怎样在windows 2000 2003/xp中启用ipsec服务进行网络安全管理的方法. windows 2000操作系统都支持ipsec. windows 200/2003以前的版本如windows 98与windows nt不支持ipsec,所以在这些操作系统上无法直接实现ipsec的管理,故只能将操作系统升级到现在最新的版本才能实现这项功能.在windows 2000/2003的网络中不管是局域网还是广域网,都可以使用ipsec来保证网络安全.下面介绍在windows 2000/2003的网络中实现ipsec管理的方法. 在运行windows 2000/2003的计算机中,选择”开始运行”,在出现的对话框中输入”mmc”命令.单击”确定”按钮后出现如图  图1 选择”文件”菜单下的”添加/删除管理单元”命令项(或者按”ctrl+m组合键”),进入如图2所示的”添加/删除管理单元”对话框  图2  单击”添加”按键”,进入如图3所示的添加独立管理单元对话框.  图3 在这个对话框的”管理单元”列表框中可以添加许多管理单元模块,在此选择”ip安全策略管理”.然后单击”添加”按键,出现图4所示的”选择计算机或域”对话框.    图4  5选中”本地计算机”单选按钮,然后单击”完成”按钮返回到图3所示的”添加独立管理单元”对话框.在此可以看到,在列表框中显示了”ip安全策略,在本地计算机”的信息,如图5所示,说明ip安全策略管理已经安装.如果需要,还可以在此对话框中继续添加其他的管理单元.  图5 6从图5中可以看出,已经添加了一个管理单元.单击”确定”按钮返回到mmc控制台窗口.ip安全策略安装成功.如图6所示.  图6 单击”ip安全策略,在本地计算机”在右边的窗口列表中有3条默认的策略.其中从”策略已经指派”下面的状态信息中可以看到,当前的3策略均没有被启用.如果想启用ipsec服务,就必须选择其中的一项服务.这3条策略的意义如下: 安全服务器:如果采用这条策略,表示与这台计算机进行通信的计算机必须采用ipsec安全策略,如果对方的计算机没有采用ipsec安全策略将不能与本机进行通信。 服务器:如果采用这条策略,表示这台计算机与其他计算机进行通信时首先要求进行安全通信.如果对方的计算机不支持安全通信,那么这台计算机也可以与对方的计算机进行通信,但这一通信是不可靠的. 客户机:采用这条策略,那么只有当对方的计算机要求进行安全通信时,本机才会应用ipsec安全策略.如果对方的计算机没有要求,则采用正常的方式进行通信.可以看出这一条策略是最不安全的. 如果网络中所有的计算机都运行windows 2000/2003/xp或者windows.net server操作系统,则应将安全策略全部设置为”安全服务器”级,这样可以保证网络中所有的数据传略都是安全的.如果网络中既有windows2000/2003/xp也有windows 98/nt/me则可以将安全策略设置为”服务器”级,这样在windows 200/2003/xp之间通信时是安全的。   根据网络的具体情况,用户可以选择一条合适的策略.启用策略.在选择需要的策略后单击右键,在出现的快捷菜单中选择”指派”就启用了ipsec安全策略。 指派策略之后将立即生效,不需要重新启动计算机.在前面已经介绍过,在启用ipsec的计算机中进行通信首先要进行身份验证.在身份验证通过之后,才能建立一种协作关系。 在具体进行通信时,对数据的加密和身份的难还要通过以下的方法进行设置.ipsec的身份验证及应用 在ipsec的身份验证中有三种方法 windows 2000/2003默认值.只有一个windows 2000/2003的域中才可以采用这种身份验证方法,如果网络中有不同的域则不能采用这种方法. 使用由此证书颁发机构(ca)颁发的证书.当网络中的计算机从同一个(ca)申请证书进行身份验证时,可以采用这种办法.这种方法主要用于在广域网中进行通信,并且通信双方的计算机都是同一个证书颁发机构申请证书的时候. 预共享密钥.采用这种方法时,通信双方用一个事先认定的字符串来进行身份验证,在广域网中,在不同的域中进行通信时都是可以采用这种方法.对身份验证的具体选择如下: 打开如图6所所示的窗口后双击一个ipsec策略,打开如图7所示的ipsec安全策略属性对话框.选取”ip安全规则”中的”所有ip通讯量”,然后单击”编辑”按钮进入图8所示的”编辑规则属性”对话框。  图7  图8 在该对话框中选择”身份验证方法”标签项,然后单击”编辑”按钮进入图9所示的”身份验证方法属性”对话框.  图9 根据前面的介绍,可视网络具体情况选择相应的加密方法.为传输数据选择加密算法 在图7中,单击”常规”标签项将进入数据加密算法设置对话框,如图10所示  图10 单击”高级”按钮进入”密钥交换设置”对话框,如图11所示  图11 单击”方法”按钮进入”密钥交换安全措施”对话框,如图12所示  图12     单击”编辑”按钮进入”ike安全算法”对话框,如图13所示  图13 在该对话框中需要对以下内容进行掌握： 完整性算法:在进行身份验证的时候要传输身份验证密钥.为了保证密钥的安全,可以选用两种加密传输的密钥.一种是sha1加密算法,采用160个二进制位,另一种是md5加密算法,采用128个二进制位. 加密算法:有两种加密算法可供选择:des及3des.其中3des算法最安全但是占用的处理器资源也较多.因为3des算法采用3个56位二进制的密钥,对每一个数据块处理3次,回此每一次都需要选用特有的密钥.而des算法所产生的密钥相对要简单一些,但是安全性相对较差,占用处理器的资源较少. 对于安全性不是要求很高的情况下可以选择md5身份验证加密技术和des数据加密算法,这种选择占用的处理器资源有限。六、ipesec的模式选择  除了选择加密算法外,启用ipsec后还应该进行模式选择,在图8中单击”隧道设置”标签进入模式选择对话框,如图14所示.  图14 如果将ipsec用在局域网中,则应该选择中”此规则不指定ipsec隧道