第六章网络的安全技术

14第六章 网络的安全技术第一节 概述一计算机安全与网络安全1信息在网上传输增加了不安全因素。实体安全机房、线路、主机等网络与信息安全 基本安全类 网的通畅、准确与网上信息的安全 管理与记帐类 网络互连设备安全类 连接控制应用安全开发、I/O、数据库等2例子1995年8月21日，黑客入侵美某银行，损失现金1160万美元。1996年12月29日，黑客入侵美空军网络网页：两只鲜血直流的红眼球，并书写“欢迎了解真相”。1997年，美佛罗里达州警察应急系统被黑。1998年12月7日，美Web通信公司的计算机被Web上SYN洪水技术搞死9小时；14日又搞死了14小时。美损失近百亿美元/年。3攻击（1）攻击的4种类型：A收集信息各种扫描工具找漏洞，如超过64KB的Ping是死Ping（使之成为服务器安全的潜在威胁）；B获取访问权限从制造故障中获取；C拒绝服务（不易捕获）；D逃避检测修改安全审计记录。（2）攻击目标系统型占30%，外部攻击多 数据型占70%，内部攻击多（3）攻击步骤A寻找目标，搜集信息工具及信息有：nslooKup，tracert，finger，邮件帐号，X500（端口105），Whois（查出管理员）等。B弱点探测与分析工具有：ISS安全扫描，SATAN审计网络的安全分析工具等。C实施攻击（4）攻击方式A利用系统缺陷或后门，如IP源选路；B利用淡薄的安全意识；C防火墙的安全隐患；D内部用户窃密、泄密、破坏；E缺乏监督，安全评估；F口令攻击，拒绝服务；G利用电子邮件与WEB缺陷；等等。二不安全因素网络共享 系统复杂 边界不确定 路径不确定1997年，微软IE与Netscape的Navigator有用户到节点的信息问题。100多国家有计算机间谍计划。三安全指标可用性即时使用； 完整性信息安全、精确与有效； 保密性。四安全的基本要求用户身份验证及对等实体鉴别 访问控制防抵赖（防否定） 数据完整性、加密 审计 容错第二节 网络安全设计一考虑的问题1原则：（1）是准许访问除明确拒绝以外的全部资源，还是拒绝访问除明确准许以外的全部资源安全集内还是外的问题；（2）资源开放度对内 对外2考虑的问题：（1）分析安全需求解决网络边界安全；网络内部安全；系统安全和数据安全；全网性身份识别；访问控制；传输保密与完整；审计；技术+行政的全局管理；（2）确定安全方针程度、手段、代价；（3）选择安全功能功能、规定；（4）选择安全措施具体技术机制和方法；（5）完善安全管理有效地实施、体现；（6）其他：网络安全评价、网络安全测试、网络安全实施与运行管理、网络安全审计检查等。二实施安全的关键1网络安全结构模型框架、描述要求、方针、功能，作为评价的基础。 注意与已有网络层次模型的兼容，将安全设计作为整个网络系统设计的一部分。2形式化的表达工具无二义性的描述需求、功能、措施；协调用户与安全分析，总体设计、详细设计及具体实现的关系，以便于对安全进行验证与评价。3安全控制的技术方法和产品是选择安全措施，具体实现的基础。三考虑的综合因素1安全程度与复杂程度（成本等）2方便与效率四网络信息安全模型系统工程1概述（1）涉及的方面社会法律政策，企业规章制度，网络安全教育 技术方面措施防火墙、防病毒、加密、确认授权等 审计与管理措施（2）框架审计与监控加密授权增强的用户认证政策法律法规 含备份等密钥产生、分配、认证、使用用户认证、一致性、隐秘性、不可抵赖性 为特许用户提供合适的访问权限 技术性的首道防线，提供访问控制 基石，建立安全管理的标准和方法2模型（1）网络安全策略安全=风险分析+安全规则+直接技术防御体系+安全监控（2）自适应网络安全策略美ISS公司安全=风险分析+执行策略+系统实施+漏洞检测+实时响应（3）智能网络安全策略安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统恢复+学习进化（4）安全机制的分布A应用层主机安全、身份认证、加密、不可否认、数字签名等；B表示层；C会话层；D传输层身份认证、口令、访问控制、加密等；E网络层身份认证、访问控制、加密、一致性检查等；F数据链路层加密等；G物理层加密数据流等。五网络操作系统1NOS对网络性能（当然含安全性能）有着至关重要的影响安全方面：整体安全保密C2级以上 容错特性1、2、3级，自动连接等2网络安全系统Kerberos (1) 美MIT为Athena工程设计的用于开放网络环境的试验系统。异构网，用户有自治权。认证服务器许可券Ticket的申请。 许可券分配服务器TGS对Ticket检查。 通信中加密，且为客户与服务器的对话产生一临时密钥由一数据库维护它。使用对称密码。（2）认证A用户申请输入其名字名字+TGS服务器名认证服务器核实、产生一会话钥和一用于访问TGS的许可券用客户，私人密钥加密（可从用户的口令转换而得）回送客户。TGS许可券（利用TGS私人密钥加密）含：客户名，TGS服务器名，当前时间，许可券有效期，客户IP地址，会话钥。B一次会话时：客户建一认证符（含客户IP地址，当前时间）会话钥加密+许可券送欲访问的服务器用会话钥解出认证符，用其私人密钥解出许可券实施认证。C客户认证服务器的身份：被访问服务器将客户送来的认证符中的时间戳加1用会话钥加密回送给客户。DTGS本身可产生其他服务器的许可券：客户在第一次取得TGS许可券后，还需向TGS服务器申请某个具体服务的许可券，如申请成功，TGS再回送客户一许可券和会话钥，客户利用之就可访问最终的服务器。E过程请求TGS许可券返回TGS许可券请求服务许可券返回服务许可券要求服务（3）特点A优点： 较高安全性口令也加密，它作为用户的私人密钥； 用户透明性； 可扩展性为每一服务提供认证，确保应用安全，而不介入应用或服务内容本身。B缺点 口令作为用户的唯一标志不验证用户的真实性； 客户间传递的信息可截取可重放攻击； 集中管理易出现瓶颈，密钥管理复杂。六网络管理与网络安全有直接联系。配置管理、性能监视、出错分析、错误定位、预管理（阀值）等。管理安全的内容：（1）监测网络内所有设备的运行状态；（2）及时确认出错设备和性能问题；（3）显示出错设备的概要信息；（4）提供迅速诊断网络的工具；（5）提出简化TRAP论断的出错并联机分析；（6）支持高级网管分析等。七网络安全解决方案（所涉及的防火墙在第3节）（1）结构路由器+过滤器Screened Host代理主机Proxy（2）技术措施网络地址转换器NAT(Network Address Translator)加密路由器ER(Encrypting Router)身份证AT(Authentication Token)安全内核SK(Secured Kernel)最少特权LP (Least Privilege)状态监视器SI(State Inspection)安全协议功能：加密；身份验证；密钥管理；数据验证；安全审计；保护。Cisco路由器： 早期仅IP过滤 921版可查IP地址欺骗 103版由TCP端口和连接来过滤 113版根据时间段过滤1信息包筛选（1）筛选规则涉及时间，地址，端口，信息（独立的、上下文）。常驻在两网络间系统中的数据库规则。（2）执行处通信点（路由器，交换机）即扼流点唯一界限分明的位置，全部信息必须通过它。（3）特点优点：快速、透明、独立，全部信息筛选。缺点：实施复杂、维护复杂。从内网与外网直通内外网间加防火墙、但信息服务无处放设非军事区来双重隔离“内”网与外网融合，便形成VPN。2应用中继器，非军事区为某一协议或服务，提供某项安全服务。可靠网络共用网FTP/TELNETMAILRR保垒机（网关）带有应用中继器非军事区DMZ优点：无复杂规则集、隐藏内部网。缺点：不透明、种类多、降速。3混合（1）两个网络，两个接口基本筛可靠网络共用网R（2）三个网络，三个接口可靠网络共用网RDMZ保垒主机（带有应用中继器）（3）三个网络，四个接口，两台记录（一在DMZ内，另在可靠网内）共用网可靠网络R1R2DMZ保垒主机（带有应用中继器）（4）五个网络，三个接口可靠网络R网络共用网扼流点DMZ网 扼流点（任选）网（任选）4安全虚拟专用网SVPN 可平滑过渡（1）主要技术综合利用访问控制技术加密技术及适当密钥管理机制。一种企业的完整集成化安全解决方案。主要技术：隧道技术IPsec、PPTP、加解密技术、密钥管理、身份认证。A隧道技术Tunneling三层IPsecIP安全协议二层PPTP点点隧道协议B解密技术融合在IPsec中。Diffie-Hellman，DES，IDEAHash式HMAC，MD5，SHA，RC4，数字签名等C密钥管理技术SKIP（Simple Key Management for IP）SUN公司，D-H算法ISAKMP双密钥，将融入IP V6D身份认证技术封包认证（用户名+密码/卡片），AH，E5P，MD5，SHA技术（2）组成与结构 安全管理中心 主机 IP保密机 R 主机分支机构 R主机 IP保密机 广域网IP安全区 MTTAIP保密机用于保护一局域网或几台服务器，两口。BIP安全区用于保护客户端主机，并与IP保密机协同工作。加密卡软件包C安全管理中心负责各保密机的密码管理和安全管理。可PC、服务器或保密机兼任。（3）作用与原理企业网主要危险： 来自公共网的对企业内部网的非法访问 信息在网上传输时被窃听和非法修改A作用使分布在不同地区的企业内部网在不可信任的公共网上安全地进行通信。采用透明的加密传输方案处理传输的信息，保证信息传输的保密性和完整性。B原理公用网隧道 主机虚拟专用网设备 虚拟专用网设备主机需加密签名 C处理过程内网主机发明文到连接公共网的SVPN设备IP加密机；SVPN设备根据网管员设的规则，确定对数据加密或让数据直通；加密：SVPN设备在网络IP层对IP数据包加密并附上数字签名；SVPN设备对加密后数据重新封装，然后将之通过虚拟通道在公共网上传输；当数据包到达目标SVPN设备时，数据包被解封装，经数字签名被核对无误后，将之解密。D主要特点省钱、拓展商机、充分利用公用网、适应好、安全强透明解决用户的网络安全保密问题 与应用程序、机器类型无关，且动态地用于各种TCPIP用户的安全保密问题Ethernet、FDDI、X.25、DDN、帧中继、PSTN电话拨号网等与国际标准IPsec接轨 兼容、互通性IP保密机内置安全OS，具有良好的自身安全性节省费用 通信、固定设备投资、支持费、维护拓展企业商机 对外：建立基于Web的新商机、全球电子商务；对内：建立企业专用网，提高效率，增强竞争力。充分利用公共网 公共网覆盖面广、可信的传输适应性强以一基本BRI为64Kbps的ISDN接口到主速率PRI的30路2Mbps的ISDN接口均可安全性能好（4）例3Com的，针对Net Builder路由器终结的隧道；基于web的Transcend Secure VPN Manager2.2；3Com的Dynamic Access VPN第三节 防火墙（回见第2章，第5节，二7）（确保技术设施完整性的常用方法）一概述1引言网络安全最开始的技术，是源于单个主机系统的安全防范模式，即使用访问控制方法，限制访问权限以达到规范网络行为的目的引出防火墙。防火墙是对付内外攻击的主要屏障，主要负责安全检查和审计（门、闸）。2定义防火墙是一个或一组实施访问控制策略的系统，是双向的、隔离内/外网，是一个分离器/一个限制器/一个分析器。二基础功能1主要技术：A设置访问权限现逐渐淡化B身份识别C局部隔离现在技术初步具有VPN（虚拟私密网）的有些功能。2功能A提供一定功能的安全配置和监视的管理界面；B用以实施病毒扫描，URL阻断，JAVA过滤的智能化代理程序；C为远程用户提供对内部资源安全访问的用户身份鉴别；D提供可防止基于协议的攻击的安全Ping of Death,TCP SYN等；E网络边缘功能WEB页高速缓存，协议转换，虚拟专用网，宽带管理等。三特点A广泛的服务支持过滤与认证结合；B对私有数据信息提供加密支持；C客户端认证只允许指定的用户才可以访问内部网或选择某些服务；D反欺骗防止好似数据点来自网络内部的欺骗手段。四防火墙技术（一种访问控制技术，仅作辅助安全手段）1技术（1）包过滤技术网络级（2）应用网关技术工作量大，不灵活，效率低，但较安全以上两种（1）和（2）技术仅仅依据特定的逻辑检查，合格了则直通。（3）代理服务技术专用应用级编码，实现内/外网隔离，将内部网屏蔽，如SOCKS通用FWTK工具包。2过滤特性（1）包过滤（2）网络过滤（3）应用网关由下列因素确定采用何种过滤：通信方向（入/出），通信来源，IP地址，端口号，认证，应用内容等。3类型（第2章，第5节，二7为四个层次：网络级防火墙，应用级网关，电路层网关，规则检查防火墙）包过滤+代理复合=Hybrid防火墙，所用主机称为堡垒主机Bastion Host。（1）双穴主机Dual-Homed Host：两个IP地址（一对内，一对外）内部网通过网关上的代理服务器以取得外部网的服务。成本低，单点失败问题。内网外网IS 代理防火墙 （2）甄别（屏蔽）主机Screened Hot不隔离内/外网，应用网关提供代理服务。内网ISR外网R 有时加， 信息服务器 防火墙有时不加（3）甄别子网Screened Subnet：两个IP过滤路由器和一个应用网关安全性好，成本高，支持网络层、应用层安全功能。内网外网应用网关邮件服务R1ISR2 非军事区DMZ（Demilitariged Zone）4问题（1）无法理解数据内容；（2）无法控制绕过它的数据流，即无法防范不经防火墙的攻击；（3）限制服务类型，缺乏灵活性。（4）后门服务的可能性，如SLIP、PPP的连接就是其他网的连接点和潜在后门；（5）潜在危险仍存在对报文内容无能为力；（6）潜在的效率瓶颈，制约传输速度，通常降50%性能； （7）一般无法解决内部人员的攻击问题；（8）缺乏一整套身份认证和授权管理系统；补充：（9）防火墙难以管理配置；（10）难以提供一致的安全策略；（11）只实现粗粒度访问控制；（12）静态控制对应动态攻击的缺陷；（13）安全性能与处理速度矛盾（从技术角度，防火墙集成到桌面和高端网络设备将彻底克服目前防火墙在速度上的瓶颈问题）。5强化防火墙的保护性能（1）安全内核取消危险的系统调用，限制命令的执行权限，取消IP的转发功能，查每分组的接口，用随机连接序号，驻留分组过滤模块，取消动态路由，多安全内核等。（2）建立代理系统隔离放火墙。（3）深藏过滤器调用时下载到内核中执行，服务终止时，从内核中消除。（4）安全服务器SNN流量隔离，使SNN看似两个网。（5）鉴别与加密令牌加密，加密卡，加密ID。6防火墙的安全标准 （不健全）（1）RSA公司等提出的S/WAN互操作性，信息加密技术即加密算法一致，安全协议一致，安全策略的规范+逻辑的合理，使之具有整体概念。（2）美NCSA（国家安全计算机协会）的开发商FWPD制定防火墙测试标准。五防火墙的产品1概述（1）早期基于某一层的包检查（2）近期A综合检查；B增加基于协议的攻击检测和实时入侵报警等；C违章阻断，限制最大通信量。（3）最新A智能代理，智能判别何协议，基于应用程序检查，加管理接口（与OS集成在一起），划分若干子网进行控制。B远程管理C同步管理（若干台防火墙时）D集成化（一策略而多处应用）（4）面向服务的：适用小型网面向系统的：适用大型网防火墙不能弥补安装配置很差的操作系统或网络服务所带来的缺陷；对防火墙的操作也很重要。2HIP的Virtual Vault（虚拟保险箱）V2.0B1级安全，通过ISS（检测公司）攻击测试，我国可销售。底层B1级，部分B2级的军用可信操作系统HP VVOS。它克服TCP/IP只强调高效地通信而不强调安全的弊端。其特性有：最小特权限制、数据分区和隔离、权利分散、无超级用户、可信任网关等。全球30多家银行使用之，其中有安全第一网络银行SFNB第一家完全通过INTERNET来运行的银行。3IBM产品的关键技术A包过滤IP地址，TCP/IP协议B代理服务器C加密4基于LINUX路由器和防火墙LINUX提供：域名服务、电子邮件，匿名FTP等，XWINDOWS、网络服务器、自身作为路由器（其上可配防火墙）。自动识别卡。5其他产品（1）网络卫士天融信公司NG FW-2000/3000，提供整套安全；（2）Firewall-1（3）Unisecure 3000（3100，3500）系列清华紫光，网络层+应用级+电路级；（4）Netshine实达郎新，以Linux为OS平台；（5）PIX FirwallCisco，企业级防火墙，Cisco IOS可将Cisco路由器配成防火墙；（6）LanRover VPN GatewayIntel，综合VPN方案；（7）Gauntlet Firewall 5.0 for NT/UNIXNAI，代理服务器+包过滤；（8）Border ManagerNovell，防火墙+VPN+反向代理+验证服务；（9）Guardian 3.0NetGuard，管理多个安全子网，WinNT平台；（10）Wingate，Microsoft Proxy Server等代理服务器+防火墙；6发展可互操作性、可管理性；加密、智能卡、攻击检测及审计；URL（统一资源定位）阻塞、中央管理、内容安全管理、病毒预防，内置VPN（虚拟专用网络）功能等， 安全问题：电子商务、电子政务、电子银行、电子邮件、目录服务安全（Netware Directory Services）、INTERNET，C/S，公共网、病毒防止，JAVA语言，分布系统等。第四节 网络安全防护措施一常规措施1、 备份以避免总体损失，学会恢复；2、 帮助用户自助：永久删除、解除删除、抗病毒程序、修改口令；3、 预防病毒：引导性、文件性；4、 将访问控制加到PC机5、 防止无意的信息泄露：屏幕消隐、信息垃圾；6、 使用服务器的安全7、 使用OS的安全8、 为灾难准备硬件二安全控制措施1、 物理访问控制。注意：远端设施、通信部件、公共装置、控制中心、信息中心、说明书、打印机；2、 逻辑访问控制识别验证、授权访问、审计记录、日志；3、 组织控制分离（处理使用）制，分权制，分功能制，依赖量最小；4、 人事控制招聘、教育；5、 操作控制评估、备份、跟踪（工作站，服务器）；6、 开发控制7、 传输保护线、设备、路由分析。三其它问题1、 网络分级以风险为依据2、 设计早期就应确定安全概念3、 完善规则，对安全措施综合集成，注意一致性和平等原则4、 尽量减少与外部的联系5、 关注技术发展矛盾的四安全技巧1、 保护个人IP隐藏IP地址；2、 保护E-MAIL地址仅告知转信地址；3、 不共享硬盘，因为，否则就允许他人下载其中文件；4、 不使用MY DOCUMENTS，因为能看出用户性质；