windows系统安全8(网络协议安全).ppt

第八章 网络安全 网络协议 目录 网络的不安全性IPSec可以用来实现VPNSSL 网络的不安全性 网络的诱惑太大网络协议具有缺陷 TCP IP 网络攻击技术发展迅速网络监听攻击中间人攻击密码攻击协议欺骗攻击拒绝服务攻击 目录 网络的不安全性IPSecSSL可以用来实现VPN安全web服务 IPSec 1IPSec基础2实现Windows的IPSec 2 1IPSec 基于标准的IP安全性解决方案IPSec是用于对网络连接进行安全保护的长期发展方向 它提供了一道用户防范专用网络和Internet攻击的防线 并且 权衡了易用性和安全性 IPSec是IP协议的扩展 它可保护IP数据包免遭探查和修改 并提供防止网络攻击的防线 IPSec具有阻止前面提到的大多数安全性攻击的能力 IPSec协议 IPSec协议 IPSec是一种安全协议通过对传输之前的每个IP数据包进行保护来保障网络传输IPSec是网络层保护协议族 作用 提供了身份验证 机密性和完整性 包括数据源发认证和完整性校验 三个安全服务 并可以防止重放攻击 IPSec的主要特征是 可以支持IP级所有数据的加密和 或认证 因此可以增强所有分布式应用的安全性 IPSec协议标准IPSec协议是由IETF Internet工程任务组 作为用户IP的安全体系结构而设计的 它建立在IETF所批准的一系列标准文档的基础之上 IPSec标准由一系列安全协议组成 它把通信过程分成协商和数据交互两个阶段 协商阶段 通信双方互相认证对方的身份 并根据安全策略协商使用的加密 认证算法 如果需要加密 生成共享的会话密钥 数据交互阶段 通信双方利用协商好的算法和密钥对数据进行安全处理以实现IPSec的各种功能 上述两个阶段分别由以下几个协议规定 1IPsec的协商阶段密钥管理手动或自动 Internet密钥交换 即InternetKeyExchangeIKE 2数据交互阶段两种协议验证报头 AH AuthenticationHeader AH只提供认证功能 这意味着AH不对报文做加密处理 仅计算消息验证码进行完整性校验 封装安全载荷 ESP EncapsulatingSecurityPayload ESP同时提供机密性和完整性保护 注意 IPsec定义两个数据通信协议是为了满足不同的应用需求 因为加解密操作是费时的 在仅需要认证的场合 就可以使用AH IPsec标准之间的关系 DOI 安全策略 安全策略含义策略位于安全规范的最高一级 是决定系统安全的关键要素 总体策略由具体规则组成 安全策略要素策略描述主要包括两个方面的内容 一是对通信特性的描述 二是对保护方法的描述 通信特性 源IP地址 目标IP地址 传输层协议 源和目标端口数据敏感等级 对保护方法的描述 1对进入或外出的每一分数据报 可能的三种处理方法 丢弃 绕过 处理IPsec2若应用IPsec 策略要包含使用的安全协议 AH或ESP 模式 算法密钥等 这些参数以安全关联SA SecurityAssociation 的形式存储在SADB中 安全关联 SA 的管理安全关联管理的任务包括创建和删除 安全关联管理即可手工进行 也可通过IKE来完成 手工方式 安全参数由安全管理员按安全策略手工指定 手工维护 自动方式 SA的建立与动态维护是通过IKE进行的如果安全策略要求建立安全 保密的连接 但却不存在相应的SA IPsec的内容就会启动或触发IKE协商 IPSec组件 ISAKMP Oakley ISAKMP Oakley 总结 IPSec安全结构的基本组成部分两种安全封装协议 AH和ESP密钥管理 手动和自动 Internet密钥交换 IKE 安全关联 SA securityassociation 是一组用来保护网络信息的策略和密钥 是Ipsec的基础 它定义了 系统如何决定所使用的协议和算法 使用什么算法 其工作方式如何以及如何管理他们 1安全封装协议 封装模式传输模式隧道模式封装协议验证报头 AH 封装安全载荷 ESP 封装模式 封装模式 传输模式和隧道模式 原始的IP数据报传输模式受保护的数据报隧道模式受保护的数据报 传输模式 TransportMode 用于端到端的连接 两端的系统都必须支持IPSec 而中间节点系统则不必支持IPSec 它们只是以普通的方式转发数据包 隧道模式 TunnelMode 用于网关对网关的连接 典型应用VPN 数据包的源和目的终端不必支持IPSec 而只有提供安全服务的网关才必须支持IPSec 1安全封装协议 封装模式传输模式隧道模式封装协议验证报头 AH 封装安全载荷 ESP 两种封装协议 ESP和AHESP EncapsulatingSecurityPayload 保证数据的机密性 DES 3DES 保证数据的完整性 MD5 SHA 1 提供对数据源的身份验证提供对重播攻击的抵抗 ESP数据包格式SPI 该字段包含一个任意值它与目的IP地址和安全协议相结合 用来标识数据包的SA 序号 该字段包含一个值 从1开始 在每个数据包使用一个特定的SA后加一 提供了协议的防重放服务 接收系统检验该字段看是否已经收到一个带相同序列号和SA值的数据包 载荷数据 验证数据 AH AuthenticationHeader 保证数据的完整性 MD5 SHA 1 提供对数据源的身份验证提供对重播攻击的抵抗单独使用AH 可使通信系统操作员确信他们收到的数据未被修改并确实来自另一个用户 但不保证报文未被截取以及数据未被泄露 AH可单独使用 也可以和ESP一起使用 带有AH报头的IP数据报 IP头 高层协议头 数据 传输模式 AH报头格式载荷长度 规定了AH的长度 SPI 同ESP安全序号 同ESP 验证数据 IPSec安全结构的基本组成部分两种安全封装协议 AH和ESP安全关联 SA securityassociation 密钥管理 手动和自动 Internet密钥交换 IKE 2安全关联 SA SA是一组用来保护网络信息的策略和密钥 安全关联是IPSec的基础 在可以交换任何受保护的数据之前 必须在通信系统之间建立一个SA 这些系统要就如何交换和保护信息达成一致 注意 在windows中 这些安全关联作为IP安全策略实现 3Internet密钥交换 IKE IKE是建立SA和在两个系统之间交换密钥的协议 IKE包括两个阶段第一阶段建立SA 包括对系统将要使用的加密算法 散列算法和身份验证方法的协商 第二阶段是为IPSec服务建立IPSec协议 AH和 或ESP 散列算法 MD5或SHA1 和加密算法 DES或3DES 的协商 以及身份验证和加密密钥的交换与刷新 IKE交换过程 peer1peer2 IKE提供三种身份验证方法 基于Windows2000域基础结构提供的Kerberosv5身份验证 使用证书的公钥 私钥签名 密码 即 预先共享的身份验证密码 IPSec 2 1IPSec基础2 2实现Windows2000的IPSec Windows中的IPSec Windows的IPSec建立于IETF的IPSec体系结构之上 与Windows活动目录服务集成 由Microsoft和CiscoSystem Inc共同开发 结合了Winodws操作系统的内在安全活动目录使用组策略为Windows域成员提供IPSec策略的分配和分发 提供基于策略的 支持目录的网络 在Windows2000中实现IPSec 确定安全需求 估计威胁 确定安全级别制定安全策略 确定安全级别 最低安全性计算机不交换敏感的数据 标准安全计算机 尤其是文件服务器 用来存储有价值的数据安全必须平衡 使其不会阻碍验证试图执行任务的用户的合法性高安全性计算机包含高度敏感的数据存在数据失窃 意外或恶意破坏系统或任何公共网络通讯的危险 建立安全策略 Windows2000提供了一套预定义的IPSec策略 这些预定义的策略无需进一步的操作就可以指派 也可以对其进行修改 或者将其用作自定义策略的模板 IPSEC能做什么 关闭端口禁用协议身份验证加密数据完整性验证 IPSec策略的规则 IPSec使用策略及其规则提升网络安全性规则包含IP筛选器列表IP筛选器操作身份验证方法默认策略客户端 只响应 服务器 请求安全性 安全服务器 需要安全性 预定义的IPSec策略 客户端 只响应 用于在大部分时间都不能保证安全通信的计算机服务器 请求安全性 用于在大多数时间保证安全通信的计算机安全服务器 需要安全性 用于始终需要安全通信的计算机 创建自定义的IPSec策略 要定义计算机的IPSec策略 必须要有访问 组策略 的适当的管理员权限 或者是本地系统Adminstrators组的成员 IP安全策略的规则 IP安全策略由多条规则所组成 而每条规则主要是由IP筛选器列表和IP筛选器操作所组合而成的 此外还包括身份验证方法 隧道设置 连接类型等设置 IP安全策略的规则 IP筛选器列表IP筛选器列表触发建立在与源 目标及IP传输类型匹配的基础上的安全协商 每个IP筛选器列表包含一个或多个筛选器 筛选器包含的设置IP数据包的源和目的地址 正在传输的数据包所使用的传输协议TCP和UDP协议的源和目的端口 IP筛选器的操作筛选器操作用来定义数据传输的安全需求 IP安全策略的规则 IP筛选器操作类型 许可以明文发送或接收数据包 这些数据包将不请求安全性 阻止强制立即丢弃符合筛选器条件的数据包协商安全使用 安全措施首选顺序 中的安全方法列表为符合筛选器的数据包提供安全性 这些数据包将来的安全请求将被接受 IPSec配置的简单实例1 禁用协议 内容屏蔽本机对ICMP协议的响应不会被别的主机ping通不会成为受icmp广播风暴攻击影响 步骤设置IP安全策略设置IP筛选器表 添加有关ICMP协议的筛选器设置IP筛选器操作 添加屏蔽操作 启用此IP安全策略 运行 IP安全策略 管理工具 开始 程序 管理工具 本地安全策略 IP安全策略 右键点击 IP安全策略 在本地机器 创建IP安全策略 输入IP安全策略名称 屏蔽进入的ICMP通讯 添加IP筛选器列表 输入IP筛选器列表名称 进入的ICMP通讯 添加筛选器操作 输入筛选器操作名称 屏蔽数据包 添加IP安全策略完毕 指派IP安全策略 实例2 关闭端口 利用netstat na查看开放端口情况然后利用IPSec关闭端口 实例3 加密传输 还以ping为例通讯双方设置兼容的IP安全策略安全规则 对ICMP进行协商 确定身份认证方式 目录 网络的不安全性IPSec可以用来实现VPNSSL VPN概述应用背景防火墙存在的安全隐患不能有效阻止来自内网的攻击不能对网络中传输内容加密用于加密的SSL协议不能应用于所有应用程序 专用网的特点 封闭的用户群安全性高服务质量保证 VPN VPN协议 按隧道协议层次划分二层隧道协议 L2F L2TP PPTP三层隧道协议 GRE genericroutingencapsulation IPSec介于二 三层间的隧道协议 MPLSWindows中的VPN 使用了两种主要的协议 PPTP IPSec可选择 几种VPN协议比较 应用范围PPTP L2TP 主要用在远程客户机访问局域网方案中 IPSec主要用在网关到网关或主机方案中 不支持远程拨号访问安全性PPTP提供认证和加密功能 但安全强度低L2TP提供认证和对控制报文的加密 但不能对传输中的数据加密IPSec提供了完整的安全解决方案Qos保证 都未提供对多协议的支持 IPSec不支持 举例 Vpn服务器在域环境中 对用户身份的验证通过域控制器完成 Vpn服务器网关的配置网关需要有两个网卡一个对外网 一个对内网 选择相应的对外网卡 及VPN客户端的网段 完成 Vpn客户端远程访问服务器 VPN服务器外网地址 注意 对域用户 默认情况下其拨号权限是禁止的 需要在用户属性中 开启拨号权限 作业2 IPSecVPN与NAT的兼容性问题 及其穿越问题 目录 网络的不安全性IPSec可以用来实现VPNSSL SSL SecuresocketLayer 1SSL概述2SSL的典型应用3使用SSL保护Web站点 SSL概述 1994年Netscape开发了SSL SecureSocketLayer 协议 专门用于保护Web通讯 版本1 0不成熟2 0基本上解决了Web通讯的安全问题MS公司发布了PCT 并在IE中支持3 01996年发布 增加了一些算法 修改了一些缺陷TLS1 0 TransportLayerSecurity 也被称为SSL3 1 1999年发布了RFC2246 TheTLSProtocolv1 0 SSL SSL SecureSocketLayer 安全套接字层 协议是在传输通信协议 TCP 上实现的一种安全协议 SSL协议的目标是提供两个应用间通信的保密和可靠性 可在服务器和客户机端同时实现支持 SSL提供的3种基本的安全服务信息加密信息完整性相互认证 SSL结构 ssl实现过程 SSL的工作原理 采用握手协议建立客户与服务器之间的安全通道 该协议包括双方的相互认证 交换密钥参数采用告警协议向对端指示其安全错误采用改变密码规格协议改变密码参数采用记录协议封装以上三种协议或应用层数据 记录类型20 改变密码规格 21 告警 22 握手 23 应用层数据 1SSL记录协议 用于封装不同的上层协议 具体实施压缩解压缩 加密解密 计算和校验MAC等与安全有关的操作 SSLv3提供对数据认证用的MD5和SHA以及对数据加密用的RC4和DES等的支持 加密 记录协议格式 2SSL握手协议层 用于SSL管理信息的交换 允许应用协议传送数据之前相互验证 协商加密算法和生成密钥等 包括 SSL握手协议 SSLHandShakeProtocol SSL密码参数修改协议 SSLChangeCipherSpecProtocol SSL告警协议 SSLAlertProtocol SSL握手协议层 2 1SSL握手协议用来在服务器和客户机在传输应用数据之前 交换版本号 协商加密算法 相互 身份认证并交换密钥 SSL握手协议 注意 阴影部分为有可能出现的交互 握手协议定义的消息类型 1 握手协议定义的消息类型 2 SSL协议的实现 可为任何TCP IP应用提供SSL功能的实现 Internet号码分配当局 IANA 已为具备SSL功能的应用 分配了固定的端口号 如 带SSL的HTTP https 443带SSL的SMTP ssmtp 465带SSL的NNTP snntp 563带SSL的pop3 SPOP3 995 HTTPSMTPPOP38025110 HTTPSSSMTPSPOP3443465995 SecureSocketsLayer Transport Network Link SSL协议在 重传攻击 上 有它独到的解决办法 SSL协议为每一次安全连接产生了一个128位长的随机数 连接序号 理论上 攻击者提前无法预测此连接序号 因此不能对服务器的请求做出正确的应答 一个安全协议除了基于其所采用的加密算法安全性以外 更为关键的是其逻辑严密性 完整性 正确性 从目前来看 SSL比较好地解决了这一问题 SSL的安全性 SSL的安全性 几乎所有操作平台上的WEB浏览器 IE Netscatp 以及流行的Web服务器 IIS NetscapeEnterpriseServer等 都支持SSL协议 因此使得使用该协议便宜且开发成本小 SSL缺陷1 但应用SSL协议存在着不容忽视的缺点 系统不符合国务院最新颁布的 商用密码管理条例 中对商用密码产品不得使用国外密码算法的规定 由于美国政府的出口限制 使得进入我国的实现了SSL的产品 Web浏览器和服务器 均只能提供512比特RSA公钥 40比特对称密钥的加密 这在实际应用中是非常不安全的 安全的SSL系统需要至少128位对称密钥和1024位非对称密钥长度 在SSL的客户机 服务器模式下 即使服务器端可以支持位数更多的密钥长度 具有较高的安全强度 但由于客户端的限制 实际SSL连接中只能使用客户端较低位数的密钥长度来进行安全信息传输 很多安全系统的客户端大都安装了一个SSL代理程序 它直接接管浏览器发送和接收的信息 利用安全的密钥长度与服务器进行交互 必要的时候还需要在服务器端安装SSL服务器代理 SSL的缺陷2 对于电子商务应用来说 使用SSL可保证信息的真实性 完整性和保密性 但由于SSL不对应用层的消息进行数字签名 因此不能提供交易的不可否认