五 应用层安全技术PPT课件

. 1、第5章应用层网络安全技术， 1 internet应用层安全问题2 .网站安全3 .安全电子邮件4.ssh-telnet和FTP5.DNS安全问题6.SNMP安全问题2.internet应用层安全问题文件传输(FTP )远程登录(Telnet )域名服务(DNS ) web (WWW )网络管理协议(SNMP )、3、www服务、浏览器一般仅能理解诸如HTML、JPEG、GIF之类的基本数据格式，而其他数据格式是布局www服务易受攻击的另一个原因：默认情况下，服务是完全打开的，任何人都可以访问，没有身份验证和机密性保护。 4、文件传输(FTP )，匿名FTP是ISP的重要服务，使用户能够经由FTP访问FTP服务器上的文件，不适当的配置危及系统的安全性。 FTP的使用者有可能利用这些构成上的缺陷来破坏系统，因此有必要保证使用这些缺陷的人不会申请系统上的其他领域和文件，也不会任意修改系统。 对于非匿名访问，FTP可能成为攻击者的目标，因为FTP没有严格的认证机制。 5、Telnet、Telnet在初期是安全的，需要用户认证。 但是，Telnet发送的所有信息都没有被加密，容易被攻击者攻击。 目前Telnet被认为是最危险的服务之一，6、域名服务(DNS )、DNS采用简单的查询和响应机制，记录数据由于没有保护措施，通信过程未经认证，DNS容易成为攻击者的攻击目标或攻击手段. 7、电子邮件(SNMP和POP3)和电子邮件通过互联网发送，通过网络的系统管理员和攻击者可能会截取并修改或伪造电子邮件。 因此，电子邮件和SNMP面临的安全威胁非常明显，如电子邮件欺诈、电子邮件炸弹、电子邮件手机病毒等。 E_mail炸弹可能导致邮件溢出，“木马”也可能带入邮件系统，危害收件人的系统。8、构建安全WEB应用程序、9、排除站点安全漏洞；(1)物理漏洞可能由未经授权的访问导致，并且可能对敏感数据进行阅读。 (2)软件的脆弱性是“非法授权”的应用引起的。 执行不执行的功能，例如脚本和小程序。 因此，不要轻易相信脚本和applet，要确信自己能够掌握功能。 (3)非互换性问题的脆弱性是由于不良系统的整合。 一个硬件或软件可能工作正常，与其他设备集成(例如，作为系统)可能会导致问题。 由于这些问题很难确认，因此在将所有部件集成到系统之前必须进行测试。 (4)缺乏安全措施。 用户把他们的电话号码作为密码使用的话，不管密码认证方式是什么都不安全。 所有安全性都需要必要的安全策略。 10、强化Web服务器安全功能的战略；(1)认真配置服务器，使用其访问和安全功能。 (2)可以使web服务器作为没有权限的用户来动作。 (3)检查驱动器和共享权限，使系统进入只读状态。 (4)可以将机密文件放入基本系统，设置二次系统，所有机密数据不会向网络公开。 (CGI脚本，用于检查HTTP服务器使用的小程序和客户端之间的交互。 防止外部用户执行内部命令。 (使用安全协议，如HTTPS/SHTTP/IPSEC。 11、监视控制对网站的访问，防止黑客和内部滥用，为了追踪，有必要监视控制对网站的访问。(1)服务器日常回答的次数是多少？ 采访的次数增加了吗？ (2)用户是从那里连接的？ 一周中几天最忙？ 一天中最忙的是什么时候？(4)服务器上的哪些信息被访问？ 哪一页最受欢迎？ 访问每个目录下的页面有多少页面？ (5)每个目录有多少用户访问？ 哪些浏览器可以访问您的站点？ 与站点交互的操作系统是什么？ (6)是否选择更多的提交方式？12、访问监视控制Web站点、(7)访问次数的决定：访问次数指标直接影响安全保护，也促进了安全的提高和改善。 确定访问站点的次数。 访问权限是原始数字，仅显示站点上文件下载的平均数量。 确定站点访问者的数量。 得到的数据是站点上某个文件被访问的次数。 很明显，如果访问次数与主页上的文件相关联，那么访问次数接近一段时间内的访问人数，但并不是100%精确。13，HTTP安全协议允许使用HTTPS(HTTPoverSSL )和s-HTTP (securehypertexttransferprotocol )加密和认证http协议包。 14，SHTTP，安全超文本传送协议S-HTTP是EIT公司与HTTP组合设计的信息安全协议。 S-HTTP协议位于应用层，是HTTP协议的扩展，仅适用于HTTP。 S-HTTP支持端到端安全传输，并使用S-HTTP交换的包的特殊头标志建立安全通信。 S-HTTP提供通信隐私、身份、可靠的信息传输服务、数字签名等。 S-HTTP提供了完整、灵活的加密算法和相关参数。 可选协商用于确保客户端和服务器在安全事务模式、加密算法(如签名非对称算法RSA和DSA )、对称解密DES和RC2)以及证书选择等方面达成协议。 15，SHTTPVSHTTPS，S-HTTP比SSL更灵活、更强大，但由于实施困难和使用困难，因此当前使用基于SSL的HTTPS比S-HTTP更为普遍。16、安全电子邮件、17、安全电子邮件、PGPSMIME、18、19、20、21、22、23、24、25、26、27、28、29、(使用公共密钥加密Ks )。 (加密b的私钥)，(a的私钥)，(a的私钥)，(30，31，32，33，34，35，36，37，38，39，40，41，42，43，44，45， 保护47，48，49，50，51，53，55，56，57，SSH，TELNET和FTP，58，SSH 安全传输层协议，主机和服务器认证(可基于公钥使用现有证书基础设施)机密性：通过对称加密方案的私钥信道传输数据(基于会话密钥传输的对称加密)数据完整性3360可以从共享密钥、分组序列号和分组的内容计算传输数据的压缩功能提高了传输速度。会话层安全协议.59，SSH协议的动作过程，SSH版本的协商，TCP连接，会话密钥协商，基于主机的认证，对话会话，60，基于SSH的会话，8字节随机数，Cookie，=，RSA主机公钥，RSA服务公钥，RSA主机私钥，RSA服务私钥，Cookie，客户端，Session_ID=MD5 (主机公钥模块n|服务公钥模块n|cookie )， 32位随机数=Session_key，(Session_ID的高位16位) XOR(Session_Key的高位16位)用Server，=，加密串，公钥加密，Session_ID=MD5 (主机公钥模块n|服务公钥模块n|服务公钥模块用32位串、RSA密钥进行解密、Session_Key=，(Session_ID的高位16位)、XOR(32位串的高位16位)、， 61、SSH的认证过程，生成Server、cookie、Client、Server、服务器认证客户机、客户机公钥、=32位随机数、cookie、一对RSA密钥、私钥、公钥，用公钥对cookie、cookie、Client进行加密，密钥将cookie解密后的Session_ID，MD5水印，MD5水印，MD5水印和自己计算的值进行比较，如果一致的话认证合格，62，思考，SSH认证过程和数字签名的区别是？ 数字签名不使用cookie，客户端直接使用私钥加密原文散列函数(MD5) SSH需要客户加密是服务器传递来的cookie，因此，ssh认证是服务器将cookie传递给客户加密(使用客户公钥)而不是数字签名的过程Ssh认证不提供数据完整性服务，而仅提供主机认证服务(Ssh仅提供认证，因此不需要消息认证)相似点：将任意一个密钥即识别符(散列或COOKIE )加密63， 类似于SSHvsSSL，用公钥认证后双方协商生成会话密钥(公钥-对称加密)，使用会话密钥进行加密通信和数据完整性服务(使用MAC )之间的差异：设计目标差异：主要用于安全远程登录和FTP等服务。 认证以阻止明文口令截取SSH是基于主机的(为了在SSH上用户认证需要设计顶层协议)，而SSL是基于用户的(64 )，SSH合并且公钥算法使用RSA会话密钥直接传送到服务器将32比特串经过数据转换的服务器端，通过从该串恢复会话密钥的算法能确保从session_ID和Session_KEY都匹配的客户端返回cookie，并能防止IP欺骗(65，ssion ) WINDOWS2000和LINUX上的SSHOPENSSHV2.X、66、DNS安全协议、67、DNS漏洞分析、DNS的高效设计同时带来负面影响，它们是许多安全漏洞。 DNS面临的攻击包括：基于分组截取攻击(packetinterceptionattack )名称的攻击(namebasedattack )置信服务器销售(betrayalbytrustedserver )、68、69、70， RR in the internet (in ) classhefollowingresourcerecord (RR ) typesandqtypesaredefined : typevalueanddmeaningreference- a 1主机地址 RFC 1035 ns2anauthoritativenameserver RFC 1035 null 10 anullrr (高级) RFC 1035 wks 11 awellknonservicedescription RFC 1035 so a6 marksthetartofzoneofauthoritycname5thecanoniclnameforaliashinfo 13主机信息 RFC 1035 minfo 14 mailboxormaillistinformation MX15mailexchangeRFC1035、71、72、DNS不安全的原因是DNS系统没有认证能力，必须引入认证和数据完整性保护。73、由于DNSSEC协议、DNS协议的限制，IETF已经设立了DNSSEC工作组，其目的在于在现有的DNS协议中追加追加的DNSSEC部分，解决DNS的安全性不足的问题。 伯克利因特网域名保护协议(BerkeleyInternetNameDaemon，BIND )包含DNSSEC的功能。 74、DNSSEC协议、DNSSEC的目标可以通过向DNS内部的信息提供授权认证和信息的完整性来用加密技术实现。 DNSSEC主要是使用DNS服务作为公钥基础设施，将公钥分发给用户，公钥分发提供记录数据保护：对所有记录进行签名保护的服务。定义了DNS安全扩展记录，如图所示。 使用DNSSEC协议，DNS响应信息不仅包括验证信息所需的签名或关键字，还包括原始质询。 这被称为“事务和认证请求”。 这个方式向提问者保证得到的回答确实对应了原来的问题。77、DNS处的安全机制，DNSSEC主要根据公钥技术来生成包含在DNS中的信息的签名，签名通过计算加密混列数来提供包含在DNS中的数据的完整性，并封装并保护混列数。 私钥对的私钥用于封装哈希数据，并且接收者可以使用公钥解密哈希数据。 如果解码的哈希值与收件人计算的哈希树匹配，则表示数据是完整的。78、一般DNS记录的例子、79、DNS记录受保护的记录、80、TSIG和TKEY、DNSSEC对DNS记录进行签名保护，不同之处在于，TSIG和TKEY对DNS消息(request/query )进行认证并进行加密保护。 TSIG用于消息验证和完整性保护，TKEY用于生成TSIG会话密钥。 有，81，82，83，SNMP安全协议，84，SNMP开发，最初的SNMP不可靠的认证和访问控制等安全问题。 1993年发布的SNMPv2部分改进了这些问题。 但是，SNMPv2的安全特性并不广泛，因为添加到SNMPv2中的安全功能太复杂。 当前的SNMPv3在2002年3月被设置为internet标准，完全修复了以前的安全问题，为网络管理提供了重要的安全功能。 85，SNMPv3层次，86，SNMPv