《网络安全技术资料》第2章网络安全技术基础.ppt

第2章 网络安全技术基础,主编贾铁军 副主编陈国秦 苏庆刚 沈学东编著 王坚 王小刚 宋少婷,上海教育高地建设项目高等院校规划教材,网络安全技术及应用,（第2版）,上海市精品课程 网络安全技术,目 录,目 录,教学目标 了解网络协议的安全风险及新一代网络Ipv6的安全性 掌握虚拟专用网（VPN）技术特点及应用 掌握无线局域网安全技术及安全设置实验 掌握常用的网络安全管理工具及应用,重点,重点,美国新增40支网络部队。据环球时报综合报道，美国网络战司令部司令亚历山大2013年3月12日在国会宣布，将新增40支网络部队。此前，美国官方和军方论及该国网络政策时，基本都是宣称要保护美国免遭外国黑客攻击，而不是主动攻击。美国这种变化让人想起它备受争议的“先发制人”，增加了国际社会的不安全感。美国国家情报总监克拉珀在国会宣称，网络威胁已取代恐怖主义成美国最大威胁。中国现代国际关系研究院学者李伟14日对环球时报说，“美国精心一步步设局，公开寻求互联网霸权，这可能引发互联网军备竞赛”。,2.1 网络协议安全概述,2.1.1 网络协议的安全风险,案例2-1,2.1 网络协议安全概述,2.1.1 网络协议的安全风险,网络体系层次结构参考模型有OSI模型和TCP/IP模型两种。OSI模型是国际标准化组织ISO的开放系统互连参考模型，共有七层，设计初衷是期望为网络体系与协议发展提供一种国际标准，后来由于其过于庞杂，使TCP/IP协议成为了事实上的“网络标准”，作为Internet的基础协议。,TCP/IP模型由4部分组成。这4层体系大致对应OSI参考模型的7层体系。TCP/IP协议栈更注重互连设备间的数据传送，而非严格的功能层次划分。计算机网络依靠其协议实现互连结点之间的通信与数据交换,在设计之初只注重异构网的互联，忽略了安全性问题，而且,是一个开放体系,有计算机网络及其部件所能够完成的基本功能,这种开放性及缺陷将网络系统处于安全风险和隐患的环境.计算机网络协议安全风险可归结为3方面：（1）协议自身的设计缺陷和实现中存在的一些安全漏洞；（2）根本无有效认证机制；（3）缺乏保密机制。,图2-1 TCP/IP网络安全技术层次体系,网络安全由多个安全层构成，每一个安全层都是一个包含多个特征的实体。在TCP/IP不同层次可增加不同的安全策略。如图2-1所示。,2.1.2 TCP/IP层次安全性,2.1 网络协议安全概述,1.网络接口(物理)层的安全性设施,线路 2.网络层的安全性保证数据传输 3.传输层的安全性传输控制,数据交换认证,保密/完整性 4.应用层的安全性 应用层中利用TCP/IP协议运行和管理的程序繁多。网络安全问题主要出现在需要重点解决的常用应用系统，包括HTTP、FTP、SMTP、DNS、Telnet等。,TCP/IP网络安全技术层次体系,2.1 网络协议安全概述,2.1.3 IPv6的安全性概述 1.IPv6的优势及特点(1)扩展地址空间及应用.IPv4和IPv6的报头如图2-2和图2-3所示,图2-2 IPV4的IP报头,图2-3 IPV6基本报头,(2)提高网络整体性能。(3)加强网络安全性能。(4)提供更好服务质量。(5)实现更好地组播功能。(6)支持即插即用和移动性。(7)提供必选的资源预留协议RSVP功能。,2.1 网络协议安全概述,2.IPv4与IPv6安全问题比较(1)原理和特征基本未发生变化的安全问题划分为三类:网络层以上的安全问题;与网络层数据保密性和完整性相关的安全问题和与网络层可用性相关的安全问题.如窃听攻击、应用层攻击、中间人攻击、洪泛攻击等.(2)网络层以上（应用）的安全问题。(3)与网络层数据保密性和完整性相关安全问题.(4)与网络层可用性相关安全问题：主要是指洪泛攻击，如TCP SYN flooding攻击。(5)原理和特征发生明显变化的安全问题，主要包括以下4个方面。侦测，非授权访问 篡改分组头部和分段信息;伪造源地址。,对局域网内的主机不停的发送数据包进行拒绝服务攻击,2.1 网络协议安全概述,3IPv6的安全机制（1）协议安全-认证头AH、封装安全有效载荷ESP扩展头（2）网络安全：实现端到端安全,提供内网安全，由安全隧道构建安全VPN,以隧道嵌套实现网络安全。（3）其他安全保障-配置、认证、控制、端口限制4.移动IPv6的安全性（1）移动IPv6的特性-无状态地址自动配置、邻居发现（2）移动IPv6面临的安全威胁-窃听,篡改,Dos 5移动IPv6的安全机制 移动IPv6协议针对上述安全威胁，在注册消息中通过添加序列号以防范重放攻击，并在协议报文中引入时间随机数。,讨论思考：（1）从互联网发展角度看，网络安全问题的主要原因是什么？（2）IPv6在安全性方面具有哪些优势？,2.1 网络协议安全概述,2.2 虚拟专用网VPN技术,2.2.1 VPN的概念和结构,虚拟专用网（Virtual Private Network，VPN）是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供的与专用网络具有相同通信功能的安全数据通道。VPN可通过特殊加密通信协议为Internet上异地企业内网之间建立一条专用通信线路,而无需铺设光缆等物理线路.系统结构如图 2-4所示.,(1)安全性高。(2)费用低廉。(3)管理便利。(4)灵活性强。(5)服务质量佳。,2.2.2 VPN的技术特点,虚拟通道,2.2 虚拟专用网VPN技术,VPN是在Internet等公共网络基础上，综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术实现的。1.隧道技术 隧道技术是VPN的核心技术，为一种隐式传输数据的方法。主要利用已有的Internet等公共网络数据通信方式，在隧道（虚拟通道）一端将数据进行封装，然后通过已建立的隧道进行传输。在隧道另一端，进行解封装并将还原的原始数据交给端设备。在VPN连接中，可根据需要创建不同类型的VPN隧道，包括自愿隧道和强制隧道两种。,用户或客户端通过发送VPN 请求配置和创建,2.2.3 VPN的实现技术,2.2 虚拟专用网VPN技术,2.常用加解密技术 为了重要数据在公共网络传输的安全，VPN采用了加密机制。常用的信息加密体系主要包括非对称加密体系和对称加密体系两类。实际上一般是将二者混合使用，利用非对称加密技术进行密钥协商和交换，利用对称加密技术进行数据加密。1)对称密钥加密;2)非对称密钥加密 3.密钥管理技术 密钥的管理分发极为重要。密钥的分发采用手工配置和采用密钥交换协议动态分发两种方式。4.身份认证技术 在VPN实际应用中，身份认证技术包括信息认证、用户身份认证。信息认证用于保证信息的完整性和通信双方的不可抵赖性，用户身份认证用于鉴别用户身份真实性。,2.2 虚拟专用网VPN技术,2.2.4 VPN技术的实际应用,1.远程访问虚拟网 通过一个与专用网相同策略的共享基础设施,可提供对企业内网或外网的远程访问服务,使用户随时以所需方式访问企业资源.如模拟、拨号、ISDN、数字用户线路（xDSL）、移动IP和电缆技术等,可安全连接移动用户、远程工作者或分支机构.2.企业内部虚拟网 可在Internet上构建全球的Intranet VPN,企业内部资源只需连入本地ISP的接入服务提供点POP(Point Of Presence)即可相互通信，而实现传统WAN组建技术均需要有专线.利用该VPN线路不仅可保证网络的互联性,而且,可利用隧道、加密等VPN特性保证在整个VPN上信息安全传输.,2.2 虚拟专用网VPN技术,2.2.4 VPN技术的应用,3企业扩展虚拟网 主要用于企业之间的互连及安全访问服务。可通过专用连接的共享基础设施，将客户、供应商、合作伙伴或相关群体连接到企业内部网。企业拥有与专用网络相同的安全、服务质量等政策。,讨论思考：（1）VPN的本质是什么？为何VPN需要加密技术辅助？（2）VPN几种应用的区别是什么？,2.3 无线网络安全技术概述,2.3.1 无线网络安全风险和隐患,2013年日本7个月内近4100家网站遭黑客攻击，破历史纪录。日本网络安全保障机构资料显示自2013年的前7个月中，遭黑客攻击的日本政府和其他机构的网站总数达到近4100个，创下了空前的纪录。有关安全机构警告网民警惕各种网络漏洞、无线网络隐患、电脑病毒等问题，称一些攻击能盗窃个人资料和用于银行操作及网上购物的密码，如不更新电脑软件，电脑受攻击的可能性就更大。,案例2-2,2.3 无线网络安全技术概述,随着无线网络技术的广泛应用，其安全性越来越引起人们的关注。主要包括访问控制和数据加密两个方面，访问控制保证机密数据只能由授权用户访问，而数据加密则要求发送的数据只能被授权用户所接受和使用。无线网络在数据传输时以微波进行辐射传播，只要在无线接入点AP（Access Point）覆盖范围内，所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备，时常有无线网络用户被他人免费蹭网接入、盗号或泄密等，因此，无线网络的安全威胁、风险和隐患更加突出。无线网络安全风险及隐患，如图2-5所示。,2.3.1 无线网络安全风险和隐患,2.3 无线网络安全技术概述,图2-5无线网络安全风险及隐患示意图,2.3 无线网络安全技术概述,无线接入点AP用于实现无线客户端之间的信号互联和中继，其安全措施包括：1)修改admin密码 2)WEP加密传输.数据加密是实现网络安全一项重要技术,可通过 协议WEP进行。主要用途：(1)防止数据被途中恶意篡改或伪造。(2)用WEP加密算法对数据加密。(3)防止未授权用户对网络访问。3)禁用DHCP服务 4)修改SNMP字符串 5)禁止远程管理 6)修改SSID标识 7)禁止SSID广播 8)过滤MAC地址(定义网络设备的位置)9)合理放置无线AP 10)WPA用户认证（有WPA 和 WPA2两个标准,是一种保护无线网(Wi-Fi)安全的系统）,2.3.2 无线网络AP及路由安全,1.无线接入点安全,有线等效保密协议对两台设备间无线传输的数据进行加密方式,用以防止非法用户窃听/侵入,初始化字符串（服务集标识）SSID技术可将一个无线局域网分为几个需要不同身份验证的子网,各子网都需独立身份验证,只有通过验证的用户才可进入相应子网,防止未授权用户进入本网,动态主机设置协议/简单网管协议,Wi-Fi网络安全存取,2.3 无线网络安全技术概述,2无线路由器安全 除了可采用无线AP的安全策略外,还应采用如下安全策略.(1)利用网络防火墙功能，加强防护能力。(2)IP地址过滤，进一步提高无线网络的安全性。,2.3.3 IEEE802.1x身份认证,IEEE 802.1x是一种基于端口的网络接入控制技术，以网络设备的物理接入级（交换机设备的端口.连接在该类端口）对接入设备进行认证和控制。IEEE 802.1x认证过程为：（1）无线客户端向AP发送请求，尝试与AP进行通信。（2）AP将加密数据发送给验证服务器进行用户身份认证。（3）验证服务器确认用户身份后，AP允许该用户接入。（4）建立网络连接后授权用户通过AP访问网络资源。,2.3 无线网络安全技术概述,用IEEE 802.1x和EAP作为身份认证的无线网络，可分为如图2-6所示的3个主要部分。（1）请求者。运行在无线工作站上的软件客户端。（2）认证者。无线访问点。（3）认证服务器。作为一个认证数据库,通常是一个RADIUS服务器的形式，如微软公司的IAS等。,2.3.3 IEEE802.1x身份认证,图2-6 使用802.1x及EAP身份认证的无线网络,远程用户拨号认证系统是应用最广泛的AAA协议(认证、授权、审计（记帐）),互联网认证服务,2.3 无线网络安全技术概述,2.3.4 无线网络安全技术应用,无线网络在不同的应用环境对其安全性的需求不同,以(美)AboveCable公司的无线网络安全技术作为实例。为了更好地发挥无线网络“有线速度无线自由”的特性，该公司根据长期积累的经验，针对各行业对无线网络的需求，制定了一系列的安全方案，最大程度上方便用户构建安全的无线网络，节省不必要的经费。1.小型企业及家庭用户 2.仓库物流、医院、学校和餐饮娱乐行业 3.公共场所及网络运营商、大中型企业和金融机构,2.3 无线网络安全技术概述,1.蓝牙安全网络的组成 一个基于蓝牙技术的移动网络终端可以由蓝牙芯片及所嵌入的硬件设备、蓝牙的核心协议栈、蓝牙支持协议栈和应用层协议4部分组成。对于基于蓝牙技术的安全移动网络终端由5部分组成，除了上述4个部分之外还包括安全管理系统。2.蓝牙安全模式及机制 根据蓝牙设备不同安全需求,国际标准规定种安全模式:（1）一般的蓝牙设备不具有接受信息安全管理功能。（2）蓝牙设备采用信息安全管理并执行安全保护和处理（3）蓝牙设备采用信息安全管理和安全保护及处理机制,*2.3.5 蓝牙无线网络安全,2.3 无线网络安全技术概述,3.蓝牙无线网络安全举措 1)DH方案（动态对等群密钥管理）2)RSA（加密）方案 在鉴别和认证的过程中，蓝牙设备可以实现设备鉴别，也可以实现用户身份鉴别，此外，还有以下优点：（1）不仅可对设备认证，还可对用户的身份认证，防止冒用和伪造设备。（2）加密安全可靠、方法灵活。（3）数据的完整性。,讨论思考：(1)无线网络安全管理的基本方法是什么？(2)无线网络在不同环境下的使用对安全性的要求有何不同？,2.4 常用网络安全管理命令,2.4.1 网络连通性及端口扫描命令,常用的网络管理命令有5个:判断主机是否连通的ping命令,查看IP地址配置情况的ipconfig命令，查看网络连接状态的netstat命令，进行网络操作的net命令和行定时器操作的at命令。此外，在具体网络安全管理中，还使用以下工具。,1.ping命令 ping命令的主要功能是通过发送Internet控制报文协议ICMP包，检验与另一台TCP/IP主机的IP级连通情况。网络管理员常用这个命令检测网络的连通性和可到达性。同时，可将应答消息的接收情况将和往返过程的次数一起进行显示。,如果只使用不带参数的ping命令，窗口将会显示命令及其各种参数使用的帮助信息，如图2-7所示。使用ping命令的语法格式是：ping 对方计算机名或者IP地址。如果连通的话，返回的连通信息如图2-8所示。,2.4 网络安全常用命令,图2-7 使用ping命令的帮助信息 图2-8 利用ping命令检测网络的连通性,案例2-5,2.4.1 网络连通性及端口扫描命令,2.Quickping和其他命令 Quickping命令可以快速探测网络中运行的所有主机情况。也可以使用跟踪网络路由程序Tracert命令、TraceRoute程序和Whois程序进行端口扫描检测与探测，还可以利用网络扫描工具软件进行端口扫描检测，常用的网络扫描工具包括：SATAN、NSS、Strobe、Superscan和SNMP等。,2.4 网络安全常用命令,2.4.1 网络连通性及端口扫描命令,使用不带参数的ipconfig可显示所有适配器的IP地址,子网掩码和默认网关.在DOS命令行下输入ipconfig命令,如图2-9所示.利用“ipconfig/all”可查看所有完整的TCP/IP配置信息。对于具有自动获取IP地址的网卡.则可利用“ipconfig/renew命令”更新DHCP的配置。,2.4 网络安全常用命令,网络配置信息显示及设置命令 ipconfig命令的主要功能是显示所有TCP/IP网络配置信息、刷新动态主机配置协议DHCP（Dynamic Host Configuration Protocol）和域名系统DNS设置。,案例2-6,图2-9 用ipconfig命令查看本机IP地址,netstat命令的主要功能是显示活动的连接、计算机监听的端口、以太网统计信息、IP 路由表、IPv4统计信息（IP、ICMP、TCP和UDP协议）。使用“netstat-an”命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被入侵的最简单方法。使用的方法如图2-10所示。,2.4 网络安全常用命令,连接监听端口显示命令,图2-10用“netstat-an”命令查看连接和开放的端口,2.4.4 查询删改用户信息命令 net命令的主要功能是查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等.,利用 net user 查看计算机上的用户列表,以“net user用户名密码”给某用户修改密码，如把管理员的密码修改成 123456，如图2-11所示。还可以用“net user用户名密码”为用户修改密码，如将管理员密码改为“123456”，如图2-12所示。,2.4 网络安全常用命令,案例2-7,图2-11用net user查看计算机上的用户列表 图2-12用net user修改用户密码,2.4.4 查询删改用户信息命令,建立用户并添加到管理员组.利用net 命令可以新建一个用户名为jack的用户，然后，将此用户添加到密码为“123456”的管理员组。如图2-13所示。案例名称：添加用户到管理员组文件名称：2-4-1.batnet user jack 123456/addnet localgroup administrators jack/addnet user,2.4 网络安全常用命令,案例2-8,图2-13 添加用户到管理员组,与对方计算机建立信任连接。拥有某主机的用户名和密码，就可以利用 IPC$（Internet Protocol Control）与该主机建立信任连接，之后便可以在命令行下完全控制对方计算机。得到IP为计算机的管理员密码为123456可以利用命令 net use 172.18.25.109ipc$123456/user:administrator，如图2-14所示。建立连接以后，便可以通过网络操作对方的计算机，如查看对方计算机上的文件，如图2-15所示。,2.4 网络安全常用命令,图2-14 与对方计算机建立信任连接 图2-15 查看对方计算机的文件,案例2-9,案例名称：创建定时器 在得知对方系统管理员的密码为123456，并与对方建立信任连接以后，在对方主机建立一个任务。执行结果如图2-16所示。文件名称：2-4-2.batnet use*/delnet use 172.18.25.109ipc$123456/user:administratorat 8:40 notepad.exe,2.4 网络安全常用命令,2.4.5 创建任务命令 主要利用at命令在与对方建立信任连接后,创建一个计划任务,并设置执行时间。,案例2-10,讨论思考：（1）网络安全管理常用的命令有哪几个？（2）网络安全管理常用的命令格式怎样？,2.4 网络安全常用命令,2.4.5 创建任务命令,图2-16 创建定时器,2.5.2 实验要求,2.5 无线网络安全设置实验,1.实验设备 本实验需要使用至少两台安装有Windows操作系统的计算机，并安装有无线网卡。2.预习及注意事项(1)预习准备由于本实验内容是对Windows XP操作系统进行无线网络安全配置，需要提前熟悉Windows XP操作系统的相关操作。(2)注意理解实验原理和各步骤的含义对于操作的每一步要着重理解其原理，对于无线网络安全机制要充分理解其作用和含义。(3)实验学时：2学时（90-100分钟）,无线网络技术的应用非常广泛，在上述无线网络安全基本技术及应用的基础上，还要掌握小型无线网络的构建及其安全设置方法，进一步了解无线网络的安全机制，理解以WEP算法为基础的身份验证服务和加密服务。,2.5.1 实验目的,2.5.3 实验内容及步骤1.SSID和WEP设置,在安装了无线网卡的计算机上,从“控制面板”打开“网络连接”窗口,如图2-17所示.右击“无线网络连接”图标，在弹出的快捷菜单中选择“属性”选项，打开“无线网络 属性”对话框，选中“无线网络配置”选项卡中的“用Windows配置我的无线网络设置”复选框，如图2-18所示。,图2-17“网络连接”窗口 图2-18“无线网络连接属性”对话框,2.5 无线网络安全设置实验,2.5.3 实验内容及步骤,单击“首选网络“选项组中的“添加”按钮，显示“无线网络属性”对话框，如图2-19所示。该对话框用来设置网络。单击“确定”按钮，返回“无线网络配置”选项卡，所添加的网络显示在“首选网络”选项组中。单击“高级”按钮，打开“高级”对话框，如图2-20所示。选中“仅计算机到计算机（特定）”单选按钮。单击“关闭”按钮返回再单击“确定”,图2-19“无线网络属性”对话框 图2-20“高级”对话框,2.5 无线网络安全设置实验,2.运行无线网络安全向导,Windows提供了“无线网络安全向导”设置无线网络,可将其他计算机加入该网络.在“无线网络连接”窗口中单击“为家庭或小型办公室设置无线网络”，显示“无线网络安装向导”对话框，如图2-21所示。单击“下一步”按钮，显示“为您的无线网络创建名称”对话框，如图2-22所示。在“网络名（SSID）”文本框中为网络设置一个名称，如lab。然后选择网络密钥的分配方式。默认为“自动分配网络密钥”。,图2-21“无线网络安全向导”对话框 图2-22“为您的无线网络创建名称”对话框,2.5 无线网络安全设置实验,2.5.3 实验内容及步骤,如果希望用户必须手动输入密码才能加入网络，可选中“手动分配网络密钥”单选按钮，然后单击“下一步”按钮，如图2-23所示的“输入无线网络的WEP密钥”对话框，在这里可以设置一个网络密钥。密钥必须符合以下条件：一是需要5或13个字符；二是10或26个字符，并使用0-9和A-F之间的字符。单击“下一步”按钮，如图2-24所示的“您想如何设置网络？”对话框，选择创建无线网络的方法。,图2-23“输入无线网络的WEP密钥”对话框 图2-24“您想如何设置网络”对话框,2.5 无线网络安全设置实验,2.5.3 实验内容及步骤,可选择使用USB闪存驱动器和手动设置两种方式。使用闪存方式比较方便，但如果没有闪存盘，则可选中“手动设置网络”单选按钮，自己动手将每一台计算机加入网络。单击“下一步”按钮，显示“向导成功地完成”对话框，如图2-25所示，单击“完成”按钮完成安装向导。按上述步骤在其他计算机中运行“无线网络安装向导”并将其加入lab网络。不用无线AP也可将其加入该网络，多台计算机可组成一个无线网络，从而可以互相共享文件。单击“关闭”和“确定”按钮。在其他计算机中进行同样设置（须使用同一服务名），然后在“无线网络配置”选项卡中重复单击“刷新”按钮，建立计算机之间无线连接，表示无线网连接已成功。,图2-25 向导成功完成,2.5 无线网络安全设置实验,2.6 本章小结,本章侧重概述网络安全技术基础知识,通过分析网络协议安全和网络体系层次结构,并介绍了TCP/IP层次安全。阐述了IPv6的特点优势、IPv6的安全性和移动IPv6的安全机制。概述了虚拟专用网VPN的特点、VPN的实现技术和VPN技术的实际应用。分析了无线网络设备安全管理、IEEE 802.1x身份认证，以及无线网络安全技术应用实例。简单介绍了常用网络安全工具，包括ping、Quickping、ipconfig、netstat、net、At等。最后，概述了无线网络安全设置实验，包括实验的内容、步骤和方法。,诚挚谢意！,