数据传输安全性的规划、部署和故障排除2823A.ppt

第 10 章数据传输安全性的规划、部署和故障排除,第1章 规划和配置授权和身份验证策略第2章 安装、配置和管理证书颁发机构第3章 配置、部署和管理证书第4章 智能卡证书的规划、实现和故障诊断第5章 加密文件系统的规划、实现和故障排除第6章 规划、配置和部署安全的成员服务器基线第7章 为服务器角色规划、配置和部署安全基线第8章 规划、配置、实现和部署安全客户端计算机基线第9章 规划和实现软件更新服务第10章 数据传输安全性的规划、部署和故障排除第11章 部署配置和管理SSL第12章 规划和实施无线网络的安全措施第13章 保护远程访问安全,网络安全的实现和管理-以Windows Server 2003和ISA Server 2004为例,网络安全的实现和管理-以Windows Server 2003和ISA Server 2004为例,第14章 Microsoft ISA Server 概述第15章 安装和维护 ISA Server第16章 允许对 Internet 资源的访问第17章 配置 ISA Server 作为防火墙第18章 配置对内部资源的访问第19章 集成 ISA Server 2004和Microsoft Exchange Server第20章 高级应用程序和Web筛选第21章 为远程客户端和网络配置虚拟专用网络访问第22章 实现缓存第23章 监视ISA Server2004,第 10 章 数据传输安全性的规划、部署和故障排除,安全数据传输方法IPSec 简介规划数据传输安全性(网络通信图)实现安全数据传输方法IPSec 通信故障排除,企业的敏感数据保护应该从哪几个方面去考虑？,安全数据传输方法,安全数据传输面临的威胁 SSL 和 TLSSSL/TLS 保护数据安全的方法PPTPPPTP 保护数据安全的方法SMB 签名LDAP 签名WEP 确保数据保密性的方法WPA 确保数据保密性的方法,10.1 安全数据传输方法,安全数据传输面临的威胁,电子欺骗,重现,中间人,拒绝服务,数据包嗅探,10.1.1 安全数据传输面临的威胁,SSL 和 TLS（secure sockets layer、transport layer security）,提供了基于公钥与对称密钥的会话加密、完整性验证和服务器身份验证（对称和非对称算法都用了）保护客户端与服务器通信免受窃听、篡改数据和消息伪造OSI（Open Standard Interconnect，开放互连）模型的传输层与应用层间,身份验证保密性消息完整性,加密特点,SSL 和 TLS,10.1.2 SSL 和 TLS,10.1.3 SSL/TLS 保护数据安全的方法,SSL/TLS 保护数据安全的方法,（书P215）,在 Web 服务器上启用 SSL 的方法,演示：如何在 Web 服务器上启用 SSL 的方法,10.4.4 在 Web 服务器上启用 SSL 的方法,PPTP（Point to Point Tunneling Protocol）,PPTP加密特点,用于LAN、WAN 或 Internet 进行客户端到服务器的安全数据传输使用拨号连接中的点对点协议（PPP）来在连接中建立终结点PPTP 位于 OSI 模型的第二层,身份验证（pap、ms-chap、eap）：服务器验证客户保密性(40位的mppe：即microsoft 点对点加密，或128位的RC4)支持通过mppc（microsoft 点对点压缩)数据压缩不提供消息完整性或数据源身份验证(GFG-微软),10.1.4 PPTP,PPTP 安全流程,PPTP通过PPTP控制连接来创建、维护、终止一条隧道，并使用通用路由封装GRE（Generic Routing Encapsulation）对PPP帧进行封装。封装前，PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。PPTP控制连接（P217-218）控制隧道中的会话建立、释放和维护逻辑连接 封装数据建立控制连接后，PPP数据用GRE协议来封装,10.1.5 PPTP 保护数据安全的方法,PPTP 保护数据安全的方法,VPN通过PPTP拔入,演示：为远程客户提供VPN拔入服务,SMB 签名（SMB,Server Message Block，也称为CIFS）,SMB 签名,使用带有密钥的哈希（keyed hash）来保护每个 SMB 数据包的完整性的数字签名方法保护网络通信不受中间人攻击和 TCP/IP 会话劫持攻击使用消息摘要（MD5）算法对通信进行数字签名,特点,相互的身份验证消息完整性,10.1.6 SMB 签名,启用 SMB 签名的方法,演示：如何启用 SMB 签名的方法,10.4.2 启用 SMB 签名的方法,计算机配置windows设置安全设置本地策略安全选项Microsoft网络客户端：数字签名的通信Microsoft网络服务器：数字签名的通信,LDAP 签名,LDAP 签名,确保数据来自已知的来源数据未被篡改数据不以明文传输,双向身份验证消息完整性,加密特点,10.1.7 LDAP 签名,启用LDAP签名的方法,演示：如何启用 LDAP 签名的方法,10.4.2 启用 SMB 签名的方法,计算机配置windows设置安全设置本地策略安全选项域控制器:LDAP 服务器签名要求网络安全:LDAP 客户端签名要求,WEP(wired equivalent privacy),802.11委员会为无线网络数据安全传输提出的一个协议三种密钥长度：40位、128位、256位（RC4）在工作站和无线路由器（或AP）间提供数据加密特点数据加密数据完整性,WEP 加密过程,客户端启动与无线接入点的连接客户端使用循环冗余校验 32（CRC-32，Cyclic Redundancy Check-32）算法创建数据的校验和，并将该值附到数据帧的末尾数据包经过 RC4 算法加密并在无线网络上传输无线接入点收到数据包并使用密钥将其解密无线接入点验证 CRC-32 并在 LAN 上发送数据包,1,2,3,4,5,10.1.8 WEP 确保数据保密性的方法,WEP 确保数据保密性的方法,WEP：wired equivalent privacy，密钥交换过程不安全,WPA（Wi-Fi protected Aceess,Wi-Fi 保护访问）,在802.11i中对无线局域网安全性改进的一个协议相对WEP来说，WPA通过TKIP(Temporal key Integrity Potocol,临时密钥完整性协议)每发送10K数据就动态改变加密密钥，而WEP没提供安全交换加密密钥的机制WPA采用Michael算法来生成消息完整性码（MIC,message integrity code）来保证数据完整性特点数据加密数据完整性可防重放功击,WPA:TKIP+802.1X+EAPWPA2:CCMP+802.1X+EAP,WPA 加密过程(密钥动态变换),客户端启动与无线接入点的连接客户端使用 Michael 消息完整性代码（MIC）创建数据的校验和，并将该值附到数据帧的末尾数据包经过 RC4 或 AES 算法加密并在无线网络上传输无线接入点收到数据包并使用密钥将其解密无线接入点验证 MIC 并在 LAN 上发送数据包,1,2,3,4,5,10.1.9 WPA 确保数据保密性的方法,WPA 确保数据保密性的方法,WPA：Wi-Fi Protected Access P书220下,第 10 章 数据传输安全性的规划、部署和故障排除,安全数据传输方法IPSec 简介规划数据传输安全性实现安全数据传输方法IPSec 通信故障排除,IPSec 简介,IPSec 概述IPSec 的功能和特点用于加密功能的 IPSec 模式使用 IPSec 进行身份验证的方法IPSec 策略,10.2 IPSec 简介,IPSec 概述,IPSec：Internet Protocol Security(Internet协议安全)工作在网络层以保护数据传输安全它是一个开放的协议，可采用各种不同的算法来保证数据的保密性和完整性。通过ISAKMP（Internet Security Association and Key Management Protocol，Internet 安全关联和密钥管理协议）服务和IKE（Internet 密钥交换）来实现安全密钥交换对上层协议和应用程序是透明的,IPSec 的功能,功能,数据包筛选保护特定路径的主机到主机通信保护到服务器的通信VPN 连接的 L2TP/IPSec站点到站点隧道,包括策略的结果集（RSOP，Resultant Set of Policy）的 IPSec 扩展能够穿越网络地址转换（NAT）服务器-,Windows Server 2003 IPSec 新特性,10.2.1 IPSec 的功能和特点,L2TP：Layer 2 Tunneling Protocol,能够使用 ESP来加密传输或使用 AH 来进行数据包签名,路由器,路由器,隧道模式,能够在两个主机之间使用传输模式,能够在两个网络间使用隧道模式进行数据加密,ESP,AH,路由器,传输模式,10.2.2 用于加密功能的 IPSec 模式,用于加密功能的 IPSec 模式,ESP:Encapsulation Security payload,封装安全有效负载;AH:Authentication Header,身份验证头,IPSEC特点,身份验证保密性消息完整性不可抵赖性AH:Authentication Header,身份验证头，提供了消息完整性和不可抵赖性保障，AH可使用SHA-1或MD5算法ESP:Encapsulation Security payload,封装安全有效负载，提供消息保密性、完整性检查和不可抵赖性保障，可使用DES或3DES等加密算法有两种模式：传输模式和遂道模式,IKE协商,IKE协商过程,AH数据包结构,ESP数据包结构,10.2.3 使用 IPSec 进行身份验证的方法,使用 IPSec 进行身份验证的方法,IPSec 策略：定义IPSEC规则使用要求,IPSec 使用策略和规则来保障网络传输安全规则基本组件：要匹配的通信类型（筛选器列表，也就是对于什么数据流）当通信匹配时做些什么（对选定的数据流要做的操作）身份验证方法隧道或传输模式规则应用的网络类型缺省策略包含：客户端（仅响应）、服务器（请求安全）、安全服务器（需要安全）自定义策略：Windows Server2003 允许方便的构建并部署自定义 IPSec 策略以允许对计算机的公开程度和安全进行非常细致的控制,IPSec策略,每台计算机只能使用一条IPSEC策略一条策略可包含多条规则，同一策略中的规则必须使用相同的身份验证方法。一条规则是由一个筛选器列表+操作+身份验证等组成一条筛选器列表可包含多个筛选器，同一筛选器列表中的多个筛选器必须使用相同的筛选器操作。,第 10 章 数据传输安全性的规划、部署和故障排除,安全数据传输方法IPSec 简介规划数据传输安全性IPSec 通信故障排除,规划数据传输安全性,确定数据传输安全要求的指导方针需要安全数据传输的计算机网络传输图创建网络通信图的注意事项,10.3 规划数据传输安全性,确定数据传输安全要求的指导方针,分析保护数据传输安全的业务和技术要求(哪些数据需要加密、完整性保护),1,确定保护数据传输安全的方法,4,确定对操作系统的要求以及操作系统与应用程序的兼容性,3,确定加密要求和限制(加密强度等),5,创建实现策略,6,确定要保护的网络通信,2,10.3.1 确定数据传输安全要求的指导方针,需要安全数据传输的计算机,服务器运行了恶意用户非常感兴趣的服务大部分组织服务器包含了最敏感的信息确定服务器的哪些数据和通信需保护,不是大部分恶意用户的首选目标客户端计算机的安全数据传输可以基于服务器的配置进行客户端只需要一个默认策略规定如何响应服务器的安全要求,服务器,客户端计算机,10.3.2 需要安全数据传输的计算机,网络传输图,根据计算机的功能，其上需运行的服务计算机上运行的服务所需的协议服务和计算机所使用的源端口和目标端口,一张简单表格，列出计算机所需的所有服务以及与这些服务相关的端口和协议,网络传输图：,网络传输图包含：,10.3.3 网络传输图,创建网络通信图：,确定服务器角色所需的基本网络服务确定每个服务所需的协议和端口记录必要的 IPSec 筛选规则以便只允许确定的通信,10.3.4 创建网络通信图的注意事项,创建网络通信图的注意事项,参见书P228页参考文件：%windir%system32driversetcservices,实验10-2 创建网络通信图以文件服务器为例,10.3.5 实验10-2 创建网络通信图,使用 IPSec 创建自定义安全策略的方法,演示：使用 IPSec 创建自定义安全策略,使用 IPSec 创建自定义安全策略的方法,参见书P230-231页WEB示例或者是SMB服务访问,部署 IPSec 策略的方法,演示：如何部署 IPSec 策略,10.4.5 部署 IPSec 策略的方法,第 10 章 数据传输安全性的规划、部署和故障排除,安全数据传输方法IPSec 简介规划数据传输安全性IPSec 通信故障排除,IPSec 通信故障排除,IPSec 故障排除工具事件查看器在安全性日志中禁用 IKE 事件审核的方法验证策略已应用的工具IP 安全监视器控制台,10.5 IPSec 通信故障排除,IPSec 故障排除工具,10.5.1 IPSec 故障排除工具,WindowsXP Home Edition 的计算机不支持 Active Directory 域成员资格或 KerberosV5 身份验证方法,事件查看器,10.5.2 事件查看器,主要是查看审核登录事件其中IKE事件（协商、成功、失败）,在安全性日志中禁用 IKE 事件审核的方法,禁用 IKE 事件审核：,将 HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsaAuditDisableIKEAudits 注册表项的值设置为 1重新启动计算机或停止然后重新启动 IPSec 服务,1,2,10.5.3 在安全性日志中禁用 IKE 事件审核的方法,net stop policyagentnet start policyagent,验证策略已应用的工具,10.5.4 验证策略已应用的工具,日志模式：也就是记录模式;规划模式：就是计划模式,IP 安全监视器控制台,提供了应用到当前计算机的 IPSec 筛选器一般列表提供一般筛选器的更详细信息，显示应用到计算机的每个入站和出站筛选器提供有关 Internet 密钥交换设置的信息提供所有主模式安全关联尝试的详细信息提供有关已经建立的活动主模式安全关联的信息,提供了应用到当前计算机的快速筛选器一般列表提供一般筛选器的更详细信息，显示应用到计算机的每个入站和出站筛选器提供有关建立安全关联时所使用协商方法的信息提供所有快速模式安全关联尝试的详细信息提供有关已经建立的活动快速模式安全关联的信息,主模式信息,快速模式信息,10.5.5 IP 安全监视器控制台,主模式是用来使对等体都同意IKE SA的参数（协商保密算法、生成主密钥、并进行身份验证）快速模式是用来协商Ipsec安全关联的参数（在以上保护下交换会话密钥、数据通讯等）,实验 10-4 数据传输安全性的规划、部署和故障排除,练习 1规划数据传输安全性练习 2 为域成员实现非 IPSec 数据传输安全性练习 3 为域成员实现 IPSec 数据传输安全性,10.6 实验 10-4 数据传输安全性的规划、部署和故障排除,回顾,学习完本章后，将能够：掌握保护数据传输安全的各种方法理解 IPSec 的目的和功能能够完成规划数据传输安全性能够配置实现安全数据传输方法掌握排除数据传输错误的方法,随堂练习 1,如图：,随堂练习 1（续）,你是 的安全管理员。网络由一个叫做 的单一活动目录域组成。S 域包含 50 个被配置为网络服务器的 Windows Server 2003 计算机。这些网络服务器为 的客户持有公共网络站点。客户可以匿名访问这些站点。在每周 的安全事件日志查看期间，你发现如图所示中的事件发生率很大。你需要阻止来自 Internet 的未授权登陆事件。你想通过最小的管理精力来实现这个目标。你该怎么做？A创建一个新安全模板，使用 IPSec 策略来筛选除了 HTTP 外的所有通信。使用 GPO 把新安全模板应用到所有网络服务器计算机上。B创建一个新安全模板，重命名管理员帐户。使用 GPO把新安全模板应用到所有网络服务器计算机上。C创建一个新安全模板，配置 LAN 管理员身份验证级别为只承认 NTLMv2 身份验证。使用 GPO把新安全模板应用到所有网络服务器计算机上。D创建一个新安全模板，配置 LAN 管理员身份验证级别为只承认 NTLMv2 身份验证。使用 secedit 命令把新安全模板应用到所有网络服务器计算机上。,随堂练习 2,你是 的安全管理员。网络由一个叫做 的单一活动目录域组成。80 个服务器运行的都是 Windows Server 2003。2000个客户机运行的是 Windows XP Professional。所有计算机都是域成员。一个叫做 shixun7 的 Windows Server 2003 计算机作为一个 internet 网络服务器。市场部门的雇员定期使用 FTP 服务来把文件上载到 shixun7。你决定在数据通过 FTP 传输到 shixun7 时生成这类数据。你执行 IPSec，同时为shixun7 分配默认的 IPSec 安全服务器策略。你执行 IPSec，同时为销售客户计算机分配默认的 IPSec 客户端策略。你检测到通过监管销售部门客户端计算机和 shixun7 之间的通信时 FTP 数据被加密。用户报告说 shixun7 上的 HTTP 服务不可以再被处于销售部门外的客户端计算机所访问。Shixun4 上进行的 DNS 查询也未实现。在保存shixun7 和销售部门客户计算机间的 FTP 数据加密时，你需要存储对正常的 HTTP 服务器和 shixun4 上的 DNS 客户功能的访问。,随堂练习 2（续）,你该怎么做？A拒绝分配 IPSec 安全服务器策略，同时指定 shixun4 的默认服务器策略。B拒绝分配客户端策略，同时对使用 shixun7 上的身份验证头的销售部门客户机分配自定义 IPSec 策略。C拒绝分配 IPSec 安全服务器策略，同时分配一个自定义 IPSec 策略，此策略要求只适用与 shixun7 的FTP 数据的 IPSec。D拒绝分配 IPSec 安全服务器策略，同时分配一个自定义 IPSec 策略，此策略不要求对 shixun7 上的 DNS 数据的 IPSec。,随堂练习 3,你是 的安全管理员。网络由一个叫做 的单一活动目录域组成。S 域包含 Windows Server 2003 计算机和 Windows XP Professional 客户机。除了 shixun5 服务器以外，所有计算机都是域成员。网络包含一个企业证书颁发机构（CA）。网络中所有的计算机都信任 CA。S 的写安全策略规定，从域中的计算机到 shixun5 的网络通信必须要加密。但是 shixun5 一定不能添加到域中。你配置了一个 GPO，它被分配了一个叫做 Client（只响应）的预先定义好的 IPSec 策略。你把 GPO 和域连接起来，同时配置 shixun5，使它可以应用预先定义好的叫做 Secure Server(要求安全性)的 IPSec 策略。当你测试这个配置的时候，却不能连接到域中的 shixun5 计算机。,随堂练习 3（续）,你该怎么做？禁用域中所有计算机上的 IPSec 默认过滤解除设置。禁用域中客户机（只响应）IPSec 策略的默认响应规则。配置 shixun5 使它可以应用叫做 Server（请求安全性）的预先定义的 IPSec 策略。配置 shixun4 计算机上的本地计算机策略安全选项为经常性数字签名通信。为 shixun5 配置分配好的 IPSec 策略，同时在域中应用基于证书的身份验证。,随堂练习 4,你是 shixun 的安全管理员。网络由一个叫做 的单一活动目录域组成。所有客户机运行 Windows XP Professional，所有服务器运行 Windows Server 2003。网络中所有计算机都是域成员。网络中的通信经过了 IPSec 策略加密。域包含一个自定义的叫做 lan security 的 IPSec 策略，此策略应用到域中所有计算机上，但是 lan security 策略拒绝和未配置有 IPSec 策略的计算机进行不安全通信。Shixun 的写安全策略规定域和 lan security 策略的配置都不能发生改变。域包含一个叫做 shixun1 的多定位服务器。其中 shixun1 和公司网络连接，同时还和测试网络连接。目前，lan security IPSec 策略应用到 shixun1 中两个网络适配器间的网络通信上。你需要配置 shixun1，使得在没有 IPSec 策略安全下它仍然可以在测试网络上和其他计算机进行通信。但是 shixun1 在和公司网络上进行和计算机之间的通信时，它必须还可以应用 lan security 策略。,随堂练习 4（续）,你该如何配置 shixun1？A为测试网络中的网络适配器配置一个包筛选器，来禁用 Internet 密钥交换（IKE）端口。B配置测试网络中的网络适配器，来禁止 IEEE 802.1x 身份验证。C配置测试网络中的网络适配器，来启用 TCP/IP 过滤，然后允许所有通信。D使用 netsh 命令来分配一个永久的 IPSec 策略，允许测试网络中所有网络适配器之间的通信。E为本地计算机策略分配一个 IPSec 策略，允许测试网络中所有网络适配器之间的通信。,随堂练习 5,如图，网络拓扑：你是 的安全管理员。网络由一个叫做 的单一活动目录域组成。所有服务器运行 Windows Server 2003。网络还由一个周边网络组成，此周边网络配置情况如网络拓扑图所示。S 的写安全策略规定以下要求：1在所有计算机被安排到周边网络之前，必须经过安全性检测。2只有通过检测的计算机才允许和防火墙或者通过检测的其他计算机进行通信。3周边网络的所有通信由基于网络的干扰检测系统（IDS）检测。4周边网络中的计算机之间的通信必须使用最高的可行验证方法。,随堂练习 5（续）,你想在周边网络中配置 IPSec 策略，来加强写安全策略。你启用防火墙计算机上的 IPSec 策略。你需要为 Windows Server 2003 计算机规划 IPSec 配置来满足写安全策略要求。你该执行哪三步措施来配置 IPSec？（每个正确答案代表部分解决办法。选择三个）A配置隧道模式。B配置传输模式。C启用身份验证标题（AH）。D启用封装负载（ESP）。E使用 Kerberos 身份验证。F使用基于证书的身份验证。G使用共享加密验证。,