網(wǎng)絡(luò)與信息安全第8章因特網(wǎng)安全課件

第三部分系統(tǒng)安全機(jī)制

第８章因特網(wǎng)安全,VPN和IPsec導(dǎo)讀

因特網(wǎng)在最初建立時(shí)的指導(dǎo)思想就是資源共享,為了實(shí)現(xiàn)資源共享而把系統(tǒng)做成開放式的。在建立協(xié)議模型以及協(xié)議實(shí)現(xiàn)時(shí)，更多地考慮到易用性，而在安全性方面的考慮存在嚴(yán)重不足，這就給攻擊者造成了可乘之機(jī)。內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.1.2IP協(xié)議-lsize該參數(shù)定制發(fā)送數(shù)據(jù)包的大小，windows中最大為65500，命令格式：pingip-l65500

默認(rèn)發(fā)送的數(shù)據(jù)包大小為32bytesWindowsNT(servicepack3之后)，linux、Solaris、和MacOS都具有抵抗一般pingofdeath攻擊的能力。對(duì)防火墻進(jìn)行配置，阻斷ICMP以及任何未知協(xié)議，都能防止此類攻擊。

2.淚滴(Teardrop)攻擊

Teardrop攻擊同死亡之ping有些類似，在這兒，一個(gè)大IP包的各個(gè)分片包并非首尾相連，而是存在重疊(Overlap)現(xiàn)象。例如，分片1的偏移等于0，長(zhǎng)度等于15，分片2的偏移為5，這意味著分片2是從分片1的中間位置開始的，即存在10字節(jié)的重疊。系統(tǒng)內(nèi)核將試圖消除這種重疊，但是如果重疊問(wèn)題嚴(yán)重，內(nèi)核將無(wú)法進(jìn)行正常處理。3.源路由(SourceRouting)

IP協(xié)議包含一個(gè)選項(xiàng)，叫作IP源路由選項(xiàng)(SourceRouting)，可以用來(lái)指定一條源地址和目的地址之間的直接路徑。對(duì)于一些TCP和UDP的服務(wù)來(lái)說(shuō)，使用了該選項(xiàng)的IP包好象是從路徑上的最后一個(gè)系統(tǒng)傳遞過(guò)來(lái)的，而不是來(lái)自于它的真實(shí)地點(diǎn)。利用該選項(xiàng)可以欺騙系統(tǒng)，使之放行那些通常是被禁止的網(wǎng)絡(luò)連接。因此，許多依靠IP源地址進(jìn)行身份認(rèn)證的服務(wù)將會(huì)產(chǎn)生安全問(wèn)題以至被非法入侵。源路由選項(xiàng)允許黑客偽裝成其它的可信任機(jī)器，這使得黑客攻擊變得難于跟蹤。4.IP地址欺騙

入侵者使用假IP地址發(fā)送包，基于IP地址認(rèn)證的應(yīng)用程序?qū)⒄J(rèn)為入侵者是合法用戶。如何阻止Ａ向Ｂ發(fā)送信息？SYNfloodX如何得到與Ｂ建立ＴＣＰ連接的初始序列號(hào)？防御方法：每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許外部的IP數(shù)據(jù)包進(jìn)入局域網(wǎng)之前，先對(duì)來(lái)自外部的IP數(shù)據(jù)包進(jìn)行檢驗(yàn)。如果該IP包的IP源地址是其要進(jìn)入的局域網(wǎng)內(nèi)的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許進(jìn)入該局域網(wǎng)。TCP協(xié)議的安全問(wèn)題1.SYN洪水(SYNflood)攻擊

SYN洪水攻擊利用的是大多數(shù)主機(jī)在實(shí)現(xiàn)三次握手協(xié)議所存在的漏洞。當(dāng)主機(jī)A接收到來(lái)自主機(jī)X的SYN請(qǐng)求時(shí)，它就必須在偵聽隊(duì)列中對(duì)此連接請(qǐng)求保持75秒的跟蹤。由于大多數(shù)系統(tǒng)資源有限，能夠打開的連接數(shù)有限，因而攻擊者X可以同時(shí)向主機(jī)A發(fā)送多個(gè)SYN請(qǐng)求，而且對(duì)A返回的SYN+ACK包不進(jìn)行應(yīng)答。這樣，偵聽隊(duì)列將很快被阻塞，從而拒絕接受其它新的連接請(qǐng)求，直到部分打開的連接完成或者超時(shí)。這種拒絕服務(wù)攻擊就可以作為實(shí)施上述IP地址欺騙攻擊的輔助手段，使主機(jī)A無(wú)法對(duì)來(lái)自主機(jī)B的包進(jìn)行應(yīng)答。2.序列號(hào)猜測(cè)

現(xiàn)在，主機(jī)A已經(jīng)無(wú)法對(duì)主機(jī)B發(fā)來(lái)的包進(jìn)行應(yīng)答了。攻擊者X現(xiàn)在需要解決的是初始序列號(hào)的猜測(cè)。在實(shí)際系統(tǒng)的初始序列號(hào)產(chǎn)生方法中，并非完全隨機(jī)，而且很多操作系統(tǒng)TCP實(shí)現(xiàn)中初始序列號(hào)的產(chǎn)生方法是公開的。這就方便了黑客攻擊。因此關(guān)鍵在于要使初始序列號(hào)的選取近可能地隨機(jī)。3.LAND攻擊

這是最簡(jiǎn)單的一種TCP攻擊方法：將TCP包的源地址和目的地址，源端口和目的端口都設(shè)置成相同即可。其中，地址字段都設(shè)置為目標(biāo)機(jī)器的IP地址。需要注意的是，對(duì)應(yīng)的端口必須有服務(wù)程序在監(jiān)聽。LAND攻擊可以非常有效地使目標(biāo)機(jī)器重新啟動(dòng)或者死機(jī)。要抵御LAND攻擊，只需在編程實(shí)現(xiàn)時(shí)注意到這種特殊的包，將其丟棄即可。8.1.4UDP協(xié)議

從UDP首部可以看出來(lái)，進(jìn)行UDP欺騙比進(jìn)行TCP欺騙更容易，因?yàn)閁DP沒(méi)有連接建立的過(guò)程。16位源端口號(hào)16位目的端口號(hào)16位UDP長(zhǎng)度16位檢驗(yàn)和數(shù)據(jù)內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.2Ipv61.新包頭格式2.更大的地址空間3.內(nèi)置安全設(shè)施4.高效的層次尋址及路由結(jié)構(gòu)5.全狀態(tài)和無(wú)狀態(tài)地址配置6.更好的QoS支持7.用于相鄰節(jié)點(diǎn)交互的新協(xié)議8.可擴(kuò)展性內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.3黑客攻擊的流程1踩點(diǎn)(FootPrinting)2掃描(scanning)3查點(diǎn)(enumeration)4獲取訪問(wèn)權(quán)(GainingAccess)5權(quán)限提升(EscalatingPrivilege)6竊取(pilfering)7掩蓋蹤跡(CoveringTrack)8創(chuàng)建后門(CreatingBackDoors)9拒絕服務(wù)攻擊(DenialofServices)。8.4黑客攻擊技術(shù)概述●協(xié)議漏洞滲透；●密碼分析還原；●應(yīng)用漏洞分析與滲透；●社會(huì)工程學(xué)；●惡意拒絕服務(wù)攻擊；●病毒或后門攻擊。內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.5.1VPN的基本原理

虛擬專用網(wǎng)(VPN，VirtualPrivateNetwork)，是指將物理上分布在不同地點(diǎn)的專用網(wǎng)絡(luò)，通過(guò)不可信任的公共網(wǎng)絡(luò)構(gòu)造成邏輯上的虛擬子網(wǎng)，進(jìn)行安全的通信。8.5.2VPN的應(yīng)用環(huán)境8.5.2VPN協(xié)議現(xiàn)有的封裝協(xié)議分為２類：第２層隧道協(xié)議（數(shù)據(jù)鏈路層）PPTP(PointtoPointTunnelingProtocol)L2F(Layer2Forwarding)L2TP(Layer2TunnelingProtocol)第３層隧道協(xié)議（網(wǎng)絡(luò)層）IPSec(IPSecurity)GRE(GenericRoutingEncapsulation)通用路由封裝內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.6.1IP安全性分析1.IPv4缺乏對(duì)通信雙方真實(shí)身份的驗(yàn)證能力，僅僅采用基于源IP地址的認(rèn)證機(jī)制。2.IPv4不對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包進(jìn)行機(jī)密性和完整性保護(hù)，一般情況下IP包是明文傳輸?shù)?，第三方很容易竊聽到IP數(shù)據(jù)包并提取其中的數(shù)據(jù)，甚至篡改竊取到的數(shù)據(jù)包內(nèi)容，而且不被發(fā)覺。3.由于數(shù)據(jù)包中沒(méi)有攜帶時(shí)間戳、一次性隨機(jī)數(shù)等，很容易遭受重放攻擊。攻擊者搜集特定IP包，進(jìn)行一定處理就可以一一重新發(fā)送，欺騙對(duì)方。8.6.2安全關(guān)聯(lián)(SecurityAssociation，SA)安全關(guān)聯(lián)可以認(rèn)為是密碼等安全參數(shù)的集合。SA中有大量的參數(shù)，現(xiàn)在先看一下SA中與密碼操作無(wú)關(guān)的基本參數(shù)。(1)序列號(hào)(SequenceNumber)(2)存活時(shí)間(TimeToLive，TTL)(3)模式(Mode)(4)隧道目的地(TunnelDestination)(5)路徑最大傳輸單元(PMTU)8.6.3IPSec模式

IPSec提供了兩種操作模式——傳輸模式(TransportMode)和隧道模式(TunnelMode)。這兩種模式的區(qū)別非常直觀——它們保護(hù)的內(nèi)容不同，后者是整個(gè)IP包，前者只是IP的有效負(fù)載。

在傳輸模式中，只處理IP有效負(fù)載，并不修改原來(lái)的IP協(xié)議報(bào)頭。在隧道模式中,原來(lái)的整個(gè)IP包都受到保護(hù)，并被當(dāng)作一個(gè)新的IP包的有效載荷。IPSec的相關(guān)文檔體系結(jié)構(gòu)ＥＳＰＡＨ加密認(rèn)證相關(guān)參數(shù)密鑰管理IPSec的優(yōu)勢(shì)在防火墻，路由器中實(shí)現(xiàn)時(shí)，提供很強(qiáng)的安全保證；IPSec低于傳輸層（ＴＣＰ，ＵＤＰ），在網(wǎng)絡(luò)層中（ＩＰ），對(duì)應(yīng)用程序透明；對(duì)最終用戶也同樣是透明的．PPTPL2TP8.6.4認(rèn)證報(bào)頭(Authentication

Header，AH)認(rèn)證報(bào)頭是IPSec協(xié)議之一，用于為IP提供數(shù)據(jù)完整性、數(shù)據(jù)源身份驗(yàn)證和一些可選的、有限的抗重放服務(wù)。它定義在RFC2402中。AH不對(duì)受保護(hù)的IP數(shù)據(jù)包的任何部分進(jìn)行加密，即不提供保密性服務(wù)。由于AH不提供保密性服務(wù)，所以它不需要加密算法。AH定義了保護(hù)方法、頭的位置、身份認(rèn)證的覆蓋范圍以及輸出和輸入處理規(guī)則，但沒(méi)有對(duì)所用的身份驗(yàn)證算法進(jìn)行定義。AH可用來(lái)保護(hù)一個(gè)上層協(xié)議的數(shù)據(jù)(傳輸模式)或者一個(gè)完整的IP數(shù)據(jù)包(隧道模式)。8.6.5封裝安全有效載荷ESP提供機(jī)密性、數(shù)據(jù)源的身份驗(yàn)證、數(shù)據(jù)的完整性和抗重放服務(wù)。提供的這組服務(wù)由SA的相應(yīng)組件決定。

不管ESP處于什么模式，ESP頭都會(huì)緊跟在IP頭之后。在IPv4中，ESP頭緊跟在IP頭后面(包括選項(xiàng))。在IPv6中，ESP頭的放置與是否存在擴(kuò)展頭有關(guān)。ESP頭肯定插在擴(kuò)展頭之后，其中包括路由選擇和分片頭等，但ESP頭應(yīng)插在目的選項(xiàng)頭之前，因?yàn)槲覀兿Ｍ麑?duì)這些目標(biāo)選項(xiàng)進(jìn)行保護(hù)。與AH不同的是，除了ESP頭，還有ESP尾和ESP認(rèn)證。

內(nèi)容8.1TCP/IP協(xié)議簇8.2Ipv68.3黑客攻擊的流程8.4黑客攻擊技術(shù)概述8.5虛擬專用網(wǎng)VPN8.6IPSec8.7IPSec安全關(guān)聯(lián)的建立8.7.１IPSec安全關(guān)聯(lián)的人工建立

和自動(dòng)建立

因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議(InternetSecurityAssociationandKeyManagementProtocol，ISAKMP)由RFC2408定義，提供了建立安全關(guān)聯(lián)和密鑰的框架。該框架不依賴于任何技術(shù)，可以同現(xiàn)有的其它安全機(jī)制一同使用。IKE(InternetKeyExchange)在RFC2409當(dāng)中定義，2005年5月的RFC4109對(duì)其做了更新。IKE使用ISAKMP作為它的框架，在兩個(gè)實(shí)體之間建立一條經(jīng)過(guò)認(rèn)證的安全隧道，并對(duì)用于IPSec的安全關(guān)聯(lián)進(jìn)行協(xié)商。這個(gè)過(guò)程需要實(shí)體之間互相認(rèn)證對(duì)方然后建立共享密鑰。8.7.2ISAKMP消息結(jié)構(gòu)當(dāng)前總共定義了13種類型的負(fù)載：●SecurityAssociationPayload●ProposalPayload●TransformPayload●KeyExchangePayload●IdentificationPayload●CertificatePayload●CertificateRequestPayload●HashPayload●SignaturePayload●NoncePayload●NotificationPayload●DeletePayload●VendorIDPayload8.7.3認(rèn)證方法

建立安全關(guān)聯(lián)前必須對(duì)通信雙方的身份進(jìn)行認(rèn)證，該認(rèn)證必須是雙向認(rèn)證。IKE支持多種認(rèn)證方法。主要有以下幾種?！耦A(yù)共享密鑰(Pre-sharedKeys)——相同的密鑰被預(yù)先安裝在各自的主機(jī)上?！窆€加密(PublicKeyCryptography)——雙方分別產(chǎn)生一個(gè)偽隨機(jī)數(shù)(nonce)，并分別用對(duì)方的公開密鑰進(jìn)行加密。●數(shù)字簽名(DigitalSignature)——各方分別對(duì)數(shù)據(jù)集合進(jìn)行數(shù)字簽名并發(fā)送給對(duì)方。8.7.4IKE工作流程

IKE由兩個(gè)階段組成的。第一階段用于建立ISAKMP的安全關(guān)聯(lián)。有兩種工作模式：主模式(MainMode)和積極模式(AggressiveMode)。在主模式下，第一階段基本上包含六條消息。第二階段用于為不同的服務(wù)協(xié)商各自的安全關(guān)聯(lián)。這只有在第一階段成功完成以后才能進(jìn)行，而且使用第一階段產(chǎn)生的ISAKMPSA保護(hù)后續(xù)所有的第二階段ISAKMP消息。參與實(shí)體各自交換IPSecSA的建議，并同意