05-CISP-2013-网络安全

网络安全培训机构讲师课程内容2网络安全知识体知识域网络架构安全知识子域网络架构安全基础网络架构安全实践网络协议安全移动通信网络安全TCP/IP协议安全无线局域网协议安全网络安全设备其他网络安全设备防火墙入侵检测系统知识域：网络协议安全知识子域：TCP/IP协议安全理解开放互联系统模型ISO/OSI七层协议模型及其安全体系结构理解TCP/IP四层协议模型及协议安全架构了解IPV6的安全特点3什么是协议定义协议是网络中计算机或设备之间进行通信的一系列规则的集合理解重点：规则交通中的红绿黄灯：红灯停、绿灯行就是规则我国汽车靠右行驶是规则、香港、西方国家靠左行驶也是规则4OSI协议7.应用层2.数据链路层6.表示层5.会话层4.传输层3.网络层1.物理层7.应用层2.数据链路层6.表示层5.会话层4.传输层3.网络层1.物理层层间的逻辑通信每一层执行功能并将信息送往下一层每一层执行功能并将信息送往上一层发送信息的进程接收信息的进程数据流的物理传输OSI安全体系结构《信息处理系统开放系统互连基本参考模型——第二部分：安全体系结构》（GB/T9387.2-1995）（等同于ISO7498-2）1234567物理层数据链路层网络层传输层会话层表示层应用层加密数字签名访问控制数据完整性鉴别交换业务流填充路由控制公证鉴别服务访问控制数据保密性数据完整性抗抵赖OSI参考模型安全机制安全服务TCP/IP协议结构7应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPOSI模型与TCP/IP协议的对应8物理层网络层传输层会话层表示层应用层数据链路层互联网络层传输层应用层网络接口层网络接口层安全威胁损坏干扰电磁泄漏搭线窃听欺骗9拒绝服务嗅探网络接口层安全威胁损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏搭线窃听：物理搭线欺骗：ARP欺骗嗅探：常见二层协议是明文通信的（以太、arp等）拒绝服务：macflooding，arpflooding等10互联网络层11应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPIP是TCP/IP协议族中最为核心的协议不可靠（unreliable）通信无连接（connectionless）通信提供分层编址体系（ip地址）IP协议简介12互联网络层安全威胁拒绝服务欺骗窃听伪造13互联网络层安全威胁拒绝服务：分片攻击（teardrop）/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造14传输层15应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP相同点同一层的协议，基于IP报文基础上不同点TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销UDP是不可靠，但是高效的传输协议TCP协议与UDP协议16传输层安全威胁拒绝服务欺骗窃听伪造17传输层安全威胁拒绝服务：synflood/udpflood/Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造18应用层协议域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP……19应用层安全威胁拒绝服务欺骗窃听伪造暴力破解……20应用层协议的安全威胁拒绝服务：超长URL链接欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：嗅探伪造：应用数据篡改暴力破解：应用认证口令暴力破解等……21基于TCP/IP协议簇的安全架构网络用户SNMPE-MAILE-MAILPGPS/MIMEPEMSETIKESSHS-HTTPSFTPX.509DNS安全扩展TCPUDPSSLTLSIPIPSEC（AH）IPSEC（ESP）设备驱动与接入协议PPTPL2TPPPPL2F物理介质（物理安全防护）应用层应用层传输层传输层网络层网络层链路层链路层IPv6的主要特性网络地址空间的极大扩展网络地址表示法不同网络地址的分类方式不同改进的IP多播新增了“任播地址”简化报头格式良好的扩展性内嵌的安全性服务质量的保证即插即用功能身份验证和隐私保护能力知识域：网络协议安全知识子域：无线局域网协议安全了解无线局域网的基本组成与特点了解WEP、802.11i、WAPI等无线局域网安全协议无线技术25PAN(PersonalAreaNetwork)LAN(LocalAreaNetwork)WAN(WideAreaNetwork)MAN(MetropolitanAreaNetwork)PANLANMANWANStandardsBluetooth802.15.3UltraWideBand(WiMedia)802.11802.11(Wi-Fi)802.16(Wi-Max)802.20GSM,CDMA,SatelliteSpeed1Mbps11to54Mbps10-100+Mbps10Kbps–2MbpsRangeShortMediumMedium-LongLongApplicationsPeer-to-PeerDevice-to-DeviceEnterpriseNetworksLastMileAccessMobileDataDevices无线局域网的传输媒质分为无线电波和光波两类无线电波主要使用无线电波和微波，光波主要使用红外线无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical）无线局域网基本概念26无线局域网网络结构APSTA客户端（station，STA）无线网访问设备，例如笔记本、掌上电脑等无线接入点（AccessPoint，AP）专用的无线接入设备分布系统（distributionsystem，DS）其他网络，无线或者有线网络DS27无线局域网安全风险无线局域网安全问题28传统无线安全防护措施认证开放式认证系统共享密钥认证服务集标识符SSID极易暴露和伪造，没有安全性可言物理地址（MAC）过滤MAC地址容易伪造，扩展性差无线对等协议（WEP）手动管理密钥存在重大隐患弱密钥问题不能防篡改WEP没有提供抵抗重放攻击的对策29IEEE802.11i无线局域网安全协议30WAPI安全协议31STAAPAS鉴别激活接入鉴别请求证书鉴别请求接入鉴别响应密钥协商请求密钥协商响应组播密钥通告组播密钥响应证书鉴别密钥协商数据通信WEP、IEEE802.11i、WAPI比较32项目WEPIEEE802.11iWAPI鉴别鉴别机制单向鉴别用户和认认服务器之间双向认证，但没有认证AP用户、接入点和认证服务器之间的相互认证鉴别方法开放式系统鉴别或共享密钥鉴别支持多种鉴别方式:预共享密钥Radius服务器验证用户名口令可使用非对称密码算法和数字证书采用公钥数字证书作为身份凭证；无线用户与无线接入点地位对等，实现无线接入点的接入控制；客户端支持多证书，方便用户多处使用鉴别对象客户机用户、服务器用户、接入点、服务器密钥管理无不同产商不完全相同全集中（局域网内统一由AS管理）算法64bitRC4AES192位椭圆曲线算法加密密钥静态动态动态算法64bitRC4128bitRC4或AES128-bitSMS4知识域：网络协议安全知识子域：移动通信网络协议安全了解GSM、CDMA存在的安全问题了解3G系统的安全问题及安全结构33移动通信的发展第一代模拟蜂窝移动通信系统第二代数字蜂窝移动通信系统（2G）GSM、CDMA第三代移动通信系统（3G）W-CDMA、CDMA2000、TD-SCDMA、WiMAX34GSM的安全性安全措施用户鉴权（AUC）无线通道加密移动设备确认IMSI临时身份等安全问题安全系统内在的弱点支持数据业务带来的弱点加密算法的弱点35CDMA的安全性安全措施保密与认证架构大致与GSM相同使用64b的对称密钥（称为A-Key）进行认证安全问题允许语音通信加密，但是CDMA运营商并不总是提供这种服务由于网络现状，许多系统目前不支持认证功能，许多手机既没有认证算法也无法输入363GPP的3G系统安全结构373G系统的主要安全威胁3G无线网络的空中开放性对信息安全构成潜在威胁3G核心网络的IP化给安全带来了巨大挑战业务种类的丰富导致失泄密渠道增加定位服务容易造成一些敏感涉密的位置信息泄露手机终端强大的功能带来了新的安全漏洞38知识域：网络安全设备知识子域：防火墙技术理解防火墙的作用、功能及分类理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理掌握防火墙的部署结构理解防火墙的局限性39防火墙基本概念什么是防火墙一种协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙部署在哪可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间Internet防火墙40为什么需要防火墙控制：在网络连接点上建立一个安全控制点，对进出数据进行限制隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录：对进出数据进行检查，记录相关信息防火墙的作用41安全网域一防火墙的分类按主要技术分包过滤型代理型混合型按体系结构分筛选路由器双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构其他分类方法42防火墙的实现技术包过滤技术状态检测技术代理网关技术43防火墙的实现技术-包过滤实现机制：依据数据包的基本标记来控制数据包网络层地址：IP地址（源地址及目的地址）传输层地址：端口（源端口及目的端口）协议：协议类型44安全网域一防火墙的实现技术-包过滤优点:逻辑简单，功能容易实现，设备价格便宜处理速度快可以识别和丢弃带欺骗性源IP地址的包过滤规则与应用层无关，无须修改主机上的应用程序，易于安装和使用缺点：过滤规则集合复杂，配置困难无法满足对应用层信息进行过滤的安全要求不能防止地址欺骗，及外部客户与内部主机直接连接安全性较差，不提供用户认证功能45防火墙实现技术--状态检测数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表动态状态表动态状态表在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层46防火墙实现技术--状态检测优点可应用会话信息决定过滤规则具有记录有关通过的每个包的详细信息的能力安全性较高缺点检查内容比包过滤检测技术多，所以对防火墙的性能提出了更高的要求状态检测防火墙的配置非常复杂，对于用户的能力要求较高，使用起来不太方便47防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制分类电路级代理应用代理48防火墙的实现技术-电路级代理建立回路，对数据包进行转发优点能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据，不能识别数据包的内容49防火墙的实现技术-NAT什么是NAT一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题50防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换51202.2.2.2安全网域一202.2.2.100192.168.1.1192.168.1.3052NAT的优缺点优点管理方便并且节约IP地址资源隐藏内部IP地址