网络通信安全

第4章网络通信安全第4章网络通信安全4.1网络通信中的安全威胁4.2远程访问的安全4.3IP安全4.4端口扫描4.5小结习题与思考题第4章网络通信安全本章学习目标1.了解网络通信安全的内容。2.了解网络通信传输中存在的安全威胁。3.掌握远程访问的安全配置方法。4.掌握端口扫描的概念和方法。5.掌握IP的基础知识，以及IP安全的相关内容。第4章网络通信安全4.1网络通信中的安全威胁4.1.1网络通信的安全性4.1.2网络通信存在的安全威胁4.1.3TCP/IP协议的脆弱性第4章网络通信安全4.1.1网络通信的安全性网络通信安全是指通过各种计算机、网络、密码技术和信息安全技术，确保在通信网络中传输、交换和存储的信息完整、真实和保密，并对信息的传播及内容具有控制能力。网络通信安全性粗略地分为四个相互交织的部分：保密、鉴别、反拒认以及完整性控制。所有这些问题也发生在传统的系统中。网络通信安全的内容可以概括为以下几个方面：第4章网络通信安全1.保密性：指防止静态信息被非授权访问和防止动态信息被截取解密。2.完整性：要求在存储或传输时信息的内容和顺序都不被伪造、乱序、重置、插入和修改。3.可靠性：指信息的可信度，包括信息的完整性、准确性和发送人的身份认证等方面。4.实用性：即信息的加密密钥不可丢失。第4章网络通信安全5.可用性：指主机存放静态信息的可用性和可操作性。6.占有性：若存储信息的主机、磁盘等信息载体被盗用，则将导致对信息占有权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密、使用物理和逻辑的访问限制，以及维护和检查有关盗窃文件的审计记录和使用标签等。第4章网络通信安全4.1.2网络通信存在的安全威胁计算机网络通信安全即数据在网络中的传输过程的安全，是指如何保证信息在网络传输过程中不被泄露与不被攻击。当网络中的计算机通信双方的发送方给接收方发送信息时，在传输的过程中可能会遭到攻击，攻击类型主要有以下四种：第4章网络通信安全1.截获：信息被非法用户截获，这时接收方没有接收到应该接收的信息，从而使信息中途丢失，失去了信息的可靠性。2.窃听：信息虽然没有丢失，接收方也接收到了信息，但该信息已被不该看的人看到，失去了信息的保密性。3.篡改：信息表面上虽然没有丢失，接收方也收到了应该接收的信息，但该信息在传输过程中已被截获并被修改，或插入了欺骗性的信息，实际上接收方所接收到的信息是错误的，失去了信息的完整性。4.伪造：发送方并没有发送信息给接收方，而接收方收到的信息是第三方伪造的，如果接收方不能通过有效办法发现这一情况，那就有可能造成严重的后果。第4章网络通信安全4.1.3TCP/IP协议的脆弱性TCP/IP协议是进行一切互联网上活动的基础，没有它，信息就不可能在不同操作系统、在不同通信协议中来去自由。因为当时网络软、硬件设备的局限性，当初设计该协议时只着重考虑了网络的速度，而对网络的安全性没作太多的考虑，甚至根本没作考虑，所以说TCP/IP本身在安全设计上就先天不足。第4章网络通信安全1.网上信息易被窃取大多数互联网上的信息是没有经过加密的，如电子邮件、网页中输入口令或填写个人资料、文件传输等这一切都很容易被一些别有用心的人监听和劫持，其实这就是TCP/IP通信协议在安全性方面的一个漏洞。第4章网络通信安全2.IP的缺陷导致易被欺骗①IP包中的源地址可以伪造；②IP包中的“生成时间”可以伪造；③薄弱的认证环节。图4-1说明了如何使用这个选项把攻击者的系统假扮成某一特定服务器的可信任的客户。第4章网络通信安全服务器被信任的客户攻击者图4-1IP地址欺骗第4章网络通信安全①攻击者要使用那个被信任的客户的地址取代自己的地址。②攻击者构成一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点。③攻击者用这条路径向服务器发出客户申请。④服务器接收客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应。⑤可信任客户使用这条路径将包向前传送给攻击者的主机。第4章网络通信安全3. ICMP的缺陷网络中经常会使用到ICMP协议，只不过一般觉察不到而已。比如经常使用的用于检查网络通不通的“Ping”命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的“Tracert”命令也是基于ICMP协议的。第4章网络通信安全ICMP中的“Redirect”消息可以用来欺骗主机和路由器，并使用假路径。这些假路径可以直接通向攻击者的计算机系统，而不能真正连接到一个合法的可信赖的计算机用户，这会使攻击者获得系统的访问权。对于系统来说，缺乏反映信源到信宿真实路径的跟踪信息。通过TCP/IP发出一个数据包如同把一封信丢入信箱，发出者知道正在走向信宿，但发出者不知道通过什么路线或何时到达。这种不确定性也是安全漏洞。第4章网络通信安全4. TCP/IP协议明码传送信息导致易被监视网络中最常见的窃听是发生在共享介质的网络中(如以太网)，这是由于TCP/IP网络中众多的网络服务均是明码传送。黑客使用Sniffer、Tcpdump或Snoop等探测工具，就可以清楚地看到某个用户从一台机器登录到另一台机器的全过程。大多数用户不加密邮件，而且许多人认为电子邮件是安全的，所以用它来传送敏感的内容。因此，电子邮件或者Telnet和FTP的内容，可以被监视从而了解一个站点的情况。第4章网络通信安全5.提供不安全的服务基于TCP/IP协议的服务很多，有服务、FTP服务和电子邮件服务，TFTP服务、NFS服务等。这些服务都存在不同程度上的安全缺陷，当用户要保护站点时，就需要考虑，该提供哪些服务，要禁止哪些服务，如果有防火墙，应把不对外的服务限制在内网中。第4章网络通信安全4.2远程访问的安全管理安全的远程访问是一项艰巨的任务。因为远程系统可能直接连接到互联网而不是通过公司的防火墙，所以远程系统将给网络环境带来更大的风险。病毒和间谍软件防御以及一般的VPN网络策略还不足以保护这些系统的安全以及它们连接的网络的安全。远程访问安全的内容包括拨号调制解调器访问安全、虚拟专用网的安全以及无线网络接入的安全等。第4章网络通信安全4.2远程访问的安全4.2.1拨号调制解调器访问安全4.2.2虚拟专用网的安全4.2.3无线网络接入的安全4.2.4远程溢出攻击与后门第4章网络通信安全4.2.1拨号调制解调器访问安全通过传输媒介——公用电话网（PublicSwitchedTelephoneNetwork—PSTN），利用Modem模拟拨号技术来实现远程连接，是目前最为普通、方便的远程访问方式。虽然调制解调器给上网带来了极大的方便，但同时也带来了危险。不少人建立连接时，通常采取的措施并不安全，从开始到完成，只是根据默认的提示进行。第4章网络通信安全调制解调器的危险在于它提供了进入用户网络的另一个入口点，也就是端口，一般来说，打开网络端口点越多，被入侵的可能性就越大。一般一个标准的Intranet结构会包括内、外网段。内网段和外段网之间有防火墙，在内外网段都可能提供拨号服务器，外网段拨号服务器供普通用户使用，内网段拨号服务器供公司的高级职员使用，这两种拨号服务保护方式是不同的。第4章网络通信安全外网段拨号服务器被置于防火墙外部，它的安全是通过防火墙和身份验证服务器来保证的。对于内网段的内部网来说，这种服务应该是保密的，而且要严格控制，并应有强大的身份验证系统来保证安全。如果一个黑客通过拨号服务器登录到用户的网络中，那么他就像在用户的公司里使用一台机器一样，他会窃听到用户的内部网络通信。如何才能提高拨号网络的安全性呢？第4章网络通信安全提高拨号调制解调器安全的方法很多，至少可以通过以下五种方法来实现。①号码不要广泛流传。②使用用户名和口令来保护拨号服务器。口令可以是静态，但最好是一次性口令。③使用安全性好的调制调解器。回拨调制解调器、安静调制解调器是比较好的选择。第4章网络通信安全回拨调制解调器是在连接时要求用户输入用户名和口令，它不会马上连接，它会先断开连接，查找该用户的合法电话号码，然后，回拨调制解调器会回拨到合法电话号码，并建立起连接。最后，用户就可以输入用户名和口令而进入该系统。这样做可以杜绝一个账号可以在不同电话机上使用的危险。安静调制解调器在登录完成之前不会发出特殊的“Connectionestablished”信号，这样可以防止有人按顺序搜索计算机拨号系统的电话号码。第4章网络通信安全④在网络上加一个用于核实用户身份的服务器。⑤防范通过调制调解器对WindowsNT的RAS访问带来的安全隐患。WindowsNT、2000、2003的远程访问服务(RemoteAccessServer—RAS)给用户提供了一种远程用调制解调器访问远程网络的功能，当用户通过远程访问服务连接到远程网络中时，电话线就变得透明了，用户可以访问所有资源，就像他们坐在办公室进而访问这些资源一样，RAS调制解调器起着像网卡一样的作用。第4章网络通信安全但这种RAS在实施过程中存在许多重大的安全隐患。因为RAS服务器和网络操作系统服务器使用相同的用户数据库。用户用在办公室中使用的同一个用户进行登录，这样可以保证用户具有相同的访问权限，但这给网络安全的管理带来了新的难题。为了进行连接，用户必须有一个有效的系统用户账户和RAS拨入许可，这在用户尝试登录到系统之前，必须被验证。但如果用户不在公司，其身份的真实性就很难验证，如果某个系统管理员的账号被一些别有用心的人知道后进行RAS访问，那后果将会非常严重。第4章网络通信安全①加强公司员工账号管理。为了防止非法用户通过RAS访问网络就必须加强公司员工账号管理，特别是管理员账号。②管理员账号最好不是使用“Administrator”。应对其进行改名，或增加一个同样权限的系统管理员组成员，用户账号也要求经常更改。③定期更改密码。有些公司就要求所要用户密码至少一个月改一次，而且最近的两次密码不能一样，公司的进、销、存管理软件用户密码至少要求一个星期改一次，这在某种程度上预防了非法用户通过RAS进行非法登录。第4章网络通信安全4.2.2虚拟专用网的安全虚拟专用网(VirtualPrivateNetwork—VPN)是专用网络在公共网络(如Internet)上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，通信数据在安全隧道中进行加密传输，从而达到安全传输数据的目的。由于VPN具有高度灵活性、高带宽、高安全性、应用费用相对低廉等优点，已经成为非常理想的企业网远程访问解决方案。VPN的应用可以分为三个基本类型：AccessVPN、IntranetVPN和ExtranetVPN。第4章网络通信安全1. VPN的一般组网方案可以利用企业现有的网络设备，如路由器、服务器与防火墙来建置VPN。有些企业网络以路由器为中心，把VPN服务加在路由器上。有些企业把防火墙看成是Internet安全通信的核心，选择防火墙式的VPN建置方案。1)路由器式VPN使用具有VPN功能的路由器，公司总部便可与分公司间经由Internet或ISP网络来传送企业内部资料。拨号连接用户也可在ISP网络中建立隧道(Tunneling)，以存取企业网络。第4章网络通信安全相对来说，路由器式VPN部署较容易，只要在路由器上添加VPN服务，通常只需将软件升级即可，而新型路由器通常已在软件或操作系统中内建了VPN服务。基本上，路由器上的VPN软件升级，一般都会包括防火墙、加密以及隧道等功能。有些厂商则会将用户身份辨识与既有的身份辨识服务，如远程身份辨识拨号连接用户服务(RemoteAuthenticationDial-InUserService—RADIUS)连结在一起。第4章网络通信安全2)软件式VPN由生产厂商和协作厂商提供的VPN应用程序可执行加密、隧道建立与身份辨识，让用户通过VPN与企业内部网络相连。这种技术可使现有设备继续沿用，即将软件安装在现有的服务器上，不需变动网络组态。另外，程序可与现有的网络操作系统的身份辨识服务相连