网络软件安全概述.pptx

第5章 网络软件安全本章有四小节：5. 1 网络协议的安全性5. 2 IP安全协议5. 3 加密文件系统5. 4 SSL与SSH协议 TCP/IP OSI应用层传输(TCP)层网络(IP)层网络接口层应用层表示层会话层传输层网络层数据链路层物理层 TCP/IP结构与OSI结构5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性1．TCP/IP协议基于TCP/IP协议的网络体系结构比OSI参考模型结构更简单。TCP/IP协议可分为4层，分别是网络接口层、网络层(IP层)、传输层(TCP层)和应用层。5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性2．TCP／IP协议安全性分析TCP／IP协议本身也存在着一些不安全因素，它们是黑客实施网络攻击的重点目标。TCP/IP协议是建立在可信环境下的，这种基于地址的协议本身就存在泄漏口令、经常会运行一些无关程序等缺陷。5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性(1) TCP协议TCP协议把通过连接传输的数据看成是字节流，用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生，产生机制与协议实现有关。攻击者只要向目标主机发送一个连接请求，即可获得上次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间(RTT)。已知上次连接的ISN和RTT，很容易就能预测出下一次连接的ISN。 5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性(2) IP协议和ICMP协议IP协议提供无连接的数据包传输机制，其主要功能有寻址、路由选择、分段和组装。传送层把报文分成若干个数据包，每个包在网关中进行路由选择，穿越一个个物理网络从源主机到达目标主机。在传输过程中每个数据包可能被分成若干小段，以满足物理网络中最大传输单元长度的要求，每一小段都当作一个独立的数据包被传输，其中只有第一个数据包含有TCP层的端口信息。在包过滤防火墙中根据数据包的端口号检查是否合法，这样后续数据包就可以不经检查而直接通过。攻击者若发送一系列有意设置的数据包，来覆盖前面的具有合法端口号的数据包，那么该路由器防火墙上的过滤规则被旁路，从而攻击者便达到了进攻目的。5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性(2) IP协议和ICMP协议IP协议的改进：IPv6设计的两种安全机制被加进了IPv4，其中一种称为AH(Authentication Header)机制，提供验证和完整性服务，但不提供保密服务；另一种称为ESP(Encapsulation Security payload)机制，提供完整性服务、验证服务以及保密服务。5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性(2) IP协议和ICMP协议ICMP是在网络层与IP一起使用的协议。如果一个网关不为IP分组选择路由、不能递交IP分组或测试到某种不正常状态，如网络拥挤影响IP分组的传递，那么就需要ICMP来通知源端主机采取措施，避免或纠正这些问题。ICMP被认为是IP协议不可缺少的组成部分，是IP协议正常工作的辅助协议。ICMP协议存在的安全问题有：攻击者可利用ICMP重定向报文破坏路由，并以此增强其窃听能力；攻击者可利用不可达报文对某用户节点发起拒绝服务攻击。5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性3．TCP/IP层次安全 (1) 网络接口层安全网络接口层安全一般可以达到点对点间较强的身份验证、保密性和连续的信道认证，在大多数情况下也可以保证数据流的安全。有些安全服务可以提供数据的完整性或至少具有防止欺骗的能力。5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性(2) 网络层安全网络层安全主要是基于以下几点考虑：控制不同的访问者对网络和设备的访问。划分并隔离不同安全域。防止内部访问者对无权访问区域的访问和误操作 5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性(2) 网络层安全网络层安全协议可用来在Internet上建立安全的IP通道和VPN。其本质是：纯文本数据包被加密，封装在外层的IP报头里，用来对加密包进行Internet上的路由选择；到达收端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。? 5．1 网络协议的安全性5.1.1 TCP/IP协议的安全性(2) 网络层安全网络层安全性的主要优点是它的透明性，即提供安全服务不需要对应用程序、其他通信层次和网络部件做任何改动。主要缺点是网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。5．