《信息与网络安全教学ppt课件第十章.ppt》由会员分享,可在线阅读,更多相关《信息与网络安全教学ppt课件第十章.ppt(52页珍藏版)》请在三一办公上搜索。
1、,第10章 安全网络技术,VPN技术无线网络安全IPv6网络安全VoIP安全工具介绍,VPN概念,VPN是英文Virtual Private Network的缩写,中文译为“虚拟专用网络”。 VPN利用现有的公用网(包括Internet网、电信部门提供的公用电话网、帧中继网及ATM网络等)来搭建自己的虚拟专用网络。 VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网所提供的网络平台之上的逻辑网络。 通过相应的加密和认证技术来保证用户内部数据在公网上安全传输,从而真正实现网络数据传输的私有性。,VPN概念,VPN示意图,VPN作用,一是远程访问,主要为在
2、外出差、移动办公和在家中办公的人员访问企业内部网络; 二是企业内部网络互联,在内部各分支机构网络与总部网络之间实现安全互联; 三是与合作伙伴建立安全通信。,VPN分类,从技术上分类以IPSec为代表的、基于用户设备的VPN技术,由网络厂商提供VPN技术和解决方案,既可用于网络互联,又可用于远程访问; 以MPLS VPN为代表的、基于网络的VPN技术,由电信运营商提供VPN服务,主要用于网络远程互联。从实际使用上分类软件VPN:对数据的传输速率不高,安全性能也不强,如微软的Windows 2000以后的系统就可以实现纯软件平台的VPN连接。 硬件VPN:可以满足企业和个人用户对高数据安全及通信性
3、能的需求,但是它成本高,对于中小企业和用户很难承受。 辅助硬件VPN:主要以现有的网络设备为基础,再添加适当的软件,它既具备了硬件VPN的高性能和安全性,又具有软件VPN的灵活管理性,使目前绝大多数企业首选的VPN解决方案。,VPN实现技术,VPN的安全技术:隧道技术(Tunneling)它是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。 加解密技术(Encryption & Decryption)它是数据通信中一项较成熟的技术,VPN可直接利用现有技术。密钥管理技术(Key Management)它的主要任务是如何在公用数据网上安全地传
4、递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。 使用者与设备身份认证技术(Authentication)最常用的是使用者名称与密码或卡片式认证等方式。,VPN实现技术,凡是在公共网络中实现了安全通信(主要包括通信实体的身份识别和通信数据的机密性处理等)的协议都可以称之为VPN协议。VPN已经在网络协议的多个层次上实现,从数据链路层、网络层、传输层直到应用层。以OSI 模型为参照标准,不同的VPN 技术可以在不同的OSI 协议层实现。,VPN实现技术,应用层VPNSSL协议:SSL 是一个端到端协议,因而是在处于通信通路端点的机器上实现(通常是在客户机和服务器
5、上),而不需要在通信通路的中间节点(如路由器或防火墙)上实现。 会话层VPNSocks4协议:它为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议(不包括UDP)的客户/服务器程序提供了一个无需认证的防火墙,建立了一个没有加密认证的VPN隧道。Socks5协议:Socks5协议扩展了Socks4,以使其支持UDP、TCP框架规定的安全认证方案、地址解析方案中所规定的IPv4、域名解析和IPv6。,VPN实现技术,网络层VPNIPSec协议 :它是第三层即IP层的加密。 链路层VPN 技术 PPTP协议:PPTP(点到点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议
6、L2F协议:L2F(Layer 2 Forwarding)是由Cisco 公司提出的,可以在多种介质(如ATM、FR、IP)上建立多协议的安全VPN 的通信方式。L2TP协议:IETF建议将PPTP和L2F的优点组合起来组成了一个工业标准 ,即第二层隧道协议。,目 录,VPN技术无线网络安全IPv6网络安全VoIP安全工具介绍,无线网络安全,无线网络特殊机理以及 IEEE 802.11 等无线安全加密认证机制本身的不完善,使得无线网络的安全性相对有线网络更为脆弱和敏感。 便携式移动终端由于功能限制不可能提供强有力的安全保障,而且各种新兴的网络增值业务也提出了更高的安全需求。,无线网络分类,根据
7、网络组织形式有结构网络有结构无线网络具备固定的网络基础设施,负责移动终端的接入和认证,并提供网络服务,包括蜂窝通信网络和无线局域网等等; 自组织网络自组织网络按照自发形式组网,网络中不存在集中管理机制,各节点按照分布式途径协同提供网络服务,包括传感器网络和自组织网络。,无线网络分类,根据数据发送的距离、传输速率和用途,无线网络分类,无线网络的优缺点,无线网络分类,无线网络的安全隐患无线窃听 无线信道是一个开放的信道,任何具有适当无线设备的人都可以通过窃听无线信道而获得上述信息。无线窃听可以导致信息(如通话信息、身份信息、位置信息、数据信息以及移动站与网络控制中心之间的信令信息等)泄露。 假冒攻
8、击 无线信道中传送的任何信息都可能被窃听。当攻击者截获到一个合法用户的身份信息时,他就可以利用这个身份信息假冒该合法用户的身份入网,无线网络分类,无线网络的安全隐患信息篡改信息篡改是指主动攻击者将窃听到的信息进行修改(如删除和/或替代部分或者全部信息)之后再将信息传送给原本的接收者。 重传攻击重传攻击包括非法访问、恶意破坏,它指攻击者将窃听到的有效信息经过一段时间后再传给消息的接收者。 攻击者的目的是企图利用曾经有效的信息在改变了的情形下达到同样的目的,例如攻击者利用截获到的合法用户日令来获得网络控制中心的授权,从而访问网络资源。,无线网络安全技术,WEP加密技术WEP (Wired Equi
9、valent Privacy) 是IEEE设计的加解密的机制,期望无线网络使用者能获得与一般有线网络同等的私密性 。WEP 采用对称式加解密系统 (Symmetric Cryptography System),原始密钥的长度是 40 /104 bits。用户的密钥只有和AP的密钥匙相同才能访问网络,这样就阻止了非授权用户的监听和访问。 缺点:恶意黑客能相对容易地拦截并破坏WEP密码,进入到局域网当中;缺少密钥管理。,无线网络安全技术,WPA技术Wi-Fi Protected Access (WPA) 是一种过渡性行业标准,它通过升级到基于802.11i的无线网络适配器的固件和无线访问点 (AP
10、) 来保护802.11i无线LAN联网的安全 。WPA将临时密钥完整性协议 (TKIP) 与 Michael(即完成数据校验的MIC算法)结合起来,取代了有线对等保密 (WEP);临时密钥完整性协议可通过加密来保证数据机密性,Michael可保证数据完整性。 WPA继承了WEP基本原理而又解决了WEP缺点,它改变了密钥生成方式,能够更频繁地变换密钥,还增加了消息完整性检查功能来防止数据包伪造。,无线网络监视工具,监视工具Stumbling 工具主要作用是确认无线网络的存在并探测其行为;寻找信号帧;广播客户请求,等待可能的 AP 回应。 Stumbling 工具有: Netstumbler, M
11、inistumbler, actrumbler,Airfart 等。 Sniffing则用于捕捉无线流量、观察数据。Sniffing工具有:Ethereal, Kismet, KisMAC, Packetyzer, AirTraf, Airscanner等。 其中以NetStumbler 和 Kismet 最为知名。,无线网络监视工具,监视工具NetstumblerNetstumble支持pcmcia 无线网卡,同时支持全球GPS卫星定位系统。 这个工具现在是免费的,仅仅支持Windows系统,源代码不公开,而且该软件的开发者还保留在适当的情况下对授权协议的修改权。 NetStumbler支持
12、服务集识别符(Service Set Identifier,SSID)、有线等同保密(WEP)、开放式认证、共享密码认证、MAC地址认证等。,无线网络监视工具,监视工具Kismet Kismet 是一款 802.11b 网络嗅探、分析程序,依赖无线网卡的能力来报告数据包,支持SSID解码。 大多数常见的无线网卡包括Linksys,D-Link,Cisco Aironet和Orinoco都支持这一功能。 Kismet是设计运行在Linux平台上的,在Windows平台上要安装Cygwin并在Cygwin环境下运行Kismet。 Kismet可以同时检测到多个源数据包。,无线网络监视工具,入侵检测
13、工具AirDefense Airdefense为空中防护,其引申为无线防护。即对Wireless,LAN的网络防护,具有防入侵,安全网络规划等功能。Airdefense主要是由Server,Sensor和一个中央管理器三部分组成,Sensor用来监视和捕捉AP的数据,Server则用来做IDS的分析和统计,而中央管理器则可以使网管清晰的看到被检测的每一步的数据。 AirIDS 第一款无线(802.11)入侵检测系统。 通过使用强大的过滤系统,较好的设备驱动,以及主动防御措施,AirIDS能成功检测和挫败一些恶意行为,如网络stumbling,MAC地址欺骗,未授权无线接入,WEP攻击等。,无线
14、网络监视工具,无线网络审计工具,无线网络监视工具,增加无线网络安全方法改变系统ID 禁用SSID广播,并启动MAC地址过滤 启用加密 不用 DHCP(动态主机配置协议),使用确认的,私有的IP;对于安全和机密要求比较高的企业网络等,采用VPN和强大的加密机制加强AP的管理为PC打补丁、升级,VPN技术无线网络安全IPv6网络安全VoIP安全工具介绍,目 录,IPv6网络安全,IPv6历史IP第6版(IPv6)是继IP第4版(IPv4)以后,Internet协议的一个新版本。主要为了解决IPv4地址局限性问题,互联网工程任务组IETF(Internet Engineering Task Forc
15、e)于1993年后期形成的IPng(IP-the next generation)工作组着手下一代互联网的制定工作。最后推荐以“简单因特网协议(Simple Internet Protocol Plus,SIPP)细则(128位ver)”里描述的协议改编作为IPng的依据,作为因特网的下一代协议。IPv5已经被用于一个在Internet上实时传输声音、视频及分布式仿真或游戏等多媒体流的IP层协议,IPv6网络安全,IPv6相对IPv4的变化 地址容量的扩展 Pv6把IP地址的大小从32位增至128位 首部格式的简化 IPv6的首部固定长度为40个字节,字段减少为8个字段。 支持扩展和选项的改进
16、 IPv6中使用扩展头来实现各种选项。 数据流标签的能力 IPv6中引入了“流”的概念,使得那些发送者要求特殊处理的属于特别的传输“流”的包能够贴上“标签” 。安全支持 IPv6集成了IPsec,为网络层及上层数据提供认证和保密。,IPv6网络安全,IPv6头部IPv6头部格式IPv6扩展头部一个 IPv6 头部可以携带零个, 一个或者更多的扩展头部, 每个扩展头部由前一个头部中的“下一个头部”字段标识。 当在同一个包中使用多于一个扩展头部时,扩展头部要按下列顺序排列:IPv6头部、Hop-by-Hop 选项头部、目的地址选项头部、路由头部、分片头部、认证头部、封装安全有效载荷头部、目的地址选
17、项头部、上层协议头部。,IPv6与IPSec,IPv6与IPSecIPSec在在IPv6中是一个必须的组成部分。IPv6通过IPsec为IP层传输提供多种安全服务。包括访问控制、数据完整性、数据源认证、抗重播保护和数据保密性。 在IPv6中,是通过两种安全性扩展头部来支持IP头部验证(AH)和IP封装安全载荷(ESP)。 在传送模式中,AH和ESP被看作端到端的有效载荷,因而应该出现在逐跳(Hop-by-Hop)扩展头,路由扩展头和分片扩展头之后。目的选项扩展头既可以在ESP头之前,也可以在ESP头之后。但是,因为ESP仅保护ESP头之后的字段,通常它可能愿意把目的选项头放在ESP头之后。,I
18、Pv6与IPSec,IPv6,AH 应用前,AH应用后,IPv6,传输模式中AH应用前后对比,* 如果存在,可以在AH之前、之后或者前后都有,IPv6与IPSec,IPv6,ESP 应用前,ESP应用后,IPv6,传输模式中ESP应用前后对比,* 如果存在,可以在ESP之前、之后或者前后都有,IPv6与IPSec,隧道模式中应用AH,隧道模式中ESP应用,IPv6,IPv6,IPv6的安全问题,IPSec本身的问题大规模的密钥管理和分发问题并没有得到实施 IPsec不能保证其上层应用的安全 IPsec与现有网络安全设备的冲突等问题的存在IPv6自身的问题IPv6地址空间巨大 访问控制自动地址配
19、置和邻节点发现协议移动性的安全过渡期的问题,VPN技术无线网络安全IPv6网络安全VoIP安全工具介绍,目 录,VoIP概述,Voice over Internet Protocol (VoIP) :通过使用IP协议的公共网络本身或者公共或个人通信网络提供的各种语音服务。VoIP是包交换而PSTN是电路交换。VoIP,或IP电话,是通过将语音模拟信号转换成可以通过IP网络传输的数字信号,经IP网络进行传送,到达目的地后,再还原成模拟信号的声音。VoIP的优势在于它以低廉的价格提供更多的服务。,VoIP系统,VoIP关键技术包括信令技术、编码技术、实时传输技术、QoS保证技术及网络传输技术等。此
20、外还有静音检测技术和回声消除技术、网关互联技术、网络管理及安全认证等技术。VoIP技术涉及到多种协议:话音建立和控制信令协议:H.323和SIP;传统语音的数字化压缩编码协议:ITU-T的G.711、G.722、G.723、G.728、G.729;保证QoS的RSVP(资源预留协议)在IP网络中实时传输数据流的RTP(实时传输协议)和RTCP(实时传输控制协议),VoIP系统,VoIP关键技术H.323规定了在不能保证服务质量的分组网络上的多媒体通信的技术要求。 提供了点对点或多点会议中音频(以及可选的视频及数据)的通信能力。 H.323是一个系列,由多个协议组成。它的标准范围不包括网络接口、
21、物理网络和网络上的传输协议。 目前,我国的IP电话运营主要是以H.323为基础的。SIPSIP是与H.323并行的IP电话协议,它具有简单、扩展性好及和现有的Internet应用紧密结合的特点。SIP是继基于文本的SMTP和HTTP协议之后基于客户端/服务器结构的模型,它是一个独立于现行包协议(TCP、UDP、ATM、X.25)的应用层协议。,H.323和SIP介绍,H.323简要介绍,receive,path,Delay,注:虚线框以外的部分为H.323体系范围外的终端单元,虚线框以内的部分为H.323体系范围内的终端单元。,H.323和SIP介绍,H.323简要介绍 范围外的终端单元:配接
22、的音频设备:提供话音激活功能、麦克风和扬声器、电话机或等效设备、多麦克风混合器以及回音抵消设备。配接的视频设备:摄像机和监视器及其控制和选择、改善压缩或提供拆分屏幕功能的视频处理。数据应用及其相关的用户接口:在数据信道上使用T.120或其它数据服务。配接的网络接口:根据国内或国际标准提供与分组交换网的接口并支持适当的信令和电平。人机用户系统控制:用户接口和操作。,H.323和SIP介绍,H.323简要介绍 标准以内的终端单元:视频编解码器(H.261等)对来自视频源(如摄像机)的视频进行编码发送,对接收到的视频码进行解码并输出到视频显示器。音频编码器(G.711等)对来自麦克风的音频信号进行编
23、码发送,对接收到的音频码进行解码并输出到扬声器。数据信道支持远程信息处理应用,如电子白板、静态图像传输、文件交换、数据库访问、音频图形会议等。建议T.120是实时音频图形会议的标准数据应用。其它应用和协议也可以通过H.245协商使用。系统控制单元(H.245,H.225.0)为H.323终端的正确的操作提供信令。它提供呼叫控制、能力交换、命令和指示的信令以及消息。H.225.0层(H.225.0)对发送的视频、音频、数据和控制流进行格式化,形成消息输出到网络接口;从网络接口接收到的消息中提取视频、音频、数据和控制流。另外,对每一种媒体类型,完成适当的逻辑成帧、顺序编号、差错检测和差错纠正。,H
24、.323和SIP介绍,H.322相关概念介绍H.245 H.245是H.323协议体系中用于媒体信道控制的协议,主要完成多媒体通信中每个逻辑通道的建立、维护和释放,同时,它还完成多点会议呼叫中逻辑信道的配合控制功能。H.245定义了两类信道:控制信道(也称H.245信道)和逻辑信道(也称媒体信道或通信信道)。 H.245的主要控制过程有:能力交换、逻辑信道信令过程、主从确定过程、往返时延确定、环路维护及其它命令和指示。 RAS信令功能RAS信令功能利用H.225.0消息来执行在端点和关守之间的注册、接入、带宽改变、状态、以及脱离过程。 RAS信令信道独立于呼叫信令信道和H.245控制信道。 R
25、SA信令信道的打开先于H.323端点之间任何其它信道的建立。,H.323和SIP介绍,SIP介绍用户代理服务器(UAS):当接到SIP请求时联系用户,并代表用户返回响应。 代理服务器(Proxy Server):代表其他客户机发起请求,既充当服务器又充当客户机的应用程序。它在转发请求之前可能改写原请求消息中的内容。 重定向服务器(Redirect Server):接收SIP请求,把请求中的原地址映射成零个或多个新地址,返回给客户机。注册服务器(Registrar Server):接收客户机的注册请求,完成用户地址的注册。,VoIP的安全,H.235:H系列(H.323和其他基于H.245的)多
26、媒体系统的安全性框架 H.235介绍H.235建议中的安全方法摘要 具体解决方案SIP协议安全传输层和网络层的安全 HTTP认证S/MIME,VPN技术无线网络安全IPv6网络安全VoIP安全工具介绍,目 录,工具介绍,配置Microsoft Windows2003 Server系统下PPTP VPN服务器 1服务器配置 硬件:需要两块网卡(1)VPN服务器基本配置,工具介绍,配置Microsoft Windows2003 Server系统下PPTP VPN服务器 1服务器配置(2)VPN服务器属性(3)配置接口筛选器,工具介绍,配置Microsoft Windows2003 Server系统
27、下PPTP VPN服务器 1服务器配置(4)创建远程访问策略设置用户访问权限远程访问策略,工具介绍,配置Microsoft Windows2003 Server系统下PPTP VPN服务器 1服务器配置(4)创建远程访问策略远程访问策略,工具介绍,配置Microsoft Windows2003 Server系统下PPTP VPN服务器 2客户端设置 在Insistsoft SSL PN Server中,通过配置程序“Control Panel”中的“Port Service”模块对服务进行设置,还可以通过“CA Manager”进行简单证书管理。通过服务引擎“Service Engine”对服务进行管理。,本章小结,VPN无线网络安全IPv6VoIP工具介绍,