CISP0204协议及网络架构安全.ppt
《CISP0204协议及网络架构安全.ppt》由会员分享,可在线阅读,更多相关《CISP0204协议及网络架构安全.ppt(149页珍藏版)》请在三一文库上搜索。
1、网络协议及架构安全,中国信息安全测评中心 2012-10,课程内容,2,网络安全,网络架构安全,网络安全设备,网络协议安全,无线数据网络协议安全,无线蜂窝网络协议安全,防火墙,入侵检测系统,其它网络安全设备,网络架构安全的概念,TCP/IP协议簇安全,网络架构安全的实践,知识体,知识域,知识子域,知识域:网络协议安全,知识子域:TCP/IP协议安全 理解开放互联系统模型ISO/OSI七层协议模型 理解TCP/IP协议面临安全威胁及安全对策 理解无线网络安全协议的原理和应用 了解IPV6的安全优势,OSI七层结构模型 OSI参考模型的各层,ISO/OSI开放互联模型,4,ISO/OSI七层模型结
2、构,5,物理层,网络层,传输层,会话层,表示层,应用层,数据链路层,应用层(高),数据流层,7 6 5 4 3 2 1,分层结构的优点,降低复杂性 促进标准化工作 各层间相互独立,某一层的变化不会影响其他层 协议开发模块化 简化理解与学习,6,数据链路层,作用 定义物理链路的电气、机械、通信规程、功能要求等; 电压,数据速率,最大传输距离,物理连接器; 线缆,物理介质; 将比特流转换成电压; 典型物理层设备 光纤、双绞线、中继器、集线器等; 常见物理层标准(介质与速率) 100BaseT, OC-3, OC-12, DS1, DS3, E1, E3;,第一层:物理层,7,物理层,网络层,传输层
3、,会话层,表示层,应用层,作用 物理寻址,网络拓扑,线路规章等; 错误检测和通告(但不纠错); 将比特聚成帧进行传输; 流量控制(可选) 寻址机制 使用数据接收设备的硬件地址(物理地址)寻址(如MAC地址) 典型数据链路层设备 网卡、网桥和交换机 数据链路层协议 PPP, HDLC, FR, Ethernet, Token Ring, FDDI,第二层:数据链路层,8,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第二层:以太网协议标准(两个子层),LLC(Logical Link Control) IEEE 802.2 为上层提供统一接口; 使上层独立于下层物理介质; 提供流控
4、、排序等服务; MAC(Media Access Control) IEEE 802.3 烧录到网卡ROM; 48比特; 唯一性;,LLC MAC,物理层,网络层,传输层,会话层,表示层,应用层,9,第三层:网络层,作用 逻辑寻址 路径选择 寻址机制 使用网络层地址进行寻址(如IP地址) 网络层典型设备 路由器 三层交换机,10,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第四层:传输层,作用 提供端到端的数据传输服务; 建立逻辑连接; 寻址机制 应用程序的界面端口(如端口号) 传输层协议 TCP (Transmission Control Protocol) 状态协议; 按序
5、传输; 纠错和重传机制; Socket; UDP (User Datagram Protocol) 无状态协议; SPX,11,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第五层:会话层,作用 不同应用程序的数据隔离; 会话建立,维持,终止; 同步服务; 会话控制(单向或双向),12,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第六层:表示层,作用 数据格式表示; 协议转换; 字符转换; 数据加密/解密; 数据压缩等; 表示层数据格式 ASCII, MPEG, TIFF,GIF, JPEG;,13,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第七
6、层:应用层,作用 应用接口; 网络访问流处理; 流控; 错误恢复; 应用层协议 FTP, Telnet, HTTP, SNMP, SMTP, DNS;,14,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,数据发送过程-数据封装,Segment,Packet,Bits,Frame,PDU,数据接收过程-数据解封,OSI安全体系结构定义的安全攻击,OSI安全体系结构定义了被动攻击和主动攻击 被动攻击: 监听 流量分析 主动攻击: 假冒 重放 篡改 拒绝服务,OSI安全体系结构定义的安全服务,OSI安全体系结构定义了系统应当提供的五类安全服务,以及提供这些服务的八类安全机制;某种安全服
7、务可以通过一种或多种安全机制提供,某种安全机制可用于提供一种或多种安全服务 鉴别; 访问控制; 数据机密性; 数据完整性; 抗抵赖;,OSI安全体系结构定义的安全机制,加密; 数字签名; 访问控制; 数据完整性; 鉴别; 流量填充(用于对抗通信流量分析,在加密时才是有效的); 路由控制(可以指定路由选择说明,回避某些特定的链路或子网); 公证(notarization);,TCP/IP与OSI模型的对应关系 TCP/IP 常用协议与安全威胁,TCP/IP协议模型,20,TCP/IP协议与OSI模型的对应,21,物理层,网络层,传输层,会话层,表示层,应用层,数据链路层,互联网络层,传输层,应用
8、层,网络接口层,TCP/IP协议结构,22,网络接口层安全,损坏,干扰,电磁泄漏,搭线窃听,欺骗,23,拒绝服务,嗅探,网络接口层安全,损坏:自然灾害、动物破坏、老化、误操作 干扰:大功率电器/电源线路/电磁辐射 电磁泄漏:传输线路电磁泄漏 搭线窃听:物理搭线 欺骗:ARP欺骗 嗅探:常见二层协议是明文通信的(以太、arp等) 拒绝服务:mac flooding,arp flooding等,24,ARP 欺骗,DAI(Dynamic ARP Inspection)是思科交换机的一个安全特性。 DAI能够检查arp数据包的真实性,自动过滤虚假的arp包。,利用DAI防御arp欺骗,互联网络层体系
9、结构,27,IP是TCP/IP协议族中最为核心的协议 不可靠(unreliable)通信 无连接(connectionless)通信 提供分层编址体系(ip地址),IP协议简介,28,IP 报头结构,IP 地址类别,*127 (01111111) 是保留用于环回测试的 A 类地址,不能将其分配给网络。,国际互联网私有IP地址范围,特点:构建在IP报文结构上,但被认为是与IP在同一层的协议,ICMP协议,32,传递差错报文及其他需要注意的信息 ICMP地址掩码请求与应答 ICMP时间戮请求与应答,ICMP协议的作用,33,IP层安全,拒绝服务,欺骗,窃听,伪造,34,互联网络层安全,拒绝服务:分
10、片攻击(teardrop)/死亡之ping 欺骗:IP源地址欺骗 窃听:嗅探 伪造:IP数据包伪造,35,分片攻击(teardrop),Teardrop的工作原理是利用分片重组漏洞进行攻击而造成目标系统的崩溃或挂起。 例如,第一个分片从偏移0开始,而第二个分片在tcp首部之内。 理想的解决方案是对ip分片进行重组时,保证TCP/IP实现不出现安全方面的问题。启用路由器、防火墙、IDS/IPS的安全特性能够防御tear drop攻击。,36,smurf攻击,攻击者使用广播地址发送大量的欺骗icmp echo请求,如果路由器执行了三层广播到二层广播转换(定向广播),那么,同一ip网段的大量主机会向
11、该欺骗地址发送icmp echo 应答,导致某一主机(具有欺骗地址)收到大量的流量,从而导致了DoS攻击。 防御方法为关闭路由器或三层交换机的定向广播功能。,37,防御IP源地址欺骗(rfc3704过滤),大多数攻击都伴随着ip源地址欺骗。,38,172.16.0.0/12,传输层体系结构,39,TCP:传输控制协议 作用:TCP提供一种面向连接的、可靠的字节流服务 功能 数据包分块 发送接收确认 超时重发 数据校验 数据包排序 控制流量 ,TCP协议,40,TCP首部,41,U R G 紧急指针(u rgent pointer )有效 A C K 确认序号有效 P S H 接收方应该尽快将这
12、个报文段交给应用层 R S T 重建连接 S Y N 同步序号,用来发起一个连接。 F I N 发送端完成发送任务,TCP首部-标记位,42,TCP/UDP 通过16bit端口号来识别应用程序 知名端口号由Internet号分配机构(Internet Assigned Numbers Authority,IANA)来管理 现状 1255端口号分配给知名的网络服务 2561023分配给Unix操作系统特定的服务 10245000 临时分配的端口号 5000以上端口号保留给应用服务,TCP首部-端口号,43,TCP建立连接过程三次握手,CTL = TCP 报头中设置为 1 的控制位,特点:UDP是
13、一个简单的面向数据报的传输层协议 不具备接收应答机制 不能对数据分组、合并 不能重新排序 没有流控制功能 协议简单 占用资源少,效率高 ,UDP协议,45,UDP协议包头,46,相同点 同一层的协议,基于IP报文基础上 不同点 TCP是可靠的,高可用性的协议,但是复杂,需要大量资源的开销 UDP是不可靠,但是高效的传输协议,UDP与TCP比较,47,传输层安全,拒绝服务,欺骗,窃听,伪造,48,传输层安全问题,拒绝服务:syn flood/udp flood、Smurf 欺骗:TCP会话劫持 窃听:嗅探 伪造:数据包伪造,49,TCP syn flood攻击,攻击者使用虚假地址在短时间内向目标
14、主机发送大量的tcp syn连接请求,导致目标主机无法完成tcp三次握手,导致目标主机的连接队列被充满,从而导致目标主机拒绝为合法用户提供tcp服务。 可以在路由器、防火墙或IPS启用ip源地址过滤(rfc3704),并启用tcp最大连接数和连接速率限制等特性进行防御。,50,TCP会话劫持,攻击者对两台通信主机的信息流进行监视,通过猜测会话序列号可能注入其中一台主机的信息流,当合法主机与网络的连接被断开后,攻击者使用合法主机的访问权继续进行会话。 最好的防御方法是使用防火墙或IPS进行会话合法性检查以及部署加密通信技术(如ipsec等)。,51,TCP 序列号和确认号,应用层协议,域名解析:
15、DNS 电子邮件:SMTP/POP3 文件传输:FTP 网页浏览:HTTP 网络终端协议:TELENET 简单网络管理协议:SNMP 网络文件系统:NFS 路由协议:BGP,53,应用层安全,拒绝服务,欺骗,窃听,伪造,暴力破解,54,应用层协议的安全问题,拒绝服务:超长URL链接、 欺骗:跨站脚本、钓鱼式攻击、cookie欺骗 窃听:嗅探 伪造:应用数据篡改 暴力破解:应用认证口令暴力破解等 ,55,实现加密通信,56,使用ssh替代telnet 使用https替代http 使用S/MIME安全多用途英特网邮件扩展 部署ipsec vpn,嗅探攻击,利用各种工具收集目标网络或系统的信息. 常
16、用攻击工具: Sniffers(数据包嗅探) 端口扫描 Ping扫描,嗅探攻击的防御方法,用户和设备身份鉴别 AAA服务、dot1x、NAC等。 数据加密 IPSec、SSL、SSH、WAPI、802.11i等。 部署IDS/IPS 部署交换机基础架构 使用交换机基础架构能够减少数据包嗅探攻击。,访问攻击特点,访问攻击的目的: 获取数据 获取访问特权 常见的访问攻击和工具 口令攻击(各种口令破解工具、嗅探、病毒、木马) 信任关系利用 端口重定向 中间人攻击 缓冲区溢出,访问攻击的防御方法,使用强口令、一次性口令,AAA服务等 部署严格的边界信任和访问控制 防火墙或路由器 Window域或活动目
17、录 Linux、Unix 部署加密技术 部署IDS/IPS 部署路由协议鉴别,AAA 服务,Authentication(身份鉴别) Authorization(授权) Accounting(记账),DoS 攻击特点,DoS攻击的目的是导致目标网络、系统或服务不可用. Distributed DoS 攻击能够协同大量的攻击主机向同一个目标进行集群攻击。 DoS 和 DDoS 攻击通常伴随着ip地址欺骗攻击,以隐藏攻击者. DoS攻击容易实施,但是非常难以彻底防范,需要所有的互联网ISP和所有的企业和用户共同防御才能减少其危害(互联网公共道德和安全意识)。,Distributed DoS 示例,
18、DoS 攻击的防御方法,在路由器和防火墙部署防ip源地址欺骗 在路由器和防火墙启用防御DoS安全特性 路由器Tcp拦截、常用acl策略 防火墙tcp连接监控 部署网络和主机IDS/IPS检测和防御DoS攻击 在互联网服务提供商(ISP)部署流量限速,TCP/IP协议簇的安全架构,IPv6安全特性,IPv6安全特性,支持移动性,地址数量大,支持端到端业 务模式,支持QoS和性 能问题,强制IPSEC,简化的路由表,配置简单,66,IPv6与IPv4的地址数量差异 IPv4地址数量:232,共4294967296个地址 IPv6地址数量:2128,共3.402823*1038 每个人可以分配到整个
19、比原来整个IPv4还多的地址,地球上每平方米可以分配到一千多个地址 IPv6 提供的许多增强功能 增强的 IP 编址 简化的报头 移动性和安全性 多种过渡方式,IP地址安全特性,67,IPv4 报头具有 20 个八位二进制数和 12 个基本报头字段,然后是选项字段和数据部分(通常是传输层数据段) IPv6 报头具有 40 个八位二进制数、三个 IPv4 基本报头字段和五个附加报头字段,简单报文结构,68,大多数应用协议需要进行升级 FTP, SMTP, Telnet, Rlogin 需要对下列标准进行修改 全部51个Internet标准中27个 20个草案中的6个 130个标准建议中的25个,
20、IPv6应用问题,69,知识域:网络协议安全,知识子域:无线数据网络协议安全 无线局域网协议安全 理解802.11无线网络协议原理及其安全特性 理解802.11i无线网络协议原理及其安全特性 了解WAPI的原理和安全特性 无线应用协议安全 理解WAP的产生背景、原理和架构 理解WTLS协议架构 理解WAP END-TO-END 安全的实现原理,70,无线局域网协议安全,无线网络体系及标准 无线局域网国际标准802.11简介 无线局域网国际标准802.11安全问题 IEEE 802.11i无线局域网安全协议介绍 WAPI标准介绍,71,无线技术,72,无线局域网的传输媒质分为无线电波和光波两类
21、无线电波主要使用无线电波和微波,光波主要使用红外线 无线电波和微波频率由各个国家的无线电管理部门规定,分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段;自由频段主要是指ISM频段(Industrical,Scientific,Medical),无线局域网基本概念,73,IEEE 802.11简介,WLAN是通过无线信道来实现网络设备之间的通信,并实现通信的移动化、个性化和宽带化。在WLAN中,当前使用最为广泛的为IEEE指定的802.11 . 802.11 标准(组)包括 802.11a , 802.11b , 802.11g及802.11n(草案) ,加上安全方面的 802.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISP0204 协议 网络 架构 安全
链接地址:https://www.31doc.com/p-2921327.html