CISP0204协议及网络架构安全.ppt-得力文库

资源描述

《CISP0204协议及网络架构安全.ppt》由会员分享，可在线阅读，更多相关《CISP0204协议及网络架构安全.ppt（149页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网络协议及架构安全网络协议及架构安全中国信息安全测评中心2012-10课程内容课程内容2网络安全网络安全网络架构安全网络架构安全网络安全设备网络安全设备网络协议安全网络协议安全无线数据网络协议安全无线数据网络协议安全无线蜂窝网络协议安全无线蜂窝网络协议安全防火墙防火墙入侵检测系统入侵检测系统其它网络安全设备其它网络安全设备网络架构安全的概念网络架构安全的概念 TCP/IP协议簇安全协议簇安全网络架构安全的实践网络架构安全的实践知识体知识体知识域知识域知识子域知识子域知识域：网络协议安全知识域：网络协议安全v知识子域：TCP/IP协议安全理解开放互联系统模型ISO/OSI七层协议模型理解TCP

2、/IP协议面临安全威胁及安全对策理解无线网络安全协议的原理和应用了解IPV6的安全优势vOSI七层结构模型vOSI参考模型的各层ISO/OSIISO/OSI开放互联模型开放互联模型4ISO/OSIISO/OSI七层模型结构七层模型结构5物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层数据链路层数据链路层数据链路层数据链路层应用层（高）应用层（高）数据流层数据流层7654321分层结构的优点分层结构的优点v降低复杂性v促进标准化工作v各层间相互独立，某一层的变化不会影响其他层v协议开发模块化v简化理解与学习6数据

3、链路层数据链路层数据链路层数据链路层v作用定义物理链路的电气、机械、通信规程、功能要求等；电压，数据速率，最大传输距离，物理连接器；线缆，物理介质；将比特流转换成电压；v典型物理层设备光纤、双绞线、中继器、集线器等；v常见物理层标准（介质与速率）100BaseT,OC-3,OC-12,DS1,DS3,E1,E3；第一层：物理层第一层：物理层7物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层v作用物理寻址，网络拓扑，线路规章等；错误检测和通告（但不纠错）；将比特聚成帧进行传输；流量控制（可选）v寻址机制使用数据接

4、收设备的硬件地址（物理地址）寻址（如MAC地址）v典型数据链路层设备网卡、网桥和交换机v数据链路层协议PPP,HDLC,FR,Ethernet,Token Ring,FDDI第二层：数据链路层第二层：数据链路层8数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第二层：以太网协议标准（两个子层）第二层：以太网协议标准（两个子层）vLLC（LogicalLinkControl）IEEE802.2为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等服务；vMAC（Me

5、dia Access Control）IEEE 802.3烧录到网卡ROM；48比特；唯一性；LLCLLC MAC MAC物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层9第三层：网络层第三层：网络层v作用逻辑寻址路径选择v寻址机制使用网络层地址进行寻址（如IP地址）v网络层典型设备路由器三层交换机10数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第四层：传输层第四层：传输层v作用提供端

6、到端的数据传输服务；建立逻辑连接；v寻址机制应用程序的界面端口（如端口号）v传输层协议TCP(Transmission Control Protocol)状态协议；按序传输；纠错和重传机制；Socket；UDP(User Datagram Protocol)无状态协议；SPX11数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第五层：会话层第五层：会话层v作用不同应用程序的数据隔离；会话建立，维持，终止；同步服务；会话控制（单向或双向）12数据链路层数据链路层数据链路层数

7、据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第六层：表示层第六层：表示层v作用数据格式表示；协议转换；字符转换；数据加密/解密；数据压缩等；v表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG；13数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第七层：应用层第七层：应用层v作用应用接口；网络访问流处理；流控；错误恢复；v应用层协议FTP,Telnet,HTTP,S

8、NMP,SMTP,DNS；14数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层数据发送过程数据发送过程-数据封装数据封装SegmentPacketBitsFramePDU数据接收过程数据接收过程-数据解封数据解封OSIOSI安全体系结构定义的安全攻击安全体系结构定义的安全攻击vOSI安全体系结构定义了被动攻击和主动攻击被动攻击:监听流量分析主动攻击:假冒重放篡改拒绝服务OSIOSI安全体系结构定义的安全服务安全体系结构定义的安全服务vOSI安全体系结构定义了系统应

9、当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务鉴别；访问控制；数据机密性；数据完整性；抗抵赖；OSIOSI安全体系结构定义的安全机制安全体系结构定义的安全机制加密；数字签名；访问控制；数据完整性；鉴别；流量填充（用于对抗通信流量分析，在加密时才是有效的）；路由控制（可以指定路由选择说明，回避某些特定的链路或子网）；公证（notarization）；vTCP/IP与OSI模型的对应关系vTCP/IP 常用协议与安全威胁TCP/IPTCP/IP协议模型协议模型20TCP/IPTCP/IP协议与协议与OSIO

10、SI模型的对应模型的对应21物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层数据链路层数据链路层数据链路层数据链路层互联网络层互联网络层互联网络层互联网络层传输层传输层传输层传输层应用层应用层应用层应用层网络接口层网络接口层网络接口层网络接口层TCP/IPTCP/IP协议结构协议结构22应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络接口层安全网络接口层安全损坏干扰电磁泄漏搭线窃听欺骗23拒绝服务嗅探网络接口层安全网络接口层安全v损坏：自

11、然灾害、动物破坏、老化、误操作v干扰：大功率电器/电源线路/电磁辐射v电磁泄漏：传输线路电磁泄漏v搭线窃听：物理搭线v欺骗：ARP欺骗v嗅探：常见二层协议是明文通信的（以太、arp等）v拒绝服务：mac flooding，arp flooding等24ARP ARP 欺骗欺骗DAI（DynamicARPInspection）是思科交换机的一个安全特性。DAI能够检查arp数据包的真实性，自动过滤虚假的arp包。利用利用DAIDAI防御防御arparp欺骗欺骗互联网络层体系结构互联网络层体系结构27应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPA

12、RP硬件接口RARPvIP是TCP/IP协议族中最为核心的协议v不可靠（unreliable）通信v无连接（connectionless）通信v提供分层编址体系（ip地址）IPIP协议简介协议简介28IP IP 报头结构报头结构IP IP 地址类别地址类别*127(01111111)是保留用于环回测试的A类地址，不能将其分配给网络。D类 224-2391110 0000 到 1110 1111 组播通信地址 E类 240-2551111 0000 到 1111 1111保留地址，用于测试国际互联网私有国际互联网私有IPIP地址范围地址范围类私有地址范围A10.0.0.0到10.255.255.

13、255B172.16.0.0到172.31.255.255C192.168.0.0到192.168.255.255v特点：构建在IP报文结构上，但被认为是与IP在同一层的协议IP报头ICMP报文8位类型8位代码16位校验和内容ICMPICMP协议协议32internetICMP查询报文网关ICMP差错报文pingping 1.1.1.1ICMP查询报文ICMP差错报文Couldnt find 1.1.1.1v传递差错报文及其他需要注意的信息vICMP地址掩码请求与应答vICMP时间戮请求与应答ICMPICMP协议的作用协议的作用33IPIP层安全层安全拒绝服务欺骗窃听伪造34互联网络层安全互联

14、网络层安全v拒绝服务：分片攻击（teardrop）/死亡之pingv欺骗：IP源地址欺骗v窃听：嗅探v伪造：IP数据包伪造35分片攻击（teardrop）vTeardrop的工作原理是利用分片重组漏洞进行攻击而造成目标系统的崩溃或挂起。v例如，第一个分片从偏移0开始，而第二个分片在tcp首部之内。v理想的解决方案是对ip分片进行重组时，保证TCP/IP实现不出现安全方面的问题。启用路由器、防火墙、IDS/IPS的安全特性能够防御tear drop攻击。36smurf攻击v攻击者使用广播地址发送大量的欺骗icmp echo请求，如果路由器执行了三层广播到二层广播转换（定向广播），那么，同一ip网

15、段的大量主机会向该欺骗地址发送icmp echo 应答，导致某一主机（具有欺骗地址）收到大量的流量，从而导致了DoS攻击。v防御方法为关闭路由器或三层交换机的定向广播功能。37防御防御IPIP源地址欺骗（源地址欺骗（rfc3704rfc3704过滤）过滤）v大多数攻击都伴随着ip源地址欺骗。38传输层体系结构传输层体系结构39应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPvTCP:传输控制协议v作用：TCP提供一种面向连接的、可靠的字节流服务v功能数据包分块发送接收确认超时重发数据校验数据包排序控制流量TCPTCP协议协议

16、4016位源端口号16位目的端口号32位序号32位确认序号偏移量保留U A P R S F16位窗口大小16位紧急指针16位校验和数据TCP包头数据结构TCPTCP首部首部41U U R G 紧急指针（u rgent pointer）有效A A C K 确认序号有效P P S H 接收方应该尽快将这个报文段交给应用层R R S T 重建连接S S Y N 同步序号，用来发起一个连接。F F I N 发送端完成发送任务 TCPTCP首部首部-标记位标记位42vTCP/UDP 通过16bit端口号来识别应用程序知名端口号由Internet号分配机构（InternetAssignedNumbers

17、Authority,IANA）来管理v现状1255端口号分配给知名的网络服务2561023分配给Unix操作系统特定的服务10245000临时分配的端口号5000以上端口号保留给应用服务TCPTCP首部首部-端口号端口号43TCPTCP建立连接过程建立连接过程三次握手三次握手CTL=TCP报头中设置为1的控制位v特点：UDP是一个简单的面向数据报的传输层协议不具备接收应答机制不能对数据分组、合并不能重新排序没有流控制功能协议简单占用资源少，效率高UDPUDP协议协议4516位源端口号16位目的端口号16位UDP长度16位UDP校验和数据UDPUDP协议包头协议包头46v相同点同一层的协议，基于

18、IP报文基础上v不同点TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销UDP是不可靠，但是高效的传输协议UDPUDP与与TCPTCP比较比较47传输层安全传输层安全拒绝服务欺骗窃听伪造48传输层安全问题传输层安全问题v拒绝服务：syn flood/udp flood、Smurfv欺骗：TCP会话劫持v窃听：嗅探v伪造：数据包伪造49TCP syn floodTCP syn flood攻击攻击v攻击者使用虚假地址在短时间内向目标主机发送大量的tcp syn连接请求，导致目标主机无法完成tcp三次握手，导致目标主机的连接队列被充满，从而导致目标主机拒绝为合法用户提供tcp服务。v可以在

19、路由器、防火墙或IPS启用ip源地址过滤（rfc3704），并启用tcp最大连接数和连接速率限制等特性进行防御。50TCPTCP会话劫持会话劫持v攻击者对两台通信主机的信息流进行监视，通过猜测会话序列号可能注入其中一台主机的信息流，当合法主机与网络的连接被断开后，攻击者使用合法主机的访问权继续进行会话。v最好的防御方法是使用防火墙或IPS进行会话合法性检查以及部署加密通信技术（如ipsec等）。51TCP TCP 序列号和确认号序列号和确认号应用层协议应用层协议v域名解析：DNSv电子邮件：SMTP/POP3v文件传输：FTPv网页浏览：HTTPv网络终端协议:TELENETv简单网络管理协议

20、:SNMPv网络文件系统:NFS v路由协议:BGP53应用层安全应用层安全拒绝服务欺骗窃听伪造暴力破解54应用层协议的安全问题应用层协议的安全问题v拒绝服务：超长URL链接、v欺骗：跨站脚本、钓鱼式攻击、cookie欺骗v窃听：嗅探v伪造：应用数据篡改v暴力破解：应用认证口令暴力破解等v55实现加密通信实现加密通信56v使用ssh替代telnetv使用https替代httpv使用S/MIME安全多用途英特网邮件扩展v部署ipsecvpn嗅探攻击嗅探攻击利用各种工具收集目标网络或系统的信息.常用攻击工具:Sniffers（数据包嗅探）端口扫描Ping扫描嗅探攻击的防御方法嗅探攻击的防御方法用户

21、和设备身份鉴别AAA服务、dot1x、NAC等。数据加密IPSec、SSL、SSH、WAPI、802.11i等。部署IDS/IPS部署交换机基础架构使用交换机基础架构能够减少数据包嗅探攻击。访问攻击特点访问攻击特点访问攻击的目的:获取数据获取访问特权常见的访问攻击和工具口令攻击（各种口令破解工具、嗅探、病毒、木马）信任关系利用端口重定向中间人攻击缓冲区溢出访问攻击的防御方法访问攻击的防御方法使用强口令、一次性口令,AAA服务等部署严格的边界信任和访问控制防火墙或路由器Window域或活动目录Linux、Unix部署加密技术部署IDS/IPS部署路由协议鉴别AAA AAA 服务服务Authent

22、ication（身份鉴别）Authorization（授权）Accounting（记账）DoS DoS 攻击特点攻击特点DoS攻击的目的是导致目标网络、系统或服务不可用.Distributed DoS 攻击能够协同大量的攻击主机向同一个目标进行集群攻击。DoS 和 DDoS 攻击通常伴随着ip地址欺骗攻击，以隐藏攻击者.DoS攻击容易实施，但是非常难以彻底防范，需要所有的互联网ISP和所有的企业和用户共同防御才能减少其危害（互联网公共道德和安全意识）。Distributed DoS Distributed DoS 示例示例DoS DoS 攻击的防御方法攻击的防御方法在路由器和防火墙部署防ip源

23、地址欺骗在路由器和防火墙启用防御DoS安全特性路由器Tcp拦截、常用acl策略防火墙tcp连接监控部署网络和主机IDS/IPS检测和防御DoS攻击在互联网服务提供商（ISP）部署流量限速TCP/IPTCP/IP协议簇的安全架构协议簇的安全架构 v IPv6IPv6安全特性安全特性 IPv6 IPv6安全特性安全特性支持移动性支持移动性地址数量大地址数量大支持端到端业支持端到端业务模式务模式支持支持QoSQoS和性和性能问题能问题强制强制IPSECIPSEC简化的路由表简化的路由表配置简单配置简单66vIPv6与IPv4的地址数量差异IPv4地址数量：232，共4294967296个地址IPv6

24、地址数量：2128，共3.402823*1038每个人可以分配到整个比原来整个IPv4还多的地址，地球上每平方米可以分配到一千多个地址vIPv6 提供的许多增强功能增强的IP编址简化的报头移动性和安全性多种过渡方式IPIP地址安全特性地址安全特性67IPv4报头具有20个八位二进制数和12个基本报头字段，然后是选项字段和数据部分（通常是传输层数据段）IPv6报头具有40个八位二进制数、三个IPv4基本报头字段和五个附加报头字段简单报文结构简单报文结构68v大多数应用协议需要进行升级FTP,SMTP,Telnet,Rloginv需要对下列标准进行修改全部51个Internet标准中27个20个草

25、案中的6个130个标准建议中的25个IPv6IPv6应用问题应用问题69知识域：网络协议安全知识域：网络协议安全v知识子域：无线数据网络协议安全无线局域网协议安全无线局域网协议安全理解802.11无线网络协议原理及其安全特性理解802.11i无线网络协议原理及其安全特性了解WAPI的原理和安全特性无线应用协议安全理解WAP的产生背景、原理和架构理解WTLS协议架构理解WAP END-TO-END 安全的实现原理70无线局域网协议安全v无线网络体系及标准v无线局域网国际标准802.11简介v无线局域网国际标准802.11安全问题vIEEE 802.11i无线局域网安全协议介绍vWAPI标准介绍

26、71无线技术无线技术72PAN(Personal Area Network)LAN(Local Area Network)WAN(Wide Area Network)MAN(Metropolitan Area Network)PANLANMANWANStandardsBluetooth802.15.3UltraWideBand(WiMedia)802.11802.11(Wi-Fi)802.16(Wi-Max)802.20GSM,CDMA,SatelliteSpeed1Mbps11to54Mbps10-100+Mbps10Kbps2MbpsRangeShortMediumMedium-LongL

27、ongApplicationsPeer-to-PeerDevice-to-DeviceEnterpriseNetworksLastMileAccessMobileDataDevicesv无线局域网的传输媒质分为无线电波和光波两类v无线电波主要使用无线电波和微波，光波主要使用红外线v无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical）无线局域网基本概念无线局域网基本概念73IEEE 802.11IEEE 802.11简介简介v WLAN是通过无

28、线信道来实现网络设备之间的通信，并实现通信的移动化、个性化和宽带化。在WLAN中，当前使用最为广泛的为IEEE指定的802.11.v802.11 标准（组）包括 802.11a，802.11b，802.11g及802.11n（草案），加上安全方面的 802.11i，以及 QoS 方面的 802.11e。v使用802.11系列协议的局域网又称Wi-Fi(Wireless-Fidelity)802.11802.11局域网网络结构局域网网络结构75无线局域网无线局域网安全风险安全风险无线局域网安全问题无线局域网安全问题76传统无线安全防护措施传统无线安全防护措施v服务集标识符SSID极易暴露和伪造

29、，没有安全性可言v物理地址（MAC）过滤 MAC地址容易伪造，扩展性差v有线等效加密（WEP）IEEE802.11定义的WEP保密机制加密强度不足，在很短的时间内WEP密钥即可被破解AirSnort的工具程序，利用WEP弱密钥的缺陷，可以在分析100万帧之后破解RC4的40位或者104位密钥。经过改进，它可以在分析20000帧之后破解。77问题示例：问题示例：“中间人中间人”攻击攻击后台后台后台后台AS AS 合法合法合法合法AP AP 伪造伪造伪造伪造APAP 用户（终端）用户（终端）用户（终端）用户（终端）攻击者攻击者攻击者攻击者攻击者利用伪造攻击者利用伪造APAP进行中间人攻击：进行中

30、间人攻击：伪造伪造APAP对用户（终端）相当于合法对用户（终端）相当于合法APAP；对合法；对合法APAP相当于用户（终端）相当于用户（终端）78802.11i802.11i简介简介 v在在WEPWEP之后，之后，802.11i802.11i任务组完成了提高任务组完成了提高WLANWLAN安全安全能力的开发工作能力的开发工作 v为了尽快提高为了尽快提高WLANWLAN的安全能力，的安全能力，Wi-FiWi-Fi联盟颁布了联盟颁布了Wi-Fi Protected Access(WPA)Wi-Fi Protected Access(WPA)作为作为Wi-Fi Wi-Fi 标准标准 v802.11i

31、802.11i标准的最终版本称作标准的最终版本称作RSNRSN（Robust Robust Security NetworkSecurity Network）。）。Wi-Fi Wi-Fi 的的WPA2WPA2完整的实现完整的实现了了802.11i802.11i标准标准。802.11i802.11i的网络架构的网络架构v 规定了二种网络架构：规定了二种网络架构：过渡安全网络过渡安全网络(TSN)(TSN)：可以兼容现有的使用：可以兼容现有的使用WEPWEP方方式工作的设备，使现有的无线局域网系统可以向式工作的设备，使现有的无线局域网系统可以向802.11i802.11i网络平稳过渡。网络平稳过

32、渡。强健的安全网络强健的安全网络(RSN)(RSN)：针对：针对WEPWEP加密机制的各种加密机制的各种缺陷做了多方面的改进缺陷做了多方面的改进，大大增强，大大增强WLANWLAN的数据加的数据加密和认证性能。密和认证性能。IEEE 802.11i RSN IEEE 802.11i RSN 的运行的运行三种加密方式的比较三种加密方式的比较 WEPTKIPCCMP核心算法RC4RC4AES密钥长度40/104bit128bit128/192/256bit完整性确认CRC校验MIC检验码CCM算法认证无EAP协议EAP协议WAPIWAPI标准简介标准简介vWAPI(WLAN Authentica

33、tion and Privacy Infrastructure)是我国自主研发的，拥有自主知识产权的无线局域网安全技术标准83启动标准编制标准推出并准备强制启用无限期退出强制执行并申请国际标准政府发文促进标准体系完善，国际标准投票失败启动第二次国际标准申请，可能成为独立标准标准化组织达成共识，推动成为独立标准计算机计算机 WAPIGB 15629.11-2003GB 15629.11-2003/XG1-2006GB 15629.1102-2003GB 15629.1101-2006GB 15629.1104-2006GB/T 15629.1103-2006 5.8 GHz54 Mbps2.4

34、GHz11 Mbps不同国家不同国家之间漫游之间漫游2.4 GHz54 Mbps 2006年年6月颁布四项新的无线月颁布四项新的无线局域网国家标准。局域网国家标准。形成全面采用形成全面采用WAPI我国无线局我国无线局域网国家标准体系域网国家标准体系基于基于WAPIWAPI的无线局域网标准体系的无线局域网标准体系842009-3-09v基于三元结构和对等鉴别的访问控制方法v 可普遍适用于无线、有线网络v WAPI目的：“合法用户接入合法网络”用户用户网络网络 WAPIWAPI的技术思想的技术思想85WLANWLAN（APAP）终端终端终端终端终端终端终端终端终端终端终端终端 WMANWM

35、AN（基站）（基站）（基站）（基站）有线连接有线连接有线连接有线连接 2 2公里公里公里公里 5050米米米米 LANLAN（交换机（交换机（交换机（交换机/路由器）路由器）路由器）路由器）后台网络后台网络后台网络后台网络终端终端终端终端接入点接入点接入点接入点后台后台后台后台AS AS 全全IPIP架构下的接入网三元结构架构下的接入网三元结构86WEPWEP802.1x+EAP(802.11i)802.1x+EAP(802.11i)、WiMAXWiMAXWAPIWAPI二元安全架构对应二元安全架构对应二物理实体二物理实体单向鉴别单向鉴别无法保证安全无法保证安全三元安全架构对三元安全架

36、构对应三物理实体应三物理实体接入点接入点/基站有独立身份基站有独立身份完整双向认证完整双向认证有效保证安全有效保证安全“元元”在网络安全接入领域指具有认证功能的功能体在网络安全接入领域指具有认证功能的功能体二元安全架构对应二元安全架构对应三物理实体三物理实体AP无独立身份，无独立身份，易被攻击易被攻击仍无法保证安全仍无法保证安全 WAPIWAPI构筑三元安全架构构筑三元安全架构87STA 其他网络设备 AS 服务器 AP 鉴别激活接入鉴别请求证书鉴别请求证书鉴别响应接入鉴别响应访问网络资源（链路加密）通信过程身份鉴别过程密钥协商请求组播密钥响应密钥协商响应组播密钥通告WAPI-WLAN安

37、全接入协议采用公钥证书机制，安全接入协议采用公钥证书机制，通过双向身份鉴别和密钥协商过程实现安全接入通过双向身份鉴别和密钥协商过程实现安全接入控制和保密通信。控制和保密通信。WAPIWAPI安全协议流程安全协议流程88无线应用协议安全无线应用协议安全 v WAP概况v WAPWAP基础设施基础设施 v WAPWAP程序设计模型程序设计模型 v 无线标识语言（无线标识语言（WMLWML）v WAPWAP协议体系结构协议体系结构 v 无线网传输层安全无线网传输层安全(WTLS)(WTLS)v WAP END-TO-END 安全 WAP WAP 产生背景产生背景v 1997年中期，世界几个主要的移动

38、设备制造商Motorola、Nokia Ericsson和美国一家软件公司P作为最初的发起者成立了WAP论坛，开始进行WAP协议的开发。v WAP协议设计目标是，基于Internet中广泛应用的标准（如HTTP,TCP/IP,SSL,XML等），提供一个对空中接口和无线设备独立的无线设备独立的无线Internet全面解决方案，同时支持未来的开放标准。移动终端的局限移动终端的局限v设备的限制较弱的处理器能力不足的内存大小较短的电池寿命较小的显示屏较弱的数据输入能力v无线网络的限制窄带宽大延迟低稳定性 WAPWAP规范的主要内容规范的主要内容v与WWW 程序设计兼容的程序设计模型，B/S结构v

39、符合XML规范的语言：WML（Wireless Markup Language）v适合移动无线终端的微浏览器v轻量级的通信协议栈v无线电话应用（wireless telephony applications，WTAs）框架，提供电话和Internet 访问功能的集成 WAPWAP基础设施基础设施 WAPWAP程序设计模型程序设计模型无线标识语言（无线标识语言（WMLWML）v WML的重要特征支持文本和图像支持用户输入支持导航窄带优化 WAPWAP协议体系结构协议体系结构 v WTLSWTLS协议体系结构协议体系结构 v WAP END-TO-END WAP END-TO-END 安全

40、安全 v基于TLS的安全架构 v基于IPSec的安全架构为什么提出为什么提出WAP END-TO-END WAP END-TO-END 安全安全基于基于TLSTLS的安全架构的安全架构基于基于IPSecIPSec的安全架构的安全架构知识域知识域:网络协议安全网络协议安全v 知识子域:无线蜂窝网络协议安全 GSM的安全性了解GSM的安全机制和安全缺陷 CDMA的安全性了解CDMA的安全机制和安全缺陷 3G系统的安全性了解3G系统的安全机制和安全缺陷102GSM GSM 的安全措施的安全措施v 访问访问AUCAUC（Authentication CenterAuthentication C

41、enter，鉴权鉴权中心），进行用户认证进行用户认证v 无线通道加密无线通道加密v 移动设备确认移动设备确认v IMSI IMSI临时身份临时身份TMSITMSI的使用的使用（用户号码保密和（用户号码保密和避免被别人对用户定位避免被别人对用户定位）103GSM GSM 的安全缺陷的安全缺陷 v安全系统内在的弱点固定网络中的数据和信令传输并未得到充分的保护入侵者轻易能得到的全部有关安全的信息.SIM卡易受一种称为“SIM克隆”的攻击.v数据业务的弱点短信信息在传输时未加密 v加密算法的弱点 David Wagner 和 Ian Goldberg曾用不到一天的时间破解了COMP128算法。1

42、04CDMA CDMA 的安全措施的安全措施v用防篡改的UIM（User Identify Module）卡代替了GSM的SIM卡 vCDMA认证 vCDMA的保密性 105 CDMA CDMA 的安全缺陷的安全缺陷 v当前的许多系统不支持认证功能 v手机既没有认证算法也无法输入 v A-KEY参数的管理存在问题 1063G 3G 的安全措施的安全措施v用户身份保密在无线链路上窃听用户身份IMSI是不可能的；确保不能够通过窃听方式获取当前用户的位置；不能在无线链路上获知用户正在使用的不同的业务 v3G认证完成了网络和用户间的双向认证；防止重放攻击;v数据保密性v数据完整性107 3G 3G系

43、统的安全漏洞系统的安全漏洞 v 3G允许将比较弱的加密算法标准化以便于出口;v 不支持公钥密码体制，难以实现用户数字签名v 终端存储能力和处理能力的增强更有利于病毒的传播 108知识域：网络架构安全知识域：网络架构安全v知识子域：网络架构安全的概念理解网络架构安全的含义理解网络架构的安全需求（安全域、安全边界、用户接入控制、数据安全访问和控制等）109网络架构安全的含义网络架构安全的含义 v网络架构的定义：定义一：指对网络系统中物理部件的规划、规格描述以及布署定义二：为设计、构建和管理一个通信网络提供一个构架和技术基础的蓝图。定义三：指对由软件、互联设备、通信协议和传输模式等构成的网络的

44、结构和布署，用以确保可靠的信息传输，满足的业务需要。v网络架构安全是网络架构在安全方面的考虑，是网络规划和设计的重要内容之一网络架构的安全需求网络架构的安全需求 v安全域划分安全域划分v边界安全策略 v路由交换设备安全配置要求路由交换设备安全配置要求 v防火墙安全配置要求防火墙安全配置要求 v网闸安全配置要求网闸安全配置要求 v入侵检测安全配置要求入侵检测安全配置要求 v抗抗DDoSDDoS攻击安全配置要求攻击安全配置要求 v虚拟专用网（虚拟专用网（VPNVPN）攻能要求）攻能要求 v流量管理部署与功能要求流量管理部署与功能要求 v网络监控与审计部署与功能要求网络监控与审计部署与功能要求v访

45、问控制的功能要求访问控制的功能要求网络安全域网络安全域 v定义定义安全域是遵守相同安全策略的用户和系统的集合v安全域划分的目的安全域划分的目的把大规模系统安全问题化解为更小区域的安全保护问题v安全域的分类安全域的分类按信息资产划分按业务类型划分按区域划分按组织架构划分112v同级别安全域同级别安全域同级别安全域之间的边界-同级别安全域之间的安全防护主要是安全隔离和可信互访v不同级别安全域不同级别安全域不同级别安全域之间的边界实际设计实施时又分为高等级安全域和低等级安全域的边界和防护v远程连接用户远程连接用户远程连接的用户对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护同

46、级别安全域之间的边界远程接入边界的安全网络安全域防护网络安全域防护113v网络边界的概念网络边界的概念具有不同安全级别的网络之间的分界线都可以定义为网络边界 v网络常见边界：网络常见边界：核心网络与互联网的边界核心网络与部门、分支机构网络的边界核心网络与异地容灾中心边界安全不同部门、分支机构网络的边界114网络边界防护网络边界防护v路由器路由器v防火墙；防火墙；vIDSIDS。vVPNVPN设备。设备。v软件软件vDMzDMz和被屏蔽的于网和被屏蔽的于网 v隔离网闸v。115网络边界防护部件网络边界防护部件路由交换设备安全配置要求路由交换设备安全配置要求v每台设备上要求安装经认可的操作

47、系统，并及时修补漏洞v路由器设置加长口令，网络管理人员调离或退出本岗位时口令应立即更换。v路由器密码不得以明文形式出现在纸制材料上，密码应隐式记录，记录材料应存放于保险柜中。v限制逻辑访问，合理处置访问控制列表，限制远程终端会话。v监控配置更改。v定期备份配置和日志。v明确责任，维护人员对更改路由器配置时间、操作方式、原因和权限需要明确。入侵检测安全配置要求入侵检测安全配置要求 v中大型网络平台应部署基于网络的入侵检测系统（NIDS）v网络入侵检测系统应对核心局域网、DMZ区域进行检测。v对大型网络、分支机构网络的入侵检测，应采用分布式方式部署入侵检测系统。v入侵检测产品应有国家相关安全部门的

48、证书。v监控配置更改时要进行监控。、v定期备份配置和日志。v入侵检测系统设置加长口令。v如采用分布式部署方式，各级入侵检测系统宜采用分级管理方式进行管理。访问控制的功能要求访问控制的功能要求 v网络边界部署访问控制设备，启用访问控制功能。v能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。v对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。v在会话处于非活跃一定时间或会话结束后终止网络连接。v限制网络最大流量数及网络连接数。v重要网段应采取技术手段防止地址欺骗。v按用户和系统之间的允许访问规则，决定允许或拒

49、绝用户对受控系统进行资源访问，控制粒度为单个用户。知识域：网络架构安全知识域：网络架构安全v知识子域：网络架构安全实践掌握IP地址规划、VLAN划分的基本安全原则掌握网络设备安全功能和安全配置的基本原则掌握网络安全设备部署和配置的基本原则119网络架构安全网络架构安全v IP地址规划v VLAN规划和实施v 网络设备的安全功能和配置v 网络安全设备的功能和配置IPIP地址规划地址规划从IP地址规划中可以看出一个网络的规划质量、甚至可以反映出网络设计师的技术水准。121v为什么需要进行为什么需要进行IP规划规划提高路由协议的运行效率确保网络的性能确保网络可扩展确保网络可管理v核心设备使用相对较小

50、的地址核心设备使用相对较小的地址v所有网关地址使用相同的末位数字，如所有网关地址使用相同的末位数字，如.254.254都是网关或都是网关或.1.1都是网关都是网关vIPIP地址通常要聚合后发布，在规划时要充地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。分考虑使用连续的可聚合地址。IPIP地址规划的技巧地址规划的技巧122非体系化的非体系化的ipip编址编址主干网和每个分支网络需要维护全网的详细IP网段，路由表条目数明显增多，明显增加了路由协议运行开销。体系化的体系化的ipip编址编址主干网只需维护每个分支网络的一条汇总路由每个分支网络只需要维护本网络区域的详细IP网段，对于其他

展开阅读全文