网络通信安全

网络通信安全
第4章
网络通信安全
第4章网络通信安全
4.1 网络通信中的安全威胁 4.2 远程访问的安全
4.3 IP安全
4.4 端口扫描 4.5 小结习题与思考题
第4章
网络通信安全
本章学习目标
1. 了解网络通信安全的内容。

2. 了解网络通信传输中存在的安全威胁。

3. 掌握远程访问的安全配置方法。

4. 掌握端口扫描的概念和方法。

5. 掌握IP的基础知识，以及IP安全的相关内容。

第4章
网络通信安全
4.1 网络通信中的安全威胁
4.1.1 网络通信的安全性
4.1.2 网络通信存在的安全威胁
4.1.3 TCP/IP协议的脆弱性
第4章
网络通信安全
4.1.1 网络通信的安全性
网络通信安全是指通过各种计算机、网络、密码
技术和信息安全技术，确保在通信网络中传输、交换和存储的信息完整、真实和保密，并对信息的传播及内容具有控制能力。

网络通信安全性粗略地分为四个相互交织的部分：保密、鉴别、反拒认以及完整性控制。

所有这些问题也发生在传统的系统中。

网络通信安全的内容可以概括为以下几个方面：
第4章
网络通信安全
1. 保密性：指防止静态信息被非授权访问和防止动态
信息被截取解密。

2. 完整性：要求在存储或传输时信息的内容和顺序都不被伪造、乱序、重置、插入和修改。

3. 可靠性：指信息的可信度，包括信息的完整性、准
确性和发送人的身份认证等方面。

4. 实用性：即信息的加密密钥不可丢失。

第4章
网络通信安全
5. 可用性：指主机存放静态信息的可用性和可操作性。

6. 占有性：若存储信息的主机、磁盘等信息载体被盗用，则将导致对信息占有权的丧失。

保护信息
占有性的方法有使用版权、专利、商业秘密、使
用物理和逻辑的访问限制，以及维护和检查有关盗窃文件的审计记录和使用标签等。

第4章
网络通信安全
4.1.2 网络通信存在的安全威胁
计算机网络通信安全即数据在网络中的传输过程的安全，是指如何保证信息在网络传输过程中不被泄露与不被攻击。

当网络中的计算机通信双方的发送方给接收方发送信息时，在传输的过程中可能会遭到攻击，攻击类型主要有以下四种：
第4章
网络通信安全
1. 截获：信息被非法用户截获，这时接收方没有接收到应该接收的信息，从而使信息中途丢失，失去了信息的可靠性。

2. 窃听：信息虽然没有丢失，接收方也接收到了信息，但该信息已被不该看的人看到，失去了信息的保密性。

3. 篡改：信息表面上虽然没有丢失，接收方也收到了应该接收的
信息，但该信息在传输过程中已被截获并被修改，或插入了欺骗性的信息，实际上接收方所接收到的信息是错误的，失去了信息的完整性。

4. 伪造：发送方并没有发送信息给接收方，而接收方收到的信息是第三方伪造的，如果接收方不能通过有效办法发现这一情况，那就有可能造成严重的后果。

第4章
网络通信安全
4.1.3 TCP/IP协议的脆弱性
TCP/IP协议是进行一切互联网上活动的基础，没有它，信息就不可能在不同操作系统、在不同通信协议中来去自由。

因为当时网络软、硬件设备的局限性，当初设计该协议时只着重考虑了网络的速度，而对网络的安全性没作太多的考虑，甚至根本没作考虑，所以说TCP/IP 本身在安全
设计上就先天不足。

第4章
网络通信安全
1. 网上信息易被窃取大多数互联网上的信息是没有经过加密的，如电子邮件、网页中输入口令或填写个人资料、文件传输等这一切都很容易被一些别有用心的人监听和劫持，其实这就是TCP/IP通信协议在安全性方面的一个漏洞。

第4章
网络通信安全
2. IP的缺陷导致易被欺骗
① IP包中的源地址可以伪造；
② IP包中的“生成时间”可以伪造；③ 薄弱的认证环节。

图4-1说明了如何使用这个选项把攻击者的系统假扮成某一特定服务器的可信任的客户。

第4章
网络通信安全
服务器
被信任的客户
攻击者
图4-1 IP地址欺骗
第4章
网络通信安全
① 攻击者要使用那个被信任的客户的地址取代自己的地址。

② 攻击者构成一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节
点。

③ 攻击者用这条路径向服务器发出客户申请。

④ 服务器接收客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应。

⑤ 可信任客户使用这条路径将包向前传送给攻击者的主机。

第4章
网络通信安全
3. ?ICMP的缺陷
网络中经常会使用到ICMP协议，只不过一般觉察不到
而已。

比如经常使用的用于检查网络通不通的“Ping”命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。

还有其他的网络命令如跟踪路由的“Tracert”命令也是基于 ICMP协议的。

第4章
网络通信安全ICMP中的“Redirect”消息可以用来欺骗主机和路由
器，并使用假路径。

这些假路径可以直接通向攻击者的
计算机系统，而不能真正连接到一个合法的可信赖的计算机用户，这会使攻击者获得系统的访问权。

对于系统来说，缺乏反映信源到信宿真实路径的跟
踪信息。

通过TCP/IP发出一个数据包如同把一封信丢入信箱，发出者知道正在走向信宿，但发出者不知道通过什么路线或何时到达。

这种不确定性也是安全漏洞。

第4章
网络通信安全
4. ?TCP/IP协议明码传送信息导致易被监视网络中最常见的窃听是发生在共享介质的网络中(如以太网)，这是由于TCP/IP网络中众多的网络服务均是明码传送。

黑客使用Sniffer、T cpdump或Snoop等探测工具，就可以清楚地看到某个用户从一台机器登录到另一台机器的全过程。

大多数用户不加密邮件，而且许多人认为电子邮件是安全的，所以用它来传送敏感的内容。

因此，电子邮件或者Telnet和FTP 的内容，可以被监视从而了解一个站点的情况。

第4章
网络通信安全
5. 提供不安全的服务
基于TCP/IP协议的服务很多，有WWW服务、FTP服务和电子邮件服务，TFTP服务、NFS服务等。

这些服务都存在不同程度上的安全缺陷，当用户要保护站点时，就需要考虑，该提供哪些服务，要禁止哪些服务，如果有防火墙，应把不对外的服务限制在内网中。

第4章
网络通信安全
4.2 远程访问的安全
管理安全的远程访问是一项艰巨的任务。

因为远程系
统可能直接连接到互联网而不是通过公司的防火墙，所以
远程系统将给网络环境带来更大的风险。

病毒和间谍软件防御以
及一般的VPN网络策略还不足以保护这些系统的安全以及它们连接的网络的安全。

远程访问安全的内容包括拨号调制解调器访问安全、虚拟专用网的安全以及无线网络接入的安全等。

第4章
网络通信安全
4.2 远程访问的安全
4.2.1 拨号调制解调器访问安全 4.2.2 虚拟专用网的安全
4.2.3 无线网络接入的安全
4.2.4 远程溢出攻击与后门
第4章
网络通信安全
4.2.1 拨号调制解调器访问安全
通过传输媒介——公用电话网（Public Switched Telephone Network—PSTN），利用Modem模拟拨号技术来实现远程连接，是目前最为普通、方便的远程访问方式。

虽然调制解调器给上网带来了极大的方便，但同
时也带来了危险。

不少人建立连接时，通常采取的措
施并不安全，从开始到完成，只是根据默认的提示进行。

第4章
网络通信安全
调制解调器的危险在于它提供了进入用户网络的另一个入口点，也就是端口，一般来说，打开网络端口点越多，
被入侵的可能性就越大。

一般一个标准的Intranet结构会包括内、外网段。

内网段和外段网之间有防火墙，在内外网段都可能提供拨号服务
器，外网段拨号服务器供普通用户使用，内网段拨号服务器
供公司的高级职员使用，这两种拨号服务保护方式是不同的。

第4章
网络通信安全
外网段拨号服务器被置于防火墙外部，它的安全是通
过防火墙和身份验证服务器来保证的。

对于内网段的内部
网来说，这种服务应该是保密的，而且要严格控制，并应有强大的身份验证系统来保证安全。

如果一个黑客通过拨
号服务器登录到用户的网络中，那么他就像在用户的公司
里使用一台机器一样，他会窃听到用户的内部网络通信。

如何才能提高拨号网络的安全性呢？
第4章
网络通信安全提高拨号调制解调器安全的方法很多，至少可以通过
以下五种方法来实现。

① 号码不要广泛流传。

② 使用用户名和口令来保护拨号服务器。

口令可以是静
态，但最好是一次性口令。

③ 使用安全性好的调制调解器。

回拨调制解调器、安静调制解调器是比较好的选择。

第4章
网络通信安全回拨调制解调器是在连接时要求用户输入用户名和口
令，它不会马上连接，它会先断开连接，查找该用户的合法电话号码，然后，回拨调制解调器会回拨到合法电话号码，并建立起连接。

最后，用户就可以输入用户名和口令
而进入该系统。

这样做可以杜绝一个账号可以在不同电话
机上使用的危险。

安静调制解调器在登录完成之前不会发出特殊的
“Connection established”信号，这样可以防止有人按顺序
搜索计算机拨号系统的电话号码。

第4章
网络通信安全
④ 在网络上加一个用于核实用户身份的服务器。

⑤ 防范通过调制调解器对Windows NT的RAS访问带来的安全隐患。

Windows NT 、 2000 、 2003 的远程访问服务 (Remote Access Server—RAS)给用户提供了一种远程用调制解调器访问远程网络的功能，当用户通过远程访问服务连接到远程网络中时，电话线就变得透明了，用户可以访问所有资源，就像他们坐在办公室进而访问这些资源一样，RAS调制解调器起着像网卡一样的作用。

第4章
网络通信安全但这种RAS在实施过程中存在许多重大的安全隐患。

因为RAS服务器和网络操作系统服务器使用相同的用户数
据库。

用户用在办公室中使用的同一个用户进行登录，这
样可以保证用户具有相同的访问权限，但这给网络安全的管理带来了新的难题。

为了进行连接，用户必须有一个有效的系统用户账户
和RAS拨入许可，这在用户尝试登录到系统之前，必须被验证。

但如果用户不在公司，其身份的真实性就很难验证，如果某个系统管理员的账号被一些别有用心的人知道后进行RAS访问，那后果将会非常严重。

第4章
网络通信安全
① 加强公司员工账号管理。

为了防止非法用户通过RAS访问网络就必须加强公司员工账号管理，特别是管理员账号。

② 管理员账号
最好不是使用“Administrator” 。

应对其进行改名，或增加一个同样权限的系统管理员组成员，用户账号也要求经常更改。

③ 定期更改密码。

有些公司就要求所要用户密码至少一个月改一次，而且最近的两次密码不能一样，公司的进、销、存管理软件用户密码至少要求一个星期改一次，这在某种程度上预防了非法用户通过RAS进行非法登录。

第4章
网络通信安全
4.2.2 虚拟专用网的安全
虚拟专用网(Virtual Private Network—VPN)是专用网络在公共网络(如Internet)上的扩展。

VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，通信数据在安全隧道中进行加密传输，从而达到安全传输数据的目的。

由于VPN具有高度灵活性、高带宽、高安全性、应用费用相对低廉等优点，已经成为非常理想的企业网远程访问解决方案。

VPN 的应用可以分为三个基本类型：Access VPN、Intranet VPN和Extranet VPN。

第4章
网络通信安全
1. ?VPN的一般组网方案
可以利用企业现有的网络设备，如路由器、服务器与防火墙来建置VPN。

有些企业网络以路由器为中心，把 VPN 服务加在路由器上。

有些企业把防火墙看成是 Internet安全通信的核心，选择防火墙式的VPN建置方案。

1) 路由器式VPN 使用具有VPN功能的
路由器，公司总部便可与分公司间经由Internet或ISP网络来传送企业内部资料。

拨号连接
用户也可在ISP网络中建立隧道(Tunneling)，以存取企业
网络。

第4章
网络通信安全
相对来说，路由器式VPN部署较容易，只要在路由器上添加VPN服务，通常只需将软件升级即可，而
新型路由器通常已在软件或操作系统中内建了VPN服
务。

基本上，路由器上的VPN软件升级，一般都会包括防火墙、加密以及隧道等功能。

有些厂商则会将用
户身份辨识与既有的身份辨识服务，如远程身份辨识
拨号连接用户服务(Remote Authentication Dial-In User Service—RADIUS)连结在一起。

第4章
网络通信安全
2) 软件式VPN
由生产厂商和协作厂商提供的VPN应用程序可执行加
密、隧道建立与身份辨识，让用户通过VPN与企业内部网络相连。

这种技术可使现有设备继续沿用，即将软件安装
在现有的服务器上，不需变动网络组态。

另外，程序可与
现有的网络操作系统的身份辨识服务相连，可大幅简化 VPN的管理工作。

第4章
网络通信安全
3) 防火墙式VPN
许多企业以防火墙为Internet安全措施的核心，用来防范黑客的攻击。

许多防火墙厂商已在它们的产品中支持VPN服务，保护用户的内部网络免于被未授权的用户侵入。

一个良好的防火墙可以根据用户、应用程序和传输源辨识通信流。

这种作法的好处是现有网络架构保持不变，就可以管理VPN服务所用的接口，而且与原来管理防火墙时使
用的接口相同。

因为加密与建立隧道等VPN服务都是由
软件来处理的，从而进一步提高了效能。

第4章
网络通信安全 2. ?VPN的安全管理同任何的网络资源一样，VPN 也必须得到有效的
管理，需要关注VPN的安全问题。

目前所有的VPN设
备都应用了相关的核心技术，这些技术包括隧道协议(Tunneling) 、资料加密 (Encryption) 、认证 (Authentication)及存取控制 (Access Control)等。

第4章
网络通信安全
(1) 隧道技术隧道技术就是将原始报文在A地进行封装，到达B 地后去掉封装，还原成原始报文，这样就形成了一条由A到B的通信隧道。

隧道协议技术分为两种不同的类型。

① 端对端(End-to-End)隧道技术。

从用户的PC延伸到用户
所连接的服务器上。

② 点对点(Node-to-Node)隧道技术。

主要是连接不同地区的局域网络。

在局域网络内部传送的资料并不需做任何的变动。

第4章
网络通信安全
(2) 加密技术大部分VPN设备厂商都支持市场上主要的几种加密技术，像 RSA Security 公司的 Rivest Cipher 技术、 DES 及Triple-DES (三重DES)等。

密钥长度的选择取决于许多因素，较明显的因素包括确保资料机密的重要性程度以及资
料所流经的网络安全性等。

在VPN中，加密应只使用于特别敏感的交通，当有需要时才使用，或加装硬件加密模块，因为加密非常占用处
理器资源，而且会影响速度性能。

第4章
网络通信安全一旦VPN采用加密技术后，系统也必须提供用户一
套
取得密钥的方法。

最常见的几种密钥管理技术为 PPP (Point-to-Point Protocol，点对点协议)中的加密技术。

① ECP协议(Encryption Control Protocol，加密控制协议)
② MPPE (Microsoft Point-to-Point Encryption，Microsoft
点对点加密技术) ③ ISAKMP/IKE (Internet Society Association Key
Management Protocol/Internet Key Exchange，网络安全关联密钥管理协议/网络密钥交换)
第4章
网络通信安全
(3) 认证 VPN采用了许多现存的用户认证技术。

举例来说，许多厂商所推出的 VPN 设备中，都具备了 PPP 的 PAP (Password Authentication Protocol，密码认证协议)技术、
CHAP (Challenge Handshake Authentication Protocol，挑战性握手验证协议) 。

第4章
网络通信安全
VPN连接包括两种认证形式：
① 用户身份认证
在VPN连接建立之前，VPN服务器对请求建立连接的VPN客户机进行身份验证，核查其是否为合法的授权用户。

如果使用双向验证，还需进行VPN客户机对VPN 服务器的身份验证。

② 数据完整性和合法性认证检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。

VPN链路中传输的数据包含密码检查，密钥只由发送者和接收者双方共享。

第4章
网络通信安全 (4) 存取控制
在确认用户身份之后，进一步所需要的功能就是针
对不同的用户授予不同的存取权限。

这部分的功能也是认证服务器拥有的另一功能。

第4章
网络通信安全
许多VPN的产品都伴随有适用该产品的认证服务器。

用户必须接受身份和授权程序的验证，让网络知道他们
是谁以及让用户知道他们可以做些什么。

一个良好的系统也会执行账户稽核，以追踪支出源和确保安全性。

验证(Authentication) 、授权(Authorization)和账户稽
核(Accounting) ，统称为AAA服务。

第4章
网络通信安全 (5) QoS技术通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。

但是该VPN性能上不稳定，管理上不能满足用户的要求，这就要加入服务质量(Quality of Service—QoS)。

实行QoS应该在主机网
络中，即VPN所建立的隧道这一段，建立一条性能符
合用户要求的隧道。

第4章
网络通信安全
4.2.3 无线网络接入的安全
随着无线网络技术的成熟，无线网络和数据采集设备
及监控设备的有效结合，同样可以很方便地进行远程连
接。

目前实现无线网络的技术有：?蓝牙无线接入技术?IEEE 802.11连接技术 ?HomeRF (Home Radio Frequency)技术。

第4章
网络通信安全
无线网络最基本的安全措施是有线等效保密 WEP
(Wired Equivalent Privacy)协议。

WEP使用RC4加密算法，
这种算法使用同一组密钥来打乱以及重新组合网络封包。

如果用户的密钥管理系统以一种可预测的方式循环使用一组不同的密钥，那么决心要破解密码的黑客便可以从正常用户的局域网络流量中收集资
料，并且通过密钥的相关分析来帮助破解加密机制。

他们的攻击技巧对于40位或者128位的RC4加密机制都同样有效。

第4章
网络通信安全
基于以上原因，最新的标准整合了两项与认证和加密有
关的关键组件。

在认证功能方面，未来可能会采用802.1x标
准。

采用这项标准能够让用户每次登入网络都使用不同的加密密钥，而且该标准自身提供了密钥管理机制。

第4章
网络通信安全在新的标准没有出来之前，如果要确保无线接入的安
全性最好，应该采取以下措施：
1. 使用动态秘钥管理动态安全链路会自动生成一个新的128位加密秘钥，
它对每个网络用户和每次网络会话来说都是唯一的。

这一
技术能够比静态共享秘钥策略提供更高的网络安全性，帮助用户从手工的输入工作中解脱出来。

第4章
网络通信安全 2. 定期稽核强化无线接入安全性的一个必要步骤便是通过网络
稽核，找出所有未受管制的无线局域网络联接器，进而将它们纳入系统既有安全政策的管制，或者干脆完全停止使用这些联接器。

从短期来看，各企业应该使用具备
无线局域网络流量侦测功能的产品，以便能够方便地找
出无线局域网络联接器。

第4章
网络通信安全 3. 认证由于以WEP为基础的标准规范存在安全缺陷，因此需
要一套强而有力的认证机制与防火墙搭配一起使用，即将
无线局域网络区段作为公共网络一样看待。

第二层虚拟局域网络(Layer 2 virtual LANs)可以将无线
局域网络流量区隔在单一防火墙之外，从而减少多重防火
墙设备的需要。

除了单纯地通过认证机制以及网络观测设备来进行存取控制之外，用户也可以部署一套入侵侦测系统(Intrusion Detection System—IDS)，以便主动地事先辨认出局域网络入侵迹象。

第4章
网络通信安全
4.2.4 远程溢出攻击与后门
1. 远程溢出攻击远程溢出攻击作为常见的漏洞利用方式，一旦攻击者寻找并发现目标主机的某个守护进程或网络服务存在着远程溢出漏洞，那么他很可能在接下来的时间内取得主机的额外访问权，就这
样攻击者在没有物理接触目标
系统的情况下就获得了对目标主机的控制权。

第4章
网络通信安全
远程溢出攻击者无须一个账号登录到本地直接获得
远程系统的管理员权限，通常通过攻击以root身份执行
的有漏洞的系统守护进程或网络服务来完成，这些漏洞中的绝大部分来源于缓冲区溢出，少部分来自守护进程
本身的逻辑缺陷。

第4章
网络通信安全
2. 后门程序
后门又称为Back Door，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。

后门程序和电脑病毒的最大的区别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其他电脑。

它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。

第4章
网络通信安全
简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号；复杂的后门（包括木马）可
能会绕过系统的安全认证而对系统有安全存取权。

后门产生的必要条件有以下三点：① 必须以某种方式与其他终端节点相连；
② 目标机默认开放的可供外界访问的端口必须在一个以上；
③ 目标主机存在设计或人为疏忽，导致攻击者能以权限较高的身份执行程序。

第4章
网络通信安全
4.3 IP安全
随着Internet的迅速发展，现有的IP版本不足以满足
Internet的性能和功能要求。

作为一种稀缺资源，IP地址
的盗用就成为很常见的问题。

IP地址盗用侵害了Internet网络的正常用户的权利，并且给网络计费、网络安全和网络运行带来了巨大的负面影响，因此解决IP地址盗用问题成为当前一个迫切的课题。

第4章
网络通信安全
4.3 IP安全
4.3.1 IP安全的防范技术 4.3.2 IP的鉴别和保密机制
第4章
网络通信安全
4.3.1 IP安全的防范技术
Internet的经营者已在某些领域开发出专用的安全机制。

但是用户对于协议层有一些安全要求。

通过实现IP级的安全性，就可以确保一个组织安全组网。

IP级的安全包含两个功能域：鉴别和保密。

IPv6对这些特征的支持是强制性的，而IPv4是选择
性的。

在两种情况下，安全特征主要都在IP信元头后
面的扩展信元头中实现。

第4章
网络通信安全
1. IP地址盗用方法分析 IP地址的盗用方法多种多样，其常用方法主要有
以下几种：
① 静态修改IP地址。

② 成对修改IP-MAC地址。

③ 动态修改IP地址。

第4章
网络通信安全2. 防范技术研究针对IP盗用问题，网络专家采用了各种防范技术，现在比较常用的防范技术主要是根据TCP/IP的层次
结构，在不同的层次采用不同的方法来防止IP地址的盗用。

① 交换机控制解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问都将被拒绝。

第4章
网络通信安全
② 路由器隔离采用路由器隔离的办法其主要依据是MAC地址作
为以太网卡地址是全球唯一的，不能改变。

实现方法
为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和
MAC地址比较，如不一致，则为非法访问。

第4章
网络通信安全
③ 防火墙与代理服务器
使用防火墙与代理服务器相结合，也能较好地解
决IP地址盗用问题。

防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。

使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理。

第4章。