网络软件安全概括
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络层安全协议可用来在Internet上建立安全的IP 通道和VPN。其本质是:纯文本数据包被加密, 封 装 在 外 层 的 IP 报 头 里 , 用 来 对 加 密 包 进 行 Internet上的路由选择;到达收端时,外层的IP报 头被拆开,报文被解密,然后送到收报地点。
5.1 网络协议的安全性
络接口层、网络层(IP层)、传输层(TCP层)和应用
TCP/IP
OSI
层。
应用层
应用层
表示层
传输(TCP)层
会话层 传输层
网络(IP)层 网络接口层
网络层 数据链路层 物理层
TCP/IP结构与OSI结构
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
2.TCP/IP协议安全性分析
TCP/IP协议本身也存在着一些不安全因素,它 们是黑客实施网络攻击的重点目标。TCP/IP协议 是建立在可信环境下的,这种基于地址的协议本 身就存在泄漏口令、经常会运行一些无关程序等 缺陷。
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) 网络层安全
网络层安全主要是基于以下几点考虑: 控制不同的访问者对网络和设备的访问。 划分并隔离不同安全域。 防止内部访问者对无权访问区域的访问和误操作
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) 网络层安全
5.1.1 TCP/IP协议的安全性
(2) 网络层安全
网络层安全性的主要优点是它的透明性,即提供 安全服务不需要对应用程序、其他通信层次和网 络部件做任何改动。主要缺点是网络层一般对属 于不同进程和相应条例的包不作区别。对所有去 往同一地址的包,它将按照同样的加密密钥和访 问控制策略来处理。
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(3) 传输层安全
由于TCP/IP协议本身很简单,没有加密、身份验 证等安全特性,因此必须在传输层建立安全通信 机制,为应用层提供安全保护。传输层网关在两 个节点之间代为传递TCP连接并进行控制。常见 的传输层安全技术有SSL、SOCKS和PCT等。
5.1 网络协议的安全性
第5章 网络软件安全
本章有四小节: 5. 1 网络协议的安全性 5. 2 IP安全协议 5. 3 加密文件系统 5. 4 SSL与SSH协议
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
1.TCP/IP协议
基于TCP/IP协议的网络体系结构比OSI参考模型
结构更简单。TCP/IP协议可分为4层,分别是网
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) IP协议和ICMP协议
IP协议提供无连接的数据包传输机制,其主要功能有寻址 、路由选择、分段和组装。传送层把报文分成若干个数据 包,每个包在网关中进行路由选择,穿越一个个物理网络 从源主机到达目标主机。在传输过程中每个数据包可能被 分成若干小段,以满足物理网络中最大传输单元长度的要 求,每一小段都当作一个独立的数据包被传输,其中只有 第一个数据包含有TCP层的端口信息。在包过滤防火墙中 根据数据包的端口号检查是否合法,这样后续数据包就可 以不经检查而直接通过。攻击者若发送一系列有意设置的 数据包,来覆盖前面的具有合法端口号的数据包,那么该 路由器防火墙上的过滤规则被旁路,从而攻击者便达到了 进攻目的。
ຫໍສະໝຸດ Baidu
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) IP协议和ICMP协议
IP协议的改进:IPv6设计的两种安全机制 被 加 进 了 IPv4 , 其 中 一 种 称 为 AH(Authentication Header)机制,提供验证 和完整性服务,但不提供保密服务;另一 种称为ESP(Encapsulation Security payload)机 制,提供完整性服务、验证服务以及保密 服务。
5.1.1 TCP/IP协议的安全性
与网络层安全机制相比,传输层安全机制的主要 优点是提供基于进程对进程的安全服务。这一成 就如果再加上应用级的安全服务,就可以再向前 跨越一大步。原则上,任何TCP/IP应用,只要应 用传输层安全协议,就必定要进行若干修改以增 加相应的功能,并使用不同的IPC界面。传输层安 全机制就是要对传输层IPC界面和应用程序两端都 进行修改。另外,基于UDP的通信很难在传输层 建立起安全机制。网络层安全机制的透明性使安 全服务的提供不要求应用层做任何改变,这对传 输层来说是做不到的。
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) IP协议和ICMP协议
ICMP是在网络层与IP一起使用的协议。如果一个网关不 为IP分组选择路由、不能递交IP分组或测试到某种不正常 状态,如网络拥挤影响IP分组的传递,那么就需要ICMP 来通知源端主机采取措施,避免或纠正这些问题。ICMP 被认为是IP协议不可缺少的组成部分,是IP协议正常工作 的辅助协议。
ICMP协议存在的安全问题有:攻击者可利用ICMP重定向 报文破坏路由,并以此增强其窃听能力;攻击者可利用不 可达报文对某用户节点发起拒绝服务攻击。
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
3.TCP/IP层次安全
(1) 网络接口层安全
网络接口层安全一般可以达到点对点间较强的身 份验证、保密性和连续的信道认证,在大多数情 况下也可以保证数据流的安全。有些安全服务可 以提供数据的完整性或至少具有防止欺骗的能力 。
5.1 网络协议的安全性
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(1) TCP协议
TCP协议把通过连接传输的数据看成是字节流,用 一 个 32 位 整 数 对 传 送 的 字 节 编 号 。 初 始 序 列 号 (ISN)在TCP握手时产生,产生机制与协议实现有 关。攻击者只要向目标主机发送一个连接请求, 即可获得上次连接的ISN,再通过多次测量来回传 输路径,得到进攻主机到目标主机之间数据包传 送的来回时间(RTT)。已知上次连接的ISN和RTT ,很容易就能预测出下一次连接的ISN。
5.1 网络协议的安全性
络接口层、网络层(IP层)、传输层(TCP层)和应用
TCP/IP
OSI
层。
应用层
应用层
表示层
传输(TCP)层
会话层 传输层
网络(IP)层 网络接口层
网络层 数据链路层 物理层
TCP/IP结构与OSI结构
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
2.TCP/IP协议安全性分析
TCP/IP协议本身也存在着一些不安全因素,它 们是黑客实施网络攻击的重点目标。TCP/IP协议 是建立在可信环境下的,这种基于地址的协议本 身就存在泄漏口令、经常会运行一些无关程序等 缺陷。
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) 网络层安全
网络层安全主要是基于以下几点考虑: 控制不同的访问者对网络和设备的访问。 划分并隔离不同安全域。 防止内部访问者对无权访问区域的访问和误操作
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) 网络层安全
5.1.1 TCP/IP协议的安全性
(2) 网络层安全
网络层安全性的主要优点是它的透明性,即提供 安全服务不需要对应用程序、其他通信层次和网 络部件做任何改动。主要缺点是网络层一般对属 于不同进程和相应条例的包不作区别。对所有去 往同一地址的包,它将按照同样的加密密钥和访 问控制策略来处理。
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(3) 传输层安全
由于TCP/IP协议本身很简单,没有加密、身份验 证等安全特性,因此必须在传输层建立安全通信 机制,为应用层提供安全保护。传输层网关在两 个节点之间代为传递TCP连接并进行控制。常见 的传输层安全技术有SSL、SOCKS和PCT等。
5.1 网络协议的安全性
第5章 网络软件安全
本章有四小节: 5. 1 网络协议的安全性 5. 2 IP安全协议 5. 3 加密文件系统 5. 4 SSL与SSH协议
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
1.TCP/IP协议
基于TCP/IP协议的网络体系结构比OSI参考模型
结构更简单。TCP/IP协议可分为4层,分别是网
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) IP协议和ICMP协议
IP协议提供无连接的数据包传输机制,其主要功能有寻址 、路由选择、分段和组装。传送层把报文分成若干个数据 包,每个包在网关中进行路由选择,穿越一个个物理网络 从源主机到达目标主机。在传输过程中每个数据包可能被 分成若干小段,以满足物理网络中最大传输单元长度的要 求,每一小段都当作一个独立的数据包被传输,其中只有 第一个数据包含有TCP层的端口信息。在包过滤防火墙中 根据数据包的端口号检查是否合法,这样后续数据包就可 以不经检查而直接通过。攻击者若发送一系列有意设置的 数据包,来覆盖前面的具有合法端口号的数据包,那么该 路由器防火墙上的过滤规则被旁路,从而攻击者便达到了 进攻目的。
ຫໍສະໝຸດ Baidu
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) IP协议和ICMP协议
IP协议的改进:IPv6设计的两种安全机制 被 加 进 了 IPv4 , 其 中 一 种 称 为 AH(Authentication Header)机制,提供验证 和完整性服务,但不提供保密服务;另一 种称为ESP(Encapsulation Security payload)机 制,提供完整性服务、验证服务以及保密 服务。
5.1.1 TCP/IP协议的安全性
与网络层安全机制相比,传输层安全机制的主要 优点是提供基于进程对进程的安全服务。这一成 就如果再加上应用级的安全服务,就可以再向前 跨越一大步。原则上,任何TCP/IP应用,只要应 用传输层安全协议,就必定要进行若干修改以增 加相应的功能,并使用不同的IPC界面。传输层安 全机制就是要对传输层IPC界面和应用程序两端都 进行修改。另外,基于UDP的通信很难在传输层 建立起安全机制。网络层安全机制的透明性使安 全服务的提供不要求应用层做任何改变,这对传 输层来说是做不到的。
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(2) IP协议和ICMP协议
ICMP是在网络层与IP一起使用的协议。如果一个网关不 为IP分组选择路由、不能递交IP分组或测试到某种不正常 状态,如网络拥挤影响IP分组的传递,那么就需要ICMP 来通知源端主机采取措施,避免或纠正这些问题。ICMP 被认为是IP协议不可缺少的组成部分,是IP协议正常工作 的辅助协议。
ICMP协议存在的安全问题有:攻击者可利用ICMP重定向 报文破坏路由,并以此增强其窃听能力;攻击者可利用不 可达报文对某用户节点发起拒绝服务攻击。
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
3.TCP/IP层次安全
(1) 网络接口层安全
网络接口层安全一般可以达到点对点间较强的身 份验证、保密性和连续的信道认证,在大多数情 况下也可以保证数据流的安全。有些安全服务可 以提供数据的完整性或至少具有防止欺骗的能力 。
5.1 网络协议的安全性
5.1 网络协议的安全性
5.1.1 TCP/IP协议的安全性
(1) TCP协议
TCP协议把通过连接传输的数据看成是字节流,用 一 个 32 位 整 数 对 传 送 的 字 节 编 号 。 初 始 序 列 号 (ISN)在TCP握手时产生,产生机制与协议实现有 关。攻击者只要向目标主机发送一个连接请求, 即可获得上次连接的ISN,再通过多次测量来回传 输路径,得到进攻主机到目标主机之间数据包传 送的来回时间(RTT)。已知上次连接的ISN和RTT ,很容易就能预测出下一次连接的ISN。