2、网络与通信安全解读
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISO/OSI网络体系结构 网络体系结构分层的目的 OSI参考模型的层次划分 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
TCP/IP协议层次模型 TCP/IP协议分层并不完全对应OSI模型
应用层
Telnet FTP DNS SMTP
传输层
TCP UDP
网络层
IP ICMP ARP RARP
网络接口层
X.25 ARPanet
常见黑客攻击方式
应用层:应用程序和操作系统的攻击与破坏 网络层:拒绝服务攻击和数据窃听风险 传输层:拒绝服务攻击
硬件设备与数据链路:物理窃听与破坏
TCP/IP模型与潜在风险
Telnet TCP FTP DNS UDP SMTP 应用程序攻击 数据监听和窃取 拒绝服务攻击 无线网络 以太网 硬件设备破坏
IP协议
网际协议,TCP/IP协议族中的主要网络层协议,与TCP协 议结合组成整个因特网协议的核心协议。 包含寻址信息和控制信息 ,可使数据包在网络中路由。 IP适用于LAN和WAN 通信。除了ARP和RARP,其它所有TCP/IP族 中的协议都是使用IP传送主机与主机间的通信。
两个基本任务:
提供无连接的和最有效的数据包传送。 提供数据包的分割及重组以支持不同最大传输单元大小的 数据连接。 IP协议只用于发送包,TCP协议负责将其按正确顺序排列。
向用户提供一组常用的应用程序 ,如FTP,HTTP,TELNET
等,用户亦可在TCP/UDP基础上定义专有应用。
传输层:
提供应用程序间(即端到端)的通信 ,格式化信息流 、提供 可靠传输 及解决不同应用程序的识别问题
网络互连层:
负责相邻计算机之间的通信
网络接口层:
负责收发数据包并通过网络传输
OSI模型与DOD体系对照
网络与通信安全
—— 绿盟科技
www.nsfocus.com nsfocus.com
© 2013 绿盟科技
议题
网络基础概述 网络体系结构 网络协议安全分析 网络中面临的威胁
针对网络设备的攻击 拒绝服务(DoS)攻击 欺骗攻击 网络嗅探
网络设备安全 网络服务的安全 拒绝服务攻击(DoS)的防御策略
OSI参考模型
局域网安全管理
良好的网络拓扑规划 对网络设备进行基本安全配置
合理的划分VLAN
分离数据广播域 绑定IP地址与Mac地址 配置防火墙和IDS设备 使用内容监控与病毒过滤
良好的网络规划
网络安全规划原则
合理的分配地址
合理的网络逻辑结构
通过VLAN分隔逻辑网络 通过域或工作组确定用户权限
ARP协议安全问题
针对ARP的攻击主要有两种,一种是DOS,一种是Spoof
DOS:大量的arp 请求报文的攻击
假冒ARP应答 ---DOS:冒充B向A应答,使得A与B的通信不成功 点对点的假冒查询:显充A向B发包更新B的ARP表,使B与A的通信
不成功
自动定时ARP欺骗 : 对网关的干扰 推测ARP解析时间
七层网络体系架构:
网络自底向上分别是:物理层、数据链路层、网络层、传输 层、会话层、表示层和应用层,各层完成一定的功能,每层为其 上层网络提供支持,这种支持表现为数据(信息)的封装: SegmentPacketFrame
OSI模型(2)
OSI模型各层功能简述
A:为应用进程访问OSI环境提供手段,并为应用进程提供服务, 关心数据的语义 ,如WWW
能和规程特性。
通过传输介质进行数据流的物理传输,故障检测和物理层 管理。
物理层的安全风险分析
物理安全风险主要指:网络周边环境和物理特性引起的网 络设备和线路的不可用,而造成网络系统的不可用。
例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电 辐射泄露秘密信息等。
由于局域网中采用广播方式,因此,若在某个广播域中可以 侦听到所有的信息包,黑客就可以对信息包进行分析,那么本广 播域的信息传递都会暴露在黑客面前。
举并不能对节点上的用户进行有效的身份认证
协议本身的特点被利用实施网络攻击 ………
物理层的安全威胁
物理层介绍 物理层的安全风险分析 物理层的安全防护
物理层介绍
第一层称为物理层(Physical Layer),这一层负责传送比
特流。 它提供建立、维护和拆除物理链路所需的机械、电气、功
P:提供数据的句法,处理通信双方之间的数据表示问题,如
ASCII S:提供一种经过组织的方法在用户之间交换数据,如SQL
T:资源子网与通信子网的界面和桥梁 ,端到端的通信
N:通信子网与网络高层的界面,用户进人网络、以及网络之间 互连的接口 ,主机到主机的通信,即寻址 D:进行链路上的数据传输 ,物理寻址 P:物理设备间的接口 ,电平信号或光信号
建立良好的网络安全制度
网络设备安全配置
关闭不必要的设备服务
使用强口令或密码
加强设备访问的认证与授权 升级设备固件或OS 使用访问控制列表限制访问 使用访问控制表限制数据包类型
广域网的概念和特性
广域网是覆盖地理范围相对较广的数据通信网络。
网络的规模和分类:
局域网(LAN,local area network)可覆盖一个建筑物 或一所学校; 城域网(MAN,metropolitan area network)可覆盖一 座城市;
物理层的安全防护
网络分段
网络拓扑
网络分段
网络分段可分为物理分段和逻辑分段两种方式。
物理分段通常是指将网络从物理层和数据链路层 (ISO/OSI模型中的第一层和第二层)上分为若干网段,各网 段相互之间无法进行直接通讯。 目前,许多交换机都有一定的访问控制能力,可实现对 网络的物理分段
网络层的安全威胁
(WAN,wide area network)可覆盖多座城市、多个国
家或洲。
广域网的构成和种类
广域网的参考模型 广域网的构成
广域网的种类
X.25 帧中继 ATM
广域网安全管理
良好的网络拓扑规划
对网络设备进行基本安全配置
确保路由协议安全 使用ACL进行数据过滤 使用AAA加强访问控制和认证
安全政策、计费政策、路由政策
网络安全的语义范围
保密性(Confidentiality) 完整性(Integrity)
可用性(Availability)
局域网的特性
局域网典型特性
高数据传输率
短距离 低误码率
常用的局域网介质访问控制技术
载波监听多路访问/冲突检测(CSMA/CD)技术 令牌控制技术 令牌总线控制技术 光纤分布数据接口(FDDI)技术
Source IP address
Destination IP address
IP header
TCP/UDP header
data
IP协议安全问题
IP协议存在的主要缺陷包括:IP通信不需用进行身份认证,IP数 据传输没有加密,IP的分组和重组机制不完善,IP地址的表示不需要 真实并确认真假等。 IP碎片攻击,源路由攻击,IP欺骗,IP伪造,Ping Flooding和 Ping of Death等大量的攻击,都是利用IP协议的缺陷对IP协议进行攻
击的。且很多上层的安全隐患源于 IP 欺骗,如 DNS 欺骗等
实例: Smurf攻击 ,向大量的远程主机发送一系列的ping 请求命令。黑客把源IP 地址换
成想要攻击目标主机的IP 地址。所有的远程计算机都响应这些ping 请求,然后对目
标地址进行回复而不是回复给攻击者的IP 地址用。目标IP 地址将被大量的ICMP 包淹 没而不能有效的工作。
IP协议结构
0 Bit Version Header length 16 Bit Type of service 3 bit flags Total length in bytes 13 bit fragment offset Header checksum 32 Bit
Identification Time to live Protocol ID
IP
ARPNET
SATNET
Internet 的安全问题的产生
Internet起于研究项目,安全不是主要的考虑
少量的用户,多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全
网络协议的开放性与系统的通用性
目标可访问性,行为可知性 攻击工具易用性
Internet 没有集中的管理权威和统一的政策
分层模型
概念:
网络协议按结构化层次方式组织,每层完成一定的功能,
每层都建在其下层之上,并通过层间接口向上层提供服务,将
服务实现的细节对上层隐蔽。
优点:
减少复杂性 ,维护、修改相对容易 、不同节点之间的对 等层可以通过共享数据格式来进行通信.
网络分层连同其相应协议叫网络体系架构 ,如TCP/IP,OSI等
OSI模型(1)
国际标准组织ISO(International Organization for Standardization)提出了开放式系统互联网络体结架构(Open System Interconnection/Reference Model) OSI 定义了异种机互连的标准框架,为连接分散的“开放”系统提供 了基础——任何两个遵守OSI标准的系统均可实施互连。
ARP RARP
ICMP
网络层的安全威胁
IP协议安全(spoofing等) Internet 控制信息协议(ICMP)
ARP欺骗和ARP洪水,DoS
IGMP攻击
ARP协议
ARP: 将IP地址转化成MAC地址的一种协议, ARP在IP层之下, 一般认为其属网络层,但它利用数据链路层工作---分层并不 严格。 以太网的传输靠mac地址决定,即主机响应ip包依靠ip包 中所包含的mac地址来识别:主机在发送一个ip包之前,它要
到该转换表中寻找和ip包对应的mac地址。如果没有找到,该
主机就发送一个ARP广播包,看起来象这样子:
"我是主机X.X.X.X1,mac是X-X-X-X1 ,ip为X.X.X.X2的主机请告之你的 mac来" ip为X.X.X.X2的主机响应这个广播,应答ARP广播为:"我是X.X.X.X2, 我的mac为X-X-X-X2" *ARP的查询包为广播包,而 ARP的应答包为单播包
TCP/IP体系架构
TCP/IP 由美国DOD Research Projects Agency—
DARPA)70年代开发。包括了一组协议 ,采用了网络分 层的概念,一般称为DOD体系结构 。 其分为4层,自底向上分别是: 网络接口层、网络互联层、传输层、应用层。
TCP/IP各层功能简述
应用层:
解决ARP协议安全
网络安全信任关系不要单纯建立在ip或mac基础上
设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表
使用ARP服务器:确保该机安全,通过该机查找自己的ARP转换表来响 应其他机器的ARP广播 使用"proxy"代理ip的传输 使用硬件屏蔽主机,交换机和网桥无法阻止ARP欺骗 定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实 性 使用防火墙/IDS连续监控网络
网络层协议及安全威胁 网络层的安全防护与安全协议
网络层介绍
网络层主要用于寻址和路由。它并不提供任何错误纠 正和流控制的方法。网络层使用较高效的服务来传送数据 报文
Βιβλιοθήκη Baidu络层协议
IP
网间协议(Internet Protocol)。负责主机间数据的路由和网络 上数据的存储。同时为ICMP、TCP、UDP提供分组发送服 务。用户进程通常不需要涉及这一层。 地址解析协议(Address Resolution Protocol)。此协议将网络 地址映射到硬件地址。 反向地址解析协议(Reverse Address Resolution Protocol)。此 协议将硬件地址映射到网络地址。 网间报文控制协议(Internet Control Message Protocol)。此协 议处理信关和主机间的差错和传送控制。ICMP报文使用IP 数据报进行传送,这些报文通常由 TCP/IP 网络软件本身来 保证正确性。
TCP/IP协议安全分析
TCP/IP协议栈 物理层安全
网络层安全
传输层安全 应用层安全
TCP/IP网络的安全来由
力求简单高效的设计初衷使TCP/IP协议集的许多安全因 素未得以完善 安全缺陷的一些表现: TCP/IP协议数据流采用明文传输 TCP/IP协议以IP地址作为网络节点的唯一标识,此
TCP/IP协议层次模型 TCP/IP协议分层并不完全对应OSI模型
应用层
Telnet FTP DNS SMTP
传输层
TCP UDP
网络层
IP ICMP ARP RARP
网络接口层
X.25 ARPanet
常见黑客攻击方式
应用层:应用程序和操作系统的攻击与破坏 网络层:拒绝服务攻击和数据窃听风险 传输层:拒绝服务攻击
硬件设备与数据链路:物理窃听与破坏
TCP/IP模型与潜在风险
Telnet TCP FTP DNS UDP SMTP 应用程序攻击 数据监听和窃取 拒绝服务攻击 无线网络 以太网 硬件设备破坏
IP协议
网际协议,TCP/IP协议族中的主要网络层协议,与TCP协 议结合组成整个因特网协议的核心协议。 包含寻址信息和控制信息 ,可使数据包在网络中路由。 IP适用于LAN和WAN 通信。除了ARP和RARP,其它所有TCP/IP族 中的协议都是使用IP传送主机与主机间的通信。
两个基本任务:
提供无连接的和最有效的数据包传送。 提供数据包的分割及重组以支持不同最大传输单元大小的 数据连接。 IP协议只用于发送包,TCP协议负责将其按正确顺序排列。
向用户提供一组常用的应用程序 ,如FTP,HTTP,TELNET
等,用户亦可在TCP/UDP基础上定义专有应用。
传输层:
提供应用程序间(即端到端)的通信 ,格式化信息流 、提供 可靠传输 及解决不同应用程序的识别问题
网络互连层:
负责相邻计算机之间的通信
网络接口层:
负责收发数据包并通过网络传输
OSI模型与DOD体系对照
网络与通信安全
—— 绿盟科技
www.nsfocus.com nsfocus.com
© 2013 绿盟科技
议题
网络基础概述 网络体系结构 网络协议安全分析 网络中面临的威胁
针对网络设备的攻击 拒绝服务(DoS)攻击 欺骗攻击 网络嗅探
网络设备安全 网络服务的安全 拒绝服务攻击(DoS)的防御策略
OSI参考模型
局域网安全管理
良好的网络拓扑规划 对网络设备进行基本安全配置
合理的划分VLAN
分离数据广播域 绑定IP地址与Mac地址 配置防火墙和IDS设备 使用内容监控与病毒过滤
良好的网络规划
网络安全规划原则
合理的分配地址
合理的网络逻辑结构
通过VLAN分隔逻辑网络 通过域或工作组确定用户权限
ARP协议安全问题
针对ARP的攻击主要有两种,一种是DOS,一种是Spoof
DOS:大量的arp 请求报文的攻击
假冒ARP应答 ---DOS:冒充B向A应答,使得A与B的通信不成功 点对点的假冒查询:显充A向B发包更新B的ARP表,使B与A的通信
不成功
自动定时ARP欺骗 : 对网关的干扰 推测ARP解析时间
七层网络体系架构:
网络自底向上分别是:物理层、数据链路层、网络层、传输 层、会话层、表示层和应用层,各层完成一定的功能,每层为其 上层网络提供支持,这种支持表现为数据(信息)的封装: SegmentPacketFrame
OSI模型(2)
OSI模型各层功能简述
A:为应用进程访问OSI环境提供手段,并为应用进程提供服务, 关心数据的语义 ,如WWW
能和规程特性。
通过传输介质进行数据流的物理传输,故障检测和物理层 管理。
物理层的安全风险分析
物理安全风险主要指:网络周边环境和物理特性引起的网 络设备和线路的不可用,而造成网络系统的不可用。
例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电 辐射泄露秘密信息等。
由于局域网中采用广播方式,因此,若在某个广播域中可以 侦听到所有的信息包,黑客就可以对信息包进行分析,那么本广 播域的信息传递都会暴露在黑客面前。
举并不能对节点上的用户进行有效的身份认证
协议本身的特点被利用实施网络攻击 ………
物理层的安全威胁
物理层介绍 物理层的安全风险分析 物理层的安全防护
物理层介绍
第一层称为物理层(Physical Layer),这一层负责传送比
特流。 它提供建立、维护和拆除物理链路所需的机械、电气、功
P:提供数据的句法,处理通信双方之间的数据表示问题,如
ASCII S:提供一种经过组织的方法在用户之间交换数据,如SQL
T:资源子网与通信子网的界面和桥梁 ,端到端的通信
N:通信子网与网络高层的界面,用户进人网络、以及网络之间 互连的接口 ,主机到主机的通信,即寻址 D:进行链路上的数据传输 ,物理寻址 P:物理设备间的接口 ,电平信号或光信号
建立良好的网络安全制度
网络设备安全配置
关闭不必要的设备服务
使用强口令或密码
加强设备访问的认证与授权 升级设备固件或OS 使用访问控制列表限制访问 使用访问控制表限制数据包类型
广域网的概念和特性
广域网是覆盖地理范围相对较广的数据通信网络。
网络的规模和分类:
局域网(LAN,local area network)可覆盖一个建筑物 或一所学校; 城域网(MAN,metropolitan area network)可覆盖一 座城市;
物理层的安全防护
网络分段
网络拓扑
网络分段
网络分段可分为物理分段和逻辑分段两种方式。
物理分段通常是指将网络从物理层和数据链路层 (ISO/OSI模型中的第一层和第二层)上分为若干网段,各网 段相互之间无法进行直接通讯。 目前,许多交换机都有一定的访问控制能力,可实现对 网络的物理分段
网络层的安全威胁
(WAN,wide area network)可覆盖多座城市、多个国
家或洲。
广域网的构成和种类
广域网的参考模型 广域网的构成
广域网的种类
X.25 帧中继 ATM
广域网安全管理
良好的网络拓扑规划
对网络设备进行基本安全配置
确保路由协议安全 使用ACL进行数据过滤 使用AAA加强访问控制和认证
安全政策、计费政策、路由政策
网络安全的语义范围
保密性(Confidentiality) 完整性(Integrity)
可用性(Availability)
局域网的特性
局域网典型特性
高数据传输率
短距离 低误码率
常用的局域网介质访问控制技术
载波监听多路访问/冲突检测(CSMA/CD)技术 令牌控制技术 令牌总线控制技术 光纤分布数据接口(FDDI)技术
Source IP address
Destination IP address
IP header
TCP/UDP header
data
IP协议安全问题
IP协议存在的主要缺陷包括:IP通信不需用进行身份认证,IP数 据传输没有加密,IP的分组和重组机制不完善,IP地址的表示不需要 真实并确认真假等。 IP碎片攻击,源路由攻击,IP欺骗,IP伪造,Ping Flooding和 Ping of Death等大量的攻击,都是利用IP协议的缺陷对IP协议进行攻
击的。且很多上层的安全隐患源于 IP 欺骗,如 DNS 欺骗等
实例: Smurf攻击 ,向大量的远程主机发送一系列的ping 请求命令。黑客把源IP 地址换
成想要攻击目标主机的IP 地址。所有的远程计算机都响应这些ping 请求,然后对目
标地址进行回复而不是回复给攻击者的IP 地址用。目标IP 地址将被大量的ICMP 包淹 没而不能有效的工作。
IP协议结构
0 Bit Version Header length 16 Bit Type of service 3 bit flags Total length in bytes 13 bit fragment offset Header checksum 32 Bit
Identification Time to live Protocol ID
IP
ARPNET
SATNET
Internet 的安全问题的产生
Internet起于研究项目,安全不是主要的考虑
少量的用户,多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全
网络协议的开放性与系统的通用性
目标可访问性,行为可知性 攻击工具易用性
Internet 没有集中的管理权威和统一的政策
分层模型
概念:
网络协议按结构化层次方式组织,每层完成一定的功能,
每层都建在其下层之上,并通过层间接口向上层提供服务,将
服务实现的细节对上层隐蔽。
优点:
减少复杂性 ,维护、修改相对容易 、不同节点之间的对 等层可以通过共享数据格式来进行通信.
网络分层连同其相应协议叫网络体系架构 ,如TCP/IP,OSI等
OSI模型(1)
国际标准组织ISO(International Organization for Standardization)提出了开放式系统互联网络体结架构(Open System Interconnection/Reference Model) OSI 定义了异种机互连的标准框架,为连接分散的“开放”系统提供 了基础——任何两个遵守OSI标准的系统均可实施互连。
ARP RARP
ICMP
网络层的安全威胁
IP协议安全(spoofing等) Internet 控制信息协议(ICMP)
ARP欺骗和ARP洪水,DoS
IGMP攻击
ARP协议
ARP: 将IP地址转化成MAC地址的一种协议, ARP在IP层之下, 一般认为其属网络层,但它利用数据链路层工作---分层并不 严格。 以太网的传输靠mac地址决定,即主机响应ip包依靠ip包 中所包含的mac地址来识别:主机在发送一个ip包之前,它要
到该转换表中寻找和ip包对应的mac地址。如果没有找到,该
主机就发送一个ARP广播包,看起来象这样子:
"我是主机X.X.X.X1,mac是X-X-X-X1 ,ip为X.X.X.X2的主机请告之你的 mac来" ip为X.X.X.X2的主机响应这个广播,应答ARP广播为:"我是X.X.X.X2, 我的mac为X-X-X-X2" *ARP的查询包为广播包,而 ARP的应答包为单播包
TCP/IP体系架构
TCP/IP 由美国DOD Research Projects Agency—
DARPA)70年代开发。包括了一组协议 ,采用了网络分 层的概念,一般称为DOD体系结构 。 其分为4层,自底向上分别是: 网络接口层、网络互联层、传输层、应用层。
TCP/IP各层功能简述
应用层:
解决ARP协议安全
网络安全信任关系不要单纯建立在ip或mac基础上
设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表
使用ARP服务器:确保该机安全,通过该机查找自己的ARP转换表来响 应其他机器的ARP广播 使用"proxy"代理ip的传输 使用硬件屏蔽主机,交换机和网桥无法阻止ARP欺骗 定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实 性 使用防火墙/IDS连续监控网络
网络层协议及安全威胁 网络层的安全防护与安全协议
网络层介绍
网络层主要用于寻址和路由。它并不提供任何错误纠 正和流控制的方法。网络层使用较高效的服务来传送数据 报文
Βιβλιοθήκη Baidu络层协议
IP
网间协议(Internet Protocol)。负责主机间数据的路由和网络 上数据的存储。同时为ICMP、TCP、UDP提供分组发送服 务。用户进程通常不需要涉及这一层。 地址解析协议(Address Resolution Protocol)。此协议将网络 地址映射到硬件地址。 反向地址解析协议(Reverse Address Resolution Protocol)。此 协议将硬件地址映射到网络地址。 网间报文控制协议(Internet Control Message Protocol)。此协 议处理信关和主机间的差错和传送控制。ICMP报文使用IP 数据报进行传送,这些报文通常由 TCP/IP 网络软件本身来 保证正确性。
TCP/IP协议安全分析
TCP/IP协议栈 物理层安全
网络层安全
传输层安全 应用层安全
TCP/IP网络的安全来由
力求简单高效的设计初衷使TCP/IP协议集的许多安全因 素未得以完善 安全缺陷的一些表现: TCP/IP协议数据流采用明文传输 TCP/IP协议以IP地址作为网络节点的唯一标识,此