网络安全课件第五章

Kerberos以票证（ticket）系统为基础，票证 是KDC发出的一些加密数据包，它可标识用 户的身份及其网络访问权限。每个KDC负责 一个领域（realm）的票证发放。KDC类似
于发卡机构，“票证”类似通行“护照”， 它带有安全信息。在Windows 2003中，每 个域也是一个Kerberos领域，每个Active Directory域控制器（DC）就是一个KDC。执 行基于Kerberos的事务时，用户将透明地向 KDC发送票证请求。KDC将访问数据库以验
1．EFS加密和解密操作p163 2．EFS的其它操作 p170
5．3 Kerberos系统
Kerberos是一种提供网络认证服务的系统，其 设计目标是通过密钥系统为Client/Server应 用程序提供强大的认证服务。该认证过程 的实现不依赖于主机操作系统的认证，无 需基于主机地址的信任，不要求网络上所 有主机的物理安全，并假定网络上传送的 数据包可以被任意地读取、修改和插入数 据。
第5章 软件安全技术与应用实践
软件限制策略及应用 ； TCP/IP协议的安全性 ； 加密文件系统（EFS） ； Kerberos系统 ； IPSec系统 ;
定义
软件安全（Software Security）就是使软件 在受到恶意攻击的情形下依然能够继续正 确运行的工程化软件思想。
5．1软件安全策略
ICMP是在网络层中与IP一起使用的协议。 如果一个网关不为IP分组选择路由、不能 递交IP分组或测试到某种不正常状态，如 网络拥挤影响IP分组的传递，那么就需要 ICMP来通知源端主机采取措施，避免或纠 正这些问题。 ICMP协议存在的安全问题
有：攻击者可利用不可达报文对某用户节 点发起拒绝服务攻击。
证用户的身份，然后返回授予用户访问其 他计算机的权限的票证。
Windows系统中采用多种措施提供对Kerberos协议 的支持，在系统的每个域控制器中都应用了KDC 认证服务。Windows系统中应用了Kerberos协议的
扩展，除共享密钥外，还支持基于公开密钥密码 的身份认证机制。Kerberos公钥认证的扩展允许客 户端在请求一个初始TGT（TGT称为票据授权票证 ，是一个KDC发给验证用户的资格证）时使用私 钥，而KDC则使用公钥来验证请求，该公钥是从 存储在活动目录中用户对象的X.509证书中获取的
(2) IP协议和ICMP协议
IP协议提供无连接的数据包传输机制，其主要功能有寻 址、路由选择、分段和组装。传送层把报文分成若干个 数据包，每个包在网关中进行路由选择，在传输过程中 每个数据包可能被分成若干小段，每一小段都当作一个 独立的数据包被传输，其中只有第一个数据包含有TCP层 的端口信息。在包过滤防火墙中根据数据包的端口号检 查是否合法，这样后续数据包就可以不经检查而直接通 过。攻击者若发送一系列有意设置的数据包，以非法端 口号为数据的后续数据包覆盖前面的具有合法端口号的 数据包，那么该路由器防火墙上的过滤规则被旁路，从 而攻击者便达到了进攻目的。
通过EFS加密敏感性文件，会增加更多层级 的安全性防护
对于重要文件，最佳的做法是综合使用 NTFS权限和EFS加密两项安全措施。这样， 如果非法用户没有合适的权限，将不能访 问受保护的文件和文件夹，因此也就不能 删除文件了；而有些用户即使拥有权限， 没有密钥同样还是打不开加密数据。
5.2.2 EFS加密和解密应用实践
5.1.1软件限制策略及应用 在企业网络管理中，可利用域控制器实现 对某些软件的使用限制。当用户利用域账户 登录到本机电脑的时候，系统会根据这个域 账户的访问权限，判断其是否有某个应用软 件的使用权限。当确定其没有相关权限时， 操作系统就会拒绝用户访问该应用软件，从 而来管理企业员工的操作行为。这就是域环 境中的软件限制策略。
1．TCP/IP协议的层次结构及主要协议
网络接口层负责接收IP数据报，并把这些数据报发送 到指定网络中。它与OSI模型中的数据链路层和物理层 相对应。 网络层要解决主机到主机的通信问题，该层的主要协 议有IP和ICMP。 传输层的基本任务是提供应用程序之间的通信，这种 通信通常叫做端到端通信。传输层可提供端到端之间 的可靠传送，确保数据到达无差错，不乱序。传输层 的主要协议有TCP和UDP。 应用层为协议的最高层，在该层应用程序与协议相互 配合，发送或接收数据。
当在各个设置级别上的软件限制策略发生冲 突时，应考虑优先性问题。优先性的级别从高到 低为“组织单元策略”、“域策略”、“站点策 略”和“本地计算机策略”。
(3) 软件限制的规则
默认情况下，软件限制策略提供了“不受限的” 和“不允许的”两种软件限制规则。
“不受限的”规则规定所有登录的用户都可以 运行指定的软件。
在使用EFS加密一个文件或文件夹时，系统首先会生成一个 由伪随机数组成的FEK (文件加密密钥)，然后利用FEK和数据扩 展标准X算法创建加密文件，并把它存储到硬盘上，同时删除 未加密的原文件。随后系统利用用户的公钥加密FEK，并把加 密后的FEK存储在同一个加密文件中。当用户访问被加密的文 件时，系统首先利用用户的私钥解密FEK，然后利用FEK解密原 加密文件。在首次使用EFS时，如果用户还没有公钥/私钥对 （统称为密钥），则会首先生成密钥，然后再加密数据。 EFS 加密文件的时候，使用对该文件唯一的对称加密密钥，并使用 文件拥有者EFS证书中的公钥对这些对称加密密钥进行加密。 因为只有文件的拥有者才能使用密钥对中的私钥，所以也只有
TCP/IP
OSI
应用层
传输(TCP)层 网络(IP)层 网络接口层 图5.5 TCP/IP结构与OSI结构
应用层 表示层 会话层
传输层
网络层
数据链路层 物理层
2．TCP／IP协议安全性分析 (1) TCP协议 TCP使用三次握手机制建立一条连接。攻击者可利用这三次握手过程
建立有利于自己的连接（破坏原连接），若他们再趁机插入有害数据 包，则后果更严重。
“不允许的”规则规定所有登录系统的账户， 都不能运行这个应用软件，无论其是否对数据文 件具有访问权限。
系统默认的策略是所有软件运行都是“不受限 的”，即只要用户对于数据文件Hale Waihona Puke Baidu访问权限，就 可以运行对应的应用软件。
2．软件限制策略的应用
软件限制策略是一种技术，通过这种技术，管理员 可以决定哪些程序是可信赖的，哪些是不可信赖的。对 于不可信赖的程序，系统会拒绝执行。
TCP协议把通过连接而传输的数据看成是字节流，用一个32位整数对 传送的字节编号。初始序列号(ISN)在TCP握手时产生，产生机制与协 议实现有关。攻击者只要向目标主机发送一个连接请求，即可获得上 次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标 主机之间数据包传送的来回时间（RTT）。已知上次连接的ISN和RTT ，很容易就能预测下一次连接的ISN。若攻击者假冒信任主机向目标 主机发出TCP连接，并预测到目标主机的TCP序列号，攻击者就能伪造 有害数据包，使之被目标主机接受。
1．软件限制策略原则
(1) 应用软件与数据文件的独立原则
在使用软件限制策略时，应坚持“应用软件与数 据文件独立”的原则，即用户即使具有数据文件 的访问权限，但若没有其关联软件的访问权限， 仍然不能打开这个文件。
(2) 软件限制策略的冲突处理原则
软件限制策略与其他组策略一样，可以在多 个级别上进行设置。即可将软件限制策略看成是 组策略中的一个特殊分支。所以，软件限制策略 可以在本地计算机、站点、域或组织单元等多个 环节进行设置。每个级别又可以针对用户与计算 机进行设置。
5.3.1 Kerberos概述
Keberos是为TCP/IP网络系统设计的一种基于对称密钥密码体 制的第三方认证协议。
Kerberos认证协议定义了客户端和密钥分配中心（Key Distribution Center，KDC）的认证服务之间的安全交互过 程。KDC由认证服务器AS和票证授权服务器TGS两部分组成 。Kerberos协议根据KDC的第三方服务中心来验证网络中 计算机的身份，并建立密钥以保证计算机间安全连接。 Kerberos允许一台计算机通过交换加密消息在整个非安全 网络上与另一台计算机互相证明身份。一旦身份得到验证 ，Kerberos协议将会给这两台计算机提供密钥，以进行安 全通信对话。Kerberos协议可以认证试图登录上网用户的 身份，并通过使用密钥密码为用户间的通信加密。
网络层非常适合提供基于主机对主机的安全 服务。相应的安全协议可用来在Internet上 建立安全的IP通道和VPN。
(3) 传输层的安全
在传输层建立安全通信机制，为应用层提供安全 保护。常见的传输层安全技术有SS L
(4) 应用层的安全
应用层提供的安全服务，通常都是对每个应用（ 包括应用协议）分别进行修改和扩充，加入新的 安全功能。基于信用卡安全交易服务的安全电子 交易（SET）协议，基于信用卡提供电子商务安 全应用的安全电子付费协议（SEPP），基于 SMTP提供电子邮件安全服务的私用强化邮件（ PEM），基于HTTP协议提供Web安全使用的安全 性超文本传输协议（S-HTTP）等。
具体操作： 打开“计算机配置”→“Windows设置”→“安 全设置”→“软件限制策略”路径，在“操作” 菜单下选择“创建新的策略” 。请参考教材
p156
5.1.2 TCP/IP协议的安全性
TCP/IP 协 议 是 由 100 多 个 协 议 组 成 的 协 议 集 ， TCP和IP是其中两个最重要的协议。TCP和IP 两个协议分别属于传输层和网络层，在 Internet中起着不同的作用。
运行Gpedit.msc打开组策略编辑器，可以发现有“计 算机配置”和“用户设置”条目。如果希望对本地登录 到计算机的所有用户生效，则使用“计算机配置”下的 策略；如果希望对某个特定用户或用户组生效，则使用 “用户配置”下的策略。
用户应设计出一种最佳的策略，能使所有需要的软 件正确运行，所有不必要的软件都无法运行。
5．2 加密文件系统（EFS）
5.2.1 EFS软件
加密文件系统（Encrypting File System， EFS）是 Windows 文件系统的内置文件加密工 具，它以公共密钥加密为基础. EFS可对存储在 NTFS磁盘卷上的文件和文件夹执行加密操作。
EFS系统具有如下特性：
用户加密或解密文件或文件夹很方便，访问加 密文件简单容易
他才能解密密钥和文件。
EFS加密系统对用户是透明的
用户加密了一些数据，那么他对这些数据
的访问将是完全允许的，并不会受到任何 限制。如果用户持有一个已加密 NTFS 文件 的私钥，那么他就能够打开这个文件，并 透明地将该文件作为普通文档使用。而其 他非授权用户试图访问加密过的数据时， 就会收到“访问拒绝”的提示。这说明非 授权用户无法访问经过EFS加密后的文件。 即使是有权访问计算机及其文件系统的用 户，也无法读取这些加密数据。
加密后的数据无论怎样移动都保持加密状态
把未加密的文件复制到经过加密的文件夹 中，那么这些文件将会被自动加密。若想将 加密文件移出来，如果移动到NTFS分区上， 文件依旧保持加密属性。
EFS加密机制和操作系统紧密结合，用户不 必为加密数据安装额外软件，可节约使用 成本
EFS加密的用户验证过程是在登录 Windows时进行的，只要登录到Windows， 就可以打开任何一个被授权的加密文件， 而并不像第三方加密软件那样在每次存取 时都要求输入密码。
EFS 与 NTFS 紧密地结合在一起。
使用EFS加密功能要保证两个条件，第一要 保证操作系统是Windows 2000/XP/2003，第 二要保证文件所在的分区格式是NTFS格式 （FAT32分区里的数据是无法加密的；如果 要使用EFS对其进行加密，就必须将FAT32格 式转换为NTFS）。
3．TCP/IP层次安全
(1) 网络接口层安全
网络接口层安全一般可以达到点对点间 较强的身份验证、保密性和连续的信道认 证，在大多数情况下也可以保证数据流的 安全。
(2) 网络层的安全 网络层安全主要是基于以下几点考虑：
控制不同的访问者对网络和设备的访问。
划分并隔离不同安全域。
防止内部访问者对无权访问区域的访问和 误操作。