6 物理层-数据链路层安全

第6章Internet安全体系结构之一湖南大学计算机与通信学院刘玉玲liuyuling80@gmail.com本章要点物理层的安全保护方案数据链路层安全保护方案物理层的安全保护方案计算机网络通信线路屏蔽方案主要物理隔离物理隔离网闸隔离原理设备和线路冗余方案服务和服务账号安全规划物理层安全管理工具的使用数据容灾等级物理层的线路窃听技术搭线窃听电磁泄漏窃听计算机网络通信线路屏蔽屏蔽用金属网或金属板将信号源包围，利用金属层来阻止内部信号向外发射，同时也可以阻止外部信号进入金属层内部。通信线路的屏蔽采用屏蔽性能好的传输介质把传输介质、网络设备、机房等整个通信线路安装在屏蔽的环境中屏蔽双绞线和RJ-45水晶头的选择；屏蔽同轴电缆的选择；光纤网络的屏蔽屏蔽机房和机柜的选择计算机网络通信线路屏蔽WLAN无线网络的物理层安全保护将机房甚至整个公司屏蔽（成本过高）WEPWPA/WPA2物理线路隔离主要物理隔离产品物理隔离卡物理隔离集线器/交换机物理隔离网闸物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。一个典型的物理隔离方案（处于完全隔离状态）互联网外部服务器内部服务器存储设备物理隔离控制设备集线器内部网络物理线路隔离物理隔离的定义物理隔离技术的基本思想是:如果不存在与网络的物理连接，网络安全威胁便可大大降低。物理隔离技术实质就是一种将内外网络从物理上断开，但保持逻辑连接的信息安全技术。物理线路隔离案例：电子政务一般划分为3个安全等级不同的部分内部保密专用网络，传送保密信息业务网络，传送政府业务管理信息Internet连接网络，建设网站或对外访问保密网络要求跟其它部分物理隔离其它部分可以在保证安全性情况下互连物理线路隔离案例：证劵交易网一般划分为3个安全等级不同的部分证券交易业务专用网络，传送证券业务信息企业内综合管理网络，传送办公、财务、VoIP等企业内部管理信息Internet连接网络，建设网站或对外访问交易网络首先要保证可靠性和安全性，跟其它部分物理隔离，必要时可以采用逻辑隔离方式连接其它可以在保证安全性情况下互连物理线路隔离内、外网之间在没有通信要求情况下的断开状态物理线路隔离外网向内网发起非TCP/IP连接物理线路隔离向内网转发数据物理线路隔离完成了外网向内网发送数据的全过程后物理线路隔离向外网发起非TCP/IP连接物理线路隔离这是一种隔离网络之间连接的专用安全技术。这种技术使用一个可交换方向的电子存储池。存储池每次只能与内外网络的一方相连。通过内外网络向存储池拷贝数据块和存储池的摆动完成数据传输。这种技术实际上是一种数据镜像技术。它在实现内外网络数据交换的同时，保持了内外网络的物理断开。物理线路隔离每一次数据交换，隔离设备经历了数据的接受，存储和转发三个过程。由于这些规则都是在内存和内核里完成的，因此速度上有保证，可以达到100%的总线处理能力。物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处是明显的，即使外网在最坏的情况下，内网不会有任何破坏。修复外网系统也非常容易。物理线路隔离设备和线路冗余提供备用的设备和线路网络设备部件冗余:电源和风扇,网卡,内存,cpu,磁盘）网络设备整机冗余网络线路冗余机房和账户安全管理机房安全管理账户安全管理采取复杂性要求限制限定最低和最高密码更改的频率和期限限定两个周期密码可以禁止相同的最短历史限定用户登陆时允许尝试的最多次数要求拥护不得把账户信息以明文方式记录在任何地方不得在有其他人在旁边时输入账户信息通过”管理工具”_”本地安全策略”中的”帐户策略”的”密码策略”实现数据链路层的安全保护方案数据链路加密WLANSSID安全技术及配置方法WEP加密原理WPA加密/解密原理MAC地址欺骗防护VLAN数据加密加密技术是网络安全技术的基础:数据链路层,网络层,传输层,表示层和应用层.数据存储加密数据传输加密链路加密节(结)点加密端到端加密链路加密链路加密是目前最常用的一种加密方法，通常用硬件在网络层以下（1、2层）的物理层和数据链路层中实现，它用于保护通信节点间传输的数据。下图表示了这种加密方式的原理。链路加密方式有两个缺点；一是全部报文都以明文形式通过各节点的计算机中央处理机，在这些节点上数据容易受到非法存取的危害；二是由于每条链路都要有一对加密/解密设备和一个独立的密钥，维护节点的安全性费用较高，因此成本也较高。节点加密节点加密是链路加密的改进，其目的是克服链路加密在节点处易遭非法存取的缺点。其加密原理如下图所示。端－端加密网络层以上的加密，通常称为端—端加密。端—端加密是面向网络高层主体进行的加密，即在协议表示层上对传输的数据进行加密，而不对下层协议信息加密。协议信息以明文形式传输，用户数据在中间节点不需要解密。端—端加密原理如下图所示。端—端加密具有链路加密和节点加密所不具有的优点：（1）成本低。出于端—端加密在中间任何节点上都不解密，即数据在到达目的地之前始终用密钥加密保护着，所以仅要求发送节点和最终的目标节点具有加密/解密设备，而链路加密则要求处理加密信息的每条链路均配有分立式密钥装置。（2）端—端加密比链路加密更安全。（3）端—端加密可以由用户提供，因此对用户来说这种加密方式比较灵活。端－端加密WLANSSID安全技术及配置方法SSID:ServiceSetIdentifier,服务设置标识符.最多可以有32个字符配备无线网卡,无线AP(访问点),无线路由器时均需配置,且相同WLANSSID安全技术及配置方法SSID安全问题AP默认是允许向外广播其SSID,使安全程度降低;支持”任何(ANY)”SSID方式,只要无线客户端处在AP范围内,可自动连接到AP使用同一个SSID设置另一个802.11接入点.将大多数AP或无线路由器在出厂时默认的”允许广播SSID”设为”不广播SSID”WLANMAC地址过滤MAC地址过滤功能在有线网络中使用,可以允许或者禁止部分主机与局域网的连接.支持IEEE11.g标准以上的设备中有此功能.WLANWEP加密WLANWEP解密恢复初始明文检验校验和WLANWEP的不足初始化向量(IV)太小弱数据完整性使用主密钥而不使用派生密钥不重新生成密钥无重放保护在TKIP中，IV的大小增加了一倍，已达48位CRC-32由Michael取代，可以计算64位消息完整性代码，并用TKIP加密RC4PRNG的输入通过数据包混合函数计算而来，随着帧的改变而改变WPA自动重新生成密钥以派生新的临时密钥组TKIP将IV用作帧计数器以提供重放保护WPA加密WPA解密WPA2WPA的第二个版本主要改进加密标准从TKIP/MIC改为AES-CCMPARP(AddressResolutionProtocol)完成IP地址到MAC地址的映射虚拟的与硬件无关的可变的真实的网卡决定的通常不可改变ARP：地址解析协议IP地址欺骗MAC地址欺骗为什么要进行IP地址到物理地址的映射？1.IP地址屏蔽物理网络地址的差异，为上层用户提供“统一”的地址形式2.IP地址屏蔽物理网络地址差异，通过在物理网络上覆盖一层IP软件实现3.互联网不对物理地址做任何修改高层软件利用IP地址指定源地址和目的地址低层物理网络利用物理地址指定源地址和目的地址ARP实现IP地址与网络物理地址的映射：IP地址统一了网际通信的地址形式（IP层以上的软件都使用IP地址），隐藏了原有的物理网络地址；但在网络内部，IP层通信的实现依赖于底层的物理网络技术，底层必然还要使用物理地址。为了保证通信的一致性，必须要建立各结点IP地址与网络物理地址之间的映射，称为地址解析（resolution）。地址解析协议（ARP－AddressResolutionProtocol）用于IP地址到物理地址的映射，适用于有盘网络；逆向地址解析协议（RARP–ReverseAddressResolutionProtocol）用于物理地址到IP地址的映射，适用于无盘网络。ARP运作方式—ARP请求A电脑B电脑ARP运作方式—ARP应答A电脑B电脑ARP的解析范围ARP的请求过程实质上是在局域网的一个广播域内，广播寻找MAC地址的过程，因此ARP的解析范围在局域网的一个广播域内，所有一、二层的网络设备对ARP都是透明的。主机在每进行数据发送前，都要进行ARP请求信息和响应信息。信息包的频繁发送和接收必然对网络的效率产生影响。ARP高速缓存每台主机都要维护一个IP地址到MAC的转换表，称为ARP高速缓存ARPCache。存放着最近用到的一系列跟它通信的同一子网的计算机的IP地址和MAC地址的映射。主机IP地址MAC地址A192.168.0.1AA-AA-AA-AA-AA-00B192.168.0.2BB-BB-BB-BB-BB-11C192.168.0.3CC-CC-CC-CC-CC-22减少局域网广播加快访问速度ARP高速缓存动态记录：在ARP过程中自动获取，有寿命ARPCache根据ARP响应包动态变化；ARPCache采用老化机制，如果一条ARP项很久没有使用了，则它将被从ARP表中删除掉。这祥可以节省内存空间和ARP表的检索时间。静态记录：手工输入，无寿命时间ARP不是IP协议的一部分，因此ARP数据报不包括IP头，而是直接放在以太网帧的数据部分进行发送。并且，在以太网中定义了一种新的类型来标志ARP数据报。以太网中ARP协议帧格式硬件地址类型（2）协议类型（2）硬件地址长度(1)协议地址长度(1)操作码（2）发送方硬件地址（前4个字节）发送方硬件地址（后2）发送方协议地址（前2）发送方协议地址（后2）接收方硬件地址（前2）接收方硬件地址（后4）接收方协议地址（4）查看ARP高速缓存中的记录解析对象的IP地址解析所得的MAC地址此记录产生的方式Arp-a删除ARP高速缓存中的记录原来有4个记录删除这个记录203.74.205.11这个记录被删除了Arp-d向ARP高速缓存中增加静态记录新增的记录，注意Type是staticArp-sRARP：逆地址解析协议具有本地磁盘的系统引导时，一般是从磁盘上的配置文件中读取IP地址。但是无盘机，如X终端或无盘工作站，则需要采用其他方法来获得IP地址。网络上的每个系统都具有唯一的硬件地址，它是由网络接口生产厂家配置的。无盘系统的RARP实现过程是从接口卡上读取唯一的硬件地址，然后发送一份RARP请求(一帧在网络上广播的数据)，请求某个主机响应该无盘系统的IP地址(在RARP应答中)。RARP分组的格式与ARP分组基本一致。它们之间主要的差别是RARP请求或应答的帧类型代码为0x8035，而且RARP请求的操作代码为3，应答操作代码为4。ARP/RARP的报文格式ARP/RARP的报文分组格式是统一的ARP/RARP分组封装在物理网络的数据帧中传送硬件类型协议类型硬件地址长度协议地址长度操作源硬件地址源IP地址目的硬件地址目的IP地址2211264641：ARP请求2：ARP应答3：RARP请求4：RARP应答ARP/RARP分组净荷帧头数据帧MAC地址欺骗原理现实生活中举例谁是布什？MAC地址欺骗原理我是MAC地址欺骗原理我是新来的布什同学MAC地址欺骗原理MAC地址欺骗原理假设有一个寻找IP地址为192.168.0.2的MAC地址的ARP广播包，正确的MAC地址应该是BB-BB-BB-BB-BB-22，而黑客所在主机MAC地址为CC-CC-CC-CC-CC-33.MAC地址欺骗预防利用ARPecho传送正确的ARP信息通过频繁地提醒正确的ARP对照表，来达到防制的效果。利用