网络与通信安全资料

©2013绿盟科技网络与通信安全——绿盟科技议题网络基础概述网络体系结构网络协议安全分析网络中面临的威胁针对网络设备的攻击拒绝服务（DoS）攻击欺骗攻击网络嗅探网络设备安全网络服务的安全拒绝服务攻击（DoS）的防御策略OSI参考模型ISO／OSI网络体系结构网络体系结构分层的目的OSI参考模型的层次划分应用层表示层会话层传输层网络层数据链路层物理层TCP/IP协议层次模型TCP/IP协议分层并不完全对应OSI模型应用层TelnetFTPDNSSMTP传输层TCPUDP网络层IPICMPARPRARP网络接口层X.25ARPanet常见黑客攻击方式应用层：应用程序和操作系统的攻击与破坏网络层：拒绝服务攻击和数据窃听风险传输层：拒绝服务攻击硬件设备与数据链路：物理窃听与破坏TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNETTCP/IP模型与潜在风险应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏Internet的安全问题的产生Internet起于研究项目,安全不是主要的考虑少量的用户，多是研究人员,可信的用户群体可靠性(可用性)、计费、性能、配置、安全网络协议的开放性与系统的通用性目标可访问性，行为可知性攻击工具易用性Internet没有集中的管理权威和统一的政策安全政策、计费政策、路由政策网络安全的语义范围保密性(Confidentiality)完整性(Integrity)可用性(Availability)局域网的特性局域网典型特性高数据传输率短距离低误码率常用的局域网介质访问控制技术载波监听多路访问/冲突检测(CSMA/CD)技术令牌控制技术令牌总线控制技术光纤分布数据接口(FDDI)技术局域网安全管理良好的网络拓扑规划对网络设备进行基本安全配置合理的划分VLAN分离数据广播域绑定IP地址与Mac地址配置防火墙和IDS设备使用内容监控与病毒过滤良好的网络规划网络安全规划原则合理的分配地址合理的网络逻辑结构通过VLAN分隔逻辑网络通过域或工作组确定用户权限建立良好的网络安全制度网络设备安全配置关闭不必要的设备服务使用强口令或密码加强设备访问的认证与授权升级设备固件或OS使用访问控制列表限制访问使用访问控制表限制数据包类型广域网的概念和特性广域网是覆盖地理范围相对较广的数据通信网络。网络的规模和分类：局域网(LAN，localareanetwork)可覆盖一个建筑物或一所学校;城域网(MAN，metropolitanareanetwork)可覆盖一座城市;(WAN，wideareanetwork)可覆盖多座城市、多个国家或洲。广域网的构成和种类广域网的参考模型广域网的构成广域网的种类X.25帧中继ATM广域网安全管理良好的网络拓扑规划对网络设备进行基本安全配置确保路由协议安全使用ACL进行数据过滤使用AAA加强访问控制和认证概念：网络协议按结构化层次方式组织，每层完成一定的功能，每层都建在其下层之上，并通过层间接口向上层提供服务，将服务实现的细节对上层隐蔽。优点：减少复杂性，维护、修改相对容易、不同节点之间的对等层可以通过共享数据格式来进行通信.网络分层连同其相应协议叫网络体系架构,如TCP/IP，OSI等分层模型国际标准组织ISO(InternationalOrganizationforStandardization)提出了开放式系统互联网络体结架构(OpenSystemInterconnection/ReferenceModel)OSI定义了异种机互连的标准框架，为连接分散的“开放”系统提供了基础——任何两个遵守OSI标准的系统均可实施互连。七层网络体系架构：网络自底向上分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，各层完成一定的功能，每层为其上层网络提供支持，这种支持表现为数据(信息)的封装：SegmentPacketFrameOSI模型(1)OSI模型(2)A：为应用进程访问OSI环境提供手段，并为应用进程提供服务，关心数据的语义，如：提供数据的句法，处理通信双方之间的数据表示问题，如ASCIIS：提供一种经过组织的方法在用户之间交换数据,如SQLT：资源子网与通信子网的界面和桥梁，端到端的通信N：通信子网与网络高层的界面，用户进人网络、以及网络之间互连的接口，主机到主机的通信，即寻址D：进行链路上的数据传输，物理寻址P：物理设备间的接口，电平信号或光信号OSI模型各层功能简述TCP/IP由美国DODResearchProjectsAgency—DARPA）70年代开发。包括了一组协议，采用了网络分层的概念,一般称为DOD体系结构。其分为4层，自底向上分别是：网络接口层、网络互联层、传输层、应用层。TCP/IP体系架构应用层：向用户提供一组常用的应用程序，如FTP，HTTP，TELNET等，用户亦可在TCP/UDP基础上定义专有应用。传输层：提供应用程序间（即端到端）的通信，格式化信息流、提供可靠传输及解决不同应用程序的识别问题网络互连层：负责相邻计算机之间的通信网络接口层：负责收发数据包并通过网络传输TCP/IP各层功能简述OSI模型与DOD体系对照TCP/IP协议栈物理层安全网络层安全传输层安全应用层安全TCP/IP协议安全分析力求简单高效的设计初衷使TCP/IP协议集的许多安全因素未得以完善安全缺陷的一些表现:TCP/IP协议数据流采用明文传输TCP/IP协议以IP地址作为网络节点的唯一标识，此举并不能对节点上的用户进行有效的身份认证协议本身的特点被利用实施网络攻击………TCP/IP网络的安全来由物理层介绍物理层的安全风险分析物理层的安全防护物理层的安全威胁第一层称为物理层(PhysicalLayer)，这一层负责传送比特流。它提供建立、维护和拆除物理链路所需的机械、电气、功能和规程特性。通过传输介质进行数据流的物理传输，故障检测和物理层管理。物理层介绍物理安全风险主要指：网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用。例如：设备被盗、被毁坏；设备老化、意外故障；计算机系统通过无线电辐射泄露秘密信息等。由于局域网中采用广播方式，因此，若在某个广播域中可以侦听到所有的信息包，黑客就可以对信息包进行分析，那么本广播域的信息传递都会暴露在黑客面前。物理层的安全风险分析网络分段网络拓扑物理层的安全防护网络分段可分为物理分段和逻辑分段两种方式。物理分段通常是指将网络从物理层和数据链路层（ISO/OSI模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段网络分段网络层协议及安全威胁网络层的安全防护与安全协议网络层的安全威胁网络层主要用于寻址和路由。它并不提供任何错误纠正和流控制的方法。网络层使用较高效的服务来传送数据报文网络层介绍IP网间协议(InternetProtocol)。负责主机间数据的路由和网络上数据的存储。同时为ICMP、TCP、UDP提供分组发送服务。用户进程通常不需要涉及这一层。ARP地址解析协议(AddressResolutionProtocol)。此协议将网络地址映射到硬件地址。RARP反向地址解析协议(ReverseAddressResolutionProtocol)。此协议将硬件地址映射到网络地址。ICMP网间报文控制协议(InternetControlMessageProtocol)。此协议处理信关和主机间的差错和传送控制。ICMP报文使用IP数据报进行传送，这些报文通常由TCP/IP网络软件本身来保证正确性。网络层协议IP协议安全(spoofing等)Internet控制信息协议(ICMP)ARP欺骗和ARP洪水,DoSIGMP攻击网络层的安全威胁ARP:将IP地址转化成MAC地址的一种协议,ARP在IP层之下,一般认为其属网络层,但它利用数据链路层工作---分层并不严格。以太网的传输靠mac地址决定,即主机响应ip包依靠ip包中所包含的mac地址来识别:主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包，看起来象这样子：我是主机X.X.X.X1,mac是X-X-X-X1,ip为X.X.X.X2的主机请告之你的mac来ip为X.X.X.X2的主机响应这个广播，应答ARP广播为：我是X.X.X.X2,我的mac为X-X-X-X2*ARP的查询包为广播包，而ARP的应答包为单播包ARP协议针对ARP的攻击主要有两种，一种是DOS,一种是SpoofDOS:大量的arp请求报文的攻击假冒ARP应答---DOS:冒充B向A应答,使得A与B的通信不成功点对点的假冒查询:显充A向B发包更新B的ARP表,使B与A的通信不成功自动定时ARP欺骗:对网关的干扰推测ARP解析时间ARP协议安全问题网络安全信任关系不要单纯建立在ip或mac基础上设置静态的mac--ip对应表，不要让主机刷新你设定好的转换表使用ARP服务器:确保该机安全,通过该机查找自己的ARP转换表来响应其他机器的ARP广播使用proxy代理ip的传输使用硬件屏蔽主机,交换机和网桥无法阻止ARP欺骗定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性使用防火墙/IDS连续监控网络解决ARP协议安全网际协议，TCP/IP协议族中的主要网络层协议，与TCP协议结合组成整个因特网协议的核心协议。包含寻址信息和控制信息，可使数据包在网络中路由。IP适用于LAN和WAN通信。除了ARP和RARP,其它所有TCP/IP族中的协议都是使用IP传送主机与主机间的通信。两个基本任务：提供无连接的和最有效的数据包传送。提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。IP协议只用于发送包，TCP协议负责将其按正确顺序排列。IP协议HeaderlengthTypeofserviceTotallengthinbytesIdentification3bitflags13bitfragmentoffsetTimetoliveProtocolIDHeaderchecksumSourceIPaddressDestinationIPaddressVersion0Bit16Bit32BitdataTCP/UDPheaderIPheaderIP协议结构IP协议存在的主要缺陷包括：IP通信不需用进行身份认证，IP数据传输没有加密，IP的分组和重组机制不完善，IP地址的表示不需要真实并确认真假等。IP碎片攻击，源路由攻击，IP欺骗，IP伪造，PingFlooding和PingofDeath等大量的攻击，都是利用IP协议的缺陷对IP协议进行攻击的。且很多上层的安全隐患源于IP欺骗，如DNS欺骗等实例:Smurf攻击,向大量的远程主机发送一系列的ping请求命令。黑客把源IP地址换成想要攻击目标主机的IP地址。所有的远程计算机都响应这些ping请求，然后对目标地址进行回复而不是回复给攻击者的IP地址用。目标IP地址将被大量的ICMP包淹没而不能有效的工作。IP协议安全问题网络分段VLAN防火墙IPSecIP协议安全解决办法ICMP是“InternetControlMessageProtocol”（Internet控制消息协议）的缩写控制消息是指：网络通不通、主机是否可达、路由是否可用等网络本身的消息。控制消息并不传输用户数据，但是对于用户数据的传递起着重要的作用。如PingICMP在IP层之上，利用IP层收、发数据包ICMP协议ICMP协议结构Type―错误消息或信息消息。错误消息可能是不可获得目标文件，数据包太大，超时，参数问题等。可能的信息消息有：EchoRequest、EchoReply、GroupMembershipQuery、