第2章 网络安全技术基础.ppt

,,第2章网络安全技术基础,目录,,,,,,教学目标,,,教学目标●了解网络协议安全及Ipv6的安全性●理解虚拟专用网（VPN）技术●掌握无线局域网安全技术及设置●掌握常用网络安全管理工具及应用,重点,重点,2.1网络协议安全概述,,,,【案例2-1】网络协议攻防成为信息战双方关注的重点。计算机网络广泛使用的TCP/IP协议族存在着漏洞威胁，利用协议攻防成为信息战中作战双方关注的重点。2003年美国借口伊拉克拥有大规模生化武器为由与英国组成联军进行进攻，侵入伊拉克指挥系统窃取情报并借助信息战致使其瘫痪，快速夺取伊拉克,2.1.1网络协议安全问题,网络协议（Protocol）是实现网络功能的最基本机制和规则，是进行网络通信和数据交换而建立的规则、标准或约定的集合，是一种特殊的软件。网络体系层次结构参考模型有两种OSI模型和TCP/IP模型。OSI模型是国际标准化组织ISO的开放系统互连参考模型，共有七层，设计初衷是期望为网络体系与协议发展提供一种国际标准，后来由于其过于庞杂，使TCP/IP协议成为事实上的“网络标准”，作为Internet基础协议。,案例2-1,2.1网络协议安全概述,2.1.1网络协议安全问题,,,TCP/IP模型TCP/IP模型与OSI参考模型不同，由低到高依次由网络接口层、网络层、传输层和应用层4部分组成。这4层体系对应OSI参考模型的7层体系，以及同常用的相关协议的对应关系如图2-1所示。,,图2-1OSI模型和TCP/IP模型及协议对应关系,2.1网络协议安全概述,2.1.1网络协议安全问题,,,计算机网络依靠其协议实现互连结点之间的通信与数据交换,在设计之初只注重异构网的互联，忽略了安全性问题，而且,是一个开放体系,有计算机网络及其部件所能够完成的基本功能,这种开放性及缺陷将网络系统处于安全风险和隐患的环境.计算机网络协议安全风险可归结为3方面（1）协议自身的设计缺陷和实现中存在的一些安全漏洞；（2）根本无有效认证机制，不具有验证通信双方真实性的功能；（3）缺乏保密机制，不具有保护网上数据机密性的功能。,2.1网络协议安全概述,,,,图2-2TCP/IP网络安全技术层次体系,网络安全由多个安全层构成，每一个安全层都是一个包含多个特征的实体。在TCP/IP不同层次可增加不同的安全策略。如图2-2所示。,2.1.2TCP/IP层次安全性,2.1网络协议安全概述,,1.网络接口物理层的安全性设施,线路2.网络层的安全性保证数据传输3.传输层的安全性传输控制,数据交换认证,保密/完整性4.应用层的安全性应用层中利用TCP/IP协议运行和管理的程序繁多。网络安全问题主要出现在需要重点解决的常用应用系统，包括HTTP、FTP、SMTP、DNS、Telnet等。,,,TCP/IP网络安全技术层次体系,2.1网络协议安全概述,2.1.3IPv6的安全性概述1.IPv6的优势及特点1扩展地址空间及应用.IPv4和IPv6的报头如图2-2和图2-3所示,图2-2IPV4的IP报头,图2-3IPV6基本报头,2提高网络整体性能。3加强网络安全性能。4提供更好服务质量。5实现更好地组播功能。6支持即插即用和移动性。7提供必选的资源预留协议RSVP功能。,2.1网络协议安全概述,,2.IPv4与IPv6安全问题比较1原理和特征基本未发生变化的安全问题划分为三类网络层以上的安全问题;与网络层数据保密性和完整性相关的安全问题和与网络层可用性相关的安全问题.如窃听攻击、应用层攻击、中间人攻击、洪泛攻击等.2网络层以上（应用）的安全问题。3与网络层数据保密性和完整性相关安全问题.4与网络层可用性相关安全问题主要是指洪泛攻击，如TCPSYNflooding攻击。5原理和特征发生明显变化的安全问题，主要包括以下4个方面。①侦测，②非授权访问③篡改分组头部和分段信息;④伪造源地址。,,,对局域网内的主机不停的发送数据包进行拒绝服务攻击,第2章网络安全技术基础,,3．IPv6的安全机制（1）协议安全-认证头AH、封装安全有效载荷ESP扩展头（2）网络安全①实现端到端安全,②提供内网安全，③由安全隧道构建安全VPN,④以隧道嵌套实现网络安全。（3）其他安全保障-配置、认证、控制、端口限制4.移动IPv6的安全性（1）移动IPv6的特性--无状态地址自动配置、邻居发现（2）移动IPv6面临的安全威胁--窃听,篡改,Dos5．移动IPv6的安全机制移动IPv6协议针对上述安全威胁，在注册消息中通过添加序列号以防范重放攻击，并在协议报文中引入时间随机数。,,讨论思考（1）从互联网发展角度看，网络安全问题的主要原因是什么（2）IPv6在安全性方面具有哪些优势,2.2虚拟专用网VPN技术,2.2.1VPN技术概述,虚拟专用网（VirtualPrivateNetwork，VPN）是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供的与专用网络具有相同通信功能的安全数据通道。VPN可通过特殊加密通信协议为Internet上异地企业内网之间建立一条专用通信线路,而无需铺设光缆等物理线路.系统结构如图2-4所示.,,,1安全性高。用通信协议、身份验证和数据加密三方面技术保证。2费用低廉。3管理便利。4灵活性强。5服务质量高。,2.2.2VPN的技术特点,虚拟通道,2.2虚拟专用网VPN技术,,2.2.3VPN实现技术概述VPN是在Internet等公共网络基础上，综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术实现的。1.隧道技术隧道技术是VPN的核心技术，为一种隐式传输数据的方法。主要利用已有的Internet等公共网络数据通信方式，在隧道（虚拟通道）一端将数据进行封装，然后通过已建立的隧道进行传输。在隧道另一端，进行解封装并将还原的原始数据交给端设备。在VPN连接中，可根据需要创建不同类型的VPN隧道，包括自愿隧道和强制隧道两种。,,用户或客户端通过发送VPN请求配置和创建,2.2虚拟专用网VPN技术,,2.加解密技术为了重要数据在公共网络传输的安全，VPN采用了加密机制。常用的信息加密体系主要包括非对称加密体系和对称加密体系两类。实际上一般是将二者混合使用，利用非对称加密技术进行密钥协商和交换，利用对称加密技术进行数据加密。1对称密钥加密;2非对称密钥加密3.密钥管理技术密钥的管理分发极为重要。密钥的分发采用手工配置和采用密钥交换协议动态分发两种方式。4.身份认证技术在VPN实际应用中，身份认证技术包括信息认证、用户身份认证。信息认证用于保证信息的完整性和通信双方的不可抵赖性，用户身份认证用于鉴别用户身份真实性。,,2.2虚拟专用网VPN技术,2.2.4VPN技术的应用,,,1.远程访问虚拟网通过一个与专用网相同策略的共享基础设施,可提供对企业内网或外网的远程访问服务,使用户随时以所需方式访问企业资源.如模拟、拨号、ISDN、数字用户线路（xDSL）、移动IP和电缆技术等,可安全连接移动用户、远程工作者或分支机构.2.企业内部虚拟网可在Internet上构建全球的IntranetVPN,企业内部资源只需连入本地ISP的接入服务提供点POPPointOfPresence即可相互通信，而实现传统WAN组建技术均需要有专线.利用该VPN线路不仅可保证网络的互联性,而且,可利用隧道、加密等VPN特性保证在整个VPN上信息安全传输.,2.2虚拟专用网VPN技术,2.2.4VPN技术的应用,,,3．企业扩展虚拟网主要用于企业之间的互连及安全访问服务。可通过专用连接的共享基础设施，将客户、供应商、合作伙伴或相关群体连接到企业内部网。企业拥有与专用网络相同的安全、服务质量等政策。讨论思考1．VPN的本质是什么为何VPN需要加密技术辅助2．VPN几种应用的区别是什么,2.3无线网络安全技术概述,2.3.1无线网络安全概述,随着无线网络技术的广泛应用，其安全性越来越引起人们的关注。主要包括访问控制和数据加密两个方面，访问控制保证机密数据只能由授权用户访问，而数据加密则要求发送的数据只能被授权用户所接受和使用。无线网络在数据传输时以微波进行辐射传播，只要在无线接入点AP（AccessPoint）覆盖范围内，所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备，时常有无线网络用户被他人免费蹭网接入、盗号或泄密等，因此，无线网络的安全威胁、风险和隐患更加突出。无线网络安全风险及隐患，如图所示。,,,2.3无线网络安全技术概述,,,无线网络安全风险及隐患示意图,,,,,2.3无线网络安全技术概述,,无线接入点AP用于实现无线客户端之间的信号互联和中继，其安全措施包括1修改admin密码2WEP加密传输.数据加密是实现网络安全一项重要技术,可通过协议WEP进行。主要用途1防止数据被途中恶意篡改或伪造。2用WEP加密算法对数据加密。3防止未授权用户对网络访问。3禁用DHCP服务4修改SNMP字符串5禁止远程管理6修改SSID标识7禁止SSID广播8过滤MAC地址定义网络设备的位置9合理放置无线AP10WPA用户认证（有WPA和WPA2两个标准,是一种保护无线网Wi-Fi安全的系统）,,2.3.2无线网络AP及路由安全,1.无线接入点安全,有线等效保密协议对两台设备间无线传输的数据进行加密方式,用以防止非法用户窃听/侵入,初始化字符串（服务集标识）SSID技术可将一个无线局域网分为几个需要不同身份验证的子网,各子网都需独立身份验证,只有通过验证的用户才可进入相应子网,防止未授权用户进入本网,动态主机设置协议/简单网管协议,Wi-Fi网络安全存取,2.3无线网络安全技术概述,,2．无线路由器安全除了可采用无线AP的安全策略外,还应采用如下安全策略.1利用网络防火墙功能，加强防护能力。2IP地址过滤，进一步提高无线网络的安全性。,,,2.3.3IEEE802.1x身份认证,IEEE802.1x是一种基于端口的网络接入控制技术，以网络设备的物理接入级（交换机设备的端口.连接在该类端口）对接入设备进行认证和控制。IEEE802.1x认证过程为（1）无线客户端向AP发送请求，尝试与AP进行通信。（2）AP将加密数据发送给验证服务器进行用户身份认证。（3）验证服务器确认用户身份后，AP允许该用户接入。（4）建立网络连接后授权用户通过AP访问网络资源。,2.3无线网络安全技术概述,,用IEEE802.1x和EAP作为身份认证的无线网络，可分为如图2-6所示的3个主要部分。（1）请求者。运行在无线工作站上的软件客户端。（2）认证者。无线访问点。（3）认证服务器。作为一个认证数据库,通常是一个RADIUS服务器的形式，如微软公司的IAS等。,,2.3.3IEEE802.1x身份认证,图2-6使用802.1x及EAP身份认证的无线网络,远程用户拨号认证系统是应用最广泛的AAA协议认证、授权、审计（记帐）,互联网认证服务,2.3无线网络安全技术概述,2.3.4无线网络安全技术应用,无线网络在不同的应用环境对其安全性的需求不同,以美AboveCable公司的无线网络安全技术作为实例。为了更好地发挥无线网络“有线速度无线自由”的特性，该公司根据长期积累的经验，针对各行业对无线网络的需求，制定了一系列的安全方案，最大程度上方便用户构建安全的无线网络，节省不必要的经费。1.小型企业及家庭用户2.仓库物流、医院、学校和餐饮娱乐行业3.公共场所及网络运营商、大中型企业和金融机构,,2.3无线网络安全技术概述,,1.WIFI的概念及应用WiFi（WirelessFidelity）又称IEEE802.11b标准，是一种可以将终端电脑、PDA、手机）等以无线方式互连的技术.是由“无线以太网相容联盟所发布的业界术语,用于改善基于IEEE802.11标准的无线网路产品之间的互通性。WiFi主要有三个标准较少人使用的802.11a、低速的802.11b和高速的802.11g。WiFi有多种工作模式AD-HOC、无线接入点AP、点对多点路由PtoMP、无线客户端APClient和无线转发器Repeater。,2.3.5WIFI的安全性和措施,,,WiFi的安全性由于网银等事故频发备受关注。2015年10月襄阳日报讯，市民王滔化名因在公共WiFi上进行网银操作，银行卡被犯罪分子盗刷23.5万元。所幸经过民警帮助，钱被全部追回。2015年4月，美国审计总署（GAO）在报告中表示，现在多数商业航空公司可访问互联网，这让黑客控制飞机成为可能。报告称现代飞机拥有可被恐怖分子侵入并控制的约60个外部天线。,案例2-2,2.3无线网络安全技术概述,,2.WiFi特点及组成WiFi可从八个方面体现其特点带宽、信号、功耗、便捷、节省、安全、融网、个人服务、移动特性。IEEE启动项目计划将802.11标准数据速率提高到千兆或几千兆，并通过802.11n标准将数据速率提高，以适应不同的功能和设备，通过802.11s标准将这些高端节点连接，形成类似互联网的具有冗余能力的WiFi网络。3.WiFi的认证种类6种,,图2-8WiFi原理及组成,2.3无线网络安全技术概述,,4.增强WiFi的安全措施无线路由器密码破解的速度取决于软件和硬件，只要注意在密码设置时尽量复杂些，即可增强安全性。此外，还可以采用以下几种设置方法。（1）采用WPA/WPA2加密方式，不用有缺陷加密方式。（2）不用初始口令和密码，要用长且复杂密码，并定期更换。（3）无线路由器后台管理默认的用户名和密码一定尽快更改并定期更换。（4）禁用WPS功能。现有的WPS功能存在漏洞，使路由器的接入密码和后台管理密码有可能暴露。（5）启用MAC地址过滤功能，绑定常用设备。登录路由器管理后台，查看并断开连入WIFI的可疑设备，封掉MAC地址并修改WIFI密码和路由器密码。（6）关闭远程管理端口和路由器的DHCP功能，启用固定IP地址，不要让路由器自动分配IP地址。（7）注意固件升级。一定及时修补漏洞升级或换成更安全的无线路由器。（8）不管在手机端还是电脑端都应安装病毒检测安全软件。对于黑客常用的钓鱼网站等攻击手法，安全软件可以及时拦截提醒。,,讨论思考1．无线网络安全管理的基本方法是什么2．无线网络在不同环境下的使用对安全性的要求有何不同,2.4常用网络安全管理命令,2.4.1网络连通性及端口扫描命令,在“开始”菜单“运行”中输入（运行.），在DOS环境下使用网络管理工具和命令。常用的网络管理命令有5个判断主机是否连通的ping命令,查看IP地址配置情况的ipconfig命令，查看网络连接状态的netstat命令，进行网络操作的net命令和行定时器操作的at命令。此外，在具体网络安全管理中，还使用以下工具。,,1.ping命令ping命令的主要功能是通过发送Internet控制报文协议ICMP包，检验与另一台TCP/IP主机的IP级连通情况。网络管理员常用这个命令检测网络的连通性和可到达性。同时，可将应答消息的接收情况将和往返过程的次数一起进行显示。,如果只使用不带参数的ping命令，窗口将会显示命令及其各种参数使用的帮助信息，如图2-9所示。使用ping命令的语法格式是ping对方计算机名或者IP地址。如果连通的话，返回的连通信息如图2-10所示。,2.4网络安全常用命令,,,图2-9使用ping命令的帮助信息图2-10利用ping命令检测网络的连通性,案例2-3,2.4.1网络连通性及端口扫描命令,2.Quickping和其他命令Quickping命令可以快速探测网络中运行的所有主机情况。也可以使用跟踪网络路由程序Tracert命令、TraceRoute程序和Whois程序进行端口扫描检测与探测，还可以利用网络扫描工具软件进行端口扫描检测，常用的网络扫描工具包括SATAN、NSS、Strobe、Superscan和SNMP等。,2.4网络安全常用命令,2.4.1网络连通性及端口扫描命令,,使用不带参数的ipconfig可显示所有适配器的IP地址,子网掩码和默认网关.在DOS命令行下输入ipconfig命令,如图2-11.利用“ipconfig/all”可查看所有完整的TCP/IP配置信息。对于具有自动获取IP地址的网卡.则可用“ipconfig/renew命令”更新DHCP的配置。,2.4网络安全常用命令,2.4.2网络配置信息显示及设置命令ipconfig命令的主要功能是显示所有TCP/IP网络配置信息、刷新动态主机配置协议DHCP（DynamicHostConfigurationProtocol）和域名系统DNS设置。,案例2-4,,图2-11用ipconfig命令查看本机IP地址,netstat命令的主要功能是显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息（IP、ICMP、TCP和UDP协议）.使用“netstat-an”命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被入侵的最简单方法.使用方法如图2-12所示。,,2.4网络安全常用命令,2.4.3显示连接监听端口命令,,图2-12用“netstat-an”命令查看连接和开放的端口,2.4.4查询删改用户信息命令net命令的主要功能是查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等.,利用netuser查看计算机上的用户列表,以“netuser用户名密码”给某用户修改密码，如把管理员的密码修改成123456，如图2-13所示。还可以用“netuser用户名密码”为用户修改密码，如将管理员密码改为“123456”，如图2-14所示。,2.4网络安全常用命令,案例2-5,,,图2-11用netuser查看计算机上的用户列表图2-12用netuser修改用户密码,2.4.4查询删改用户信息命令,建立用户并添加到管理员组.利用net命令可以新建一个用户名为jack的用户，然后，将此用户添加到密码为“123456”的管理员组。如图2-15所示。案例名称添加用户到管理员组文件名称2-4-1.batnetuserjack123456/addnetlocalgroupadministratorsjack/addnetuser,,,2.4网络安全常用命令,案例2-6,,图2-15添加用户到管理员组,,与对方计算机建立信任连接。拥有某主机的用户名和密码，就可以利用IPC（InternetProtocolControl）与该主机建立信任连接，之后便可以在命令行下完全控制对方计算机。得到IP为172.18.25.109计算机的管理员密码为123456可以利用命令netuse\\172.18.25.109\ipc123456/useradministrator，如图2-16所示。建立连接以后，便可以通过网络操作对方的计算机，如查看对方计算机上的文件，如图2-17所示。,2.4网络安全常用命令,,,图2-16与对方计算机建立信任连接图2-157查看对方计算机的文件,案例2-7,,案例名称创建定时器在得知对方系统管理员的密码为123456，并与对方建立信任连接以后，在对方主机建立一个任务。执行结果如图2-18所示。文件名称2-4-2.batnetuse*/delnetuse\\172.18.25.109\ipc123456/useradministratornettime\\172.18.25.109at840notepad.,,2.4网络安全常用命令,2.4.5创建任务命令主要利用at命令在与对方建立信任连接后,创建一个计划任务,并设置执行时间。,案例2-8,,讨论思考（1）网络安全管理常用的命令有哪几个（2）网络安全管理常用的命令格式怎样,2.4网络安全常用命令,2.4.5创建任务命令,,图2-16创建定时器,2.5.2实验要求,2.5实验二无线网络安全设置实验,,1.实验设备本实验需要使用至少两台安装有Windows操作系统的计算机，并安装有无线网卡。2.注意事项1预习准备由于本实验内容是对WindowsXP操作系统进行无线网络安全配置，需要提前熟悉WindowsXP操作系统的相关操作。2注意理解实验原理和各步骤的含义对于操作的每一步要着重理解其原理，对于无线网络安全机制要充分理解其作用和含义。3实验学时2学时（90-100分钟）,无线网络技术的应用非常广泛，在上述无线网络安全基本技术及应用的基础上，还要掌握小型无线网络的构建及其安全设置方法，进一步了解无线网络的安全机制，理解以WEP算法为基础的身份验证服务和加密服务。,2.5.1实验目的,2.5.3实验内容及步骤1.SSID和WEP设置,,①在安装了无线网卡的计算机上,从“控制面板”打开“网络连接”窗口,如图2-19所示.②右击“无线网络连接”图标，在弹出的快捷菜单中选择“属性”选项，打开“无线网络属性”对话框，选中“无线网络配置”选项卡中的“用Windows配置我的无线网络设置”复选框，如图2-20所示。,图2-19“网络连接”窗口图2-20“无线网络连接属性”对话框,2.5无线网络安全设置实验,2.5.3实验内容及步骤,,③单击“首选网络“选项组中的“添加”按钮，显示“无线网络属性”对话框，如图2-11所示。该对话框用来设置网络。④单击“确定”按钮，返回“无线网络配置”选项卡，所添加的网络显示在“首选网络”选项组中。⑤单击“高级”按钮，打开“高级”对话框，如图2-22所示。选中“仅计算机到计算机（特定）”单选按钮。⑥单击“关闭”按钮返回再单击“确定”。,,,图2-21“无线网络属性”对话框图2-202“高级”对话框,2.5无线网络安全设置实验,2.运行无线网络安全向导,,Windows提供了“无线网络安全向导”设置无线网络,可将其他电脑加入该网络.①在“无线网络连接”窗口中单击“为家庭或小型办公室设置无线网络”，显示“无线网络安装向导”对话框，如图2-21所示。②单击“下一步”按钮，显示“为您的无线网络创建名称”对话框，如图2-22所示。在“网络名（SSID）”文本框中为网络设置一个名称，如lab。然后选择网络密钥的分配方式。默认为“自动分配网络密钥”。,,,图2-21“无线网络安全向导”对话框图2-22“为您的无线网络创建名称”对话框,2.5无线网络安全设置实验,2.5.3实验内容及步骤,,如果希望用户必须手动输入密码才能加入网络，可选中“手动分配网络密钥”单选按钮，然后单击“下一步”按钮，如图2-25所示的“输入无线网络的WEP密钥”对话框，在这里可以设置一个网络密钥。密钥必须符合以下条件一是需要5或13个字符；二是10或26个字符，并使用0-9和A-F之间的字符。③单击“下一步”按钮，如图2-26所示的“您想如何设置网络”对话框，选择创建无线网络的方法。,,,图2-25“输入无线网络的WEP密钥”对话框图2-26“您想如何设置网络”对话框,2.5无线网络安全设置实验,2.5.3实验内容及步骤,,④可选择使用USB闪存驱动器和手动设置两种方式。使用闪存方式比较方便，但如果没有闪存盘，则可选中“手动设置网络”单选按钮，自己动手将每一台计算机加入网络。单击“下一步”按钮，显示“向导成功地完成”对话框，如图2-27所示，单击“完成”按钮完成安装。按上述步骤在其他计算机中运行“无线网络安装向导”并将其加入lab网络。不用无线AP也可将其加入该网络，多台计算机可组成一个无线网络，从而可以互相共享文件。⑤单击“关闭”和“确定”按钮。在其他计算机中进行同样设置（须使用同一服务名），然后在“无线网络配置”选项卡中重复单击“刷新”按钮，建立计算机之间无线连接，无线网连接已成功。,图2-27向导成功完成,2.5无线网络安全设置实验,2.6本章小结,本章侧重概述网络安全技术基础知识，通过分析网络协议安全和网络体系层次结构，并介绍了TCP/IP层次安全。阐述了IPv6的特点优势、IPv6的安全性和移动IPv6的安全机制。概述了虚拟专用网VPN的特点、VPN的实现技术和VPN技术的实际应用。分析了无线网络设备安全管理、IEEE802.1x身份认证、无线网络安全技术应用实例和蓝牙无线网络安全。简单介绍了常用网络安全工具，最后，概述了无线网络安全设置实验内容、步骤和方法。,诚挚谢意,高等院校计算机与信息类规划教材,上海市精品课程特色教材上海高校优秀教材奖主编,