【正文】 第 5章 網(wǎng)絡(luò)軟件安全 本章有四小節(jié)： 5. 1 網(wǎng)絡(luò)協(xié)議的安全性 5. 2 IP安全協(xié)議 5. 3 加密文件系統(tǒng) 5. 4 SSL與 SSH協(xié)議 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 1． TCP/IP協(xié)議 ? 基于 TCP/IP協(xié)議的網(wǎng)絡(luò)體系結(jié)構(gòu)比 OSI參考模型結(jié)構(gòu)更簡單 。 TCP/IP協(xié)議可分為 4層 ， 分別是網(wǎng)絡(luò)接口層 、 網(wǎng)絡(luò)層 (IP層 )、 傳輸層 (TCP層 )和應(yīng)用層 。 應(yīng)用層 傳輸 (TCP)層 網(wǎng)絡(luò) (IP)層 網(wǎng)絡(luò)接口層 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 TCP/IP OSI TCP/IP結(jié)構(gòu)與 OSI結(jié)構(gòu) 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 2． TCP／ IP協(xié)議安全性分析 ? TCP／ IP協(xié)議本身也存在著一些不安全因素 ， 它們是黑客實(shí)施網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo) 。 TCP/IP協(xié)議是建立在可信環(huán)境下的 ， 這種基于地址的協(xié)議本身就存在泄漏口令 、 經(jīng)常會(huì)運(yùn)行一些無關(guān)程序等缺陷 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (1) TCP協(xié)議 ? TCP協(xié)議把通過連接傳輸?shù)臄?shù)據(jù)看成是字節(jié)流 ， 用一個(gè) 32位整數(shù)對(duì)傳送的字節(jié)編號(hào) 。 初始序列號(hào)(ISN)在 TCP握手時(shí)產(chǎn)生 ， 產(chǎn)生機(jī)制與協(xié)議實(shí)現(xiàn)有關(guān) 。 攻擊者只要向目標(biāo)主機(jī)發(fā)送一個(gè)連接請(qǐng)求 ，即可獲得上次連接的 ISN， 再通過多次測(cè)量來回傳輸路徑 ， 得到進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來回時(shí)間 (RTT)。 已知上次連接的 ISN和 RTT，很容易就能預(yù)測(cè)出下一次連接的 ISN。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (2) IP協(xié)議和 ICMP協(xié)議 ? IP協(xié)議提供無連接的數(shù)據(jù)包傳輸機(jī)制 ， 其主要功能有尋址、 路由選擇 、 分段和組裝 。 傳送層把報(bào)文分成若干個(gè)數(shù)據(jù)包 ， 每個(gè)包在網(wǎng)關(guān)中進(jìn)行路由選擇 ， 穿越一個(gè)個(gè)物理網(wǎng)絡(luò)從源主機(jī)到達(dá)目標(biāo)主機(jī) 。 在傳輸過程中每個(gè)數(shù)據(jù)包可能被分成若干小段 ， 以滿足物理網(wǎng)絡(luò)中最大傳輸單元長度的要求 ， 每一小段都當(dāng)作一個(gè)獨(dú)立的數(shù)據(jù)包被傳輸 ， 其中只有第一個(gè)數(shù)據(jù)包含有 TCP層的端口信息 。 在包過濾防火墻中根據(jù)數(shù)據(jù)包的端口號(hào)檢查是否合法 ， 這樣后續(xù)數(shù)據(jù)包就可以不經(jīng)檢查而直接通過 。 攻擊者若發(fā)送一系列有意設(shè)置的數(shù)據(jù)包 ， 來覆蓋前面的具有合法端口號(hào)的數(shù)據(jù)包 ， 那么該路由器防火墻上的過濾規(guī)則被旁路 ， 從而攻擊者便達(dá)到了進(jìn)攻目的 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (2) IP協(xié)議和 ICMP協(xié)議 ? IP協(xié)議的改進(jìn)： IPv6設(shè)計(jì)的兩種安全機(jī)制被 加 進(jìn) 了 IPv4 ， 其 中 一 種 稱 為AH(Authentication Header)機(jī)制 ， 提供驗(yàn)證和完整性服務(wù) ， 但不提供保密服務(wù)；另一種稱為 ESP(Encapsulation Security payload)機(jī)制 ， 提供完整性服務(wù) 、 驗(yàn)證服務(wù)以及保密服務(wù) 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (2) IP協(xié)議和 ICMP協(xié)議 ? ICMP是在網(wǎng)絡(luò)層與 IP一起使用的協(xié)議 。 如果一個(gè)網(wǎng)關(guān)不為IP分組選擇路由 、 不能遞交 IP分組或測(cè)試到某種不正常狀態(tài) ， 如網(wǎng)絡(luò)擁擠影響 IP分組的傳遞 ， 那么就需要 ICMP來通知源端主機(jī)采取措施 ， 避免或糾正這些問題 。 ICMP被認(rèn)為是 IP協(xié)議不可缺少的組成部分 ， 是 IP協(xié)議正常工作的輔助協(xié)議 。 ? ICMP協(xié)議存在的安全問題有：攻擊者可利用 ICMP重定向報(bào)文破壞路由 ， 并以此增強(qiáng)其竊聽能力；攻擊者可利用不可達(dá)報(bào)文對(duì)某用戶節(jié)點(diǎn)發(fā)起拒絕服務(wù)攻擊 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 3． TCP/IP層次安全 (1) 網(wǎng)絡(luò)接口層安全 ? 網(wǎng)絡(luò)接口層安全一般可以達(dá)到點(diǎn)對(duì)點(diǎn)間較強(qiáng)的身份驗(yàn)證 、 保密性和連續(xù)的信道認(rèn)證 ， 在大多數(shù)情況下也可以保證數(shù)據(jù)流的安全 。 有些安全服務(wù)可以提供數(shù)據(jù)的完整性或至少具有防止欺騙的能力。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (2) 網(wǎng)絡(luò)層安全 ? 網(wǎng)絡(luò)層安全主要是基于以下幾點(diǎn)考慮： ? 控制不同的訪問者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問 。 ? 劃分并隔離不同安全域 。 ? 防止內(nèi)部訪問者對(duì)無權(quán)訪問區(qū)域的訪問和誤操作 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (2) 網(wǎng)絡(luò)層安全 ? 網(wǎng)絡(luò)層安全協(xié)議可用來在 Inter上建立安全的 IP通道和 VPN。 其本質(zhì)是：純文本數(shù)據(jù)包被加密 ，封裝在外層的 IP報(bào)頭里 ， 用來對(duì)加密包進(jìn)行Inter上的路由選擇；到達(dá)收端時(shí) ， 外層的 IP報(bào)頭被拆開 ， 報(bào)文被解密 ， 然后送到收?qǐng)?bào)地點(diǎn) 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (2) 網(wǎng)絡(luò)層安全 ? 網(wǎng)絡(luò)層安全性的主要優(yōu)點(diǎn)是它的透明性 ， 即提供安全服務(wù)不需要對(duì)應(yīng)用程序 、 其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng) 。 主要缺點(diǎn)是網(wǎng)絡(luò)層一般對(duì)屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)別 。 對(duì)所有去往同一地址的包 ， 它將按照同樣的加密密鑰和訪問控制策略來處理 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (3) 傳輸層安全 ? 由于 TCP/IP協(xié)議本身很簡單 ， 沒有加密 、 身份驗(yàn)證等安全特性 ， 因此必須在傳輸層建立安全通信機(jī)制 ， 為應(yīng)用層提供安全保護(hù) 。 傳輸層網(wǎng)關(guān)在兩個(gè)節(jié)點(diǎn)之間代為傳遞 TCP連接并進(jìn)行控制 。 常見的傳輸層安全技術(shù)有 SSL、 SOCKS和 PCT等 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 ? 與網(wǎng)絡(luò)層安全機(jī)制相比 ， 傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是提供基于進(jìn)程對(duì)進(jìn)程的安全服務(wù) 。 這一成就如果再加上應(yīng)用級(jí)的安全服務(wù) ， 就可以再向前跨越一大步 。 原則上 ， 任何 TCP/IP應(yīng)用 ， 只要應(yīng)用傳輸層安全協(xié)議 ， 就必定要進(jìn)行若干修改以增加相應(yīng)的功能 ， 并使用不同的 IPC界面 。 傳輸層安全機(jī)制就是要對(duì)傳輸層 IPC界面和應(yīng)用程序兩端都進(jìn)行修改 。 另外 ， 基于 UDP的通信很難在傳輸層建立起安全機(jī)制 。 網(wǎng)絡(luò)層安全機(jī)制的透明性使安全服務(wù)的提供不要求應(yīng)用層做任何改變 ， 這對(duì)傳輸層來說是做不到的 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (4) 應(yīng)用層安全 ? 如果確實(shí)要區(qū)分一個(gè)具體文件的不同安全性要求， 那就必須借助于應(yīng)用層的安全性 。 提供應(yīng)用層的安全服務(wù)實(shí)際上是處理單個(gè)文件安全性的手段。 例如 ， 一個(gè)電子郵件系統(tǒng)可能需要對(duì)要發(fā)出信件的個(gè)別段落實(shí)施數(shù)據(jù)簽名 。 較低層協(xié)議提供的安全功能一般不知道任何要發(fā)出的信件的段落結(jié)構(gòu) ， 從而不可能知道該對(duì)哪一部分進(jìn)行簽名 。 應(yīng)用層是唯一能夠提供這種安全服務(wù)的層次 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (4) 應(yīng)用層安全 ? 現(xiàn)已實(shí)現(xiàn)的 TCP/IP應(yīng)用層的安全措施有：基于信用卡安全交易服務(wù)的安全電子交易(SET)協(xié)議 ， 基于信用卡提供電子商務(wù)安全應(yīng)用的安全電子付費(fèi)協(xié)議 (SEPP)， 基于SMTP提供電子郵件安全服務(wù)的私用強(qiáng)化郵件 (PEM)， 基于 HTTP協(xié)議提供 Web安全使用的安全性超文本傳輸協(xié)議 (SHTTP)等 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 軟件安全策略 1． 軟件限制策略原則 (1) 應(yīng)用軟件與數(shù)據(jù)文件的獨(dú)立原則 (2) 軟件限制策略的沖突處理原則 (3) 軟件限制的規(guī)則 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 軟件安全策略 2． 軟件限制策略的應(yīng)用 ? 軟件限制策略是一種技術(shù) ， 通過這種技術(shù) ， 管理員可以決定哪些程序是可信賴的 ， 哪些是不可信賴的 。 對(duì)于不可信賴的程序 ， 系統(tǒng)會(huì)拒絕執(zhí)行 。通常 ， 管理員可利用文件路徑 、 文件 Hash值 、 文件證書 、 特定擴(kuò)展名文件 ， 以及其他強(qiáng)制屬性等方式鑒別軟件是否可信賴 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 軟件安全策略 軟件限制規(guī)則的簡單操作如下： ? 第 1步：打開 ? 計(jì)算機(jī)配置 ? →? Windows設(shè)置 ? →? 安全設(shè)置 ? →? 軟件限制策略 ? 路徑 ， 在 ? 操作 ? 菜單下選擇? 創(chuàng)建新的策略 ? (在 Windows XP/SP1上 ， 默認(rèn)是沒有任何策略的 ， 但對(duì)于 Windows XP/SP2系統(tǒng) ， 已經(jīng)建好了默認(rèn)策略 )。 系統(tǒng)將會(huì)創(chuàng)建 ? 安全級(jí)別 ? 和 ? 其它規(guī)則 ? 兩個(gè)新條目 。 其中在安全級(jí)別條目下有 ? 不允許的 ? 和 ? 不受限的 ? 兩條規(guī)則 。 前者明確默認(rèn)情況下所有軟件都不允許運(yùn)行 ， 只有特別配置過的少數(shù)軟件才可以運(yùn)行；而后者明確默認(rèn)情況下所有軟件都可以運(yùn)行 ， 只有特別配置過的少數(shù)軟件才被禁止運(yùn)行 。 本例中需要運(yùn)行的軟件都已經(jīng)確定 ，因此需要使用 ? 不允許的 ? 作為默認(rèn)規(guī)則 。 雙擊 ? 不允許的 ? 或右鍵單擊后選擇 ? 屬性 ? ， 然后點(diǎn)擊 ? 設(shè)為默認(rèn) ?按鈕 ， 并在同意警告信息后繼續(xù) 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 軟件安全策略 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 軟件安全策略 ? 軟件限制規(guī)則的簡單操作如下： ? 第 2步：打開 ? 其他規(guī)則 ? 條目 ， 可看到默認(rèn)情況下已有了根據(jù)注冊(cè)表路徑設(shè)置的 4個(gè)規(guī)則 ， 且默認(rèn)都設(shè)置為 ? 不受限的 ? 。 不要修改這 4個(gè)規(guī)則 ， 否則系統(tǒng)運(yùn)行將會(huì)遇到麻煩 ， 因?yàn)檫@ 4個(gè)路徑都涉及到重要系統(tǒng)程序及文件所在的位置 。 同時(shí) ， 位于系統(tǒng)盤下 ? Program Files”文件夾及? Windows”文件夾下的文件是允許運(yùn)行的 ， 而這4條默認(rèn)規(guī)則已經(jīng)包含了這些路徑 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 軟件安全策略 ? 第 2步：打開 ? 其他規(guī)則 ? 條目 ， 可看到默認(rèn)情況下已有了根據(jù)注冊(cè)表路徑設(shè)置的 4個(gè)規(guī)則 ， 且默認(rèn)都設(shè)置為 ? 不受限的 ? 。 不要修改這 4個(gè)規(guī)則 ， 否則系統(tǒng)運(yùn)行將會(huì)遇到麻煩 ， 因?yàn)檫@ 4個(gè)路徑都涉及到重要系統(tǒng)程序及文件所在的位置 。 同時(shí)