【正文】 多層次中的安全性 網(wǎng)絡安全 52 防火墻 將組織的內部網(wǎng)與更大的因特網(wǎng)相隔離，允許某些分組通過，阻止另一些 防火墻 管理的網(wǎng)絡 公共因特網(wǎng) 防火墻 網(wǎng)絡安全 53 防火墻 : 理由 防止拒絕服務攻擊 : ? SYN洪泛 : 攻擊者創(chuàng)建了許多偽造的 TCP連接，對“ 真實的 ” 連接則沒有資源可用 防止非法的修改 /訪問內部數(shù)據(jù) . ?如，攻擊者用一些別的東西代替 CIA主頁 僅允許授權的訪問進行內部網(wǎng)絡 (鑒別的用戶 /主機集合 ) 兩類防火墻 : ?應用級 ?分組過濾 網(wǎng)絡安全 54 分組過濾 ? 內部網(wǎng)絡經(jīng) 路由器防火墻 連接到因特網(wǎng) ? 路由器 逐分組地過濾 , 基于下列因素決定轉發(fā) /丟棄分組 : ? 源 IP地址，目的 IP地址 ? TCP/UDP源和目的端口號 ? ICMP報文類型 ? TCP SYN和 ACK比特 到達的分組允許進入嗎？離開的分組允許出去嗎？ 網(wǎng)絡安全 55 分組過濾 ? 例子 1: 阻止具有下列特征的入和出數(shù)據(jù)報： IP 協(xié)議字段 =17并且源或目的端口號 = 23. ?所有入和出 UDP流和 Tel連接將阻止 ? 例子 2: 阻止入 TCP段 (協(xié)議字段 = 6)具有 ACK=0. ?防止外部客戶機與內部客戶機進行 TCP連接，但允許內部客戶機與外部連接 網(wǎng)絡安全 56 應用網(wǎng)關 ? 除了 IP/TCP/UDP字段，還過濾分組的應用數(shù)據(jù) ? 例子： 允許選定的內部用戶 Tel外部 主機到網(wǎng)關的Tel會話 網(wǎng)關到遠程主機 Tel會話 應用網(wǎng)關 路由器和過濾器 1. 要求所有 Tel用戶通過網(wǎng)關出去 2. 對于授權的用戶，網(wǎng)關對目的主機建立 Tel連接。 Alice必須返回 R, 用共享的秘密密鑰加密 “ I am Alice” R K (R) AB Alice是活躍的，僅有 Alice知道加密不重數(shù)的密鑰，因此這必定是 Alice! 網(wǎng)絡安全 33 鑒別 : 要求共享的對稱密鑰 ? 我們能夠用公鑰技術鑒別嗎 ? : 使用不重數(shù) , 公鑰密碼學 “ I am Alice” R Bob計算 K (R) A “ send me your 公鑰” K A + (K (R)) = R A K A + 并知道僅有 Alice才具有密鑰，能夠加密 R 得到 (K (R)) = R A K A + 網(wǎng)絡安全 34 : 安全漏洞 “中間人 ” 攻擊 : Trudy假裝是 Alice (對 Bob)同時假裝 Bob (對 Alice) I am Alice I am Alice R T K (R) 向我發(fā)送你的公鑰 T K + A K (R) 向我發(fā)送你的公鑰 A K + T K (m) + T m = K (K (m)) + T Trudy 得到 向 Alice發(fā)送用 Alice公鑰加密的 m A K (m) + A m = K (K (m)) + A R 網(wǎng)絡安全 35 : 安全漏洞 “中間人 ” 攻擊 : Trudy假裝是 Alice (對 Bob)同時假裝 Bob (對 Alice) 難以檢測 : ? Bob接收到了 Alice發(fā)送的所有東西，反之亦然 。網(wǎng)關中繼 2個連接之間的數(shù)據(jù) 3. 路由器過濾器阻止所有不是從網(wǎng)關起始的 Tel連接 網(wǎng)絡安全 57 防火墻和網(wǎng)關的限制 ? IP哄騙 : 路由器不能知道是否數(shù)據(jù) “ 真實地 ” 來自所宣稱的源 ? 如果多個應用程序需要特殊處理，每個都有自己的應用網(wǎng)關 ? 客戶機軟件必須知道如何與網(wǎng)關聯(lián)系 ? 如必須在 Web瀏覽器中設置 IP地址 ? 過濾器對 UDP通常使用全部或全無策略 ? 折衷 : 與外界通信的程序，安全性水平 ? 許多高度保護的站點仍遭受攻擊 網(wǎng)絡安全 58 第 8章 要點 什么是網(wǎng)絡安全 ? 密碼學的原則 鑒別 完整性 密鑰分發(fā)和證書 訪問控制 : 防火墻 攻擊和防范措施 在多層次中的安全性 網(wǎng)絡安全 59 因特網(wǎng)安全性威脅 映射 : ?在攻擊之前的 “ 踩點 ” ：找出網(wǎng)絡上實現(xiàn)了什么服務 ?使用 ping 來確定網(wǎng)絡上有哪些主機 ?端口掃描：試圖順序對每個端口創(chuàng)建 TCP連接 (觀察發(fā)生的情況 ) ? nmap ( : “網(wǎng)絡探測與安全性審計 ” 對策 ? 網(wǎng)絡安全 60 因特網(wǎng)安全性威脅 映射 : 對策 ?記錄進入網(wǎng)絡的流量 ?尋找可疑的活動 (IP地址，被順序掃描的端口 ) 網(wǎng)絡安全 61 因特網(wǎng)安全性威脅 分組嗅探 : ?廣播媒體 ?混雜模式的 NIC讀通過的所有分組 ?能夠讀所有未加密的數(shù)據(jù) (如口令 ) ?如： C嗅探 B的分組 A B C src:B dest:A 負載 對策 ? 網(wǎng)絡安全 62 因特網(wǎng)安全性威脅 分組嗅探 : 對策 ?組織中的所有主機運行軟件進行周期性的檢查，看是否主機接口為混雜模式 ?廣播媒體的每段一臺主機 (交換式以太網(wǎng) ) A B C src:B dest:A 負載 網(wǎng)絡安全 63 因特網(wǎng)安全性威脅 IP哄騙 : ?能夠直接從應用程序生成 “raw” IP分組，在 IP源地址字段放入任何值 ?接收方不能分辨源是否哄騙 ?如 C假裝是 A B C src:B dest:A 負載 對策 ? 網(wǎng)絡安全 64 因特網(wǎng)安全性威脅 IP哄騙：入口過濾 ?路由器對于非法源地址不應當向外轉發(fā) (如 數(shù)據(jù)報源地址不在路由器網(wǎng)絡中 ) ?很好的方法！但入口過濾不能強制所有網(wǎng)絡實行 A B C src:B dest:A 負載 網(wǎng)絡安全 65 因特網(wǎng)安全性威脅 拒絕服務 (DOS): ?產(chǎn)生的大量敵意分組淹沒了接收方 ?分布式 DOS (DDOS): 多個協(xié)同的源淹沒接收方 ?如 C和遠程主機 SYN攻擊 A A B C SYN SYN SYN SYN SYN SYN SYN 對策 ? 網(wǎng)絡安全 66 因特網(wǎng)安全性威脅 拒絕服務 (DOS): 對策 ?在到達主機前 過濾出 洪泛分組 (如 SYN)：扔掉 ?溯源 (traceback)到洪泛的源 (許多可能是無辜的、被連累的機器 ) A B C SYN SYN SYN SYN SYN SYN SYN 網(wǎng)絡安全 67 第 8章 要點 什么是網(wǎng)絡安全 ? 密碼學的原則 鑒別 完整性 密鑰分發(fā)和證書 訪問控制 : 防火墻 攻擊和防范措施 在多層次中的安全性 . 安全電子郵件 . 安全套接字 . IPsec . 在 網(wǎng)絡安全 68 安全電子郵件 Alice: ? 生成隨機 對稱 私鑰 KS ? 用 KS 加密報文 (為了提高效率 ) ? 也用 Bob的公鑰加密 KS ? 向 Bob發(fā)送 KS(m)和 KB(KS) ? Alice要向 Bob發(fā)送機密的電子郵件 , m KS( ) .