【正文】 Exchange（ IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。 IPSec支持傳輸模式和隧道模式。? 傳輸模式是為 IP包的數(shù)據(jù)提供保護(hù)，因?yàn)?IP包的數(shù)據(jù)就是上層協(xié)議的報(bào)文（如 ICMP報(bào)文， TCP報(bào)文等），所以對 IP包的數(shù)據(jù)進(jìn)行保護(hù)，就是對其上層協(xié)議提供保護(hù)。? 隧道模式提供對所有 IP包的保護(hù)，即將整個(gè) IP包（含包頭和數(shù)據(jù)）封裝，作為新的 IP包的載荷進(jìn)行傳送。 ? IPSec策略的實(shí)施有兩種基本方法，一是在本地計(jì)算機(jī)上指定策略，二是使用 Windows 2023 組策略 對象，由其來實(shí)施策略。 IPSec策略 可適用于單機(jī)、域、路由器、網(wǎng)站或各種自定義組織單元等多種場合。76第 16講 信息安全（ 4） TCP協(xié)議的安全性? 大多數(shù)的應(yīng)用程序都以 TCP作為它們的傳輸層協(xié)議， TCP的安全性問題會(huì)給網(wǎng)絡(luò)帶來嚴(yán)重的后果。? TCP協(xié)議通過三次握手機(jī)制（ threewayhandshake）建立兩臺(tái)主機(jī)間的連接 ? 過程如下：– 請求端（通常稱為客戶 client）發(fā)送一個(gè) SYN段指明客戶打算連接的服務(wù)器（ SERVER）的端口，以及初始序號(hào) ISN（圖中的 seq）。這個(gè) SYN段為報(bào)文段 1。– 服務(wù)器發(fā)回包含服務(wù)器的初始序號(hào)的 SYN報(bào)文段（報(bào)文段 2）作為應(yīng)答。同時(shí)，將確認(rèn)序號(hào)設(shè)置為客戶的 ISN加 1以對客戶的 SYN報(bào)文段進(jìn)行確認(rèn)。一個(gè) SYN將占用一個(gè)序號(hào)。– 客戶必須將確認(rèn)序號(hào)設(shè)置為服務(wù)器的 ISN加 1以對服務(wù)器的 S Y N報(bào)文段進(jìn)行確認(rèn)（報(bào)文段 3） 。– 發(fā)送第一個(gè) SYN的一端將執(zhí)行主動(dòng)打開（ activeopen）。接收這個(gè) SYN并發(fā)回下一個(gè) SYN的另一端執(zhí)行被動(dòng)打開（ passiveopen）。77第 16講 信息安全TCP協(xié)議的三次握手機(jī)制圖78第 16講 信息安全TCP協(xié)議的三次握手機(jī)制? 當(dāng)一端為建立連接而發(fā)送它的 SYN時(shí)，它為連接選擇一個(gè)初始序號(hào)。 ISN隨時(shí)間而變化，因此每個(gè)連接都將具有不同的 ISN。ISN可看作是一個(gè) 32比特的計(jì)數(shù)器，每 4ms加 1。這樣選擇序號(hào)的目的在于防止在網(wǎng)絡(luò)中被延遲的分組在以后又被傳送，而導(dǎo)致某個(gè)連接的一方對它作錯(cuò)誤的解釋 。79第 16講 信息安全從以上過程可以看出，兩臺(tái)主機(jī)在利用 TCP建立連接時(shí)，實(shí)際上是使用了 32位的序列號(hào)建立和確立聯(lián)系。而對該序列號(hào)根本沒有判斷其合法性。所以我們只要將 IP層的數(shù)據(jù)包偽裝成合法的包就可以與服務(wù)器建立連接了。例如：服務(wù)器（ server）授予客戶機(jī)（ client）訪問權(quán)限，駭客機(jī)（ cracker）應(yīng)該無權(quán)訪問server，但利用 TCP的缺陷， cracker卻可以與 server建立連接。80第 16講 信息安全TCP的其它安全問題? TCP協(xié)議是傳輸層協(xié)議，現(xiàn)在使用的安全套接層（ SecuritySocketLayer， SSL）協(xié)議就是工作在傳輸層之上，保護(hù)傳輸層安全的。? 實(shí)際上 SSL協(xié)議本身也是個(gè)分層的協(xié)議，它由 消息子層 以及承載消息的 記錄子層 組成。81第 16講 信息安全（ 5） tel的安全性? Tel服務(wù)雖然也屬于客戶機(jī) /服務(wù)器模型的服務(wù)，但它更大的意義在于實(shí)現(xiàn)了基于Tel協(xié)議的遠(yuǎn)程登錄（遠(yuǎn)程交互式計(jì)算）， 那么什么是遠(yuǎn)程登陸呢？– 在分時(shí)系統(tǒng)中允許多個(gè)用戶同時(shí)使用一臺(tái)計(jì)算機(jī)， 為了保證系統(tǒng)的安全和記帳方便，系統(tǒng)要求每個(gè)用戶有單獨(dú)的帳號(hào)作為登錄標(biāo)識(shí)，系統(tǒng)還為每個(gè)用戶指定了一個(gè)口令。 用戶在使用該82第 16講 信息安全系統(tǒng)之前要輸入標(biāo)識(shí)和口令（這個(gè)過程稱為 “登錄 ”）。遠(yuǎn)程登陸是指用戶使用 tel的客戶端程序，使自己的計(jì)算機(jī)暫時(shí)成為遠(yuǎn)程主機(jī)的一個(gè)仿真終端的過程（當(dāng)然遠(yuǎn)程主機(jī)一定已提供了 tel的服務(wù)程序）。仿真終端在功能上相當(dāng)于與遠(yuǎn)程主機(jī)串口直接相連的終端。它只負(fù)責(zé)把用戶輸入的每個(gè)字符每條命令傳遞給主機(jī)，再將主機(jī)輸出的每個(gè)信息回顯在屏幕上。在 UNIX系統(tǒng)中 tel廣泛應(yīng)用（ WINDOWS中也提供此服務(wù)，只是一般該服務(wù)未啟用），另外網(wǎng)絡(luò)設(shè)備中的路由器、交換機(jī)等設(shè)備，也大都提供 tel的服務(wù)，以便讓管理人員遠(yuǎn)程配置修改網(wǎng)絡(luò)設(shè)備。83第 16講 信息安全Tel的缺陷? Tel本身沒有很好的保護(hù)機(jī)制，所以要借助其他外部的保護(hù)。Tel本身的缺陷是：– 沒有口令保護(hù)，遠(yuǎn)程用戶的登陸傳送的帳號(hào)和密碼都是明文，使用普通的 sniffer都可以被截獲沒有強(qiáng)力認(rèn)證過程。– 只是驗(yàn)證連接者的帳戶和密碼。– 沒有完整性檢查。傳送的數(shù)據(jù)沒有辦法知道是否完整的，而不是被篡改過的數(shù)據(jù)。 – 傳送的數(shù)據(jù)都沒有加密。? 黑客利用 tel可以得到許多有用的信息，通過攻擊下面所列端口中的任意一個(gè)都可以識(shí)別操作系統(tǒng)的類型：? 端口 21； FTP 23； Tel 端口 25； Mail ? 端口 70； Gopher 端口 80； Http? Tel還可用于迅速判斷目標(biāo)是真實(shí)域還是虛擬域?？梢詭椭肭终叽_切地出判斷他該去入侵哪一臺(tái)機(jī)器。? SSH是一個(gè)很好的 tel安全保護(hù)系統(tǒng)，但是如果是要更嚴(yán)格的保護(hù)，你必須使用其他的 tel安全產(chǎn)品。 84第 16講 信息安全（ 5） FTP協(xié)議? 文件傳輸協(xié)議 (File Transfer Protocol， FTP) 其目的在于使我們能夠在網(wǎng)絡(luò)上方便地傳輸文件。早期 FTP并沒有涉及安全問題。? FTP支持客戶建立一個(gè) FTP控制連接和一個(gè)數(shù)據(jù)連接，然后在兩個(gè)服務(wù)間傳送文件。同時(shí) FTP規(guī)范中對使用 TCP的端口號(hào)沒有任何限制，而從0－ 1023的 TCP端口號(hào)保留用于眾所周知的網(wǎng)絡(luò)服務(wù)。所以， 通過 “代理FTP”，客戶可以命令 FTP服務(wù)器攻擊任何一臺(tái)機(jī)器上的服務(wù) 。? 客戶發(fā)送一個(gè)包含被攻擊的機(jī)器和服務(wù)的網(wǎng)絡(luò)地址和端口號(hào)的FTP“PORT”命令。這時(shí)客戶要求 FTP服務(wù)器向被攻擊的服務(wù)發(fā)送一個(gè)文件，這個(gè)文件中應(yīng)包含與被攻擊的服務(wù)相關(guān)的命令（例如； SMTP、NNTP）。 由于是命令第三方去連接服務(wù)，而不是直接連接，這樣不僅使追蹤攻擊者變得困難，還能避開基于網(wǎng)絡(luò)地址的訪問限制。? FTP服務(wù)器允許無限次輸入口令。黑客就可利用這一點(diǎn)進(jìn)行強(qiáng)力攻擊，有兩種表現(xiàn)：建立一個(gè) TCP連接進(jìn)行強(qiáng)力攻擊，建立多個(gè) TCP連接進(jìn)行強(qiáng)力攻擊。? 又如， FTP中的口令和數(shù)據(jù)及控制信息都以明文傳送等。85第 16講 信息安全（ 6） HTTP協(xié)議 (Hypertext　 Transfer　Protocol，超文本傳輸協(xié)議 )86第 16講 信息安全HTTP協(xié)議87第 16講 信息安全88第 16講 信息安全HTTP協(xié)議的安全性89第 16講 信息安全一個(gè)保密的 TCP通道，而 HTTP即可使用該安全通道。安全超文本傳輸協(xié)議（ Secure HyperText Transfer Protocol， SHTTP） 是 EIT公司結(jié)合 HTTP而設(shè)計(jì)的一種消息安全通信協(xié)議。 SHTTP協(xié)議處于應(yīng)用層，它是 HTTP協(xié)議的擴(kuò)展，它僅適用于 HTTP聯(lián)結(jié)上， 90第 16講 信息安全SHTTP? 可信賴的信息傳輸服務(wù)及數(shù)字簽名等。 SHTTP提供了完整且靈活的加密算法及相關(guān)參數(shù)。選項(xiàng)協(xié)商用來確定客戶機(jī)和服務(wù)器在安全事務(wù)處理模式、加密算法（如用于簽名的非對稱算法 RSA和 DSA等、用于對稱加解密的 DES和 RC2等）及證書選擇等方面達(dá)成一致。91第 16講 信息安全SHTTP支持端對端安全傳輸，客戶機(jī)可能“首先 ”啟動(dòng)安全傳輸（使用報(bào)頭的信息），它可以用來支持加密技術(shù)。 SHTTP是通過在 SHTTP所交換包的特殊頭標(biāo)志來建立安全通訊的。當(dāng)使用 SHTTP時(shí)，敏感的數(shù)據(jù)信息不會(huì)在網(wǎng)絡(luò)上明文傳輸。92第 16講 實(shí)訓(xùn)? 實(shí)訓(xùn)目的– 了解 TCP/IP協(xié)議有安全漏洞。– 在 WINDOWS操作系統(tǒng)中預(yù)防 ICMP協(xié)議的兩個(gè)安全漏洞。93第 16講 信息安全討論、小結(jié)、布置作業(yè) ? 計(jì)算機(jī)網(wǎng)絡(luò)有哪些數(shù)據(jù)及其各自安全性解決方式。 ? 習(xí)題四 94