第11章 因特网安全和 VPN

1. 第11章 因特网安全和VPN 第11章 因特网安全和VPN 因特网在最初建立时的指导思想就是资源共享,为了实现资源共享而把系统做成开放式的。在建立协议模型以及协议实现时，更多地考虑到易用性，而在安全性方面的考虑存在严重不足，这就给攻击者造成了可乘之机。 Network and Information Security

2. 第11章 因特网安全和VPN 11.1 TCP/IP协议簇 11.1.1 TCP/IP协议簇模型 链路层(也称为网络接口层)似乎与OSI的数据链路层和物理层相对应，但实际上TCP/IP本身并没有真正描述这一部分，只是指出主机必须使用某种协议与网络连接，以便能在其上传递IP分组。 网络层(也称为互联网络层)是整个体系结构的关键部分，它的功能是使主机可以把分组发往任何网络，并使分组独立地传向目的地(可能经由不同的物理网络)。 传输层(又称运输层)在TCP/IP模型中位于网络层之上，它的功能是使源端和目的端主机上的对等实体可以进行会话(和OSI的传输层一样)。 传输层的上面是应用层。它包含所有的高层协议。最早引入的是远程登录协议(Telnet)和文件传输协议(FTP)。后来又增加了不少协议，例如域名服务DNS(domain name service)用于把主机名映射到网络地址；HTTP协议，用于在万维网(WWW)上获取主页等。 Network and Information Security

3. 第11章 因特网安全和VPN 11.1.2 IP协议的安全问题 1．IP协议分组格式 Network and Information Security

4. 第11章 因特网安全和VPN 2.IP协议的安全问题 (1)死亡之ping(ping of death) 这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度。因为以太网帧长度有限，IP包必须被分片。当一个IP包的长度超过以太网帧的最大尺寸时，包就会被分片，作为多个帧来发送。接收端的机器提取各个分片，并重组为一个完整的IP包。超大的包一旦出现，包当中的额外数据就会被写入其它正常内存区域。这很容易导致系统进入非稳定状态，是一种典型的缓冲区溢出(Buffer Overflow)攻击。 Network and Information Security

5. 第11章 因特网安全和VPN (2)泪滴(Teardrop)攻击 Teardrop攻击同死亡之ping有些类似，在这儿，一个大IP包的各个分片包并非首尾相连，而是存在重叠(Overlap)现象。例如，分片1的偏移等于0，长度等于15，分片2的偏移为5，这意味着分片2是从分片1的中间位置开始的，即存在10字节的重叠。系统内核将试图消除这种重叠，但是如果重叠问题严重，内核将无法进行正常处理。 Network and Information Security

6. 第11章 因特网安全和VPN (3)源路由(Source Routing)欺骗 IP协议包含一个选项，叫作IP源路由选项(Source Routing)，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好象是从路径上的最后一个系统传递过来的，而不是来自于它的真实地点。利用该选项可以欺骗系统，使之放行那些通常是被禁止的网络连接。因此，许多依靠IP源地址进行身份认证的服务将会产生安全问题以至被非法入侵。源路由选项允许黑客伪装成其它的可信任机器，这使得黑客攻击变得难于跟踪。 Network and Information Security

7. 第11章 因特网安全和VPN （4）IP地址欺骗 入侵者使用假IP地址发送包，基于IP地址认证的应用程序将认为入侵者是合法用户。 Network and Information Security

8. 第11章 因特网安全和VPN 11.1.3 TCP协议 1．TCP协议头部格式 Network and Information Security

9. 第11章 因特网安全和VPN 2．TCP连接的建立TCP协议使用三次握手来建立一个TCP连接， Network and Information Security

10. 第11章 因特网安全和VPN 3.TCP协议的安全问题 (1)SYN洪水(SYN flood)攻击 SYN洪水攻击利用的是大多数主机在实现三次握手协议所存在的漏洞。当主机A接收到来自主机X的SYN请求时，它就必须在侦听队列中对此连接请求保持75秒的跟踪。由于大多数系统资源有限，能够打开的连接数有限，因而攻击者X可以同时向主机A发送多个SYN请求，而且对A返回的SYN+ACK包不进行应答。这样，侦听队列将很快被阻塞，从而拒绝接受其它新的连接请求，直到部分打开的连接完成或者超时。这种拒绝服务攻击就可以作为实施上述IP地址欺骗攻击的辅助手段，使主机A无法对来自主机B的包进行应答。 Network and Information Security

11. 第11章 因特网安全和VPN (2)序列号猜测 现在，主机A已经无法对主机B发来的包进行应答了。攻击者X现在需要解决的是初始序列号的猜测。 在实际系统的初始序列号产生方法中，并非完全随机，而且很多操作系统TCP实现中初始序列号的产生方法是公开的。这就方便了黑客攻击。因此关键在于要使初始序列号的选取近可能地随机。 Network and Information Security

12. 第11章 因特网安全和VPN (3)LAND攻击 这是最简单的一种TCP攻击方法：将TCP包的源地址和目的地址，源端口和目的端口都设置成相同即可。其中，地址字段都设置为目标机器的IP地址。需要注意的是，对应的端口必须有服务程序在监听。LAND攻击可以非常有效地使目标机器重新启动或者死机。 要抵御LAND攻击，只需在编程实现时注意到这种特殊的包，将其丢弃即可。 Network and Information Security

13. 第11章 因特网安全和VPN (4)TCP会话劫持 下面让我们深入探讨TCP问题的另一个严重问题。我们注意到，在TCP连接建立的过程中和利用这个连接传输数据的过程中没有任何的认证机制。TCP假定只要接收到的数据包包含正确的序列号就认为数据是可以接受的。 让我们考虑下述情形：一个客户程序通过TCP正在与一台服务器进行通信。攻击者截获或重定向客户与服务器之间的数据流，使之经过攻击者的机器。由于攻击者可以看到序列号，有必要的话，它可以把伪造的数据包放到TCP流中。 这个问题是由于TCP协议中没有认证机制引起的，因此解决的办法是引入认证机制。本章后面讨论的IPSec将解决这个问题。 Network and Information Security

14. 16位源端口号 16位目的端口号 16位UDP长度 16位检验和 数据 第11章 因特网安全和VPN 11.1.4 UDP协议的安全问题 从UDP首部可以看出来，进行UDP欺骗比进行TCP欺骗更容易，因为UDP没有连接建立的过程。 Network and Information Security

15. 第11章 因特网安全和VPN 11.2 黑客攻击的流程 1 踩点(Foot Printing) 2 扫描(scanning) 3 查点(enumeration) 4 获取访问权(Gaining Access) 5 权限提升(Escalating Privilege) 6 掩盖踪迹(Covering Track) 7 创建后门(Creating Back Doors) Network and Information Security

16. 第11章 因特网安全和VPN 11.3 黑客攻击技术概述 ● 协议漏洞攻击； ● 程序漏洞攻击； ● 设置漏洞攻击； ● 密码分析与口令猜测； ● 拒绝服务攻击； ● 社会工程攻击。 Network and Information Security

17. 第11章 因特网安全和VPN 11.4 虚拟专用网 11.4.1 VPN概述 VPN可以将物理上分布在不同地点的网络，通过不安全的因特网连接在一起，进行安全的通信。各网络通过因特网这种公共网络连接在一起，并不是专用网络，但采取一定的安全技术后，却具有与专用网络相同的安全性，所以才叫做虚拟专用网。用户无需投入巨资建立自己的专用网，只需使用低成本的因特网与VPN技术，就能得到与专用网络相同的安全性。 Network and Information Security

18. 第11章 因特网安全和VPN VPN主要有以下两种应用方式 Network and Information Security

19. 第11章 因特网安全和VPN • VPN需要具体的安全协议来实现，3种最常见的也是最为广泛实现的VPN协议是：点对点隧道协议（Point-to-Point Tunneling Protocol，PPTP），第二层隧道协议（Layer 2 Tunneling Protocol，L2TP）和IP安全协议（IPSec）。 • 在这3种技术中，使用最为广泛的是IPSsec。下面将详细讨论IPSsec。 Network and Information Security

20. 第11章 因特网安全和VPN 11.5 IPSec 11.5.1 IP安全性分析 1.IPv4缺乏对通信双方真实身份的验证能力，仅仅采用基于源IP地址的认证机制。 2.IPv4不对网络上传输的数据包进行机密性和完整性保护，一般情况下IP包是明文传输的，第三方很容易窃听到IP数据包并提取其中的数据，甚至篡改窃取到的数据包内容，而且不被发觉。 3.由于数据包中没有携带时间戳、一次性随机数等，很容易遭受重放攻击。攻击者搜集特定IP包，进行一定处理就可以一一重新发送，欺骗对方。 Network and Information Security

21. 第11章 因特网安全和VPN 11.5.2 安全关联(Security Association，SA) 安全关联可以认为是密码等安全参数的集合。SA中有大量的参数，现在先看一下SA中与密码操作无关的基本参数。 • 序列号(Sequence Number) • 存活时间(Time To Live，TTL)： (3) 模式(Mode)： (4) 隧道目的地(Tunnel Destination)： (5) 路径最大传输单元(PMTU)： Network and Information Security

22. 第11章 因特网安全和VPN 11.5.3 IPSec模式 IPSec提供了两种操作模式——传输模式(Transport Mode)和隧道模式(Tunnel Mode)。这两种模式的区别非常直观——它们保护的内容不同，后者是整个IP包，前者只是IP的有效负载。 在传输模式中，只处理IP有效负载，并不修改原来的IP协议报头。 在隧道模式中, 原来的整个IP包都受到保护，并被当作一个新的IP包的有效载荷。 Network and Information Security

23. 第11章 因特网安全和VPN 11.5.4 认证报头(Authentication Header，AH) 认证报头是IPSec协议之一，用于为IP提供数据完整性、数据源身份验证和一些可选的、有限的抗重放服务。它定义在RFC 2402中。AH不对受保护的IP数据包的任何部分进行加密，即不提供保密性服务。 由于AH不提供保密性服务，所以它不需要加密算法。AH定义了保护方法、头的位置、身份认证的覆盖范围以及输出和输入处理规则，但没有对所用的身份验证算法进行定义。 AH可用来保护一个上层协议的数据(传输模式)或者一个完整的IP数据包(隧道模式)。 Network and Information Security

24. 第11章 因特网安全和VPN Network and Information Security

25. 第11章 因特网安全和VPN 11.5.5 封装安全有效载荷(Encapsulating Security Payload，ESP) ESP提供机密性、数据源的身份验证、数据的完整性和抗重放服务。提供的这组服务由SA的相应组件决定。 不管ESP处于什么模式，ESP头都会紧跟在IP头之后。在IPv4中，ESP头紧跟在IP头后面(包括选项)。在IPv6中，ESP头的放置与是否存在扩展头有关。ESP头肯定插在扩展头之后，其中包括路由选择和分片头等，但ESP头应插在目的选项头之前，因为我们希望对这些目标选项进行保护。与AH不同的是，除了ESP头，还有ESP尾和ESP认证。 Network and Information Security

26. 第11章 因特网安全和VPN • 11.5.6 Windows中的IPSec • Windows操作系统已经内置了IPSec。在网络连接窗口中，单击“创建一个新的连接”任务，可以建立一个使用IPSec的VPN连接， • 另外，还可以在“控制面板”中的“管理工具”中，运行“本地安全策略”，在窗口左侧选择“IP安全策略”，则右侧出现“安全服务器”、“客户端”、“服务器”3个项目。在此处可以进行非常复杂的IPSec设置， Network and Information Security

27. 第11章 因特网安全和VPN 11.6 IPSec安全关联的建立 因特网安全关联和密钥管理协议(Internet Security Association and Key Management Protocol，ISAKMP)由RFC 2408定义，提供了建立安全关联和密钥的框架。该框架不依赖于任何技术，可以同现有的其它安全机制一同使用。IKE(Internet Key Exchange)在RFC 2409当中定义，2005年5月的RFC 4109对其做了更新。IKE使用ISAKMP作为它的框架，在两个实体之间建立一条经过认证的安全隧道，并对用于IPSec的安全关联进行协商。这个过程需要实体之间互相认证对方然后建立共享密钥。 Network and Information Security

28. 第11章 因特网安全和VPN 11.6.1 ISAKMP ISAKMP定义了一种非常灵活的方法来构造消息，这些消息能适应不同类型的服务，而不单单是IKE。ISAKMP消息是一种模块化结构，不同消息都包含在不同类型的负载当中。当前总共定义了13种类型的负载。 Network and Information Security

29. 第11章 因特网安全和VPN 11.6.2 IKE 建立安全关联前必须对通信双方的身份进行认证，该认证必须是双向认证。IKE支持多种认证方法。主要有以下几种。 l预共享密钥（Pre-shared Keys）。 l公钥加密（Public Key Cryptography）。 l数字签名（Digital Signature）。 Network and Information Security

30. 第11章 因特网安全和VPN IKE由两个阶段组成的。第一阶段用于建立ISAKMP的安全关联。有两种工作模式：主模式(Main Mode)和积极模式。(Aggressive Mode)。在主模式下，第一阶段基本上包含六条消息。 Network and Information Security

31. 第11章 因特网安全和VPN 第二阶段用于为不同的服务协商各自的安全关联。这只有在第一阶段成功完成以后才能进行，而且使用第一阶段产生的ISAKMP SA保护后续所有的第二阶段ISAKMP消息。 参与实体各自交换IPSec SA的建议，并同意使用其中某个建议，建议包含了认证方法、哈希函数和加密算法的描述。 第二阶段中的单次交换可以协商多个安全关联，这只要在消息中携带多个SA负载即可。 Network and Information Security

32. 第11章 因特网安全和VPN 11.6.3 IPSec和IKE处理流程 发送方IPSec和IKE处理 Network and Information Security

33. 第11章 因特网安全和VPN 接收方IPSec和IKE处理 Network and Information Security

34. 第11章 因特网安全和VPN • 11.7 计算机病毒简介 • 随着计算机在各行各业的大量应用，计算机病毒也随之渗透到计算机世界的每个角落，常以人们意想不到的方式侵入计算机系统。计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 Network and Information Security

35. 第11章 因特网安全和VPN • 11.7.1 计算机病毒概述 • 计算机病毒一般具有以下特点： • （1）传染性。 • （2）隐蔽性。 • （3）潜伏性。 • （4）破坏性。 • （5）针对性。 • （6）不可预见性。 Network and Information Security

36. 第11章 因特网安全和VPN • 11.7.2 计算机病毒防范 • 关于计算机病毒的防范，应该用两种手段：一是管理手段，二是技术手段，二者缺一不可，下列一些异常现象可以作为计算机中病毒时的参考症状： • （1）程序装入时间比平时长，运行异常； • （2）磁盘的空间突然变小了，或不能识别磁盘设备； • （3）程序和数据神秘地丢失了，文件名不能辨认； • （4）计算机经常出现死机或不能正常启动等现象； • （5）可执行文件的大小发生变化或出现不知来源的隐藏文件。 • （6）计算机中出现不明进程； • （7）启动项目中增加了不明程序。 Network and Information Security

37. 第11章 因特网安全和VPN • 11.8 无线局域网安全 • 11.8.1 无线局域网概述 • 无线局域网的标准是IEEE 802.11系列标准，有IEEE 802.11b、IEEE 802.11a与IEEE 802.11g等。 • IEEE 802.11局域网有两种组网方式，按照是否需要基础设施，分别是自组织无线局域网（ad hoc WLAN）与基础设施无线局域网（infrastructure WLAN）。所谓基础设施，通常是指接入点（Access Point，AP），AP同时具有无线与有线功能，可以把无线网络与有线网络连接在一起。自组织无线局域网不需要AP，若干台具有无线网卡的计算机就能独立地组成一个无线局域网，但无法连入有线网络。 Network and Information Security

38. 第11章 因特网安全和VPN • 11.8.2 无线局域网安全 • 1．无线局域网安全原理 • 利用计算机密码技术，IEEE推出了WEP（Wired Equivalent Privacy，有线等效保密）作为IEEE 802.11无线局域网的安全措施，WEP使用RC4作为加密算法。但很快人们发现WEP有严重问题，容易被破解，于是IEEE开始着手制订更安全的标准IEEE 802.11i。制订标准需要时间，在IEEE 802.11i未完成之前，Wi-Fi联盟推出了WPA（Wi-Fi Protected Access）作为WEP的临时替代物。2004年IEEE 802.11i正式推出，Wi-Fi联盟随即推出了WPA2，实际上它与IEEE 802.11i是相同的。WPA2使用AES作为加密算法。现在的无线设备一般都支持WEP、WPA与WPA2。 Network and Information Security

39. 第11章 因特网安全和VPN • 针对WEP的安全问题，我国在2003年推出了国家标准WAPI（Wireless Authentication and Privacy Infrastructure）。我国政府最初决定把WAPI作为强制标准，准备于2004年6月在全国推行，但WAPI存在很多问题，如严重缺乏WAPI产品供应商，最初只有一个厂家，价格自然极其昂贵，再如WAPI使用的密码算法不公开，这违反了计算机密码学的基本原则。WAPI产生了巨大的争议，最终我国政府于2004年4月宣布无限期推迟WAPI的强制执行，时至今日，WAPI仍未能强制执行，目前具有WAPI功能的无线设备也极其少见。WAPI的制定者曾试图让WAPI成为国际标准，但在国际标准化组织ISO投票表决时都没有成功。 Network and Information Security

40. 第11章 因特网安全和VPN • 2．Windows中无线局域网的安全设置 • 在计算机上安装好无线网卡及驱动程序后，在“网络连接”窗口中会出现“无线网络连接”图标。右击该图标，在快捷菜单中选择“属性”菜单项，出现“无线网络连接属性”对话框，“无线网络配置”选项卡是无线网卡独有的。“首选网络”选项区域的列表框列出了本无线网卡曾经连入的无线网络，选中一个后，单击“属性”按钮，出现“无线网络属性”对话框，与安全有关的设置都在其中的“关联”选项卡中。 Network and Information Security

41. 第11章 因特网安全和VPN • 在“网络身份验证”下拉列表框中有“开放式”、“共享式”等几种身份验证方式。开放式只要求用户提供正确的SSID，并不需要密钥，由于AP周期性地广播其SSID，所以安全性较差；在共享式下，用户与AP拥有一个相同的密钥，用户必须正确提供这个密钥才能通过验证，安全性比开放式好一些。身份验证通过后，计算机就连入了无线网络，为了防止其他人窃听，机密数据应该加密。在“数据加密”下拉列表框中有“已禁用”、“WEP”、“AES”、“TKIP”等几种数据加密方式，已禁用意味着数据不加密。 Network and Information Security