收藏
下载资源

网络安全技术与实践03

上传人:ali****an 文档编号:118814841 上传时间:2019-12-26 格式:PDF 页数:37 大小:3.73MB
返回 下载 相关 举报
网络安全技术与实践03_第1页
第1页 / 共37页
网络安全技术与实践03_第2页
第2页 / 共37页
网络安全技术与实践03_第3页
第3页 / 共37页
网络安全技术与实践03_第4页
第4页 / 共37页
网络安全技术与实践03_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《网络安全技术与实践03》由会员分享,可在线阅读,更多相关《网络安全技术与实践03(37页珍藏版)》请在金锄头文库上搜索。

1、网络安全网络安全技术与实践技术与实践(第(第2版版) 刘建伟刘建伟 王育民王育民 编著编著 清华大学出版社 清华大学出版社 普通高等教育“十一五”国家级规划教材 教育部2011年精品教材 课件制作人声明 课件制作人声明 n 本课件总共有17个文件,版权属于刘建伟所 有,仅供选用此教材的教师和学生参考。 n 本课件严禁其他人员自行出版销售,或未经 作者允许用作其他社会上的培训课程。 n 对于课件中出现的缺点和错误,欢迎读者提 出宝贵意见,以便及时修订。 课件制作人:刘建伟 2012年2月11日 第第3章 章 高层协议的安全性 高层协议的安全性 Internet电话协议 二 三 四 一 五 网络时

2、间协议 六 简单网络管理协议 消息传输协议 远程登录协议 电子邮件协议 一 信息服务 七 第第3章 章 高层协议的安全性 高层协议的安全性 Internet电话协议 二 三 四 一 五 网络时间协议 六 简单网络管理协议 消息传输协议 远程登录协议 电子邮件协议 一 信息服务 七 ? SMTP最常用的实现方案是Sendmail。Sendmail有一个致命的 缺陷:它常以root用户权限工作。这实际上违背了“最小信任” 原则。SMTP后台程序不必以root权限运行。 ? 对于邮件管理人员来说,最大的问题是如何对这些邮件服务程 序进行合理配置。Sendmail的配置规则非常复杂。 简单邮件传输协议

3、简单邮件传输协议SMTP 邮局协议(版本邮局协议(版本3)POP3 ? 它是因特网电子邮件的第一个离线协议标准。POP3允许用户 从服务器上把邮件存储到本地主机(即自己的计算机)上,同 时删除保存在邮件服务器上的邮件。 ? 该协议非常简单,服务器甚至可以采用Perl脚本程序非常容易 地实现,所以也非常不安全。 多用途网间邮件扩充协议多用途网间邮件扩充协议MIME ? MIME在1992年应用于电子邮件系统,后来也应用于浏览器。 服务器通过MIME类型告诉浏览器哪些是MP3文件,哪些是Shoc kwave文件。 ? 对MIME存在一种分段攻击。 ? 其它MIME的危险包括邮递可执行的程序,或邮件

4、自身含有危 险的PostScript文件。是传播蠕虫和病毒的主要途径。 ? 它提供了同 POP3一样方便 的邮件下载服务, 在邮箱访问上有 更加强大的功能。 比如一封邮件里 含有个附件, 而其中只有2个 附件是您需要的, 则可以选择只下 载这2个附件。 ? 能够支持一些认 证方法,有些方法 确实是非常安全的。 在“挑战响 应”机制中使用一 个共享的秘密,这 个秘密信息也必须 存储在服务器上。 如果将该秘密信息 与域字符串进行杂 凑运算,对于消除 某些口令的等值性 可能会更有利。 ? 多个认证选项 会提高IMAP遭 受版本反转攻击 (version- rollback attack) 的可能性,

5、该攻 击迫使服务器使 用较弱的认证或 密码算法。 Internet消息访问协议消息访问协议IMAP4 第第3章 章 高层协议的安全性 高层协议的安全性 Internet电话协议 二 三 四 一 五 网络时间协议 六 简单网络管理协议 消息传输协议 远程登录协议 电子邮件协议 一 信息服务 七 ITU的互联网电话协议的互联网电话协议H.323 ?互联网电话目前主要采用的协议有两种,一种叫做会话启 动协议SIP(Session Initiation Protocol),另一种叫做H.323协 议。这两种协议除了可以建立简单的电话呼叫之外,还可以建 立电话会议(微软的NetMeeting可以支持这两

6、种协议)。SIP还 是某些互联网/电话网络交互和某些即时消息协议的基础。 ?H.323是ITU的互联网电话协议。该协议是ITU基于ISDN的 信令协议Q.931设计的。但是,该协议增加了复杂度,并且与 现有的ISDN协议栈有部分区别。 ? SIP是一个通讯协议,它使用户的通讯系统更为开放、更好地 保持连接、使用更方便、选择更多,也更为个性化。 ? 因为SIP使用简便,功能强大,分布广泛,它在整个IETF内迅 速得到了使用者的认同,特别是VoIP应用和即时留言应用,给大 家留下了更为深刻的印象。 IETF的会话启动协议的会话启动协议SIP 第第3章 章 高层协议的安全性 高层协议的安全性 Int

7、ernet电话协议 二 三 四 一 五 网络时间协议 六 简单网络管理协议 消息传输协议 远程登录协议 电子邮件协议 一 信息服务 七 简单文件传输协议简单文件传输协议TFTP ? TFTP(Trivial File Transfer Protocol)是一个简单的基于UDP的文件 传输协议。该协议中没有使用认证。 ? 适当配置TFTP后台可以限制到1个或2个目录的文件传输,这两个目录 通常为usr/local/boot和X11字库。 ? 很多路由器(特别是低端的路由器)都使用TFTP来装载可执行的镜像装载可执行的镜像 或配置文件或配置文件。 文件传输协议文件传输协议FTP 本地主机本地主机

8、前的用户 前的用户 本地文件系统 本地文件系统 文件传送文件传送 远程文件系统远程文件系统 ? 从服务器到客户机,或者从客户机到服务器,均可以用FTP打 开一条数据通道。 ? 一个伪装成FTP客户机的Java程序能够做一些危险的事情。例如,假设 攻击者希望连接到防火墙后面的某台机器的telnet端口,他会将这个Java 程序嵌入到指定的Web页面文件中。当有人在该站点上运行此Java程序 时,它就会打开一条通往Web网站的FTP连接,并发出一条PORT指令, 指明采用23号端口telnet到目标主机上。防火墙就会顺从地打开该端口。 ? 该服务如果没有设防,FTP能够在短时间内泄露公司大量的重要

9、 文件; 1 ? 该访问依赖于口令,能够被很容易地探测或猜测到; 2 ? ftpd后台程序开始时以root用户权限运行,因为它要处 理帐户 的登录过程,包括口令处理。但是,它不能在登录后掩盖其特 权用户身份; 3 ? 在匿名FTP服务中,全球可读写的目录常用来存储和发布盗版 软件或其它违法的软件或数据。 4 FTP的安全性的安全性 ? 网络文件系统NFS(Network File System)最早是由SUN Microsystem公司开发的,它是许多工作站的重要组成部分。 NFS是一个流行的基于TCP/IP网络的文件共享协议,该协议 提供了文件共享服务文件共享服务,在/etc/ export

10、s文件里保存具体的配置。 可以简单的把它看成一个文件服务器。 ? NFS服务器使用2049号端口。由于它处于“无特权的”范围 内,因此该范围的端口常常分配给那些普通的进程。必须要配 置UDP会话的包过滤器,以阻止进入到2049端口的访问。 网络文件系统协议网络文件系统协议NFS ? NFS对客户机也有风险。某些人具有访问服务器的特权, 有些能伪造返回数据包的人可能创建一个setuid程序或设备 文件,然后等待客户机取消或打开它们,从而影响到客户机 运行代码。某些NFS版本含有禁止这些东西进入的选项。如 果你从不可信的资源装载文件系统的时候,请切记要利用这 些选项。 ? 当通过NFS浏览文档的时

11、候,会出现一个更加敏感的问题。 对于服务器来说,要在客户机上种植某种恶意的程序(如ls) 非常容易,这种程序很可能用于某些非法操作。对于客户机来 说,最佳的防护是对所有外来的文件进行检查,删除那些可执 行的代码。不过,我们不知道标准的NFS客户机是否提供这一 选项。 NFS的安全性 的安全性 ? 服务器消息块(Server Message Block, SMB)协议早在20世 纪80年代中期就已经在微软公司和IBM公司的操作系统中使 用了。该协议的发展比较缓慢,现在似乎偏向于使用公用因 特网文件系统协议。这是微软公司开发的一个新的开放文件 共享协议。SMB和CIFS协议也可以向没有经过身份验证

12、的用 户提供丰富的信息,在高安全性的Windows环境中,通常建 议禁止使用这两个协议。 ? 当Windows系统共享它的文件或打印机时就用到这些服务。 最常见的安全性错误就是在共享文件系统时没有采用认证措施, 另外,Windows的Samba服务也多次被报告存在DoS漏洞。对于 UNIX系统来说,这些协议由流行的Samba软件包支持。但是, 这个软件包太复杂,也存在许多安全问题。 服务器消息块协议 服务器消息块协议 第第3章 章 高层协议的安全性 高层协议的安全性 Internet电话协议 二 三 四 一 五 网络时间协议 六 简单网络管理协议 消息传输协议 远程登录协议 电子邮件协议 一

13、信息服务 七 远程登录协议远程登录协议Telnet ? Telnet提供了简单终端到某台主机的访问。该协议包括对处理各 种终端设置的规定,如自然模式、字符回送等。通常,telnet后台 服务程序调用login程序来进行认证和引发会话。主叫用户提供帐 户名称和口令来进行登录。 ? 本地的Telnet程序可能会泄露秘密信息,攻击者可以通过嗅探器 记录用户名和口令组合,或者记录整个会话。 ? 在许多主要ISP的主机上都发现有口令嗅探器Sniffer存在。这些 嗅探器能够捕获绝大部分的互联网业务流。它们记录telnet、ftp和 rlogin会话的前128个字符,这对于记录目的地址、用户名和口令 来说

14、,已经足够用了。 远程登录协议远程登录协议Telnet ? 攻击者也可能在线路上做文章。黑客掌握了使用TCP劫持工具的 方法,使他们能够在某种条件下霸占TCP会话。Telnet和rlogin会话 是非常具有吸引力的目标。 ? 有些对telnet会话进行加密的办法。目前出现了几种telnet的加密 解决方案,它们分别为stel,SSLtelnet,stelnet,以及ssh。 安全壳协议安全壳协议SSH ? 该协议设计的初衷是用来取代rlogin, rdisk, rsh和rpc。 ? SSH 支持身份认证和数据加密,对所有传输的数据进行加密处理。 同时,可以对传输数据进行压缩处理,这样就可以加快

15、数据传输的 速度。它既可以代替Telnet作为安全的远程登录方式,又可以为 FTP、POP等服务提供一个安全的“隧道”。 ? SSH含有两个替代程序ssh和scp,这两个程序与rsh和rcp具有相同的 用户接口,所不同的是使用了加密协议。SSH也含有打通X11隧道 或任意TCP端口的机制。 第第3章 章 高层协议的安全性 高层协议的安全性 Internet电话协议 二 三 四 一 五 网络时间协议 六 简单网络管理协议 消息传输协议 远程登录协议 电子邮件协议 一 信息服务 七 ? SNMP是由IETF的研究小组为了解决Internet上的路由器管理问 题而提出的。SNMP被设计成与协议无关,所以它可以在IP, IPX,AppleTalk,OSI以及其他传输协议上使用 ? SNMP用来控制路由器、网桥及其它的网络单元。 简单网络管理协议简单网络管理协议SNMP 第第3章 章 高层协议的安全性 高层协议的安全性 Internet电话协议 二 三 四 一 五 网络时间

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号