《网络与信息安全第8章因特网安全讲义教材》由会员分享,可在线阅读,更多相关《网络与信息安全第8章因特网安全讲义教材(53页珍藏版)》请在金锄头文库上搜索。
1、第三部分系统安全机制第章因特网安全,VPN 和IPsec,导读,因特网在最初建立时的指导思想就是资源共享,为了实现资源共享而把系统做成开放式的。在建立协议模型以及协议实现时,更多地考虑到易用性,而在安全性方面的考虑存在严重不足,这就给攻击者造成了可乘之机。,内容,8.1 TCP/IP协议簇 8.2 Ipv6 8.3 黑客攻击的流程 8.4 黑客攻击技术概述 8.5 虚拟专用网VPN 8.6 IPSec 8.7 IPSec安全关联的建立,8.1.2 IP协议,IP协议的安全问题,1.死亡之ping(ping of death) 这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度。因为
2、以太网帧长度有限,IP包必须被分片。当一个IP包的长度超过以太网帧的最大尺寸时,包就会被分片,作为多个帧来发送。接收端的机器提取各个分片,并重组为一个完整的IP包。超大的包一旦出现,包当中的额外数据就会被写入其它正常内存区域。这很容易导致系统进入非稳定状态,是一种典型的缓冲区溢出(Buffer Overflow)攻击,-l size 该参数定制发送数据包的大小,windows中最大为65500,命令格式:ping ip -l 65500 默认发送的数据包大小为32bytes Windows NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般pin
3、g of death攻击的能力。对防火墙进行配置,阻断ICMP以及任何未知协议,都能防止此类攻击。,2.泪滴(Teardrop)攻击 Teardrop攻击同死亡之ping有些类似,在这儿,一个大IP包的各个分片包并非首尾相连,而是存在重叠(Overlap)现象。例如,分片1的偏移等于0,长度等于15,分片2的偏移为5,这意味着分片2是从分片1的中间位置开始的,即存在10字节的重叠。系统内核将试图消除这种重叠,但是如果重叠问题严重,内核将无法进行正常处理。,泪滴攻击利用修改在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。某些操作系统(如SP4以前的Windows
4、NT 4.0)的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃,不过新的操作系统已基本上能自己抵御这种攻击了。 防御方法:尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采取的规则。,3.源路由(Source Routing) IP协议包含一个选项,叫作IP源路由选项(Source Routing),可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说,使用了该选项的IP包好象是从路径上的最后一个系统传递过来的,而不是来自于它的真实地点。利
5、用该选项可以欺骗系统,使之放行那些通常是被禁止的网络连接。因此,许多依靠IP源地址进行身份认证的服务将会产生安全问题以至被非法入侵。源路由选项允许黑客伪装成其它的可信任机器,这使得黑客攻击变得难于跟踪。,4.IP地址欺骗 入侵者使用假IP地址发送包,基于IP地址认证的应用程序将认为入侵者是合法用户。,如何阻止向发送信息?SYN flood X如何得到与建立连接的初始序列号? 防御方法:每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前,先对来自外部的IP数据包进行检验。如果该IP包的IP源地址是其要进入的局域网内的IP地址,该IP包就被网关或路由器拒绝,不允许进入该局域
6、网。,8.1.3 TCP协议,TCP协议的安全问题,1.SYN洪水(SYN flood)攻击 SYN洪水攻击利用的是大多数主机在实现三次握手协议所存在的漏洞。当主机A接收到来自主机X的SYN请求时,它就必须在侦听队列中对此连接请求保持75秒的跟踪。由于大多数系统资源有限,能够打开的连接数有限,因而攻击者X可以同时向主机A发送多个SYN请求,而且对A返回的SYN+ACK包不进行应答。这样,侦听队列将很快被阻塞,从而拒绝接受其它新的连接请求,直到部分打开的连接完成或者超时。这种拒绝服务攻击就可以作为实施上述IP地址欺骗攻击的辅助手段,使主机A无法对来自主机B的包进行应答。,2.序列号猜测 现在,主
7、机A已经无法对主机B发来的包进行应答了。攻击者X现在需要解决的是初始序列号的猜测。 在实际系统的初始序列号产生方法中,并非完全随机,而且很多操作系统TCP实现中初始序列号的产生方法是公开的。这就方便了黑客攻击。因此关键在于要使初始序列号的选取近可能地随机。,3.LAND攻击 这是最简单的一种TCP攻击方法:将TCP包的源地址和目的地址,源端口和目的端口都设置成相同即可。其中,地址字段都设置为目标机器的IP地址。需要注意的是,对应的端口必须有服务程序在监听。LAND攻击可以非常有效地使目标机器重新启动或者死机。 要抵御LAND攻击,只需在编程实现时注意到这种特殊的包,将其丢弃即可。,4.TCP会
8、话劫持 下面让我们深入探讨TCP问题的另一个严重问题。我们注意到,在TCP连接建立的过程中和利用这个连接传输数据的过程中没有任何的认证机制。TCP假定只要接收到的数据包包含正确的序列号就认为数据是可以接受的。 让我们考虑下述情形:一个客户程序通过TCP正在与一台服务器进行通信。攻击者截获或重定向客户与服务器之间的数据流,使之经过攻击者的机器。由于攻击者可以看到序列号,有必要的话,它可以把伪造的数据包放到TCP流中。 这个问题是由于TCP协议中没有认证机制引起的,因此解决的办法是引入认证机制。本章后面讨论的IPSec将解决这个问题。,8.1.4 UDP协议,从UDP首部可以看出来,进行UDP欺骗
9、比进行TCP欺骗更容易,因为UDP没有连接建立的过程。,内容,8.1 TCP/IP协议簇 8.2 Ipv6 8.3 黑客攻击的流程 8.4 黑客攻击技术概述 8.5 虚拟专用网VPN 8.6 IPSec 8.7 IPSec安全关联的建立,8.2 Ipv6,1.新包头格式 2.更大的地址空间 3.内置安全设施 4.高效的层次寻址及路由结构 5.全状态和无状态地址配置 6.更好的QoS支持 7.用于相邻节点交互的新协议 8.可扩展性,内容,8.1 TCP/IP协议簇 8.2 Ipv6 8.3 黑客攻击的流程 8.4 黑客攻击技术概述 8.5 虚拟专用网VPN 8.6 IPSec 8.7 IPSec
10、安全关联的建立,8.3 黑客攻击的流程,1 踩点(Foot Printing) 2 扫描(scanning) 3 查点(enumeration) 4 获取访问权(Gaining Access) 5 权限提升(Escalating Privilege) 6 窃取(pilfering) 7 掩盖踪迹(Covering Track) 8 创建后门(Creating Back Doors) 9 拒绝服务攻击(Denial of Services)。,通过whois查询,内容,8.1 TCP/IP协议簇 8.2 Ipv6 8.3 黑客攻击的流程 8.4 黑客攻击技术概述 8.5 虚拟专用网VPN 8.6
11、 IPSec 8.7 IPSec安全关联的建立,8.4 黑客攻击技术概述, 协议漏洞渗透; 密码分析还原; 应用漏洞分析与渗透; 社会工程学; 恶意拒绝服务攻击; 病毒或后门攻击。,内容,8.1 TCP/IP协议簇 8.2 Ipv6 8.3 黑客攻击的流程 8.4 黑客攻击技术概述 8.5 虚拟专用网VPN 8.6 IPSec 8.7 IPSec安全关联的建立,8.5.1 VPN的基本原理,虚拟专用网(VPN,Virtual Private Network),是指将物理上分布在不同地点的专用网络,通过不可信任的公共网络构造成逻辑上的虚拟子网,进行安全的通信。,8.5.2 VPN的应用环境,8.
12、5.2 VPN协议,现有的封装协议分为类: 第层隧道协议(数据链路层) PPTP(Point to Point Tunneling Protocol) L2F(Layer 2 Forwarding) L2TP(Layer 2 Tunneling Protocol) 第层隧道协议(网络层) IPSec(IP Security) GRE(Generic Routing Encapsulation) 通用路由封装,内容,8.1 TCP/IP协议簇 8.2 Ipv6 8.3 黑客攻击的流程 8.4 黑客攻击技术概述 8.5 虚拟专用网VPN 8.6 IPSec 8.7 IPSec安全关联的建立,8.6
13、.1 IP安全性分析,1.IPv4缺乏对通信双方真实身份的验证能力,仅仅采用基于源IP地址的认证机制。 2.IPv4不对网络上传输的数据包进行机密性和完整性保护,一般情况下IP包是明文传输的,第三方很容易窃听到IP数据包并提取其中的数据,甚至篡改窃取到的数据包内容,而且不被发觉。 3.由于数据包中没有携带时间戳、一次性随机数等,很容易遭受重放攻击。攻击者搜集特定IP包,进行一定处理就可以一一重新发送,欺骗对方。,8.6.2 安全关联(Security Association,SA),安全关联可以认为是密码等安全参数的集合。 SA中有大量的参数,现在先看一下SA中与密 码操作无关的基本参数。 (
14、1)序列号(Sequence Number) (2)存活时间(Time To Live,TTL) (3) 模式(Mode) (4) 隧道目的地(Tunnel Destination) (5) 路径最大传输单元(PMTU),8.6.3 IPSec模式,IPSec提供了两种操作模式传输模式(Transport Mode)和隧道模式(Tunnel Mode)。这两种模式的区别非常直观它们保护的内容不同,后者是整个IP包,前者只是IP的有效负载。 在传输模式中,只处理IP有效负载,并不修改原来的IP协议报头。 在隧道模式中, 原来的整个IP包都受到保护,并被当作一个新的IP包的有效载荷。,IPSec的
15、相关文档,体系结构,加密,认证,相关参数,密钥管理,IPSec的优势,在防火墙,路由器中实现时,提供很强的安全保证; IPSec低于传输层(,),在网络层中(),对应用程序透明; 对最终用户也同样是透明的,PPTP L2TP,8.6.4 认证报头(Authentication Header,AH),认证报头是IPSec协议之一,用于为IP提供数据完整性、数据源身份验证和一些可选的、有限的抗重放服务。它定义在RFC 2402中。AH不对受保护的IP数据包的任何部分进行加密,即不提供保密服务。 由于AH不提供保密服务,所以它不需要加密算法。AH定义了保护方法、头的位置、身份认证的覆盖范围以及输出和
16、输入处理规则,但没有对所用的身份验证算法进行定义。 AH可用来保护一个上层协议的数据(传输模式)或者一个完整的IP数据包(隧道模式)。,8.6.5 封装安全有效载荷,ESP提供机密性、数据源的身份验证、数据的完整性和抗重放服务。提供的这组服务由SA的相应组件决定。 不管ESP处于什么模式,ESP头都会紧跟在IP头之后。在IPv4中,ESP头紧跟在IP头后面(包括选项)。在IPv6中,ESP头的放置与是否存在扩展头有关。ESP头肯定插在扩展头之后,其中包括路由选择和分片头等,但ESP头应插在目的选项头之前,因为我们希望对这些目标选项进行保护。与AH不同的是,除了ESP头,还有ESP尾和ESP认证。,内容,8.1 TCP/IP协议簇 8.2 Ipv6 8.3 黑客攻击的流程 8.4 黑客攻击技术概述 8.5 虚拟专用网VPN 8.6 IPSec 8.7 IPSec安全关联的建立,8.7. IPSec安全关联的人工建立和自动建立,因特网安全关联和密钥管理协议(Internet Security As
