《计算机网络技术 教学课件 ppt 作者 曾兰玲 CH7 网络安全与管理》由会员分享,可在线阅读,更多相关《计算机网络技术 教学课件 ppt 作者 曾兰玲 CH7 网络安全与管理(129页珍藏版)》请在金锄头文库上搜索。
1、第七章 网络安全与管理,授课教师:,2,网络安全与管理概述,本章提要 学习目标 主要内容,【本章提要】,网络在开放和普及带来便利性的同时,也使得它面临着诸多的被动和主动攻击,严重威胁着信息的机密性、完整性、可用性。密码技术、数字签名、消息摘要、身份认证、访问控制等安全技术是对付这些网络攻击的重要手段。 网络规模的急速扩张和应用的拓展使得网络管理成为难题,在不降低网络服务质量的前提下,提供高效的管理成为研究人员必须解决的技术问题。基于TCP/IP的网络管理协议SNMP成为Internet网络管理事实上的标准。 本章介绍了网络管理与网络安全的基本概念、原理和技术,涵盖了SNMP网络管理协议、密码技
2、术、报文认证、数字签名、身份认证、防火墙、入侵检测、网络病毒、网络安全协议、虚拟专用网等理论和技术。,【学习目标】, 掌握网络管理的功能域; 了解网络管理系统的体系结构和组成要素; 掌握SNMP协议的原语和基本工作过程; 了解网络攻击的类型; 掌握网络安全的三个基本需求、网络安全的服务和机制; 了解密码体制和DES算法; 掌握RSA算法的基本流程; 了解报文摘要和消息认证; 了解MD5和SHA-1算法; 了解数字签名技术的基本原理; 了解身份认证技术; 了解防火墙的原理和分类; 了解入侵检测技术; 了解网络病毒; 了解网络安全协议; 了解VPN技术和相关的隧道协议。,5,7.1 网络管理,网络
3、管理常简称为网管,是对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,以合理的价格满足网络的运行性能、服务质量QoS需求。,7.1.1 网络管理的体系结构,7.1.2 OSI网络管理功能域,(1)配置管理(Configuration Management):负责监测和控制网络的配置状态,在网络建立、扩充、改造和运行过程中,对网络的拓扑结构、资源配备、使用状态等配置信息进行定义、监测和修改。 (2)性能管理(Performance Management):网络通信信息的收集、加工和处理等一系列活动。保证有效运营网络和提供连续可靠的通信能力,在保证各种业务
4、的服务质量的同时,尽量提高网络资源的利用率,并使网络资源的使用达到最优化。 (3)故障管理(Fault Management):迅速发现、定位和排除网络故障,动态维护网络有效性。主要功能有:故障警告、故障定位、故障测试和故障修复等。 (4)安全管理(Security Management):提供信息的保密、认证、完整性保护机制。 (5)计费管理(Accounting Management):正确地计算和收取用户使用网络服务的费用,进行网络资源利用率的统计,具体包含:计费数据收集过程、计费处理过程、账单管理过程。,7.1.3 简单网络管理协议SNMP,TCP/IP早期,用ICMP作为网络管理的工
5、具。 ICMP提供了从路由器向主机或主机之间传送控制信息的方法,可用于所有支持IP的设备。 ICMP最有用的两个消息对: echo / echo reply:测试实体间能否通信。echo消息要求其接收者在echo reply消息中返回接收到的内容。 timestamp / timestamp reply:测试网络延迟特性。 PING 程序 由ICMP消息与IP头选项结合开发 有多种功能:确定物理设备能否寻址,验证一个网络能够寻址,验证主机上的服务器操作。 80年代后期,当互联网发展呈指数增加时,提出了开发功能更强并易于普通网络管理人员学习和使用的标准协议的需求。,SNMP的历史,简单网关监控协
6、议(SGMP): 1987年11月发布。 3个有影响的通用网络管理方法: 高层实体管理系统(HEMS) 简单网络管理协议(SNMP):SGMP的升级版。 TCP/IP上的CMIP(CMOT):最大限度地与OSI标准的CMIP、服务以及数据库结构保持一致。,SNMP的历史,1988年互联网络活动委员会(IAB)的网络管理协议开发策略: SNMP:近期解决方案; CMOT:远期解决方案; 要求SNMP和CMOT使用相同的MO。 实际中,SNMP与CMOT在对象级的难于兼容: IAB最终放松了公共SMI/MIB的要求,并允许SNMP独立于CMOT发展。 从对OSI的兼容性的束缚中解脱后,SNMP取得
7、了迅速的发展,很快被众多的厂商设备所支持,用户也选择了SNMP作为标准的管理协议。 SNMP的进展: 远程监控(RMON)能力的开发,为网络管理者提供了监控整个子网而不是各个单独设备的能力。 对基本SNMP MIB进行了扩充。,SNMP的历史,SNMPv2: SNMP被用于大型网络时,存在安全和功能方面的不足。 1992年7月,提出一个称为SMP的SNMP新版本,被接受为定义第二代SNMP即SNMPv2的基础。 1993年安全版SNMPv2发布。 几年试用后,IETF决定对SNMPv2进行修订。 1996年发布了一组新的RFC ,SNMPv2的安全特性被取消。 SNMPv3: 1999年4月I
8、ETF提出了RFC2571RFC2576,形成了SNMPv3的建议。 目前这些建议正在进行标准化。 提出了SNMP管理框架的一个统一的体系结构。 采用User-based安全模型和View-based访问控制模型提供SNMP网络管理的安全性。,SNMP相关的标准,(1)网络管理信息结构SMI(Structure of Management Information)(RFC1155) 描述了应该怎样定义管理信息库(MIB)中的被管理对象,如数据类型、表示的方法以及命名方式等; (2)管理信息库MIB(Management Information Base) MIB-2(RFC1213),描述了包
9、含在MIB中的被管理对象; (3)网络管理协议SNMP(RFC1157): 描述了管理站和被管理设备间的通信协议。,SNMP体系结构,管理信息结构SMI,在RFC1155中规定了管理信息结构的一个基本框架。它用来定义存储在MIB中的管理信息的语法和语义,具体有3个方面的功能: 规定被管对象命名的方法; 定义存储在对象中元素的数据类型; 规定在网络中进行传输的数据的编码方法。,命名方法,每个被管对象具有唯一的名字,采用对象标识符OID(Object Identifier),它是基于树形结构的标识符,从未命名的根开始,每个对象可以用点分隔开的整数序列定义,也可以用点分隔的文本名字序列定义。 例如,
10、iso.org.internet.mgmt.mib是采用文本方式标识的一个对象,对应的采用点分隔的整数序列的形式是:1.3.6.1.2.1。 所有采用SNMP管理的对象都被组织在树形结构中,并且标识符从1.3.6.1.2.1开始,这棵子树就是管理信息库MIB。,SNMP的简单数据类型,SNMP的2种结构化类型,Sequence:简单数据类型的组合,类似于高级程序语言中的结构体或记录; Sequence of:多个相同数据类型(可以是简单类型或Sequence类型)组成的表格或数组,类似于高级语言中的数组。,BER编码方法,SNMP采用基本编码规则BER(Basic Encoding Rules
11、)来实现管理站和代理之间的传输信息的编码。 每个数据被编码成标记(Tag)或类型(Type)、长度(Length)和值(Value)的三元组形式,又简称为TLV编码结构。,Type,标记(Tag)或类型(Type):数据类型 占用1个字节宽度,由3个字段构成:类(class,占2位)、P/C(占1位)和编号(number,占5位),长度(Length),长度字段由一个或者若干个字节组成 如果是一个字节,则最高位是0,用这个字节的低7位表示数据长度; 如果是多个字节,则第一个字节的最高位是1,余下的7位说明长度字段的字节数。,值(Value),按照BER编码规则进行编码的数据。,管理信息库MIB
12、,MIB-2,Mib-2.system,SNMP报文,SNMP协议的数据包格式,PDU类型 SNMP首部,(1)版本:实际版本号减1,SNMP v1则应写入0; (2)共同体(community):一个字符串,作为管理站和被管理设备之间的明文密码,常用的是字符串“public”; (3)PDU类型:04的数字,其对应关系如表,Get/Set首部和差错状态,get/set首部由以下3类信息组成: (1)请求标识符(request ID):这是由管理站设置的一个整数值,用于区分管理站发送的多个请求,被管理设备在发送get-response报文进行应答时也要返回此请求标识符; (2)差错状态(err
13、or status):由代理进程回答时填入05中的一个数字,见表; (3)差错索引(error index):当出现noSuchName、badValue或readOnly的差错时,由代理进程在回答时设置的一个整数,它指明有差错的变量在变量列表中的偏移。,Trap报文首部和Trap的类型,Trap报文首部包含以下四个方面的信息: (1)企业(enterprise):填入trap报文的网络设备的对象标识符。此对象标识符是在图7-7的对象命名树上的enterprise结点1.3.6.1.4.1下面的一棵子树上; (2)代理的IP地址:填写代理所在主机的IP地址; (3)trap类型:共分为表7-8
14、中的7种。当使用类型2、3、5时,在报文后面变量部分的第一个变量应标识响应的接口; (4)特定代码(specific-code):若trap类型为6,表示是厂商设备自定义的事件,否则为0; (5)时间戳(timestamp):指明自代理进程初始化到trap报告的事件为止所经历的时间。 变量绑定(variable-bindings):指明一个或多个变量的名和对应的值。在get或get-next报文中,变量的值被忽略。,7.2 网络安全的基本概念,网络的安全威胁 网络安全的目标 网络的安全服务 网络安全的机制,7.2.1 网络的安全威胁:被动攻击,图7-11 被动攻击(监听或者流量分析),7.2.
15、1 网络的安全威胁:主动攻击,7.2.2 网络安全的目标,(1) 机密性:指信息开放范围的控制,使信息只被授权的合法用户获取和使用。 (2) 完整性:保证网络中的信息处于“保持完整或一种未受损的状态”。任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。 (3) 可用性:合法用户在需要的时候,可以正确使用所需的信息而不遭服务拒绝。,7.2.3 ITU-T定义的5个安全服务,(1) 数据机密服务:为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供加密保护;对有可能通过观察信息流就能推导出信息的情况进行防范; (2) 数据完整服务:用于阻止非法实体对交换数据
16、的修改、插入、删除以及在数据交换过程中的数据丢失; (3) 认证服务:提供对通信中对等实体和数据来源的认证(鉴别); (4) 抗否认服务:用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为; (5) 访问控制服务:用于防止未授权用户非法使用系统资源,包括用户身份认证和用户权限确认。,7.2.4 ITU-T X800安全机制,(1) 加密机制:是确保数据安全性的基本方法。 (2) 数字签名机制:进行用户的身份认证和消息认证。 (3) 访问控制机制:按照事先确定的规则决定主体对客体的访问是否合法,审计跟踪系统给出报警并记录日志档案。 (4) 数据完整性机制:纠错编码和差错控制对付信道干扰;对付非法入侵者主动攻击的有效方法是报文认证。 (5) 认证机制:主要有用户认证、消息认证、站点认证和进程认证等,常用方法有口令、共享密钥、数字签名、生物特征等。 (6) 流量填充机制:为对付流量分析等攻击,站点间在无正常信息传送时,持续传送一些随机数据,挫败攻击者的流量分
