CISP0204协议及网络架构安全课件

《CISP0204协议及网络架构安全课件》由会员分享，可在线阅读，更多相关《CISP0204协议及网络架构安全课件（150页珍藏版）》请在金锄头文库上搜索。

1、网络协议及架构安全中国信息安全测评中心2012-10课程内容2网络安全网络安全网络架构安全网络架构安全网络安全设备网络安全设备网络协议安全网络协议安全无线数据网络协议安全无线数据网络协议安全 无线蜂窝网络协议安全无线蜂窝网络协议安全 防火墙防火墙入侵检测系统入侵检测系统其它网络安全设备其它网络安全设备网络架构安全的概念网络架构安全的概念 TCP/IPTCP/IP协议簇安全协议簇安全 网络架构安全的实践网络架构安全的实践 知识体知识体知识域知识域知识子域知识子域知识域：网络协议安全v知识子域：TCP/IP协议安全理解开放互联系统模型ISO/OSI七层协议模型理解TCP/IP协议面临安全威胁及安全

2、对策理解无线网络安全协议的原理和应用了解IPV6的安全优势vOSI七层结构模型vOSI参考模型的各层ISO/OSI开放互联模型4ISO/OSI七层模型结构5物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层数据链路层数据链路层数据链路层数据链路层应用层（高）应用层（高）数据流层数据流层7654321分层结构的优点v降低复杂性v促进标准化工作v各层间相互独立，某一层的变化不会影响其他层v协议开发模块化v简化理解与学习6数据链路层数据链路层数据链路层数据链路层v作用定义物理链路的电气、机械、通信规程、功能要求等；电压

3、，数据速率，最大传输距离，物理连接器；线缆，物理介质；将比特流转换成电压；v典型物理层设备光纤、双绞线、中继器、集线器等；v常见物理层标准（介质与速率）100BaseT,OC-3,OC-12,DS1,DS3,E1,E3；第一层：物理层7物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层v作用物理寻址，网络拓扑，线路规章等；错误检测和通告（但不纠错）；将比特聚成帧进行传输；流量控制（可选）v寻址机制使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址）v典型数据链路层设备网卡、网桥和交换机v数据链路层协议PPP

4、,HDLC,FR,Ethernet,Token Ring,FDDI第二层：数据链路层8数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第二层：以太网协议标准（两个子层）vLLC（Logical Link Control）IEEE 802.2为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等服务；vMAC（Media Access Control）IEEE 802.3烧录到网卡ROM；48比特；唯一性；LLCLLCLLCLLC MAC MAC MAC MAC物理

5、层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层9第三层：网络层v作用逻辑寻址路径选择v寻址机制使用网络层地址进行寻址（如IP地址）v网络层典型设备路由器三层交换机10数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第四层：传输层v作用提供端到端的数据传输服务；建立逻辑连接；v寻址机制应用程序的界面端口（如端口号）v传输层协议TCP(Transmission Control Protocol)

6、状态协议；按序传输；纠错和重传机制；Socket；UDP(User Datagram Protocol)无状态协议；SPX11数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第五层：会话层v作用不同应用程序的数据隔离；会话建立，维持，终止；同步服务；会话控制（单向或双向）12数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第六层：表示层v作用数据格式

7、表示；协议转换；字符转换；数据加密/解密；数据压缩等；v表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG；13数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第七层：应用层v作用应用接口；网络访问流处理；流控；错误恢复；v应用层协议FTP,Telnet,HTTP,SNMP,SMTP,DNS；14数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层

8、应用层数据发送过程-数据封装SegmentSegmentPacketPacketBitsBitsFrameFramePDUPDU数据接收过程-数据解封OSI安全体系结构定义的安全攻击OSI安全体系结构定义了被动攻击和主动攻击被动攻击:监听 流量分析主动攻击:假冒 重放 篡改 拒绝服务OSI安全体系结构定义的安全服务OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务鉴别；访问控制；数据机密性；数据完整性；抗抵赖；OSI安全体系结构定义的安全机制加密；数字签名；访问控制；数据完整性

9、；鉴别；流量填充（用于对抗通信流量分析，在加密时才是有效的）；路由控制（可以指定路由选择说明，回避某些特定的链路或子网）；公证（notarization）；vTCP/IP与OSI模型的对应关系vTCP/IP 常用协议与安全威胁TCP/IP协议模型20TCP/IP协议与OSI模型的对应21物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层数据链路层数据链路层数据链路层数据链路层互联网络层互联网络层互联网络层互联网络层传输层传输层传输层传输层应用层应用层应用层应用层网络接口层网络接口层网络接口层网络接口层TCP/IP

10、协议结构22应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络接口层安全损坏干扰电磁泄漏搭线窃听欺骗23拒绝服务嗅探网络接口层安全v损坏：自然灾害、动物破坏、老化、误操作v干扰：大功率电器/电源线路/电磁辐射v电磁泄漏：传输线路电磁泄漏v搭线窃听：物理搭线v欺骗：ARP欺骗v嗅探：常见二层协议是明文通信的（以太、arp等）v拒绝服务：mac flooding，arp flooding等24ARP 欺骗DAI（Dynamic ARP Inspection）是思科交换机的一个安全特性。DAI能够检查arp数据包的真实性，自动过

11、滤虚假的arp包。利用DAI防御arp欺骗互联网络层体系结构27应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPvIP是TCP/IP协议族中最为核心的协议v不可靠（unreliable）通信v无连接（connectionless）通信v提供分层编址体系（ip地址）IP协议简介28IP 报头结构IP 地址类别*127(01111111)是保留用于环回测试的 A 类地址，不能将其分配给网络。D类 224-2391110 0000 到 1110 1111 组播通信地址 E类 240-2551111 0000 到 1111 1111

12、保留地址，用于测试国际互联网私有IP地址范围类私有地址范围A10.0.0.0 到 10.255.255.255B172.16.0.0 到 172.31.255.255C192.168.0.0 到 192.168.255.255v特点：构建在IP报文结构上，但被认为是与IP在同一层的协议IP报头ICMP报文8位类型8位代码16位校验和内容ICMP协议32internetICMP查询报文网关ICMP差错报文pingping 1.1.1.1ICMP查询报文ICMP差错报文Couldnt find 1.1.1.1v传递差错报文及其他需要注意的信息vICMP地址掩码请求与应答vICMP时间戮请求与应答I

13、CMP协议的作用33IP层安全拒绝服务欺骗窃听伪造34互联网络层安全v拒绝服务：分片攻击（teardrop）/死亡之pingv欺骗：IP源地址欺骗v窃听：嗅探v伪造：IP数据包伪造35分片攻击（teardrop）vTeardrop的工作原理是利用分片重组漏洞进行攻击而造成目标系统的崩溃或挂起。v例如，第一个分片从偏移0开始，而第二个分片在tcp首部之内。v理想的解决方案是对ip分片进行重组时，保证TCP/IP实现不出现安全方面的问题。启用路由器、防火墙、IDS/IPS的安全特性能够防御tear drop攻击。36smurf攻击v攻击者使用广播地址发送大量的欺骗icmp echo请求，如果路由器

14、执行了三层广播到二层广播转换（定向广播），那么，同一ip网段的大量主机会向该欺骗地址发送icmp echo 应答，导致某一主机（具有欺骗地址）收到大量的流量，从而导致了DoS攻击。v防御方法为关闭路由器或三层交换机的定向广播功能。37防御IP源地址欺骗（rfc3704过滤）v大多数攻击都伴随着ip源地址欺骗。38172.16.0.0/12172.16.0.0/12传输层体系结构39应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPvTCP:传输控制协议v作用：TCP提供一种面向连接的、可靠的字节流服务v功能数据包分块发送接收确

15、认超时重发数据校验数据包排序控制流量TCP协议4016位源端口号16位目的端口号32位序号32位确认序号偏移量保留U A P R S F16位窗口大小16位紧急指针16位校验和数 据TCP包头数据结构TCP首部41U U R G 紧急指针（u rgent pointer）有效A A C K 确认序号有效P P S H 接收方应该尽快将这个报文段交给应用层R R S T 重建连接S S Y N 同步序号，用来发起一个连接。F F I N 发送端完成发送任务 TCP首部-标记位42vTCP/UDP 通过16bit端口号来识别应用程序知名端口号由Internet号分配机构（Internet Assi

16、gned Numbers Authority,IANA）来管理v现状1255端口号分配给知名的网络服务2561023分配给Unix操作系统特定的服务10245000 临时分配的端口号5000以上端口号保留给应用服务TCP首部-端口号43TCP建立连接过程三次握手CTL=TCP 报头中设置为 1 的控制位v特点：UDP是一个简单的面向数据报的传输层协议不具备接收应答机制不能对数据分组、合并不能重新排序没有流控制功能协议简单占用资源少，效率高UDP协议4516位源端口号16位目的端口号16位UDP长度16位UDP校验和数据UDP协议包头46v相同点同一层的协议，基于IP报文基础上v不同点TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销UDP是不可靠，但是高效的传输协议UDP与TCP比较47传输层安全拒绝服务欺骗窃听伪造48传输层安全问题v拒绝服务：syn flood/udp flood、Smurfv欺骗：TCP会话劫持v窃听：嗅探v伪造：数据包伪造49TCP syn flood攻击v攻击者使用虚假地址在短时间内向目标主机发送大量的tcp syn连接请求，导致目标主机无法完成tc