網(wǎng)絡(luò)安全第十一章IP安全與Web安全

1、第十一章 IP安全與Web安全1. 說(shuō)明IP安全的必要性。答：大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行多種網(wǎng)絡(luò)協(xié)議（TCP/IP、IPX/SPX和NETBEUA等），這些網(wǎng)絡(luò)協(xié)議并非為安全通信設(shè)計(jì)。而其IP協(xié)議維系著整個(gè)TCP/IP協(xié)議的體系結(jié)構(gòu)，除了數(shù)據(jù)鏈路層外，TCP/IP的所有協(xié)議的數(shù)據(jù)都是以IP數(shù)據(jù)報(bào)的形式傳輸?shù)?，目前占統(tǒng)治地位的是IPv4。IPv4在設(shè)計(jì)之初沒(méi)有考慮安全性，IP包本身并不具備任何安全特性，導(dǎo)致在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)很容易受到各式各樣的攻擊：比如偽造IP包地址、修改其內(nèi)容、重播以前的包以及在傳輸途中攔截并查看包的內(nèi)容等。因此，通信雙方不能保證收到IP數(shù)據(jù)報(bào)的真實(shí)性。所以說(shuō)，IP安全具有很大的必要

2、性。2. 簡(jiǎn)述IP安全的作用方式。答：IPSec是IPv6的一個(gè)組成部分，是IPv4的一個(gè)可選擴(kuò)展協(xié)議。IPSec彌補(bǔ)了IPv4在協(xié)議設(shè)計(jì)時(shí)缺乏安全性考慮的不足。IPSec定義了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制，可用它為IP以及上層協(xié)議（比如TCP或者UDP）提供安全保證。IPSec的目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的安全功能，在IP層實(shí)現(xiàn)多種安全服務(wù)，包括訪問(wèn)控制、數(shù)據(jù)完整性、機(jī)密性等。IPSec通過(guò)支持一系列加密算法如DES、三重DES、IDEA和AES等確保通信雙方的機(jī)密性。IPSec的實(shí)現(xiàn)方式有兩種：傳輸模式和隧道模式，都可用于保護(hù)通信。傳輸模式

3、用于兩臺(tái)主機(jī)之間，保護(hù)傳輸層協(xié)議頭，實(shí)現(xiàn)端到端的安全性。當(dāng)數(shù)據(jù)包從傳輸層傳送給網(wǎng)絡(luò)層時(shí)，AH和ESP會(huì)進(jìn)行攔截，在IP頭與上層協(xié)議之間需插入一個(gè)IPSec頭。當(dāng)同時(shí)應(yīng)用AH和ESP到傳輸模式時(shí)，應(yīng)該先應(yīng)用ESP，再應(yīng)用AH。隧道模式用于主機(jī)與路由器或兩部路由器之間，保護(hù)整個(gè)IP數(shù)據(jù)包。將整個(gè)IP數(shù)據(jù)包進(jìn)行封裝（稱為內(nèi)部IP頭），然后增加一個(gè)IP頭（稱為外部IP頭），并在外部與內(nèi)部IP頭之間插入一個(gè)IPSec頭。3. 圖示驗(yàn)證頭AH和封裝安全有效載荷ESP的結(jié)構(gòu)。答： 4. 簡(jiǎn)述IKE協(xié)議的組成以及兩個(gè)階段。答：整個(gè)IKE協(xié)議規(guī)范主要由3個(gè)文檔定義：RFC2407、RFC2408和RFC2409

4、。RFC2407定義了因特網(wǎng)IP安全解釋域。RFC2408描述了因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議（Internet Security Association and Key Manangement Protocol，KSAKMP）。RFC2409描述了IKE協(xié)議如何利用Oakley，SKEME和ISAKMP進(jìn)行安全關(guān)聯(lián)的協(xié)商。IKE基于兩個(gè)階段的ISAKMP來(lái)建立安全關(guān)聯(lián)SA，第一階段建立IKE SA，第二階段利用IKE SA建立IPSec的SA。對(duì)于第一階段，IKE交換基于兩種模式：主模式（Main Mode）和野蠻模式（Aggressive Mode）。主模式是一種身份保護(hù)交換，野蠻模式基于I

5、SAKMP的野蠻交換方法。在第二階段中，IKE提供一種快速交換（Quick Mode），作用是為除IKE之外的協(xié)議協(xié)商安全服務(wù)。5. 說(shuō)明Web安全性中網(wǎng)絡(luò)層、傳輸層和應(yīng)用層安全性的實(shí)現(xiàn)機(jī)制。答：第一，網(wǎng)絡(luò)層。網(wǎng)絡(luò)層上，雖然IP包本身不具備任何安全特性，很容易被修改、偽造、查看和重播，但是IPSec可提供端到端的安全性機(jī)制，可在網(wǎng)絡(luò)層上對(duì)數(shù)據(jù)包進(jìn)行安全處理。IPSec可以在路由器、防火墻、主機(jī)和通信鏈路上配置，實(shí)現(xiàn)端到端的安全、虛擬專用網(wǎng)絡(luò)和安全隧道技術(shù)等。第二，傳輸層。在TCP傳輸層之上實(shí)現(xiàn)數(shù)據(jù)的安全傳輸是另一種安全解決方案，安全套接層SSL和TLS（Transport Layer Secu

6、rity）通常工作在TCP層之上，可以為更高層協(xié)議提供安全服務(wù)。第三，應(yīng)用層。將安全服務(wù)直接嵌入在應(yīng)用程序中，從而在應(yīng)用層實(shí)現(xiàn)通信安全。如SET（Secure Electronic Transaction，安全電子交易）是一種安全交易協(xié)議，S/MIME、PGP是用于安全電子郵件的一種標(biāo)準(zhǔn)。它們都可以在相應(yīng)的應(yīng)用中提供機(jī)密性、完整性和不可抵賴性等安全服務(wù)。6. 圖示SSL的體系結(jié)構(gòu)。7. 從OpenSSL網(wǎng)站下載最新的軟件包，配置并實(shí)現(xiàn)SSL功能。是否在編譯過(guò)程中使用匯編代碼加快編譯過(guò)程。enable-sse2no-sse2啟用/禁用SSE2指令集加速。如果你的CPU支持SSE2指令集，就可以打

7、開(kāi)，否則就要關(guān)閉。gmpno-gmp啟用/禁用GMP庫(kù)rfc3779no-rfc3779啟用/禁用實(shí)現(xiàn)X509v3證書的IP地址擴(kuò)展krb5no-krb5啟用/禁用 Kerberos 5 支持sslno-sslssl2ssl3no-ssl2no-ssl3tlsno-tls啟用/禁用 SSL(包含了SSL2/SSL3) TLS 協(xié)議支持。dsono-dso啟用/禁用調(diào)用其它動(dòng)態(tài)鏈接庫(kù)的功能。提示no-dso僅在no-shared的前提下可用。提示為了安裝Apache-2.2的mod_ssl成功，SSLv2/SSLv3/TLS都必須開(kāi)啟。算法選項(xiàng)第二類用于禁用crypto目錄下相應(yīng)的子目錄(主要是

8、各種算法)。雖然理論上這些子目錄都可以通過(guò)no-*語(yǔ)法禁用，但是實(shí)際上，為了能夠最小安裝libcrypto,libssl,openssl，其中的大部分目錄都必須保留，實(shí)際可選的目錄僅有如下這些：no-md2,no-md4,no-mdc2,no-ripemd這些都是摘要算法，含義一目了然。no-des,no-rc2,no-rc4,no-rc5,no-idea,no-bf,no-cast,no-camellia這些都是對(duì)稱加密算法，含義一目了然。bf是Blowfish的意思。no-ec,no-dsa,no-ecdsa,no-dh,no-ecdh這些都是不對(duì)稱加密算法，含義一目了然。no-comp數(shù)

9、據(jù)壓縮算法。因?yàn)槟壳皩?shí)際上并沒(méi)有壓縮算法，所以只是定義了一些空接口。no-store對(duì)象存儲(chǔ)功能。更多細(xì)節(jié)可以查看 crypto/store/README 文件。提示OpenSSH 只依賴于該軟件包的加密庫(kù)(libcrypto)，而帶有 HTTPS 支持的 Apache 則依賴于該軟件包的加密庫(kù)和 SSL/TLS 庫(kù)(libssl)。因此，如果你不打算使用 HTTPS 的話，可以只安裝加密庫(kù)(no-ssl no-tls)；更多介紹可以查看 README 文件的OVERVIEW部分。事實(shí)上，為了能夠讓OpenSSH安裝成功，ripemd,des,rc4,bf,cast,dsa,dh目錄不能被禁止

10、。編譯選項(xiàng)大多數(shù)軟件包都是通過(guò)在運(yùn)行 configure 腳本的時(shí)候定義 CPPFLAGS CFLAGS LDFLAGS 環(huán)境變量來(lái)設(shè)置編譯選項(xiàng)的，但是OpenSSL卻不是這樣的。OpenSSL的 Configure 腳本允許你在命令行上直接輸入 CPPFLAGS CFLAGS 的內(nèi)容。比如：-DDEVRANDOM=/dev/urandom 可以用來(lái)指定隨機(jī)設(shè)備， -DSSL_FORBID_ENULL 則可以用于禁止使用NULL加密算法。echo $CFLAGS 則可以將 CFLAGS 變量添加上來(lái)。另一方面，LDFLAGS卻是無(wú)法通過(guò)Configure進(jìn)行設(shè)置的。因?yàn)镃onfigure會(huì)強(qiáng)制清空Makefile中的LDFLAGS，所以在運(yùn)行完Configure之后，可以使用一個(gè)sed修改所有Makefile中的 LDFLAGS(用于連接openssl)和SHARED_LDFLAGS(用于連接libcrypto,libssl庫(kù))。比如筆者就經(jīng)常這樣使用 Configure 進(jìn)行配置：./Config