第五章-應(yīng)用層安全技術(shù)PPT課件

1、2021/7/2311 因特網(wǎng)的應(yīng)用層安全隱患2. Web站點(diǎn)安全 3.安全電子郵件4. SSH保護(hù)TELNET和FTP 5. DNS安全協(xié)議 6. SNMP安全協(xié)議 2021/7/232l電子郵件（SNMP和POP3）l文件傳輸（FTP） l遠(yuǎn)程登錄（Telnet） l域名服務(wù)（DNS） l萬維網(wǎng)（WWW） l網(wǎng)絡(luò)管理協(xié)議（SNMP） 2021/7/233l瀏覽器一般只能理解基本的數(shù)據(jù)格式如 HTML、JPEG和GIF格式，對其它的數(shù)據(jù)格式，瀏覽器要通過外部程序來觀察，因此其中的數(shù)據(jù)可能對系統(tǒng)造成危害，攻擊者經(jīng)常利用http協(xié)議進(jìn)行攻擊。lwww服務(wù)易受攻擊的另一個(gè)原因:默認(rèn)情況下該服務(wù)是完

2、全開放的，任何人都可以在任何地方訪問該服務(wù)，沒有鑒別和機(jī)密性保護(hù)。 2021/7/234l匿名FTP是ISP的一項(xiàng)重要服務(wù)，它允許用戶通過FTP，訪問FTP服務(wù)器上的文件，而不正確的配置將嚴(yán)重威脅系統(tǒng)的安全。FTP的使用者可能利用這些配置上的缺陷對系統(tǒng)造成破壞，因此需要保證使用它的人不會申請系統(tǒng)上其它的區(qū)域或文件，也不能對系統(tǒng)做任意的修改。l對于非匿名的訪問，F(xiàn)TP亦缺乏嚴(yán)格的身份鑒別機(jī)制，這些原因使得FTP可能成為攻擊者的目標(biāo)。 2021/7/235lTelnet早期是比較安全的，它要用戶認(rèn)證。但Telnet送出的所有信息是不加密的，很容易被攻擊者攻擊。現(xiàn)在Telnet被認(rèn)為是最危險(xiǎn)的服務(wù)之

3、一 2021/7/236lDNS采用簡單的查詢和應(yīng)答機(jī)制，記錄數(shù)據(jù)沒有保護(hù)措施，通信過程沒有鑒別，因此DNS容易成為攻擊者的攻擊目標(biāo)或利用它作為攻擊手段。2021/7/237lE-mail在Internet上傳輸，在其所經(jīng)過網(wǎng)絡(luò)上的任一系統(tǒng)管理員或攻擊者都有可能截獲和更改該郵件，甚至偽造E-mail。因此，電子郵件和SNMP面臨的安全威脅十分突出，如E_mail欺騙、E_mail炸彈、電子郵件攜帶病毒等。E_mail炸彈可能導(dǎo)致郵件的溢出，而“特洛伊木馬”也可攜帶在郵件系統(tǒng)中，從而對接受者的系統(tǒng)造成危害。2021/7/2382021/7/239l（1）物理的漏洞由未授權(quán)人員訪問引起，他們可能瀏

4、覽那些敏感數(shù)據(jù)。l（2）軟件漏洞是由“錯(cuò)誤授權(quán)”的應(yīng)用程序引起。例如腳本和Applet ，它會執(zhí)行不應(yīng)執(zhí)行的功能。因此不要輕易相信腳本和Applet，使用時(shí)應(yīng)確信能掌握它們的功能。l（3）不兼容問題漏洞是由不良系統(tǒng)集成引起。一個(gè)硬件或軟件運(yùn)行時(shí)可能工作良好，一旦和其它設(shè)備集成后（例如作為一個(gè)系統(tǒng)），就可能會出現(xiàn)問題。這類問題很難確認(rèn)，所以對每一個(gè)部件在集成進(jìn)入系統(tǒng)之前，都必須進(jìn)行測試。l（4）缺乏安全策略。如果用戶用他們的電話號碼作為口令，無論口令授權(quán)體制如何安全都沒用。必須有一個(gè)包含所有安全必備的安全策略。2021/7/2310l（1）認(rèn)真配置服務(wù)器，使用它的訪問和安全特性。l（2）可將We

5、b服務(wù)器當(dāng)作無權(quán)的用戶運(yùn)行。l（3）檢查驅(qū)動(dòng)器和共享的權(quán)限，將系統(tǒng)設(shè)為只讀狀態(tài)。l（4）可將敏感文件放在基本系統(tǒng)中，再設(shè)二級系統(tǒng)，所有的敏感數(shù)據(jù)都不向因特網(wǎng)開放。l（5）檢查 HTTP服務(wù)器使用的Applet腳本和客戶交互作用的CGI腳本。防止外部用戶執(zhí)行內(nèi)部指令。l（6）使用安全協(xié)議，如HTTPS/SHTTP/IPSEC等。2021/7/2311為了防止和追蹤黑客闖入和內(nèi)部濫用，需要對Web站點(diǎn)上的出入情況進(jìn)行監(jiān)視控制。 （1）服務(wù)器日常受訪次數(shù)是多少？受訪次數(shù)增加了嗎？（2）用戶從那里連接的？（3）一周中哪天最忙？一天中何時(shí)最忙？（4）服務(wù)器上哪類信息被訪問？哪些頁面最受歡迎？每個(gè)目錄下有

6、多少頁被訪問？（5）每個(gè)目錄下有多少用戶訪問？訪問站點(diǎn)的是哪些瀏覽器？與站點(diǎn)對話的是哪種操 作系統(tǒng)？（6）更多的選擇哪種提交方式？2021/7/2312（7）確定訪問次數(shù)：訪問次數(shù)指標(biāo)直接影響安全保護(hù)，也會促進(jìn)安全性的提高和改善。 確定站點(diǎn)訪問次數(shù)。訪問次數(shù)是一個(gè)原始數(shù)字，僅僅描述了站點(diǎn)上文件下載的平均數(shù)目。確定站點(diǎn)訪問者數(shù)目。得到的數(shù)據(jù)是站點(diǎn)上某個(gè)文件被訪問的次數(shù)。顯然，將訪問次數(shù)與主頁文件聯(lián)系在一起時(shí)，該數(shù)字接近于某個(gè)時(shí)期內(nèi)訪問者數(shù)目，但也不是百分之百的準(zhǔn)確。2021/7/2313l可使用HTTPS（HTTP over SSL）和S-HTTP（Secure HyperText Transf

7、er Protocol）對HTTP協(xié)議數(shù)據(jù)包進(jìn)行加密和鑒別。 2021/7/2314l安全超文本傳輸協(xié)議S-HTTP是EIT公司結(jié)合 HTTP 而設(shè)計(jì)的一種消息安全通信協(xié)議。S-HTTP協(xié)議處于應(yīng)用層，它是HTTP協(xié)議的擴(kuò)展，它專門針對HTTP。lS-HTTP 支持端到端的安全傳輸，它通過在S-HTTP所交換包的特殊頭標(biāo)志來建立安全通訊。S-HTTP可提供通信保密、身份識別、可信賴的信息傳輸服務(wù)及數(shù)字簽名等。S-HTTP 提供了完整且靈活的加密算法及相關(guān)參數(shù)。選項(xiàng)協(xié)商用來確定客戶機(jī)和服務(wù)器在安全事務(wù)處理模式、加密算法（如用于簽名的非對稱算法 RSA 和 DSA等、用于對稱加解密的 DES 和

8、RC2 等）及證書選擇等方面達(dá)成一致。2021/7/2315lS-HTTP比SSL更靈活，功能更強(qiáng)大，但是實(shí)現(xiàn)較困難，而使用也更困難，因此現(xiàn)在使用基于SSL的HTTPS要比S-HTTP要更普遍。2021/7/23162021/7/2317uPGPuSMIME2021/7/23182021/7/23192021/7/23202021/7/23212021/7/23222021/7/23232021/7/23242021/7/23252021/7/23262021/7/23272021/7/23282021/7/2329（使用b的公鑰加密Ks）（b的私鑰）常規(guī)解密（a的私鑰）2021/7/2330

9、2021/7/23312021/7/23322021/7/23332021/7/23342021/7/23352021/7/23362021/7/23372021/7/23382021/7/23392021/7/23402021/7/23412021/7/23422021/7/23432021/7/23442021/7/23452021/7/23462021/7/23472021/7/23482021/7/23492021/7/23502021/7/23512021/7/23522021/7/23532021/7/23542021/7/23552021/7/23562021/7/2357202

10、1/7/2358安全的傳輸層協(xié)議,提供:l主機(jī)和服務(wù)器認(rèn)證(基于公鑰,可使用已有的證書基礎(chǔ)設(shè)施)l機(jī)密性：在對稱加密方法的秘密信道上傳輸數(shù)據(jù)；（基于會話密鑰傳輸?shù)膶ΨQ加密）l數(shù)據(jù)完整性:使用MAC,其值由共享密鑰、包序列號和包的內(nèi)容計(jì)算得到。l傳輸數(shù)據(jù)壓縮功能，加快傳輸速度。l也可認(rèn)為是會話層安全協(xié)議.2021/7/2359SSH版本版本協(xié)商TCP連接會話密鑰協(xié)商基于主機(jī)的認(rèn)證交互式會話利用RSA公鑰加密基于RSA和Cookie2021/7/2360Server產(chǎn)生8字節(jié)隨機(jī)數(shù)cookie=RSA主機(jī)公鑰RSA服務(wù)公鑰RSA主機(jī)私鑰RSA服務(wù)私鑰cookieClientSession_ID =

11、 MD5(主機(jī)公鑰模數(shù) n | 服務(wù)公鑰模數(shù) n | cookie) 32位隨機(jī)數(shù)位隨機(jī)數(shù)=Session_key（Session_ID的前16位）XOR（Session_Key的前16位）Server32位串=加密串利用公鑰加密該串Session_ID = MD5(主機(jī)公鑰模數(shù) n | 服務(wù)公鑰模數(shù) n | cookie) 32位串利用RSA私鑰解密Session_Key= （Session_ID的前16位）XOR（32位串的前16位）cookie2021/7/2361ServercookieClientServer服務(wù)器驗(yàn)證客戶機(jī)Clinet公鑰=32位隨機(jī)數(shù)cookie產(chǎn)生一對 RSA密

12、鑰私鑰公鑰利用公鑰加密COOKIEcookieClient利用私鑰解密cookiecookie+Session_IDMD5水印水印MD5水印水印比較MD5水印和自己計(jì)算出的值，相符則通過認(rèn)證2021/7/2362SSH認(rèn)證過程和數(shù)字簽名的區(qū)別？數(shù)字簽名不使用cookie,客戶端直接用私鑰加密一個(gè)原文的散列函數(shù)（MD5）；SSH中需要客戶加密的是由服務(wù)器傳遞來的cookie;因此SSH認(rèn)證比數(shù)字簽名中多了一次服務(wù)器向客戶的加密（使用客戶的公鑰）傳遞cookie的過程，此過程也可用來進(jìn)行鑒別和抗抵賴。Ssh認(rèn)證不提供數(shù)據(jù)完整性服務(wù)，只提供主機(jī)身份認(rèn)證服務(wù)；(因?yàn)閟sh只提供身份鑒別,不需要報(bào)文鑒別

13、)相似地方：均用私鑰加密某個(gè)標(biāo)識（散列或COOKIE）2021/7/2363l工作過程類似于SSL，也是通過公鑰認(rèn)證后雙方協(xié)商產(chǎn)生會話密鑰（公享密鑰-對稱加密），然后使用會話密鑰進(jìn)行加密通信，以及數(shù)據(jù)完整性服務(wù)（使用MAC）l區(qū)別：設(shè)計(jì)目標(biāo)不同：主要用于安全遠(yuǎn)程登陸和FTP等服務(wù)，防止明文口令被截取SSH的認(rèn)證是基于主機(jī)的（需要在SSH上為用戶認(rèn)證設(shè)計(jì)一種高層協(xié)議），而SSL是基于用戶的2021/7/2364l公鑰算法采用RSAl會話密鑰不是直接傳遞給服務(wù)器，而是傳遞經(jīng)數(shù)據(jù)變換后的32位串，服務(wù)器端可由該串還原出會話密鑰l算法保證雙方的session_ID和Session_KEY均保持一致l客

14、戶端回傳cookie可防止IP欺騙2021/7/2365lWINDOWS 2000和LINUX下配置和使用SSHlOPENSSH V2.X2021/7/23662021/7/2367lDNS高效率的設(shè)計(jì)同時(shí)也給其帶來了負(fù)面影響，那就是眾多的安全性漏洞。DNS面臨的攻擊包括：l數(shù)據(jù)包攔截攻擊（packet interception attack）l基于名字的攻擊（name based attack）l信任服務(wù)器出賣（betrayal by trusted server）2021/7/23682021/7/23692021/7/2370In the Internet (IN) class the

15、following Resource Record (RR) TYPEsand QTYPEs are defined:TYPE value and meaning Reference- - -A 1 a host address RFC 1035NS 2 an authoritative name server RFC 1035NULL 10 a null RR (EXPERIMENTAL) RFC 1035WKS 11 a well known service description RFC 1035SOA 6 marks the start of a zone of authorityCN

16、AME 5 the canonical name for an alias HINFO 13 host information RFC 1035MINFO 14 mailbox or mail list information RFC 1035MX 15 mail exchange RFC 1035 2021/7/23712021/7/2372lDNS不安全的原因是DNS體系中缺乏鑒別能力，因此應(yīng)引入鑒別和數(shù)據(jù)完整性保護(hù)。2021/7/2373l由于DNS協(xié)議的局限，IETF已成立了DNSSEC工作組，目的是在現(xiàn)有的DNS協(xié)議上增添附加的DNSSEC部分，從而解決DNS缺乏安全性的問題。伯克利

17、Internet域名保護(hù)協(xié)議（Berkeley Internet Name Daemon，BIND）中就包含了一些DNSSEC的功能。 2021/7/2374lDNSSEC的目標(biāo)就是為在DNS內(nèi)部的信息同時(shí)提供權(quán)限認(rèn)證和信息完整性，通過密碼技術(shù)可以實(shí)現(xiàn)這些目標(biāo)。DNSSEC主要提供如下服務(wù)：l記錄數(shù)據(jù)保護(hù)：對所有記錄進(jìn)行簽名保護(hù)；l公鑰分發(fā)：使用DNS服務(wù)作為公鑰基礎(chǔ)設(shè)施為用戶分發(fā)公鑰。l為DNS安全定義了擴(kuò)展的記錄，如圖所示。2021/7/23752021/7/2376l當(dāng)使用DNSSEC協(xié)議后，DNS應(yīng)答信息中不僅包含了驗(yàn)證信息所需的簽名和關(guān)鍵字，而且包含了原始的詢問（challenge）

18、。這就是所謂的“事務(wù)處理和請求認(rèn)證”。這種方式向詢問者保證所得到的應(yīng)答確實(shí)是針對其原始問題的。2021/7/2377lDNSSEC主要依靠公鑰技術(shù)對于包含在DNS中的信息創(chuàng)建簽名，簽名通過計(jì)算出一個(gè)密碼hash數(shù)來提供DNS中數(shù)據(jù)的完整性，并將該hash 數(shù)封裝進(jìn)行保護(hù)。l私/公鑰對中的私鑰用來封裝hash數(shù)，然后接收者就可以用公鑰把hash數(shù)解碼出來。如果這個(gè)解碼的hash值匹配接收者剛剛計(jì)算出來的hash樹，那么表明數(shù)據(jù)是完整的。2021/7/23782021/7/23792021/7/2380l和DNSSEC對DNS記錄進(jìn)行簽名保護(hù)不同，TSIG和TKEY對DNS消息（request/query）進(jìn)行鑒別和加密保護(hù)。l其中TSIG用來對消息進(jìn)行鑒別和完整性保護(hù)，而TKEY用來產(chǎn)生TSIG中的會話密鑰。2021/7/23812021/7/23822021/7/23832021/7/2384l最初的SNMP中存在不可靠的認(rèn)證和接入控制等安全問題。1993 發(fā)布的SNMPv2中對這些問題進(jìn)行了部分改進(jìn)。l但是，SNMPv2中增加的安全功能過于復(fù)雜，SNMPv2的安全特性因此未得到廣泛使用。l目前的SNMPv3在2002年3月被定為一項(xiàng)互聯(lián)網(wǎng)標(biāo)準(zhǔn)，它充分更正了以前的安全問題，提供了增