信息安全管理 第5講 網(wǎng)絡(luò)安全技術(shù)一

第5講網(wǎng)絡(luò)平安技術(shù)〔一〕FW、VPN1引言意義：信息平安主要內(nèi)容信息平安管理重要技術(shù)保證內(nèi)容網(wǎng)絡(luò)平安技術(shù)網(wǎng)絡(luò)的攻與防網(wǎng)絡(luò)漏洞和補(bǔ)丁范圍：認(rèn)證機(jī)制：PKI訪問控制：FW、保密通信：IPSec、SSL、SHTTP、SMIME各種網(wǎng)絡(luò)攻防技術(shù)2防火墻根本概念關(guān)鍵技術(shù)體系結(jié)構(gòu)網(wǎng)絡(luò)隔離根本概念防火墻概念WilliamCheswick和SteveBeilovin〔1994〕：防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的一組組件，這組組件共同具有以下性質(zhì)：只允許本地平安策略授權(quán)的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會(huì)影響信息的流通防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間〔如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間〕的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的平安策略，防止對(duì)重要信息資源的非法存取和訪問以到達(dá)保護(hù)系統(tǒng)平安的目的。防火墻缺陷使用不便，認(rèn)為防火墻給人虛假的平安感對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點(diǎn)失效不能替代墻內(nèi)的平安措施不能防范惡意的知情者不能防范不通過它的連接不能防范全新的威脅不能有效地防范數(shù)據(jù)驅(qū)動(dòng)式的攻擊當(dāng)使用端-端加密時(shí)，其作用會(huì)受到很大的限制防火墻分類軟件防火墻、硬件防火墻Windows、Linux防火墻主機(jī)防火墻、網(wǎng)絡(luò)防火墻基于不同技術(shù)的防火墻關(guān)鍵技術(shù)數(shù)據(jù)包過濾依據(jù)事先設(shè)定的過濾規(guī)那么，對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。數(shù)據(jù)包過濾優(yōu)點(diǎn)：速度快，性能高對(duì)用戶透明數(shù)據(jù)包過濾缺點(diǎn)：維護(hù)比較困難(需要對(duì)TCP/IP了解〕平安性低〔IP欺騙等〕不提供有用的日志，或根本就不提供不防范數(shù)據(jù)驅(qū)動(dòng)型攻擊不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制互連的物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層NAT〔NetworkAddressTranslation〕網(wǎng)絡(luò)地址轉(zhuǎn)就是在防火墻上裝一個(gè)合法IP地址集，然后當(dāng)內(nèi)部某一用戶要訪問Internet時(shí)，防火墻動(dòng)態(tài)地從地址集中選一個(gè)未分配的地址分配給該用戶；同時(shí)，對(duì)于內(nèi)部的某些效勞器如Web效勞器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個(gè)固定的合法地址。地址翻譯主要用在兩個(gè)方面：網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。這樣互聯(lián)網(wǎng)上的主機(jī)無法判斷內(nèi)部網(wǎng)絡(luò)的情況。內(nèi)部網(wǎng)絡(luò)的IP地址是無效的IP地址。這種情況主要是因?yàn)楝F(xiàn)在的IP地址不夠用，要申請(qǐng)到足夠多的合法IP地址很難辦到，因此需要翻譯IP地址。源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.30源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墻網(wǎng)關(guān)應(yīng)用層代理網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度的訪問控制對(duì)每一類應(yīng)用，都需要一個(gè)專門的代理靈活性不夠客

戶網(wǎng)

關(guān)效勞器發(fā)送請(qǐng)求轉(zhuǎn)發(fā)請(qǐng)求請(qǐng)求響應(yīng)轉(zhuǎn)發(fā)響應(yīng)電路級(jí)網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)同應(yīng)用程序網(wǎng)關(guān)相同接收客戶端連接請(qǐng)求，代理客戶端完成網(wǎng)絡(luò)連接在客戶和效勞器間中轉(zhuǎn)數(shù)據(jù)通用性強(qiáng)體系結(jié)構(gòu)雙宿主主機(jī)體系雙重宿主主機(jī)的特性：平安至關(guān)重要〔唯一通道〕，其用戶口令控制平安是關(guān)鍵。必須支持很多用戶的訪問〔中轉(zhuǎn)站〕，其性能非常重要。缺點(diǎn)：雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。Internet防火墻雙重宿主主機(jī)內(nèi)部網(wǎng)絡(luò)……屏蔽主機(jī)體系屏蔽主機(jī)體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承擔(dān)平安責(zé)任。一般這種防火墻較簡(jiǎn)單，可能就是簡(jiǎn)單的路由器。典型構(gòu)成：包過濾路由器＋堡壘主機(jī)。包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機(jī)。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)連接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需要擁有高等級(jí)的平安。因特網(wǎng)屏蔽子網(wǎng)體系屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系——周邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。原因：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被侵入的影響。Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)……外部路由器堡壘主機(jī)內(nèi)部路由器周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信息效勞器，它們是犧牲主機(jī)，可能會(huì)受到攻擊，因此又被稱為非軍事區(qū)〔DMZ〕。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽。例:netxray等的工作原理。堡壘主機(jī)堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個(gè)防御體系的核心。堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運(yùn)行各種代理效勞程序。對(duì)于出站效勞不一定要求所有的效勞經(jīng)過堡壘主機(jī)代理，但對(duì)于入站效勞應(yīng)要求所有效勞都通過堡壘主機(jī)。網(wǎng)絡(luò)隔離物理隔離的指導(dǎo)思想與防火墻絕然不同：防火墻的思路是在保障互聯(lián)互通的前提下，盡可能平安，而物理隔離的思路是在保證必須平安的前提下，盡可能互聯(lián)互通。一個(gè)典型的物理隔離方案〔處于完全隔離狀態(tài)〕一個(gè)典型的物理隔離方案〔隔離設(shè)備處于與外網(wǎng)相連狀態(tài)〕一個(gè)典型的物理隔離方案〔隔離設(shè)備處于與內(nèi)網(wǎng)相連狀態(tài)〕物理隔離缺乏物理隔離也存在許多弊端。例如，內(nèi)網(wǎng)用戶就無法使用豐富的國(guó)際互聯(lián)網(wǎng)的各種資源，譬如查詢資料和國(guó)際電子郵件，而對(duì)于用戶來說，這些又是對(duì)工作非常需要的。另外，要做到真正的物理上的隔離，還會(huì)導(dǎo)致投資本錢的增加，占用較大辦公空間。而且如果使用兩臺(tái)機(jī)器分別接入內(nèi)網(wǎng)和公網(wǎng)的話，還存在網(wǎng)絡(luò)設(shè)置復(fù)雜、維護(hù)難度較大的問題。3VPN根本概念I(lǐng)PSecIKESSL根本概念VPN的定義：是指依靠ISP或其他NSP在公用網(wǎng)絡(luò)根底設(shè)施之上構(gòu)建的專用的數(shù)據(jù)通信網(wǎng)絡(luò)，這里所指的公用網(wǎng)絡(luò)有多種，包括IP網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)。虛擬＋專用網(wǎng)IETF對(duì)基于IP的VPN定義：使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)。VPN分類按VPN業(yè)務(wù)類型劃分：IntranetVPN〔內(nèi)部公文流轉(zhuǎn)〕AccessVPN〔遠(yuǎn)程撥號(hào)VPN〕ExtranetVPN〔各分支機(jī)構(gòu)互聯(lián)〕按VPN發(fā)起主體劃分：客戶發(fā)起，也稱基于客戶的VPN效勞器發(fā)起，也稱客戶透明方式或基于網(wǎng)絡(luò)的VPN按隧道協(xié)議層次劃分：二層隧道協(xié)議：L2F/L2TP、PPTP三層隧道協(xié)議：GRE〔通用路由封裝協(xié)議〕、IPSec介于二、三層間的隧道協(xié)議：MPLS基于SOCKSV5的VPN此外，根據(jù)VPN實(shí)現(xiàn)方式不同，還可進(jìn)一步分為軟件實(shí)現(xiàn)和硬件實(shí)現(xiàn)等。VPN技術(shù)隧道技術(shù)隧道是在公共通信網(wǎng)絡(luò)上構(gòu)建的一條數(shù)據(jù)路徑，可以提供與專用通信線路等同的連接特性。隧道使用隧道協(xié)議來封裝數(shù)據(jù)。一種協(xié)議X的數(shù)據(jù)報(bào)被封裝在協(xié)議Y中，可以實(shí)現(xiàn)協(xié)議X在公共網(wǎng)絡(luò)的透明傳輸。這里協(xié)議X稱作被封裝協(xié)議，協(xié)議Y稱為封裝協(xié)議。隧道的一般封裝格式為(協(xié)議Y(隧道頭(協(xié)議X)))。密鑰管理VPN技術(shù)的開放性預(yù)示著必須采用各種公開密碼算法，這樣算法的平安強(qiáng)度不能依賴于算法本身，只能依靠密鑰的機(jī)密性。大規(guī)模部署VPN，也離不開自動(dòng)密鑰管理協(xié)議的支持。VPN系統(tǒng)中常用的幾種密鑰管理協(xié)議包括：IKE協(xié)議、SKIP協(xié)議、Kerberos協(xié)議。IPSecIPSec體系IPSec協(xié)議提供的平安效勞包括：訪問控制、無連接完整性、數(shù)據(jù)源鑒別、重傳攻擊保護(hù)、機(jī)密性、有限的流量保密等。ike定義了平安參數(shù)如何協(xié)商,以及共享密鑰如何建立,但它沒有定義的是協(xié)商內(nèi)容.這方面的定義是由"解釋域(doi)"文檔來進(jìn)行的AH和ESPIPSec模式SADBSA(SecurityAssociation)：是兩個(gè)IPSec通信實(shí)體之間經(jīng)協(xié)商建立起來的一種共同協(xié)定，它規(guī)定了通信雙方使用哪種IPSec協(xié)議保護(hù)數(shù)據(jù)平安、應(yīng)用的算法標(biāo)識(shí)、加密和驗(yàn)證的密鑰取值以及密鑰的生存周期等等平安屬性值。SP是一個(gè)描述規(guī)那么，定義了對(duì)什么樣的數(shù)據(jù)流實(shí)施什么樣的平安處理，至于平安處理需要的參數(shù)在SP指向的一個(gè)結(jié)構(gòu)SA中存儲(chǔ)。IPSec流程數(shù)據(jù)包輸出處理數(shù)據(jù)包被從網(wǎng)絡(luò)設(shè)備發(fā)送出去之前，截取到IP包，然后從中提取選擇符信息，依據(jù)之搜索SPD，產(chǎn)生如下可能結(jié)果：SP決定丟棄此包，于是直接丟棄，或者還可以向源主機(jī)發(fā)送ICMP信息；SP決定通過此包，直接將數(shù)據(jù)包投放到網(wǎng)絡(luò)設(shè)備的發(fā)送隊(duì)列；SP決定應(yīng)用IPSec，此時(shí)SP要么指向一個(gè)SA,可以根據(jù)它進(jìn)行平安處理，要么需要的SA不存在，那么觸發(fā)IKE模塊協(xié)商建立SA，協(xié)商周期內(nèi)數(shù)據(jù)包進(jìn)入等待隊(duì)列等待協(xié)商完成，假設(shè)協(xié)商超時(shí)，也會(huì)丟棄該包。數(shù)據(jù)包輸入處理系統(tǒng)收到IP包后，判斷如果是IPSec包，那么從頭部取到<dst_ip,protocol,SPI>，搜索SADB。假設(shè)找不到SA，丟棄包；假設(shè)找到，根據(jù)其進(jìn)行解封裝，得到去通道化后的原始IP包，再?gòu)脑糏P包中提取選擇符，搜索到SPD中某一條目，檢查收到包的平安處理是否符合描述規(guī)那么，不符合那么丟棄包，符合那么轉(zhuǎn)入系統(tǒng)IP協(xié)議棧進(jìn)行后繼處理。IKEIKE的兩個(gè)階段階段一交換(phase1exchange):在“階段一〞周期里，兩個(gè)IKE實(shí)體建立一個(gè)平安的，經(jīng)驗(yàn)證的信道進(jìn)行后續(xù)通信，要建立這樣的平安信道，雙方會(huì)建立一對(duì)ISAKMP平安聯(lián)盟。階段一交換可以用身份保護(hù)模式(也叫主模式)或野蠻模式來實(shí)現(xiàn)，而這兩種模式也僅用于階段一中。階段二交換(phase2exchange):“階段二〞周期里，IKE實(shí)體會(huì)在階段一建立起來的平安信道中，為某種進(jìn)程協(xié)商和產(chǎn)生需要的密鑰材料和平安參數(shù)，在VPN實(shí)現(xiàn)中，就是建立IPSec平安聯(lián)盟?？焖倌Ｊ浇粨Q可用來實(shí)現(xiàn)階段二交換并且僅用于此階段中。身份保護(hù)模式(1)發(fā)起者生成他認(rèn)為適當(dāng)?shù)钠桨蔡岚噶斜?，提交給響應(yīng)方。(2)響應(yīng)者與本地策略進(jìn)行匹配和選擇之后，將最終決定的平安聯(lián)盟內(nèi)容同樣用相應(yīng)載荷回送發(fā)起者。在消息(3)、(4)中，發(fā)起者和響應(yīng)者交換DH公開值，和隨機(jī)信息串nonce，在第四步完成時(shí)，雙方已經(jīng)可以經(jīng)計(jì)算得出共享的DH公共值，以及各自計(jì)算出SKEYID和相關(guān)衍生密鑰。消息(5)和消息(6)中，雙方使用前兩步得出的加密、驗(yàn)證算法和密鑰保護(hù)傳輸?shù)臄?shù)據(jù)。當(dāng)采用數(shù)字簽名的身份驗(yàn)證方法時(shí)，消息(5)和(6)可以包含證書載荷，將自己的公鑰證書發(fā)給對(duì)方，驗(yàn)證數(shù)據(jù)AUTHDATA就是數(shù)字簽名的運(yùn)算結(jié)果，在這里數(shù)字證書也可以是從有效的遠(yuǎn)程有效的認(rèn)證中心通過LDAP、DNSSEC等協(xié)議獲得。SSLSSL根本情況協(xié)議的設(shè)計(jì)目標(biāo)：為兩個(gè)通訊個(gè)體之間提供保密性和完整性(身份認(rèn)證)；互操作性、可擴(kuò)展性、相對(duì)效率為上層協(xié)議提的供平安性：保密性、身份認(rèn)證和數(shù)據(jù)完整性SSL連接〔connection)一個(gè)連接是一個(gè)提供一種適宜類型效勞的傳輸〔OSI分層的定義〕。SSL的連接是點(diǎn)對(duì)點(diǎn)的關(guān)系。連接是暫時(shí)的，每一個(gè)連接和一個(gè)會(huì)話關(guān)聯(lián)。SSL會(huì)話〔session〕一個(gè)SSL會(huì)話是在客戶與效勞器之間的一個(gè)關(guān)聯(lián)。會(huì)話由HandshakeProtocol創(chuàng)立。會(huì)話定義了一組可供多個(gè)連接共享的加密平安參數(shù)。會(huì)話用以防止為每一個(gè)連接提供新的平安參數(shù)所需昂貴的談判代價(jià)。SSL協(xié)議體系：協(xié)議分為兩層底層：TLS記錄協(xié)議上層：TLS握手協(xié)議、TLS密碼變化協(xié)議、TLS警告協(xié)議TLS記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上，為更高層提供根本平安效勞。特別是HTTP，它提供了Web的client/server交互的傳輸效勞，可以構(gòu)造在SSL之上。它提供連接平安性，有兩個(gè)特點(diǎn)保密性，使用了對(duì)稱加密算法完整性，使用HMAC算法用來封裝高層的協(xié)議SSLHandshakeProtocol,SSLChangeCipherSpecProtocol,SSLAlertProtocol是SSL的高層協(xié)議，用于管理SSL交換。SSL握手協(xié)議功能客戶和效勞器之間相互認(rèn)證協(xié)商