網(wǎng)絡(luò)通信安全

第三章網(wǎng)絡(luò)通信安全

第一節(jié)網(wǎng)絡(luò)通信的安全性第二節(jié)網(wǎng)絡(luò)通信存在的安全威脅

第三節(jié)調(diào)制解調(diào)器的安全第四節(jié)

IP安全12/24/20241網(wǎng)絡(luò)通信安全共23頁知識點(diǎn)網(wǎng)絡(luò)通信線路的安全、不同層的安全網(wǎng)絡(luò)通信存在的安全威脅調(diào)制解調(diào)器的安全

IP安全12/24/20242網(wǎng)絡(luò)通信安全共23頁難點(diǎn)

不同層的安全

IP安全機(jī)制12/24/20243網(wǎng)絡(luò)通信安全共23頁要求熟練掌握以下內(nèi)容：網(wǎng)絡(luò)通信線路的安全傳輸過程中的威脅

IP的基礎(chǔ)知識、IP安全調(diào)制解調(diào)器的安全了解以下內(nèi)容：不同層的安全

RAS的安全性12/24/20244網(wǎng)絡(luò)通信安全共23頁第一節(jié)網(wǎng)絡(luò)通信的安全性

線路安全不同層的安全12/24/20245網(wǎng)絡(luò)通信安全共23頁3.1.1線路安全電纜加壓技術(shù)：提供了安全的通信線路。不是將電纜埋在地下，而是架線于整座樓中，每寸電纜都暴露在外。如果任何人企圖割電纜，監(jiān)視器會自動報(bào)警，通知安全保衛(wèi)人員電纜有可能被破壞。如果有人成功地在電纜上接上了自己的通訊設(shè)備，安全人員定期檢查電纜的總長度，就會發(fā)現(xiàn)電纜的拼接處。加壓電纜是屏蔽在波紋鋁鋼包皮中的，因此幾乎沒有電磁輻射，如果要用電磁感應(yīng)竊密，勢必會動用大量可見的設(shè)備，因此很容易被發(fā)覺。12/24/20246網(wǎng)絡(luò)通信安全共23頁

光纖通訊線：曾被認(rèn)為是不可搭線竊聽的，因?yàn)槠鋽嗔谢蛘咂茐奶帟⒓幢粰z測到，拼接處的傳輸會令人難以忍受的緩慢。光纖沒有電磁輻射，所以也不可能有電磁感應(yīng)竊密。不幸的是光纖的最大長度有限制，長于這一最大長度的光纖系統(tǒng)必須定期地放大信號，這就需要將信號轉(zhuǎn)換成電脈沖，然后再恢復(fù)成光脈沖，繼續(xù)通過另一條線傳送。完成這一操作的設(shè)備（復(fù)制器）是光纖通訊系統(tǒng)的安全薄弱環(huán)節(jié)，因?yàn)樾盘柨赡茉谶@一環(huán)節(jié)被搭線竊聽。有兩個辦法可以解決這個問題：距離大于最大長度限制的系統(tǒng)間，不要用光纖通信（目前，網(wǎng)絡(luò)覆蓋范圍半徑約100公里），或者加強(qiáng)復(fù)制器的安全（如用加壓電纜、警衛(wèi)、報(bào)警系統(tǒng)等）。12/24/20247網(wǎng)絡(luò)通信安全共23頁3.1.2不同層的安全1.Internet層的安全性2.傳輸層的安全性3.應(yīng)用層的安全性12/24/20248網(wǎng)絡(luò)通信安全共23頁第二節(jié)網(wǎng)絡(luò)通信存在的安全威脅

傳輸過程中的威脅

TCP/IP協(xié)議的脆弱性

12/24/20249網(wǎng)絡(luò)通信安全共23頁3.2.1傳輸過程中的威脅1.截獲2.竊聽3.篡改4.偽造：源目的第三方源源源目的目的目的第三方第三方第三方12/24/202410網(wǎng)絡(luò)通信安全共23頁3.2.2TCP/IP協(xié)議的脆弱性背景知識:

在Internet沒有形成之前,已有很多小型局域網(wǎng)，Internet實(shí)際上就是將全球各地的局域網(wǎng)連接起來形成的一個“網(wǎng)際網(wǎng)”，然而在連接之前各局域網(wǎng)存在不同的網(wǎng)絡(luò)結(jié)構(gòu)和數(shù)據(jù)傳輸規(guī)則。就像世界各個國家的人說各自的語言。世界上任意兩個人進(jìn)行溝通，必須都能說同一種語言（世界語）才能解決問題，TCP/IP協(xié)議正是Internet上的“世界語”。TCP/IP協(xié)議創(chuàng)建之初面向的是可信的用戶群，并只考慮要擴(kuò)展它，并沒有想限制訪問，沒有提供必要的安全機(jī)制。12/24/202411網(wǎng)絡(luò)通信安全共23頁3.2.2TCP/IP協(xié)議的脆弱性TCP/IP的缺陷:1.易被竊聽和欺騙2.脆弱的TCP/IP服務(wù)3.缺乏安全策略4.復(fù)雜的系統(tǒng)配置12/24/202412網(wǎng)絡(luò)通信安全共23頁3.2.2TCP/IP協(xié)議的脆弱性一.易被竊聽和欺騙1.網(wǎng)絡(luò)監(jiān)聽(嗅探)12/24/202413網(wǎng)絡(luò)通信安全共23頁2、IP欺騙12/24/202414網(wǎng)絡(luò)通信安全共23頁12/24/202415網(wǎng)絡(luò)通信安全共23頁12/24/202416網(wǎng)絡(luò)通信安全共23頁12/24/202417網(wǎng)絡(luò)通信安全共23頁12/24/202418網(wǎng)絡(luò)通信安全共23頁12/24/202419網(wǎng)絡(luò)通信安全共23頁3.2.2TCP/IP協(xié)議的脆弱性

TCP/IP服務(wù)的解釋及脆弱性12/24/202420網(wǎng)絡(luò)通信安全共23頁一、WWW服務(wù)WWW又稱為萬維網(wǎng)，簡稱為Web,是Internet技術(shù)發(fā)展中的一個重要的里程碑；WWW系統(tǒng)的結(jié)構(gòu)采用了客戶/服務(wù)器模式；信息資源以web頁的形式存儲在WWW服務(wù)器中，用戶通過WWW客戶端瀏覽器程序圖、文、聲并茂的Web頁內(nèi)容；通過Web頁中的鏈接，用戶可以方便地訪問位于其他WWW服務(wù)器中的Web頁，或是其他類型的網(wǎng)絡(luò)信息資源。

12/24/202421網(wǎng)絡(luò)通信安全共23頁WWW服務(wù)的主要特點(diǎn)以超文本方式組織網(wǎng)絡(luò)多媒體信息，用戶可以訪問文本、語音、圖形和視頻信息；用戶可以在Internet范圍內(nèi)的任意網(wǎng)站之間查詢、檢索、瀏覽及發(fā)布信息，并實(shí)現(xiàn)對各種信息資源透明的訪問；提供生動、直觀、統(tǒng)一的圖形用戶界面；WWW服務(wù)的核心技術(shù)是：超文本標(biāo)記語言（HTML）

超文本傳輸協(xié)議（HTTP）

超鏈接（hyperlink）12/24/202422網(wǎng)絡(luò)通信安全共23頁WWW服務(wù)的工作原理12/24/202423網(wǎng)絡(luò)通信安全共23頁URL與信息定位

URL是對能從Internet上得到的資源的位置和訪問方法的一種簡潔的表示；標(biāo)準(zhǔn)的URL由3部分組成：服務(wù)器類型、主機(jī)名和路徑及文件名

http：//www.nankai.edu.cn/index.html

協(xié)議類型

主機(jī)名

路徑及地址12/24/202424網(wǎng)絡(luò)通信安全共23頁URL通過指定其他協(xié)議類型訪問其他類型的服務(wù)器:gopher：//gopher.cernet.edu.cn

連接到名為gopher.cernet.edu.cn的Gopher服務(wù)器ftp：//ftp.pku.edu.cn/pub/dos/readme.txt

通過FTP連接來獲得名為readme.txt的文本文件file：//linux001.nankai.edu.cn/pub/gif/wu.gif

在所連接的主機(jī)上獲得并顯示名為wu.gif的圖形文件telnet：//cs.nankai.edu.cn

遠(yuǎn)程登錄到名為cs.nankai.edu.cn的主機(jī)12/24/202425網(wǎng)絡(luò)通信安全共23頁主頁的概念信息資源以網(wǎng)頁的形式存儲在WWW服務(wù)器中；用戶通過瀏覽器向WWW服務(wù)器發(fā)出請求，服務(wù)器根據(jù)客戶請求內(nèi)容，將保存在WWW服務(wù)器中的某個頁面發(fā)送給客戶；用戶可以通過頁面中的鏈接，方便地訪問位于其他WWW服務(wù)器中的頁面，或其他類型的網(wǎng)絡(luò)信息資源；主頁（homepage）是一種特殊的Web頁面，是指包含個人或機(jī)構(gòu)基本信息的頁面，用于對個人或機(jī)構(gòu)進(jìn)行綜合性介紹，是訪問個人或機(jī)構(gòu)詳細(xì)信息的入口點(diǎn)。12/24/202426網(wǎng)絡(luò)通信安全共23頁主頁包含的基本元素：文本（text）：最基本的元素，就是通常所說的文字；圖像（image）：WWW瀏覽器一般只識別GIF與JPG兩種圖像格式；表格（table）：類似于Word中的表格，表格單元內(nèi)容一般為字符類型；超鏈接（hyperlink）：用于將HTML與其他主頁相連。

12/24/202427網(wǎng)絡(luò)通信安全共23頁搜索引擎是Internet上的一個WWW服務(wù)器，它的主要任務(wù)是在Internet中主動搜索其他WWW服務(wù)器中的信息并對其自動索引，將索引內(nèi)容存儲在可供查詢的大型數(shù)據(jù)庫中；用戶可以利用搜索引擎所提供的分類目錄和查詢功能查找所需要的信息。

搜索引擎的概念12/24/202428網(wǎng)絡(luò)通信安全共23頁電子郵件服務(wù)是目前Internet上使用最頻繁的服務(wù)；電子郵件系統(tǒng)不但可以傳輸各種格式的文本信息，還可以傳輸圖像、聲音、視頻等多種信息；郵件服務(wù)器系統(tǒng)的核心是郵件服務(wù)器，它負(fù)責(zé)接收用戶送來的郵件，根據(jù)收件人地址發(fā)送到對方的郵件服務(wù)器中，還負(fù)責(zé)接收由其他郵件服務(wù)器發(fā)來的郵件，并根據(jù)收件人地址分發(fā)到相應(yīng)的電子郵箱中。二、電子郵件服務(wù)12/24/202429網(wǎng)絡(luò)通信安全共23頁當(dāng)用戶向ISP申請Internet賬戶時，ISP就會在它的郵件服務(wù)器上建立該用戶的電子郵件賬戶，它包括用戶名與用戶密碼。用戶的電子郵件地址格式為：用戶名@主機(jī)名，其中“@”符號表示“at”。例如，在“nankai.edu.cn”主機(jī)上，有一個名為island的用戶，那么該用戶的E-mail地址為：island@nankai.edu.cn。12/24/202430網(wǎng)絡(luò)通信安全共23頁電子郵件服務(wù)的工作原理12/24/202431網(wǎng)絡(luò)通信安全共23頁電子郵件應(yīng)用程序基本服務(wù)功能：創(chuàng)建與發(fā)送電子郵件；接收、閱讀與管理電子郵件；賬號、郵箱與通信簿管理。電子郵件協(xié)議：在電子郵件程序向郵件服務(wù)器中發(fā)送郵件時，使用的是簡單郵件傳輸協(xié)議SMTP；在電子郵件程序從郵件服務(wù)器中讀取郵件時，可以使用郵局協(xié)議POP3或交互式郵件存取協(xié)議IMAP，它取決于郵件服務(wù)器支持的協(xié)議類型。12/24/202432網(wǎng)絡(luò)通信安全共23頁E-mail的漏洞1、明文傳輸。2、E-mail欺騙。3、匿名轉(zhuǎn)發(fā)。4、E-mail轟炸和炸彈。12/24/202433網(wǎng)絡(luò)通信安全共23頁三、文件傳輸服務(wù)文件傳輸服務(wù)又稱為FTP服務(wù)，它是Internet中最早提供的服務(wù)功能之一，目前仍然在廣泛使用中；文件傳輸服務(wù)由FTP應(yīng)用程序提供，F(xiàn)TP應(yīng)用程序遵循TCP/IP協(xié)議組中的文件傳輸協(xié)議，它允許用戶將文件從一臺計(jì)算機(jī)傳輸?shù)搅硪慌_計(jì)算機(jī)，并且能保證傳輸?shù)目煽啃裕辉贗nternet中，許多公司、大學(xué)的主機(jī)上含有數(shù)量眾多的各種程序與文件，這是Internet的巨大與寶貴的信息資源。通過使用FTP服務(wù)，用戶就可以方便地訪問這些信息資源。12/24/202434網(wǎng)絡(luò)通信安全共23頁文件傳輸?shù)墓ぷ髟?2/24/202435網(wǎng)絡(luò)通信安全共23頁匿名FTP服務(wù)

匿名FTP服務(wù)的實(shí)質(zhì)是：提供服務(wù)的機(jī)構(gòu)在它的FTP服務(wù)器上建立一個公開賬戶（一般為anonymous），并賦予該賬戶訪問公共目錄的權(quán)限，以便提供免費(fèi)服務(wù)；如果要訪問提供匿名服務(wù)的FTP服務(wù)器，一般不需輸入用戶名與密碼。如果需要，可以使用“anonymous”作為用戶名，使用“guest”作為用戶密碼；大多數(shù)FTP服務(wù)都是匿名服務(wù)；為了保證FTP服務(wù)器的安全，幾乎所有匿名FTP服務(wù)器都只允許用戶下載文件，而不允許用戶上載文件。12/24/202436網(wǎng)絡(luò)通信安全共23頁FTP的安全一、操作系統(tǒng)的選擇

ＦＴＰ服務(wù)器首先是基于操作系統(tǒng)而運(yùn)作的，因而操作系統(tǒng)本身的安全性就決定了ＦＴＰ服務(wù)器安全性的級別。雖然Ｗｉｎ９８／Ｍｅ一樣可以架設(shè)ＦＴＰ服務(wù)器，但由于其本身的安全性就不強(qiáng)，易受攻擊，因而最好不要采用。ＷｉｎｄｏｗｓＮＴ就像雞肋，不用也罷。最好采用Ｗｉｎｄｏｗｓ２０００及以上版本，并記住及時打上補(bǔ)丁。至于Ｕｎｉｘ、Ｌｉｎｕｘ，則不在討論之列。

二、使用防火墻

端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全，一般來說，僅打開你需要使用的端口，將其他不需要使用的端口屏蔽掉會比較安全。限制端口的方法比較多，可以使用第三方的個人防火墻，如天網(wǎng)個人防火墻等.12/24/202437網(wǎng)絡(luò)通信安全共23頁四、Finger服務(wù):提供用戶信息12/24/202438網(wǎng)絡(luò)通信安全共23頁第三節(jié)調(diào)制解調(diào)器的安全

撥號調(diào)制解調(diào)器訪問安全

RAS的安全性概述

12/24/202439網(wǎng)絡(luò)通信安全共23頁3.3.1撥號調(diào)制解調(diào)器訪問安全1.使用一次性口令2.基于位置的身份驗(yàn)證3.設(shè)置回呼安全機(jī)制4.增加核實(shí)身份服務(wù)器5.不傳播撥號號碼6.防范通過調(diào)制調(diào)解器對WindowsNT的RAS訪問帶來的安全隱患12/24/202440網(wǎng)絡(luò)通信安全共23頁3.3.2RAS的安全性概述

WindowsNT的遠(yuǎn)程訪問服務(wù)（RAS）給用戶提供了一種遠(yuǎn)程用調(diào)制解調(diào)器訪問遠(yuǎn)程網(wǎng)絡(luò)的功能，當(dāng)用戶通過遠(yuǎn)程訪問服務(wù)連接到遠(yuǎn)程網(wǎng)絡(luò)當(dāng)中，電話線就變得透明了，用戶可以訪問所有資源，就像他們坐在辦公室進(jìn)而訪問這資源一樣，RAS調(diào)制解調(diào)器起著像網(wǎng)卡一樣的作用。12/24/202441網(wǎng)絡(luò)通信安全共23頁在WindowsNT操作系統(tǒng)域中，主域控制器是通過RAS服務(wù)器實(shí)現(xiàn)其安全性的。RAS服務(wù)器只允許合法的域用戶訪問，并且對已認(rèn)證和注冊的信息加密。通過在RAS客戶和RAS服務(wù)器之間連接一個中間的安全性主機(jī)，而使為RAS配置另一個級別的安全機(jī)制成為可能。12/24/202442網(wǎng)絡(luò)通信安全共23頁有關(guān)IP的基礎(chǔ)知識IP安全安全關(guān)聯(lián)（SA）IP安全機(jī)制第四節(jié)IP安全

12/24/202443網(wǎng)絡(luò)通信安全共23頁3.4.1有關(guān)IP的基礎(chǔ)知識（1）IP地址在Internet上，每臺計(jì)算機(jī)或路由器都有一個由授權(quán)機(jī)構(gòu)分配的號碼，這就是IP地址。

12/24/202444網(wǎng)絡(luò)通信安全共23頁IP地址是Internet地址的一種表示形式；IP地址由網(wǎng)絡(luò)號與主機(jī)號兩部分組成，網(wǎng)絡(luò)號標(biāo)識一個邏輯網(wǎng)絡(luò)，主機(jī)號標(biāo)識網(wǎng)絡(luò)中一臺主機(jī)；一臺Internet主機(jī)至少有一個IP地址，而且這個IP地址是全網(wǎng)唯一的。

12/24/202445網(wǎng)絡(luò)通信安全共23頁IP地址的分類IP地址長度為32位，采用x.x.x.x的格式來表示，每個x為8位。例如，19，每個x的值為0～255。這種格式的地址被稱為點(diǎn)分十進(jìn)制地址；根據(jù)不同的取值范圍，IP地址可以分為五類。IP地址中前5位用于標(biāo)識IP地址的類別，A類地址的第一位為“0”，B類地址的前兩位為“10”，C類地址的前三位為“110”，D類地址的前四位為“1110”，E類地址的前五位為“11110”。其中，A類、B類與C類地址為基本的IP地址。

12/24/202446網(wǎng)絡(luò)通信安全共23頁IP地址的分類12/24/202447網(wǎng)絡(luò)通信安全共23頁如果WWW服務(wù)器地址IP地址用點(diǎn)分十進(jìn)制表示，例如為22，那么用戶很難記??；如果告訴用戶WWW服務(wù)器地址用字符表示為www.nankai.edu.cn，每個字符都有一定的意義，并且書寫有一定的規(guī)律，這樣地址用戶就容易理解，又容易記憶，因此提出了域名的概念；Internet的域名結(jié)構(gòu)是由TCP/IP協(xié)議集的域名系統(tǒng)（DNS）定義的；域名系統(tǒng)也與IP地址的結(jié)構(gòu)一樣，采用的是典型的層次結(jié)構(gòu)；域名機(jī)制12/24/202448網(wǎng)絡(luò)通信安全共23頁域名系統(tǒng)將整個Internet劃分為多個頂級域，并為每個頂級域規(guī)定了通用的頂級域名；網(wǎng)絡(luò)信息中心（NIC）將頂級域的管理權(quán)授予指定的管理機(jī)構(gòu)；各個管理機(jī)構(gòu)再為它們所管理的域分配二級域名，并將二級域名的管理權(quán)授予其下屬的管理機(jī)構(gòu)；這樣就形成了層次結(jié)構(gòu)的域名體系。

12/24/202449網(wǎng)絡(luò)通信安全共23頁頂級域名分配12/24/202450網(wǎng)絡(luò)通信安全共23頁我國的域名結(jié)構(gòu)中國互聯(lián)網(wǎng)信息中心（CNNIC）負(fù)責(zé)管理我國的頂級域，它將cn域劃分為多個二級域；Internet主機(jī)域名的格式為：四級域名.三級域名.二級域名.頂級域名。例如，主機(jī)域名cs.nankai.edu.cn代表中國南開大學(xué)計(jì)算機(jī)系的主機(jī)。

12/24/202451網(wǎng)絡(luò)通信安全共23頁（2）IP協(xié)議

IP協(xié)議是國際網(wǎng)絡(luò)協(xié)議，由于它對底層網(wǎng)絡(luò)硬件幾乎沒有任何要求，因此具有適應(yīng)各種各樣的網(wǎng)絡(luò)硬件的靈活性。任何一個網(wǎng)絡(luò)只要可以從一個地點(diǎn)向另一個地點(diǎn)傳送二進(jìn)制數(shù)據(jù)，就可以使用IP協(xié)議加入Internet了。

12/24/202452網(wǎng)絡(luò)通信安全共23頁3.4.2IP安全

IP安全主要包括：

間接訪問控制支持

無連接完整性

數(shù)據(jù)源認(rèn)證

防止IP包重放／重排的保護(hù)

機(jī)密性

有限話務(wù)流的秘密性12/24/202