网络安全技术-网络协议安全
TCP/IP协议栈
互联网协议安全解决方案概述
1. 将安全机制放置在网络层
如IPsec 协议,好处是对最终用户和应用程序透明
2. 将安全机制放置在运输层
如SSL协议,好处是能够提供基于进程对进程的安全服务
将安全机制放置在应用层
好处是与应用层有关的安全服务被嵌入到特定的应用程序中,可根据需要定制安全服务 。
物理层安全风险
物理层安全威胁 主要指由网络环境、网络设备、线路的物理特性引起的不可用而造成的网络系统不可用,如设备被盗、意外故障、设备老化等。因此, 对物理网络的攻击集中在 物理网络部件 方面,常见的攻击手段主要有 搭线 窃听、 电磁泄漏窃听 等
数据层安全风险
数据链路层提供到物理层的接口,以确保数据在两个节点之间数据链路上的安全传递。通过对一些网络攻击现象分析可知, 数据链路层存在着身份认证、篡改 MAC 地址、网络嗅探等安全威胁。
ARP协议特性中的漏洞
- 漏洞的根源就是ARP协议是无连接的,
- ARP协议是建立在信任局域网内所有结点的基础上的。
- 它是无状态的协议,不会检查自己是否发过请求包,没有ARP的请求也可以ARP回复。最致命的就是操作系统收到这个请求后就会更新ARP缓存
ARP欺骗
ARP欺骗问题的原因:
① ARP协议设计之初没有考虑安全问题,所以任何计算机都可以发送虚假的ARP数据包。
② ARP协议的无状态性。响应数据包和请求数据包之间没有什么关系,如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求。
③ ARP缓存需要定时更新,给攻击者以可趁之机。
ARP 网关欺骗
在 ARP的攻击中,网关欺骗是一种比较常见的攻击方法。通过伪装的ARP Request请求报文或Reply应答报文达到修改PC机网关的MAC-IP对照表的目的。造成PC机不能访问网关,将原本应该发往网关的数据包被发往被修改对方的MAC地址。如下图,c伪造arp回应保温,冒充网关。
ARP主机欺骗
ARP主机欺骗的最终目地是修改PC机或交换机设备的MAC表项。将原本正确的表项修改为错误的MAC地址。最终导致PC机不能访问网络。
MAC 地址欺骗预防
- 利用绑定方式,静态ARP对照表不受外来影响,即通过设置固定的ARP对照表,来达到预防的效果。
IPv4 协议的安全风险
IP地址欺骗
所谓IP地址欺骗(IP Spoofing)是指攻击者向一台主机发送带有某一IP地址消息(该IP地址并非是攻击者自身的IP地址),表明该消息来自于受信主机或者具有某种特权者,以便获得对该主机或其它主机非授权访问的一种欺骗技术。
理论上一个IP数据报是否来自真正的源IP地址,IP协议并不作任何可靠保证。任何一台计算机都可以发出包含任意源IP地址的数据包,这意味着 IP 数据报中的源 IP 地址是不可信的。
IP sec安全协议
IPsec议 协议 运行 在内网与外网 相连的网络设备上 ,如路由器或防火墙。
IPsec将 网络设备一般将 对进入广域网的所有通信量进行加密和压缩 , 对所有来自广域网的通信量进行解密和解压 。 这些操作对于局域网上的工作站和服务器 是透明的 。
IPsec安全体系结构
IPsec 不是一个单独的协议,而是一组协议 ,IPsec 协议的定义文件包括了 12 个 RFC 文件和几十个 Internet 草案,已经成为工业标准的网络安全协议。
IPsec 在 IPv6 中是必须支持 的,而在 IPv4 中是可选的。
IPsec 与 VPN
IP层的安全包含了三个功能域: 鉴别(认证)、机密性和密钥管理。
鉴别 :提供报文信源鉴别和完整性鉴别 。
机密性 :通过报文加密可防止第三方窃听报文 。
密钥管理 :处理密钥的安全交换 。
IP 安全协议
IPsec 使用两个协议来提供上述的安全服务:
首部鉴别协议(AH)和 和 封装安全载荷协议(ESP)。 。
首部鉴别协议(AH) :对IP供 数据报提供 鉴别 服务。
封装安全载荷协议(ESP) :对IP 数据报提供鉴别和机密性 服务。该协议是 加密/别 鉴别 混合协议。
AH 和ESP 可单独使用,也可结合使用
无论是 AH 还是 ESP 都可以工作于两种模式 —— 传输模式和隧道模式
在 传输模式 中, IPsec 首部被 直接加在IP 包的头部后面。
在 隧道模式中,整个IP分组,连同首部和所有的数据一起被封装到一个新的IP分组的数据区中,并且这个IP分组有一个 全新的 IP头。
IPsec工作模式
前面介绍了传输模式 ( Transport Mode )和隧道模式( Tunnel Mode)。
• AH 和 ESP 都支持这两种模式,因此有四种组合:
- 传输模式的AH
- 隧道模式的AH
- 传输模式的ESP
- 隧道模式的ESP
传输模式
传输模式 要保护的是 IP 包的载荷
隧道模式
隧道模式保护的是整个ip包
AH的运输模式和隧道模式
ESP的运输模式和隧道模式
IKE(Internet 密钥交换协议)
IPsec还需使用另一个协议,该协议在密钥管理的过程中使用,即IKE。
• IKE主要完成以下三个任务:
• 1、对建立IPsec的双方进行认证(需要事先协商好认证方式)
• 2、通过密钥交换,产生用于加密和HMAC使用到的随机密钥。
• 3、协商协议参数(包括加密协议、散列函数、封装协议、封装模式及密钥的有效期)
安全关联SA (Security Association) )
• 在AH与ESP这两个协议中,从源主机到目的主机发送安全数据报之前, 两台主机必须握手并创建一个网络层的逻辑连接。
• 虽然IPsec是工作在IP层,但它却是 面向连接的,一个连接被称为一个安全关联SA
• SA 是 单向 的,如要进行 双向通信,必须要建立两个SA 。一个 SA 可用于 AH 或 ESP ,但不能同时用于两者。
• 每个SA有一个与之相关的 安全标识符,安全标识符被放入该安全通道中的每个数据包中,用来检查密钥和一些相关的信息。
小结
关于SA:
◼IPsec的两个端点被称为是IPsec对等体,要在两个对等体之间实现数据的安全传输就要在两者之间建立安全关联(SecurityAssociation,SA)。
◼SA是IPsec的基础,SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保护数据的共享密钥以及密钥的生存周期等。
SA 是 单向 的,在两个对等体之间的双向通信,**最少需要两个 SA **来分别对两个方向的数据流进行安全保护 。 同时,如果两个对等体希望同时使用 AH 和 ESP 来进行安全通信,则 每个对等体都会针对每一种协议来构建一个独立的 SA
IKE是一种安全机制,它提供端与端之间的动态认证。IKE为IPsec提供了自动协商交换密钥、建立SA的服务,这能够简化IPsec的使用和管理,大大简化IPsec的配置和维护工作。IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,有了IKE,IPsec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。