147 第四章 网络安全协议 1 第四章 网络安全协议 SSL协议 SET协议 IPSec协议 2 因特网与TCP/IP安全-1TCP/IP协议栈 TCP/IP是一组通信协议的缩写 ISO/OSI模型及其与TCP/IP的关系 3 因特网与TCP/IP安全-IP协议 IP数据包中含有源地址和目的地址 不可靠协议,没有做任何事情来确认数据包是否按顺序或是未被破坏 而高层在接受服务时通常假设源地址是有效的 IP地址成为认证的基础 IP协议存在的安全问题不少 4 IP欺骗 攻击者通过伪造一个可信任地址的数据包以使一台机器认证另一台机器的复杂技术 攻击是利用应用程序之间基于IP地址的认证机制,攻击者通过IP地址欺骗获得远程系统的非法授权访问。 5 IP欺骗 过程描述: 1、X->B: SYN(序列号为M),IP=A 2、B->A: SYN(序列号为N),ACK(应答序号=M+1) 此时A没有同B发起连接,当A收到B的包后,会发送RST置位的包给B,从而断开连接 此时攻击者事先让A无法对来自B的任何数据包进行应答。 3、X->B: ACK(应答序号=N+1) IP=A 攻击者猜测B发送给A的序列号。若猜测成功则,X将获得主机B赋予A的权利。 6 IP欺骗 辅助技术1:如何阻止A响应B的包- SYN 淹没 7 IP欺骗 辅助技术2:序列号预测 攻击者事先要进行连接试验: (1)同目标主机进行连接 (2)目标主机应答 (3)记录应答包所含的序列号,继续步骤1测试 分析序列号产生的模式 8 攻击检测 上述攻击过程中,攻击者必须依照一定的顺序来完成网络入侵,这往往是攻击的一种先兆。可安装一个网络嗅探器。 (1)最初,会检测到大量的TCP SYN从某个主机发往A的登录端口。 (2)大量的TCP SYN包将从主机X经过网络发往主机B,相应的有SYN+ACK包从主机B发往X,然后主机X用RST作应答 9 其他措施 配置路由器和网关,使他们拒绝网络外部与本网内具有相同IP地址的连接请求 当包的源IP地址不在本地子网内时,路由器和网关不应该把本网主机的包发出去,以阻止内部用户去破坏他人网络 10 因特网与TCP/IP安全-TCP协议 TCP安全缺陷-TCP连接的可靠性 初始化连接:三次握手,确保双方做好传输准备,统一序列号。 SYN, SEQ = x 主机 B SYN, ACK, SEQ = y, ACK= x 1 ACK, SEQ = x + 1, ACK = y 1 确认 确认 主机 A 连接请求 11 TCP安全缺陷-没有任何认证机制 TCP会话劫持 所谓会话,就是两台主机之间的一次通讯。 例如Telnet到某台主机,这就是一次Telnet会话; 浏览某个网站,这就是一次HTTP会话。 12 会话劫持(Session Hijack),就是在一次正常的会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶意数据,也可以在双方的会话当中进行监听,甚至可以是代替某一方主机接管会话。 原因: TCP假定只要接受到的数据包含有正确的序列号就认为数据是可以接受的。 一旦连接建立,服务器无法确定进入的数据包是否来自真实的机器。 13 会话劫持防范 防范会话劫持是一个比较大的工程。 最根本的解决办法是采用加密通讯,使用SSH代替Telnet、使用SSL加强HTTP,或者干脆使用IPSec/VPN。 其次,监视网络流量,如发现网络中出现大量的ACK包,则有可能已被进行了会话劫持攻击。 完善认证措施,不仅仅在建立会话时进行认证 14 SSL协议—1 概况 SSL协议(Security Socket Layer)是Netscape公司于1994年提出的基于web应用的安全协议。主要介绍SSLv3. SSL主要采用公开密钥体制和x.509数字证书技术。 15 16 SSL协议—1 概况 协议的位置: SSL介于TCP和应用层协议之间。 SSL可以用于任何面向连接的安全通信,但通常用于安全web应用的HTTP协议。 SMTP IP SSL TCP HTTP FTP 17 SSL协议—1 概况 SSL提供一个安全的"握手"来初始化一个TCP/IP连接 建立TCP"连接" SSL握手,建立SSL会话 完成客户端和服务器之间关于安全等级、密码算法、通信密钥的协商,以及执行对连接端身份的认证工作。 SSL连接上所传送的应用层协议数据都会被加密,从而保证通信的机密性。 18 SSL协议—1 概况 提供的安全保护 SSL 服务器鉴别 允许用户证实服务器的身份。具有 SS L功能的浏览器维持一个表,上面有一些可信赖的认证中心 CA (Certificate Authority)和它们的公开密钥。 (2) 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密,在接收
