2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 1
第三章 网络通信安全第一节 网络通信的安全性第二节 网络通信存在的安全威胁第三节 调制解调器的安全第四节 IP安全
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 2
知识点
网络通信线路的安全,不同层的安全
网络通信存在的安全威胁
调制解调器的安全
IP安全
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 3
难 点
不同层的安全
IP安全机制
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 4
要求熟练掌握以下内容,
网络通信线路的安全传输过程中的威胁
IP的基础知识,IP安全调制解调器的安全了解以下内容,
不同 层的安全
RAS的安全性
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 5
第一节 网络通信的安全性
线路安全
不同层的安全
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 6
3.1.1 线路安全电缆加压技术,提供了安全的通信线路 。
不是将电缆埋在地下,而是架线于整座楼中,
每寸电缆都暴露在外 。 如果任何人企图割电缆,
监视器会自动报警,通知安全保卫人员电缆有可能被破坏 。 如果有人成功地在电缆上接上了自己的通讯设备,安全人员定期检查电缆的总长度,就会发现电缆的拼接处 。 加压电缆是屏蔽在波纹铝钢包皮中的,因此几乎没有电磁辐射,如果要用电磁感应窃密,势必会动用大量可见的设备,因此很容易被发觉 。
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 7
光纤通讯线,曾被认为是不可搭线窃听的,因为其断列或者破坏处会立即被检测到,
拼接处的传输会令人难以忍受的缓慢。光纤没有电磁辐射,所以也不可能有电磁感应窃密。
不幸的是光纤的最大长度有限制,长于这一最大长度的光纤系统必须定期地放大信号,这就需要将信号转换成电脉冲,然后再恢复成光脉冲,继续通过另一条线传送。完成这一操作的设备(复制器)是光纤通讯系统的安全薄弱环节,因为信号可能在这一环节被搭线窃听。有两个办法可以解决这个问题:距离大于最大长度限制的系统间,不要用光纤通信(目前,网络覆盖范围半径约 100公里),或者加强复制器的安全(如用加压电缆、警卫、报警系统等)。
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 8
3.1.2 不同层的安全
1,Internet层的安全性
2,传输层的安全性
3,应用层的安全性
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 9
第二节 网络通信存在的安全威胁
传输过程中的威胁
TCP/IP协议的脆弱性
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 10
3.2.1 传输过程中的威胁
1,截获
2,窃听
3,篡改
4,伪造:
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 11
3.2.2 TCP/IP协议的脆弱性
1,易被窃听和欺骗
2,脆弱的 TCP/IP服务
3,缺乏安全策略
4,复杂的系统配置
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 12
第三节 调制解调器的安全
拨号调制解调器访问安全
RAS的安全性概述
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 13
3.3.1 拨号调制解调器访问安全
1,使用一次性口令
2,基于位置的身份验证
3,设置回呼安全机制
4,增加核实身份服务器
5,不传播拨号号码
6,防范通过调制调解器对 Windows NT
的 RAS访问带来的安全隐患
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 14
3.3.2 RAS的安全性概述
Windows NT的远程访问服务( RAS)
给用户提供了一种远程用调制解调器访问远程网络的功能,当用户通过远程访问服务连接到远程网络当中,电话线就变得透明了,用户可以访问所有资源,就像他们坐在办公室进而访问这资源一样,RAS 调制解调器起着像网卡一样的作用。
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 15
在 Windows NT操作系统域中,主域控制器是通过 RAS服务器实现其安全性的。 RAS服务器只允许合法的域用户访问,并且对已认证和注册的信息加密。
通过在 RAS客户和 RAS服务器之间连接一个中间的安全性主机,而使为
RAS配置另一个级别的安全机制成为可能。
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 16
有关 IP的基础知识
IP安全
安全关联 ( SA)
IP安全机制第四节 IP安全
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 17
3.4.1 有关 IP的基础知识
( 1) IP地址在 Internet上,每台计算机或路由器都有一个由授权机构分配的号码,这就是
IP地址。
( 2) IP协议
IP协议是国际网络协议,由于它对底层网络硬件几乎没有任何要求,因此具有适应各种各样的网络硬件的灵活性 。
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 18
3.4.2 IP安全
IP安全主要包括:
间接访问控制支持
无连接完整性
数据源认证
防止 IP包重放/重排的保护
机密性
有限话务流的秘密性
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 19
3.4.3 安全关联( SA)
安全关联是单向网络连接,只使用一种 IP安全协议(即 AH或 ESP)。如果
AH和 ESP都需要,则每种协议都要有一个 SA。相应地,在双向连接中,每个方向上都有一个单独的 SA。这种方法为在各种服务中、不同方向上及各种通讯节点上选择安全属性(如密码算法及密钥)
提供了灵活性。
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 20
3.4.4 IP安全机制
1,认证头
IP认证头是一种安全机制,它为 IP包提供以下安全服务:
( 1) 无连接完整性;
( 2) 数据源认证;
( 3) 防重放攻击保护 。
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 21
2,封装安全有效载荷像 AH一样,ESP是基于封装的机制,它为
IP包提供以下安全服务:
( 1) 秘密性;
( 2) 数据源认证;
( 3) 无连接完整性 。
( 4) 防重放攻击保护;
( 5)部分防流量分析保护(仅为隧道模式)。
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 22
3.AH和 ESP的结合
AH和 ESP可以结合起来建立安全连接。例如,在 VPN中,AH可在主机与安全网关(传输模式)之间使用,ESP则可在安全网关之间使用(隧道模式)。
2009年 8月 20日星期四
12时 4分 39秒 网络通信安全 23
小结:
由于网络分布的广泛性和地理位置的不同,大都采用有线信道 ( 如同轴电缆,架空明线或光缆 ) 或无线信道 ( 如卫星信道,微波干线等 ) 作为通信链路 。 对有线信道而言,自然灾难和人为的因素很容易使网络的通信线路受到物理破坏,线路很可能被搭线窃听,或通过未受保护的外部线路访问到系统内部的数据等,通信线路对于各种威胁显得非常脆弱 。 无线信道的安全脆弱性更是显而易见,极易受到攻击 。 通信协议,上网使用的调制解调器等也有其脆弱性 。
本章主要介绍网络通信的线路安全、不同层的安全、调制解调器安全以及 IP安全。