目录
VPN协议的主要特点如下: 编辑 12.6.4 虚拟局域网(VLAN)
12.1 网络与协议安全机制
12.1.1 安全通信协议
1、IPsec
互联网协议安全,使用公钥加密算法,为IP协议提供加密、访问控制、不可否认及信息身份验证登服务。
主要用于虚拟专用网VPN,IPsec能工作在传输模式或隧道模式。
2、Kerberos
为用户提供单一登录解决方案,对登入证书提供保护。混合加密。
3、SSH
安全Shell是是端对端加密技术的实例。
4、信令协议
为语音通信、视频会议及文本信息服务提供端到端加密服务的加密协议。
5、安全远程过程调用
一种身份验证服务,可防止非法代码在远程系统执行的一种简单方法。
6、安全套接字层(SSL)
用于保护Web服务器与浏览器之间的通信。用于保护Web,Email,文件传输协议(FTP),Telnet流量。
目前已经被TLS取代。
7、传输层安全(TLS)
TLS的功能与SSL大致相同,采用了更强的身份验证方法及加密协议。
TLS和SSL的相同点:
(1)提供安全通信,防篡改、防欺骗以及防窃听;
(2)支持单向身份验证;
(3)支持基于数字证书的双向身份验证;
(4)经常作为TCP包的原始载荷,也可以用来封装更高层协议载荷;
(5)可作为较低层次的协议,充当VPN。
此外,TLS还可以加密UDP及SIP连接。SIP是一种与Voice over IP相关的协议。
12.1.2 身份验证协议
定义:建立网络连接时,验证源端用户的身份。
1、征询握手身份验证协议(CHAP)
应用于点对点协议(PPP)连接上的身份验证协议。
会加密用户名和密码。
采用无法重放的挑战-应答对话进行验证。
会周期性的重复验证远程系统。
2、密码身份验证协议(PAP)
服务于PPP的标准化身份验证协议。
使用明文传输用户名与密码。无任何加密,把登录证书从客户端传递到服务器。
3、可扩展身份验证协议(EAP)
一种身份验证框架,不是一种协议。
支持可定制的身份验证安全解决方案,如智能卡、令牌和生物身份验证。
4、受保护的可扩展身份验证协议(PEAP)
在TLS隧道中封装EAP协议。优于EAP和LEAP,因为EAP假定通道已经受保护了,PEAP自身实现了安全性。
用于保护802.11无线连接的安全通信。采用PEAP技术的有受保护访问(WPA)及WPA2。
5、轻量级可扩展身份验证协议(LEAP)
支持频繁的再身份验证及WEP密钥更改。LEAP是可被攻破的。
12.2 语音通信的安全
12.2.1 网络电话(VoIP)
将语音封装在IP包中的技术,支持在TCP/IP网络中打电话。
通过安全实时传输协议(SRTP)加密及身份验证,尽可能降低VoIP遭受DoS攻击的风险。
12.2.2 社会工程
12.2.3 欺骗与滥用
专用交换机(PBX)欺骗与滥用。许多PBX系统受到恶意攻击,想逃避电话费用或隐藏身份。
12.3 多媒体合作
合作支持项目人员同时开展工作。
12.3.1 远程会议
12.3.2 即时通信
12.4 管理邮件安全
使用简单邮件传输协议(SMTP)接收客户邮件,并转送其它服务器。
客户端使用POP3或IMAP,从邮件服务器的收件箱中查收邮件。
12.4.1 邮件安全目标
基本的邮件服务是不安全的。然而,可采用多种方式为邮 件提高安全性。
12.4.2 理解邮件安全问题
支持邮件的协议都没有采用加密措施,明文传输。
邮件附带的超链接构成严重威胁。
邮件很少进行源验证。
STMP服务器容易受到拒绝服务攻击(DoS)。
12.4.3 邮件安全解决方案
1、安全/多用途互联网邮件扩展(S/MIME)
一种邮件安全标准,能通过公钥加密及数字签名,提供身份验证和保密性。
身份验证通过X.509数字证书完成的。
能形成两种类型的消息:
(1)签名消息:提供完整性,身份验证和不可否认性。
(2)安全信封消息:提供完整性、发件人身份验证及保密性。
2、MIME对象安全服务(MOSS)
为邮件提供身份验证、保密性、完整性及不可否认性。MOSS使用MD2算法、MD5算法、RSA公钥和DES来提供身份验证及加密服务。
3、隐私增强邮件(PEM)
一种邮件加密技术,提供身份验证、完整性、保密性及不可否认性。使用RSA公钥和DES来提供身份验证及加密服务。
4、域名关键字标识邮件(DKIM)
通过验证域名标识,确定来自组织的邮件是否有效。
5、良好隐私(PGP)
一种对称必要系统,使用大量的加密算法加密文件及邮件消息。
6、SMPT网关的Opportunistic TLS
使用TLS上的安全SMTP。
7、发件人策略框架(SPF)
通过为SMTP服务器配置SPF,来防止垃圾邮件及邮件欺骗。
12.5 远程访问安全管理
12.5.1 远程访问安全计划
远程访问,需要解决如下问题。
1、远程连接技术
每种连接都有独特的安全问题。
连接包括蜂窝/移动通信、调制解调器、数字用户线路(DSL) 、综合业务数字网 (ISDN) 、无线网络、卫星通信以及有线调制解调器。
2、传输保护
可供选择的包括 VPN SSL TLS SSH IPsec 以及第二层隧 道协议(L2TP)。
3、身份验证保护
除了要保护数据流量,还要确保所有登录凭据的安全。
身份验证协议包括:
(1)密码身份验证协议( PAP)
(2)征询握手身份验证协议( CHAP)
(3)可扩展身份验证协议(EAP, 或其扩展 PEAP LEAP)
(4)远程身份验证拨入 用户服务(RADUJS)
(5)终端访问控制器访问控制系 统+( TACACS+)。
4、远程用户助手
12.5.2 拨号上网协议
两个主要的拨号协议,PPP于SLIP。
1、PPP(点对点协议)
全双工协议,用于各种非局域网环连接上传输TCP/TP数据包,如调制解调器,ISDN,VPN,帧中继等。
获得了广泛支持。
有多种协议保护 PPP 身份验证的安全,如 CHAP PAP 。
PPP 是SLIP 的换代产品, 可以支待任何一种 LAN, 不只是 TCP/IP。
2、SLIP(串行线路互联网协议)
更早的技术,为了在异步串行连接(串行电缆)中,进行TCP/IP通信。
只支持IP协议,并且语序配置静态的IP地址,提供无错检测或纠错机制,但不支持压缩。
12.5.3 中心化远程身份验证服务
需要在公司网络与远程用户间增加一 道安全防护。
中心化远程身份验证服务,如 RAD TACACS+,能提供这道安全保护。
12.6 虚拟专用网(VPN)
是一种通信安全隧道,能支持在不可信网络中, 进行点对点的身份验证和数据传输。
12.6.1 隧道技术
是一种网络通信过程,通 过将协议数据包封装另一种协议报文中,对协议数据内容进行保护。这种封装就可以看成是在 不可信的网络中创立的通信隧道。
缺点:低效,每个协议的封装都摇头错误检测处理机制,多一个协议多一个开销;消耗更多的网络贷款。
12.6.2 VPN的工作原理
12.6.3 常用的VPN协议
1、点对点隧道协议(PPTP)
是一种在拨号点对点(PPP)协议基础上开发的封装协议。工作在数据链路层,用与IP网络。
PPTP在两个系统之间建立一条点对点隧道,并封装PPP数据帧。通过PPP同样支持的身份验证协议,为身份验证流量提供保护:
(1)微软的征询握手身份验证协议(MS-CHAP)
(2)征询握手身份验证协议(CHAP)
2、第二层转发协议(L2F)与第二层隧道协议(L2TP)
2个协议都工作在链路层,可封装任何LAN协议。L2F不提供加密,很快被L2TP所取代。
3、IP安全协议(IPsec)
是最常用的VPN协议。既是单独的协议,也是L2TP的安全机制。
只能用于IP流量。作为IPv6的安全要素,也加入到IPv4的附加包中。
能够提供安全身份验证及加密的数据传输。
IPsec有两个主要部件:
(1)身份验证头(AH)
提供身份验证、完整性及不可否认性保护。
(2)封装安全载荷(ESP)
提供加密,保护传输数据的安全性,也能提供有限的身份验证功能。工作在网络层,能用于传输模式或隧道模式。传输模式下,IP报文数据进行加密,但是报文头部不加密。隧道模式下,整个IP报文都进行加密,并会添加新的报文头部,来管理报文在隧道中的传输。
VPN协议的主要特点如下: 
12.6.4 虚拟局域网(VLAN)
一种在交换机上通过硬件实现的网络分段技术。
VLAN管理最常有用于区分用户流量与管理流量。
VLAN用于流量管理。同一个 VLAN 中的成员间的通信毫无障碍,但不同 VLAN 间的通 信需要路由功能,该功能可由外部路由器提供,也可由交换机内部的软件实现(这也是术语"三 层交换和“多层交换”的由来)。 VLAN 类似于子网但又不是子网。 VLAN 是交换机创建的, 子网是通过 IP 地址及子网掩码配置的。
VLAN 有助于控制和限制广播流量,并且由于交换机将每个 VLAN 视为分离的网络分区, 也减少了流量嗅探的风险。
12.7 虚拟化
12.7.1 虚拟软件
12.7.2 虚拟化网络
SDN (软件定义网络)是一种针对网络运营、设计及管理的独特方法,SDN的目标是将基础设施层从控制层中分离出来。SDN 能让组织摆脱对单一厂商的依赖,允许组织根据需要购买各种硬件。
SDN 也可以视为是一种有效的网络虚拟化。支待在 SDN 控制层对数据传输路径、通信决 策树以及流量控制的虚拟化,而不必针对每台硬件进行修改。
12.8 网络地址转换(NAT)
可实现如下的功能:
(1)隐藏内部用户的身份;
(2)屏蔽私有网络的设计;
(3)降低公网 IP 地址的租用费用。
使用 NAT 技术,私有网络能够使用任何 IP 地址,而不必担心与 IP 地址相同的公网互联网 主机发生冲突和碰撞。事实上, NAT 将内部网络用户的 IP 地址转换为外部环境的 IP 地址。
NAT带来的好处:
(1)通过 NAT,整个网络可通过共享一个(或一些)公网 IP 地址接入互联网。
12.8.1 私有IP地址
早期设计者预留的,私有的,不受限的私有IP地址,在RFC1918中确定。
不能反复使用NAT,在使用NAT网络不能再次使用NAT。
12.8.2 有状态NAT
因为维护了用户与外部系统之间 的通信会话信息。所以称为“有状态NAT”;
12.8.3 静态与动态NAT
NAT 有两种工作模式:静态模式与动态模式。
静态模式下,特定的内部 IP 地址被固定映射到特定的外部 IP 地址。
动态模式下,,多个内部用户能共用较少的外部公网 IP 地址。
12.8.4 自动私有IP分配(APIPA)
是在动态主机配置协议(DHCP)分配失败的情况下,继续为系统分配IP地址。
APIPA 主要是 Windows 系统的一个功能。
12.9 交换技术
两个系统(单独的计算机或网络)经过多个中间网络连接起来,数据包从一个系统传输到另一个系统。
12.9.1 电路交换
源于公用电话交换网络,电话接通,连个实体间的链路一直保持到通话结束。会话关闭后,才能给其它人使用。
12.9.2 分组交换
将信息分成很小的段,分组发送结束,就提供给其它通信使用。
12.9.3 虚电路
是一条逻辑路径或电路,在分组交换网络两个特定端点之间建立。有两种类型的虚电路:永久虚电路(PVC)和交换式虚电路(SVC)。
PVC是一种预定义电路,并一直可用。SVC在需要的时候利用当前可用的最有路径建立起虚电路。
12.10 广域网(WAN)技术
将远距离网络、节点或单独的设备连接起来。
WAN链路及长距离连接技术分为两类:专线和非专用线路。
12.10.1 WAN连接技术
广域网连接技术的类型有很多,如X.25、帧中继、ATM、SMDS等。
1、X.25 WAN连接
一种较老的分组交换技术,欧洲应用广泛。使用永久虚电路在两个系统或网络间 建立起专门的点对点连接, X.25 是帧中继技术的前身,并且两者的运行方式在很多方面是相同 的。 X.25 的使用日益减少,这是因为与帧中继和 ATM 相比, X.25 的性能较差、吞吐率较小。
面向连接的分组交换技术。
2、帧中继连接
帧中继也是一种分组交换技术,使用的是 PVC。
但帧中继现在已经是一项过时技术,正被更快的光纤通 信所取代。
面向连接的分组交换技术。
3、异步传输模式(ATM)
4、交换式多兆位数据服务(SMDS)
是一种无连接的分组交 换技术。 SMDS 常用于连接多个 LAN 组建 心肆戈 WAN SMDS 是用于远程连接通信不频繁 LAN 的首选技术。 SMDS 支持高速的突发流量以及按需分配带宽。该技术也是将通信内容分为 较小的传输信元。
5、同步数字系列(SDH)与同步光纤网(SONET)
主要是硬件及物理层标准,定义了基础设施及线速 需求。
6、专用协议
12.10.2 拨号封装协议
12.11 多种安全控制特征
12.11.1 透明性
确保对用户不可见。
12.11.2 验证完整性
12.11.3 传输日志
12.12 安全边界
12.13 防止或减轻网络攻击
12.13.1 DoS与DDoS
拒绝服务(DoS)攻击是一种资源消耗攻击,主要目标是限制受攻击系统的合理活动。
DoS攻击会导致目标无法给合法流量进行相应。
两种基本形式:
(1)攻击利用硬件或软件的漏洞。导致系统挂起,停顿,消耗尽所有的系统资源。
(2)用垃圾流量充满受攻击的通信通道。流量潮流,洪泛攻击使计算机无法正常接收网络信息。
DoS 不是一个单独攻击,而是一类完整的攻击。一些攻击利用了操作系统的漏洞,而其他
12.13.2 窃听
12.13.3 假冒/伪装
预防假冒的方法包括:使用一次性密码及令牌身份验证系统,使用 Kerberos 身份验证,使
3285
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
