2014年CISP0204网络安全(v23).pptVIP

网络安全培训机构讲师课程内容2知识域：网络协议安全知识子域：TCP/IP协议安全理解开放互联系统模型ISO/OSI七层协议模型及其安全体系结构理解TCP/IP四层协议模型及协议安全架构了解IPV6的安全特点3什么是协议定义协议是网络中计算机或设备之间进行通信的一系列规则的集合理解重点：规则交通中的红绿黄灯：红灯停、绿灯行就是规则我国汽车靠右行驶是规则、香港、西方国家靠左行驶也是规则4OSI协议OSI安全体系结构《信息处理系统开放系统互连基本参考模型——第二部分：安全体系结构》（GB/T9387.2-1995）（等同于ISO7498-2）TCP/IP协议结构7OSI模型与TCP/IP协议的对应8物理层网络层传输层会话层表示层应用层数据链路层互联网络层传输层应用层网络接口层网络接口层安全威胁损坏干扰电磁泄漏搭线窃听欺骗9拒绝服务嗅探网络接口层安全威胁损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏搭线窃听：物理搭线欺骗：ARP欺骗嗅探：常见二层协议是明文通信的（以太、arp等）拒绝服务：macflooding，arpflooding等10互联网络层11IP是TCP/IP协议族中最为核心的协议不可靠（unreliable）通信无连接（connectionless）通信提供分层编址体系（ip地址）IP协议简介12互联网络层安全威胁拒绝服务欺骗窃听伪造13互联网络层安全威胁拒绝服务：分片攻击（teardrop）/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造14传输层15相同点同一层的协议，基于IP报文基础上不同点TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销UDP是不可靠，但是高效的传输协议TCP协议与UDP协议16传输层安全威胁拒绝服务欺骗窃听伪造17传输层安全威胁拒绝服务：synflood/udpflood/Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造18应用层协议域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP……19应用层安全威胁拒绝服务欺骗窃听伪造暴力破解……20应用层协议的安全威胁拒绝服务：超长URL链接欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：嗅探伪造：应用数据篡改暴力破解：应用认证口令暴力破解等……21基于TCP/IP协议簇的安全架构IPv6的主要特性网络地址空间的极大扩展网络地址表示法不同网络地址的分类方式不同改进的IP多播新增了“任播地址”简化报头格式良好的扩展性内嵌的安全性服务质量的保证即插即用功能身份验证和隐私保护能力知识域：网络协议安全知识子域：无线局域网协议安全了解无线局域网的基本组成与特点了解WEP、802.11i、WAPI等无线局域网安全协议无线技术25PANLANMANWANStandardsBluetooth802.15.3UltraWideBand(WiMedia)802.11802.11(Wi-Fi)802.16(Wi-Max)802.20GSM,CDMA,SatelliteSpeed1Mbps11to54Mbps10-100+Mbps10Kbps–2MbpsRangeShortMediumMedium-LongLongApplicationsPeer-to-PeerDevice-to-DeviceEnterpriseNetworksLastMileAccessMobileDataDevices无线局域网的传输媒质分为无线电波和光波两类无线电波主要使用无线电波和微波，光波主要使用红外线无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical）无线局域网基本概念26无线局域网网络结构APSTA客户端（station，STA）无线网访问设备，例如笔记本、掌上电脑等无线接入点（AccessPoint，AP）专用的无线接入设备分布系统（distributionsystem，DS）其他网络，无线或者有线网络DS27无线局域网安全问题28传统无线安全防护措施认证开放式认证系统共享密钥认证服务集标识符SSID极易暴露和伪造，没有安全性可言物理地址（MAC）过滤MAC地址容易伪造，扩展性差无线对等协议（WEP）手动管理密钥存在重大隐患弱密钥问题不能防篡改WEP没有提供抵抗重放攻击的对策29IEEE802.11i无线局域网安全协议30WAPI安全协议31WEP、IEEE802.11i、WAPI比较32项目WEPIEEE802.11iWAPI鉴别鉴别机制单向鉴别用户和认认服务器之间双向认证，但没有认证AP用户、接入点和认证服务器