操作系统安全9(网络协议安全,2课时).pdf

第九章 ：网络安全 网络安全协议 目录  网络体系结构  VPN （IPSec VPN ）  SSL  1 网络体系结构  1.1 网络的不安全性  1.2 常见的网络架构  1.3 对网络设备的安全防护  1 网络体系结构  1.1 网络的不安全性  1.2 常见的网络架构  1.3 对网络设备的安全防护 1.1 网络的不安全性 1.1 网络的不安全性  网络协议具有缺陷（TCP/IP ）  网络设备漏洞和系统安全漏洞  网络攻击技术发展迅速 读取攻击: 在未授权情况下查看信息 操作攻击 ：修改信息 欺骗攻击 ：提供虚假信息或虚假服务 泛洪攻击 ：使计算机资源发生溢出 重定向攻击 ：更改后续信息 混合型攻击 ：如上多种攻击组合 1.1 网络的不安全性  读取攻击 通常读取攻击主要来自侦查和扫描，并将结果用于 后续的攻击。  常见工具： whois 查询特定地址段。 nslookup查询特定服务器地址 nmap:扫描关键服务器, 扫描活动主机，及已打开 的端口和系统类型。 1.1 网络的不安全性  操作攻击 以修改数据为目的。常见操作攻击： SQL注入 跨站脚本攻击 缓冲区溢出攻击 1.1 网络的不安全性  常见的欺骗攻击 钓鱼攻击 身份欺骗（如X.509证书欺骗） STP欺骗 VTP欺骗 ISO模型第二层 ARP欺骗 MAC地址欺骗 1.1 网络的不安全性  泛洪攻击 泛洪攻击较多使用在DDOS攻击上。  常见泛洪攻击 TCP SYN (最早形式) Smurf攻击 （通过对交换机进行设置来避免） MAC泛洪攻击 （溢出CAM表，使交换机变成如同 Hub一样的广 播形式进行发送，从而监听别人信息） 1.1 网络的不安全性  重定向攻击，如 ARP病毒 ：病毒采用虚拟ARP报文让一个网段主机误 认为攻击者主机是网关，从而截获所有报文，而中 毒主机数据不转发到真实的网关，就会全部断网。 STP重定向 ：利用虚假冒充自己的一个接口为STP根 桥，从而让交换机进行STP重算，阻塞原有上行接 口，向欺骗接口转发所有数据 1.1 网络的不安全性  混合型攻击  危害最大的一种攻击。  如：Rootkit,他们多半是木马、病毒类程序带来的 攻击， 这类程序具有非常好的隐蔽性，较多杀毒 软件无法及时防范。  1 网络体系结构  1.1 网络的不安全性  1.2 常见的网络架构  1.3 对网络设备的安全防护 1 网络体系结构 1.2 常见的安全网络架构  设计一个安全网络，通常我们分四步走 一、设计一套系统，用于验证用户身份 二、设计专门的VPN网络用于系统办公和外部访问的数据安全 三、建立一套内部补丁、防病毒快速升级系统 四、组织内部需要设计严格的安全管理体制。  运行生命周期内 一、经常进行安全测试。常用测试工具nmap, Metasploit Hacker Framework(推荐) 二、网络安全监控：IDS(入侵检测系统)/IPS(入侵防御系统) 1 网络体系结构 1.2 常见的网络架构 15 网络设备强化 防火墙 路由器 NIDS 交换机 安全设备!=安全！ 最少的服务+最小的权限=最大的安全 1 网络体系结构