8NetworkSecurity課件.pptVIP

* * * * * * * * * * * * * * * * * * * * * 8: Network Security 8-* Web server FTP server DNS server 应用网关 Internet 隔离区 （非军事区） 内部网络 防火墙 IDS 探点 Intrusion detection systems 网络中可以设置多个IDS: 在不同位置进行不同类型的检查 8: Network Security 8-* Network Security (summary) Basic techniques…... cryptography (symmetric and public) message integrity end-point authentication …. used in many different security scenarios secure email secure transport (SSL) IP sec 802.11 Operational Security: firewalls and IDS 作业 习题：4，7，10 提交时间：12月10日 习题：11 实验：Wireshark SSL 提交时间： 实验：12月17日 作业：不用交（主页上将公布答案 ） 8: Network Security 8-* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * IP安全协议（IPSec） IPv4在设计时没有考虑安全性： 缺少对通信双方身份的鉴别，容易遭受地址欺骗攻击 缺少对网络中数据的完整性和机密性的保护，数据很容易被窃听、修改甚至劫持 IP Security（IPSec）： IETF以RFC形式公布的一组安全协议集 目标是把安全特征集成到IP层，以便对因特网中的安全业务提供低层的支持。 IPSec提供了一个安全体系框架 IPSec提供了一个用于集成多种安全服务、加密算法及安全控制粒度的安全体系框架 IPSec提供的安全服务包括：访问控制、无连接完整性、数据起源认证、抗重放攻击、机密性等 IPSec的安全机制独立于算法，因此在选择和改变算法时不会影响其它部分的实现 IPSec提供多种安全控制粒度，包括：一条TCP连接上的通信，一对主机间的通信，一对安全网关之间的所有通信 用户可以为数据通信选择合适的安全服务、算法、协议和控制粒度 IPSec的组成 从技术上说，IPSec主要包括两个部分： IPSec安全协议：包括AH和ESP两个安全协议，定义了用于安全通信的IP扩展头和字段，以提供机密性、完整性和源鉴别服务。 密钥管理协议：定义了通信实体间进行身份鉴别、协商加密算法以及生成共享会话密钥的方法。 将以上两部分绑定在一起的是称为安全关联（SA）的抽象。 Security Association（SA） SA是通信对等实体之间对某些要素的协定，如使用的安全协议、协议的操作模式、使用的密码算法、密钥及密钥的生存期等。 SA是两个通信端点间的一个单工连接，由一个安全参数索引（SPI）唯一标识，如果在两个方向上都需要安全通信，则需要建立两个SA。 SPI携带在数据包中，由数据包的处理进程用来查找密钥及相关信息。 SA可以建立在一对主机之间、一台主机与一个安全网关之间、或一对安全网关之间。 IPSec的使用模式 传输模式：IPSec头被插入到原始IP头和传输层头之间，路由器根据原始IP头转发数据包。 隧道模式：原始数据包被封装在一个新的IP包中，IPSec头被放在新的IP头和原始IP头之间，路由器根据外层IP头的信息转发数据包。隧道的端点（外层IP头中的地址）通常是一个支持IPSec的安全网关。 两种模式的比较 传输模式比隧道模式占用较少的带宽 隧道模式更安全： 隐藏内部网络的细节（原始IP头不可见） 内部网络上的主机可以不运行IPSec，它们的安全性由安全网关来保证 隧道模式可以将一对端点间的通信聚合成一个加密流，从而有效地防止入侵者进行流量分析 鉴别头（Authentication Header）协议 SPI：32比特的数，和目的IP地址、安全协议结合起来，唯一标识数据报的SA。 SeqNum：对SA上发送的数据包进行编号，供接收端检测重放攻击。一个SA上的序号不能重用，因此在传输的数据包数量达到232之前，必须协商一个新的SA和新的密钥。 Authentication Data：包含报文鉴别码的可变长度域。所有AH实现必须支持HMAC-MD5-96和HMAC-SHA-1-96。 AH头在传输模式和隧道模式中的位置 传输模式 隧道模式 AH协议提供的安全服务 AH协议提供无连接完整性、数据起源认证和抗重放