IPSec基础.doc

IPSec基础IPSec基础（一）——IPSec概览IP网络安全问题 IP网络安全一直是一个倍受关注的领域，如果缺乏一定的安全保障，无论是公共网络还是企业专用网络都难以抵挡网络攻击和非法入侵。对于某个特定的企业内部网Intranet来说，网络攻击既可能来自网络内部，也可能来自外部的Internet或Extranet，其结果均可能导致企业内部网络毫无安全性可言。单靠口令访问控制不足以保证数据在网络传输过程中的安全性。 　　　　几中常见的网络攻击 　　如果没有适当的安全措施和安全的访问控制方法，在网络上传输的数据很容易受到各式各样的攻击。网络攻击既有被动型的，也有主动型的。被动攻击通常指信息受到非法侦听，而主动攻击则往往意味着对数据甚至网络本身恶意的篡改和破坏。以下列举几种常见的网络攻击类型：　　　　 1）窃听 　　　　一般情况下，绝大多数网络通信都以一种不安全的明文形式进行，这就给攻击者很大的机会，只要获取数据通信路径，就可轻易侦听或者解读明文数据流。侦听型攻击者，虽然不破坏数据，却可能造成通信信息外泄，甚至危及敏感数据安全。对于多数普通企业来说，这类网络窃听行为已经构成了网管员所面临的最大的网络安全问题。　　　　 2）数据篡改 　　　　网络攻击者在非法读取数据后，下一步通常就会想去篡改它，而且这种篡改一般可以做得让数据包的发送方和接收方无知无觉。但作为网络通信用户，即使并非所有的通信数据都是高度机密的，也不想看到数据在传输过程中遭至任何差错。比如在网上购物，一旦我们提交了购物定单，谁也不会希望定单中任何内容被人肆意篡改。 　　　　3）身份欺骗（IP地址欺骗） 　　　　大多数网络操作系统使用IP地址来标识网络主机。然而，在一些情况下，貌似合法的IP地址很有可能是经过伪装的，这就是所谓IP地址欺骗，也就是身份欺骗。另外网络攻击者还可以使用一些特殊的程序，对某个从合法地址传来的数据包做些手脚，借此合法地址来非法侵入某个目标网络。 　　　　4）盗用口令攻击（Password-Based Attacks） 　　　　基于口令的访问控制是一种最常见的安全措施。这意味着我们对某台主机或网络资源的访问权限决定于我们是谁，也就是说，这种访问权是基于我们的用户名和帐号密码的。 　　　　攻击者可以通过多种途径获取用户合法帐号，一旦他们拥有了合法帐号，也就拥有了与合法用户同等的网络访问权限。因此，假设帐号被盗的用户具有网管权限的话，攻击者甚至可以借机给自己再创建一个合法帐号以备后用。在有了合法帐号进入目标网络后，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置，包括访问控制方式和路由表；篡改、重定向、删除数据等等。 　　　　5）拒绝服务攻击（Denial-of-Service Attack） 与盗用口令攻击不同，拒绝服务攻击的目的不在于窃取信息，而是要使某个设备或网络无法正常运作。在非法侵入目标网络后，这类攻击者惯用的攻击手法有： 　　　　a. 首先设法转移网管员注意力，使之无法立刻察觉有人入侵，从而给攻击者自己争取时间 　　b. 向某个应用系统或网络服务系统发送非法指令，至使系统出现异常行为或异常终止 　　c. 向某台主机或整个网络发送大量数据洪流，导致网络因不堪过载而瘫痪 　　d. 拦截数据流，使授权用户无法取得网络资源 　　　　6）中间人攻击（Man-in-the-Middle Attack） 　　　　顾名思义，中间人攻击发生在我们与通信对象之间，即通信过程以及通信数据遭到第三方的监视、截取和控制，例如攻击者可以对数据交换进行重定向等等。如果通信中使用网络低层协议，通信两端的主机是很难区分出不同的对象的，因此也不大容易察觉这类攻击。中间人攻击有点类似于身份欺骗。 　　　　7）盗取密钥攻击（Compromised-Key Attack） 　　　　虽然一般说来，盗取密钥是很困难的，但并非不可能。通常我们把被攻击者盗取的密钥称为已泄密的密钥。攻击者可以利用这个已泄密的密钥对数据进行解密和修改，甚至还能试图利用该密钥计算其他密钥，以获取更多加密信息。 　　　　8）Sniffer 攻击（Sniffer Attack） 　　　　Sniffer指能解读、监视、拦截网络数据交换以及可以阅读数据包的程序或设备。如果数据包没有经过加密，Sniffer可以将该数据包中的所有数据信息一览无余。即使经过封装的隧道数据包，Sniffer也可以在对其进行解封装后再进行读取，除非该隧道数据经过加密而攻击者没有得到解密所需要的密钥。利用Sniffer，攻击者除了可以读取通信数据外，还可以对目标网络进行分析，进一步获取所需资源，甚至可以导致目标网络的崩溃或瘫痪。