网络安全技术3

Posted on Edited on In ,

自顶向下第8章概览

8.7 网络层安全性:IPsec和虚拟专用网

许多机构使用IPsec创建了虚拟专用网(VPN)。

网络层安全性地毯式覆盖。

IPsec提供了机密性,源鉴别,数据完整性和重放攻击防护。

IPsec和虚拟专用网

概述VPN过程:内对内不加密;内到外先加密,按正常包传输,最后接收方解密。

AH协议和ESP协议

AH:鉴别首部,提供源鉴别和数据完整性服务

ESP:封装安全性载荷,提供源鉴别,数据完整性和机密性服务

安全关联

在发送数据报前创建一个逻辑连接,称之为安全关联(SA),单工,由发送方路由器维护。

SAD:安全关联数据库

SA identifier: SPI(security parameter index)

IPsec数据报

隧道模式or运输模式,以下关注隧道模式。

IPsec数据报结构为:新IP首部+ESP首部+初始IP首部+初始IP数据报载荷+ESP尾部+ESP-MAC。

其中先加密“初始IP首部+初始IP数据报载荷+ESP尾部”,再由“ESP首部+被加密的部分”生成MAC。

ESP协议的IPsec数据报的协议号:50

ESP首部以明文发送,其中由SPI和序号。

目的路由器接收步骤:

  1. 查看IP地址
  2. 判断协议号
  3. 通过SPI确定SA
  4. 使用MAC密钥计算MAC值
  5. 检查序号
  6. 解密
  7. 删除填充并抽取初始IP报文
  8. 转发进VPN

SPD:安全策略库

IKE:IPsec中的密钥管理

IKE:因特网密钥交换,用于自动生成SA。

两个阶段:具体操作略

8.8 使无线LAN安全

WEP:有线等效保密

有线等效保密

鉴别方式:

  1. 无线主机通过接入点请求鉴别
  2. 接入点以nonce响应鉴别
  3. 无线主机用共享的密钥加密nonce
  4. 接入点解密加密的nonce

具体过程:略

IEEE 802.11i

8.9 运行安全性:防火墙和入侵检测系统

对流量进行安全检查

防火墙

目标:

  1. 所有流量都通过防火墙
  2. 仅授权流量允许通过
  3. 自身免于渗透
传统的分组过滤器

根据规则决定是否丢弃

可根据ACK比特设置使得内部用户能够连接到外部服务器,而外部用户无法连接到内部服务器。有哄骗攻击。

需要知道怎么生成连接表。

状态过滤器

需要知道怎么生成访问控制列表。

应用程序网关

根据应用程序控制访问。

邮箱服务器,web高速缓存等等都是应用程序网关。

入侵检测系统

IDS:入侵检测系统,告警

IPS:入侵防止系统,滤除

基于特征or基于异常

基于特征的缺点:需要先验知识;处理能力要求高

基于异常的挑战:怎么区分正常流量和异常流量