预览加载中,请您耐心等待几秒...
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共96页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

第4章网络通信安全本章学习目标4.1网络通信中的安全威胁4.1.1网络通信的安全性保密性:指防止静态信息被非授权访问和防止动态信息被截取解密。 完整性:要求在存储或传输时信息的内容和顺序都不被伪造、乱序、重置、插入和修改。 可靠性:指信息的可信度,包括信息的完整性、准确性和发送人的身份认证等方面。 实用性:即信息的加密密钥不可丢失。 可用性:指主机存放静态信息的可用性和可操作性。 占有性:若存储信息的主机、磁盘等信息载体被盗用,则将导致对信息占有权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密、使用物理和逻辑的访问限制,以及维护和检查有关盗窃文件的审计记录和使用标签等。 4.1.2网络通信存在的安全威胁截获:信息被非法用户截获,这时接收方没有接收到应该接收的信息,从而使信息中途丢失,失去了信息的可靠性。 窃听:信息虽然没有丢失,接收方也接收到了信息,但该信息已被不该看的人看到,失去了信息的保密性。 篡改:信息表面上虽然没有丢失,接收方也收到了应该接收的信息,但该信息在传输过程中已被截获并被修改,或插入了欺骗性的信息,实际上接收方所接收到的信息是错误的,失去了信息的完整性。 伪造:发送方并没有发送信息给接收方,而接收方收到的信息是第三方伪造的,如果接收方不能通过有效办法发现这一情况,那就有可能造成严重的后果。4.1.3TCP/IP协议的脆弱性网上信息易被窃取 大多数互联网上的信息是没有经过加密的,如电子邮件、网页中输入口令或填写个人资料、文件传输等这一切都很容易被一些别有用心的人监听和劫持,其实这就是TCP/IP通信协议在安全性方面的一个漏洞。 2.IP的缺陷导致易被欺骗 IP包中的源地址可以伪造; IP包中的“生成时间”可以伪造; 薄弱的认证环节。 图4-1说明了如何使用这个选项把攻击者的系统假扮成某一特定服务器的可信任的客户。图4-1IP地址欺骗攻击者要使用那个被信任的客户的地址取代自己的地址。 攻击者构成一条要攻击的服务器和其主机间的直接路径,把被信任的客户作为通向服务器的路径的最后节点。 攻击者用这条路径向服务器发出客户申请。 服务器接收客户申请,就好像是从可信任客户直接发出的一样,然后给可信任客户返回响应。 可信任客户使用这条路径将包向前传送给攻击者的主机。 3. ICMP的缺陷 网络中经常会使用到ICMP协议,只不过一般觉察不到而已。比如经常使用的用于检查网络通不通的“Ping”命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的“Tracert”命令也是基于ICMP协议的。 ICMP中的“Redirect”消息可以用来欺骗主机和路由器,并使用假路径。这些假路径可以直接通向攻击者的计算机系统,而不能真正连接到一个合法的可信赖的计算机用户,这会使攻击者获得系统的访问权。 对于系统来说,缺乏反映信源到信宿真实路径的跟踪信息。通过TCP/IP发出一个数据包如同把一封信丢入信箱,发出者知道正在走向信宿,但发出者不知道通过什么路线或何时到达。这种不确定性也是安全漏洞。 4. TCP/IP协议明码传送信息导致易被监视 网络中最常见的窃听是发生在共享介质的网络中(如以太网),这是由于TCP/IP网络中众多的网络服务均是明码传送。黑客使用Sniffer、Tcpdump或Snoop等探测工具,就可以清楚地看到某个用户从一台机器登录到另一台机器的全过程。 大多数用户不加密邮件,而且许多人认为电子邮件是安全的,所以用它来传送敏感的内容。因此,电子邮件或者Telnet和FTP的内容,可以被监视从而了解一个站点的情况。 5.提供不安全的服务 基于TCP/IP协议的服务很多,有WWW服务、FTP服务和电子邮件服务,TFTP服务、NFS服务等。这些服务都存在不同程度上的安全缺陷,当用户要保护站点时,就需要考虑,该提供哪些服务,要禁止哪些服务,如果有防火墙,应把不对外的服务限制在内网中。4.2远程访问的安全 4.2远程访问的安全 4.2.1拨号调制解调器访问安全 调制解调器的危险在于它提供了进入用户网络的另一个入口点,也就是端口,一般来说,打开网络端口点越多,被入侵的可能性就越大。 一般一个标准的Intranet结构会包括内、外网段。内网段和外段网之间有防火墙,在内外网段都可能提供拨号服务器,外网段拨号服务器供普通用户使用,内网段拨号服务器供公司的高级职员使用,这两种拨号服务保护方式是不同的。 外网段拨号服务器被置于防火墙外部,它的安全是通过防火墙和身份验证服务器来保证的。对于内网段的内部网来说,这种服务应该是保密的,而且要严格控制,并应有强大的身份验证系统来保证安全。如果一个黑客通过拨号服务器登录到用户的网络中,那么他就像在用户的公司里使用一台机器一样,他会窃听