TCP/IP協議棧
互聯網協議安全解決方案概述
1. 將安全機制放置在網絡層
如IPsec 協議,好處是對最終用戶和應用程序透明
2. 將安全機制放置在運輸層
如SSL協議,好處是能夠提供基於進程對進程的安全服務
將安全機制放置在應用層
好處是與應用層有關的安全服務被嵌入到特定的應用程序中,可根據需要定製安全服務 。
物理層安全風險
物理層安全威脅 主要指由網絡環境、網絡設備、線路的物理特性引起的不可用而造成的網絡系統不可用,如設備被盜、意外故障、設備老化等。因此, 對物理網絡的攻擊集中在 物理網絡部件 方面,常見的攻擊手段主要有 搭線 竊聽、 電磁泄漏竊聽 等
數據層安全風險
數據鏈路層提供到物理層的接口,以確保數據在兩個節點之間數據鏈路上的安全傳遞。通過對一些網絡攻擊現象分析可知, 數據鏈路層存在着身份認證、篡改 MAC 地址、網絡嗅探等安全威脅。
ARP協議特性中的漏洞
- 漏洞的根源就是ARP協議是無連接的,
- ARP協議是建立在信任局域網內所有結點的基礎上的。
- 它是無狀態的協議,不會檢查自己是否發過請求包,沒有ARP的請求也可以ARP回覆。最致命的就是操作系統收到這個請求後就會更新ARP緩存
ARP欺騙
ARP欺騙問題的原因:
① ARP協議設計之初沒有考慮安全問題,所以任何計算機都可以發送虛假的ARP數據包。
② ARP協議的無狀態性。響應數據包和請求數據包之間沒有什麼關係,如果主機收到一個ARP響應卻無法知道是否真的發送過對應的ARP請求。
③ ARP緩存需要定時更新,給攻擊者以可趁之機。
ARP 網關欺騙
在 ARP的攻擊中,網關欺騙是一種比較常見的攻擊方法。通過僞裝的ARP Request請求報文或Reply應答報文達到修改PC機網關的MAC-IP對照表的目的。造成PC機不能訪問網關,將原本應該發往網關的數據包被髮往被修改對方的MAC地址。如下圖,c僞造arp迴應保溫,冒充網關。
ARP主機欺騙
ARP主機欺騙的最終目地是修改PC機或交換機設備的MAC表項。將原本正確的表項修改爲錯誤的MAC地址。最終導致PC機不能訪問網絡。
MAC 地址欺騙預防
- 利用綁定方式,靜態ARP對照表不受外來影響,即通過設置固定的ARP對照表,來達到預防的效果。
IPv4 協議的安全風險
IP地址欺騙
所謂IP地址欺騙(IP Spoofing)是指攻擊者向一臺主機發送帶有某一IP地址消息(該IP地址並非是攻擊者自身的IP地址),表明該消息來自於受信主機或者具有某種特權者,以便獲得對該主機或其它主機非授權訪問的一種欺騙技術。
理論上一個IP數據報是否來自真正的源IP地址,IP協議並不作任何可靠保證。任何一臺計算機都可以發出包含任意源IP地址的數據包,這意味着 IP 數據報中的源 IP 地址是不可信的。
IP sec安全協議
IPsec議 協議 運行 在內網與外網 相連的網絡設備上 ,如路由器或防火牆。
IPsec將 網絡設備一般將 對進入廣域網的所有通信量進行加密和壓縮 , 對所有來自廣域網的通信量進行解密和解壓 。 這些操作對於局域網上的工作站和服務器 是透明的 。
IPsec安全體系結構
IPsec 不是一個單獨的協議,而是一組協議 ,IPsec 協議的定義文件包括了 12 個 RFC 文件和幾十個 Internet 草案,已經成爲工業標準的網絡安全協議。
IPsec 在 IPv6 中是必須支持 的,而在 IPv4 中是可選的。
IPsec 與 VPN
IP層的安全包含了三個功能域: 鑑別(認證)、機密性和密鑰管理。
鑑別 :提供報文信源鑑別和完整性鑑別 。
機密性 :通過報文加密可防止第三方竊聽報文 。
密鑰管理 :處理密鑰的安全交換 。
IP 安全協議
IPsec 使用兩個協議來提供上述的安全服務:
首部鑑別協議(AH)和 和 封裝安全載荷協議(ESP)。 。
首部鑑別協議(AH) :對IP供 數據報提供 鑑別 服務。
封裝安全載荷協議(ESP) :對IP 數據報提供鑑別和機密性 服務。該協議是 加密/別 鑑別 混合協議。
AH 和ESP 可單獨使用,也可結合使用
無論是 AH 還是 ESP 都可以工作於兩種模式 —— 傳輸模式和隧道模式
在 傳輸模式 中, IPsec 首部被 直接加在IP 包的頭部後面。
在 隧道模式中,整個IP分組,連同首部和所有的數據一起被封裝到一個新的IP分組的數據區中,並且這個IP分組有一個 全新的 IP頭。
IPsec工作模式
前面介紹了傳輸模式 ( Transport Mode )和隧道模式( Tunnel Mode)。
• AH 和 ESP 都支持這兩種模式,因此有四種組合:
- 傳輸模式的AH
- 隧道模式的AH
- 傳輸模式的ESP
- 隧道模式的ESP
傳輸模式
傳輸模式 要保護的是 IP 包的載荷
隧道模式
隧道模式保護的是整個ip包
AH的運輸模式和隧道模式
ESP的運輸模式和隧道模式
IKE(Internet 密鑰交換協議)
IPsec還需使用另一個協議,該協議在密鑰管理的過程中使用,即IKE。
• IKE主要完成以下三個任務:
• 1、對建立IPsec的雙方進行認證(需要事先協商好認證方式)
• 2、通過密鑰交換,產生用於加密和HMAC使用到的隨機密鑰。
• 3、協商協議參數(包括加密協議、散列函數、封裝協議、封裝模式及密鑰的有效期)
安全關聯SA (Security Association) )
• 在AH與ESP這兩個協議中,從源主機到目的主機發送安全數據報之前, 兩臺主機必須握手並創建一個網絡層的邏輯連接。
• 雖然IPsec是工作在IP層,但它卻是 面向連接的,一個連接被稱爲一個安全關聯SA
• SA 是 單向 的,如要進行 雙向通信,必須要建立兩個SA 。一個 SA 可用於 AH 或 ESP ,但不能同時用於兩者。
• 每個SA有一個與之相關的 安全標識符,安全標識符被放入該安全通道中的每個數據包中,用來檢查密鑰和一些相關的信息。
小結
關於SA:
◼IPsec的兩個端點被稱爲是IPsec對等體,要在兩個對等體之間實現數據的安全傳輸就要在兩者之間建立安全關聯(SecurityAssociation,SA)。
◼SA是IPsec的基礎,SA是通信對等體間對某些要素的約定,例如,使用哪種協議(AH、ESP還是兩者結合使用)、協議的封裝模式(傳輸模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保護數據的共享密鑰以及密鑰的生存週期等。
SA 是 單向 的,在兩個對等體之間的雙向通信,**最少需要兩個 SA **來分別對兩個方向的數據流進行安全保護 。 同時,如果兩個對等體希望同時使用 AH 和 ESP 來進行安全通信,則 每個對等體都會針對每一種協議來構建一個獨立的 SA
IKE是一種安全機制,它提供端與端之間的動態認證。IKE爲IPsec提供了自動協商交換密鑰、建立SA的服務,這能夠簡化IPsec的使用和管理,大大簡化IPsec的配置和維護工作。IKE不是在網絡上直接傳輸密鑰,而是通過一系列數據的交換,最終計算出雙方共享的密鑰,有了IKE,IPsec很多參數(如:密鑰)都可以自動建立,降低了手工配置的複雜度。