TCPIP体系的协议安全1

第5章TCP/IP体系的协议安全,逐层讨论安全问题,TCP/IP体系,TCP/IP体系的分层特点TCP/IP开始仅仅是两个协议：TCP(TransferControlProtocol，传输控制协议)和IP(InternetProtocol，网际协议)后来，TCP/IP演变为一种体系结构，即TCP/IP参考模型。现在的TCP/IP已成为一个工业标准的协议集，它最早应用于ARPAnet。与OSI参考模型不同，TCP/IP模型由应用层(ApplicationLayer)、传输层(TransportLayer)、网际层(InternetLayer，也称为Internet层)和网络接口层(NetworkInterfaceLayer)四部分组成。,TCP/IP是一个协议簇或协议栈是由多个子协议组成的集合,TCP/IP体系中的主要协议及与各层的对应关系,地址,TCP/IP各层的主要功能,网络接口层网络接口层属于最低的一层，它负责通过网络发送和接收分组(帧Frame)。-交换机、MAC地址、通信媒体网际层也称为“互联网络层”，它相当于OSI参考模型网络层的无连接网络服务。网际层的任务是：允许位于同一网络或不同网络中的两台主机之间以分组(包Packet)的形式进行通信。-路由器、转发分组、IP地址,传输层允许在源和目的主机的对等体之间进行会话，负责会话对等体的应用进程之间的通信。功能类似于OSI参考模型传输层的功能。-进程、端口(Port也是个地址)、TCP、UDP应用层最高层。应用层主要包括根据应用需要开发的一些高层协议，如telnet、FTP、SMTP、DNS、SNMP、HTTP等。随着网络应用的不断发展，新的应用层协议还会不断出现。-应用有关、用户,TCP/IP网络中分组的传输示例,TCP/IP网络中数据的传输过程,子网-网络由多个子网(Subnetwork)组成，每一个子网属于某一种特定类型的网络，局域网中的以太网、令牌环网、FDDI，广域网的x.25、帧中继等。网络接入协议-计算机接入网络，必须使用这一子网中规定的接入协议。通过网络接入协议，可以让一台主机将数据通过子网发送到其他的主机。路由器-它是连接不同子网的设备，一台路由器相当于一个中继站，将一个IP分组从某一子网中的一台主机通过一个或多个子网发送到目的主机。,全局地址-对于Internet等互联网络来说，每一台主机必须拥有一个全网唯一的IP地址作为其身份的唯一标识，这个IP地址称为全局地址。当源主机发送数据到目的主机时，源主机首先要知道目的主机的IP地址。(NAT技术)端口-主机中的每一个进程必须具有一个在本主机中唯一的地址，这个地址称为端口（port）。通过端口，端到端的协议（如TCP）才能够将数据正确地交付给相应的进程。,同一子网通信不同子网间通信,ARP在哪儿？,协议数据单元PDU,ProtocolDataUnit,在TCP/IP参考模型中，每一层的数据称为协议数据单元(PDU)，例如TCP报文段也称为TCPPDU。在数据发送端，在每一层添加首部信息的过程称为数据封装。在数据接收端，每一层去掉首部信息的过程称为数据解封。,TCP/IP网络中数据的封装过程,实现上网，需要哪些参数？,子网间的通信需要路由器,端口号,Gateway网关,几个有用的命令课本P141netstat-an（-anb）ipconfig,IP地址的问题,IPv4的IP地址包括两个部分：NETID和HOSTID,NETID标识一个网络.HOSTID标识在该网络上的一个主机。IP地址格式：NetID+HostID网络标识(NetID)：表示主机所在网络；主机标识(HostID)：表示主机在网段中的唯一标识。,NETID,HostID,IP地址中的网络号字段和主机号字段,24位,24位,16位,8位,0,A类地址,16位,B类地址,C类地址,0,1,1,8位,D类地址,1110,多播地址,E类地址,保留为今后使用,1111,0,1,网络号,网络号,网络号,主机号,主机号,主机号,点分十进制记法,采用点分十进制记法则进一步提高可读性,1,12811331,将每8位的二进制数转换为十进制数,默认子网掩码,111111111111111111111111,00000000,0000000000000000,1111111111111111,11111111,000000000000000000000000,net-id,net-id,host-id为全0,net-id,网络地址,A类地址,默认子网掩码,网络地址,B类地址,默认子网掩码,网络地址,C类地址,默认子网掩码,host-id为全0,host-id为全0,Ethernet地址,为了标识以太网上的每台主机，需要给每台主机上的网络适配器（网络接口卡）分配一个唯一的通信地址。即Ethernet地址或称为网卡的物理地址、MAC地址。长度为48比特，共6个字节。,查看本机的TCP/IP配置信息ipconfig命令,查看本机的路由信息信息netstat命令或route命令,两个重要的概念：冲突域和广播域,传统局域网（集线器-Hub）,冲突域,网桥-Bridge,B,冲突域2,冲突域1,交换机-Switch,冲突域2,冲突域3,冲突域4,冲突域1,交换机工作原理,交换机扩展的局域网仍属于同一广播域,VLAN的产生原因广播风暴,广播,广播域,危害-广播风暴,危害-攻击来自内部,虚拟局域网,VLAN-VirtualLocalAreaNetwork,虚拟-利用控制技术实现的-在物理设备上加上协议(控制)而实现的,通过VLAN划分广播域,广播域1VLAN10,广播域2VLAN20,广播域3VLAN30,市场部,工程部,财务部,VLAN功能,-严格地隔离了各VLAN间的任何流量-分属于不同VLAN的用户不能互相通信-物理隔离-同一交换机划分成多个VLAN-不同交换机间组成一个VLAN-子网脱离了地域的限制，组网方便,VLAN特点,-在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。-同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。-若没有路由，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。,基于端口的VLAN,主机A,主机B,主机C,主机D,以太网交换机,VLAN表,端口,所属VLAN,Port1,VLAN5,Port2,VLAN10,Port7,VLAN5,Port10,VLAN10,Port1,Port2,Port7,Port10,基于MAC地址的VLAN,VLAN表,MAC地址,所属VLAN,MACD,VLAN10,VLAN5,VLAN10,VLAN5,主机A,主机B,主机C,主机D,以太网交换机,MACA,MACB,MACC,MACD,基于协议的VLAN,VLAN表,协议类型,所属VLAN,IPX协议,IP协议,VLAN5,VLAN10,主机A,主机B,主机C,主机D,以太网交换机,使用IPX协议,运行IP协议,使用IPX协议,运行IP协议,IEEE802.1Q概述,VLAN的帧格式,标准以太网帧,带有IEEE802.1Q标记的以太网帧,TPID:用来表明这是一个加了802.1Q标签的帧-0X8100Priority：帧的优先级CFI:规范格式标志-为0说明是规范格式,1为非规范格式。VLANID:指明自己属于哪个VLAN，12bit,帧在网络通信中的变化,VLAN2,VLAN1,VLAN1,VLAN2,带有VLAN1标签的以太网帧,带有VLAN2标签的以太网帧,不带VLAN标签的以太网帧,同一VLAN内的通信,一台交换机划分分多个VLAN,VLAN2,VLAN3,现有VLAN2、VLAN3通过配置将端口Ethernet0/1和Ethernet0/2包含到VLAN2中将端口Ethernet0/3和Ethernet0/4包含到VLAN3中。,#创建VLAN2并进入其视图。Quidwayvlan2#向VLAN2中加入端口Ethernet0/1和Ethernet0/2。Quidway-vlan2portethernet0/1ethernet0/2#创建VLAN3并进入其视图。Quidway-vlan2vlan3#向VLAN3中加入端口Ethernet0/3和Ethernet0/4。Quidway-vlan3portethernet0/3ethernet0/4,VLAN间通信,隔离不是目的选择VLAN只是为了优化网络VLAN间通信的解决办法VLAN间配置路由器-路由器不会转发二层广播报文，因此路由器不会改变划分VLAN所达到的广播隔离的目的。,路由器做VLAN间路由-单臂路由,B,A,C,D,一个物理接口当成多个逻辑接口,三层交换机转发流程,B,A.B同在一个子网-三层交换机的二层模块完成A.C不同在一个子网第一次三层交换机的路由模块二层交换C的IP地址MAC地址端口流交换,A,C,D,路由接口,三层交换机=一个二层交换机+一个路由模块,DHCP安全,DHCP-DynamicHostConfigurationProtocol-动态主机配置协议是一个客户机/服务器协议，在TCP/IP网络中对客户机动态分配和管理IP地址等配置信息，以简化网络配置，方便用户使用及管理员的管理。,DHCP概述,一台DHCP服务器可以是一台运行Windows2003Server、UNIX或Linux的计算机，也可以是一台路由器或交换机。,DHCP的工作过程,又是广播！,DHCP的安全问题,在通过DHCP提供客户端IP地址等信息分配的网络中存在着一个非常大的安全隐患：当一台运行有DHCP客户端程序的计算机连接到网络中时，即使是一个没有权限使用网络的非法用户也能很容易地从DHCP服务器获得一个IP地址及网关、DNS等信息，成为网络的合法使用者。由于DHCP客户端在获得DHCP服务器的IP地址等信息时，系统没有提供对合法DHCP服务器的认证，所以DHCP客户端从首先得到DHCP响应（DHCPOFFER）的DHCP服务器处获得IP地址等信息。,DHCP攻击,一台非法DHCP服务器接入到了网络中，并“冒充”为一这个网段中的合法DHCP服务器。,非法DHCP服务器的工作原理,实验操作-非法DHCP服务的防范,使用DHCPSnooping信任端口DHCPSnooping能够过滤来自网络中非法DHCP服务器或其他设备的非信任DHCP响应报文。在交换机上，当某一端口设置为非信任端口时，可以限制客户端特定的IP地址、MAC地