《网络安全原理与实务》06 保护高级信息交流

网络安全原理与实务

保护高级信息交流61加固文件传输协议FTP的工作方式网页浏览器FTP客户端命令行

保护高级信息交流61加固文件传输协议FTP的漏洞FTP明文传输:用户名、密码甚至文件传输都是纯文本易遭受中间人攻击:攻击者截获数据后可以在发送时加以修改

保护高级信息交流61加固文件传输协议FTP的加固使用安全FTPhttp:///，选择产品secureFTPClient安装Java的最新版本，登录网站http:///zh_CN/download/

保护高级信息交流62远程登录安全使用包括隧道协议、认证技术、安全传输协议和虚拟专用网络等安全技术

保护高级信息交流62远程登录安全隧道协议：隧道是以另一种形式压缩数据包，建立安全传输链接的技术。原始数据包被装入“外层”，它是数据包的又一种形式。例如，TCP/IP网络本来不能与AppleTalk网络通信。然而，把TCP/IP数据包压缩在AppleTalk数据包中就允许TCP/IP数据包访问AppleTalk网络。

保护高级信息交流62远程登录安全两种安全隧道协议：点对点隧道协议（PPTP）第二层隧道协议（L2TP）

保护高级信息交流62远程登录安全点对点隧道协议（PPTP）点对点隧道协议（PPTP）是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。通过该协议，远程用户能够通过MicrosoftWindowsNT工作站、Windowsxp

、Windows2000和windows2003、windows7操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地ISP，通过Internet安全链接到公司网络。

保护高级信息交流62远程登录安全点对点隧道协议（PPTP）PPTP是由3Com、USRobotics、Ascend和其他供应商的协会开发。该连接是基于点对点协议（PPP），是建立线路或两点间拨号连接的广泛使用的协议。客户端连接网络并接入服务器（NAS）中，NAS基本是由因特网服务供应商（ISP）提供。

保护高级信息交流62远程登录安全点对点隧道协议（PPTP）与NAS的连接建立以后，另一连接是通过因特网建立在NAS和PPTP服务器之间。这一连接就如同隧道（使用TCP端口1723），进行客户端和PPTP服务器之间的通信。PPTP利用PPP协议加密。PPTP的一个扩展就是链接控制协议（LCP），用以建立、设置和测试该连接。

保护高级信息交流62远程登录安全点对点隧道协议（PPTP）

保护高级信息交流62远程登录安全第二层隧道协议（L2TP）第二层隧道协议（L2TP）代表了PPTP功能和Cisco的第二层转发协议（L2F）的融合，最初是为弥补PPTP的漏洞而设计的。L2TP不只限于TCP/IP网络，也支持很多其他协议。与PPTP不同，L2TP不但可作为软件安装在客户端计算机上，而且还可以设置在路由器上。

保护高级信息交流62远程登录安全认证技术传输认证用以确保访问来自于授权用户，其可以增加远程登录用户的安全级别。三种主要的认证技术类型为：IEEE802.1x远程用户拨号认证系统（RADIUS）终端访问控制器访问控制系统（TACACS+）

保护高级信息交流62远程登录安全认证技术IEEE802.1x802.1x提供的是基于802局域网（如以太网、TokenRing和无线局域网）认证框架的IEEE标准。其使用是基于端口的认证机制，即交换机除通过端口连接网络的授权用户外，拒绝其他用户。802.1x不进行任何加密，相反是利用加密密钥为授权用户提供安全的交换路径。

保护高级信息交流62远程登录安全认证技术IEEE802.1x术语RADIUS：RemoteAuthenticationDialInUserService，远程用户拨号认证系统，可以简单将其理解成一个存储有用户的用户名密码的服务器，能够对一些查询进行响应，从而得知用户是否合法

保护高级信息交流62远程登录安全认证技术IEEE802.1xEAP：ExtentionalAuthenticationProtocol,可扩展的认证协议，这是一个能够为没有接入网络的设备提供认证及网络接入的服务，工作于OSI七层模型中的数据链路层。之所以称其为“可扩展的”，是因为协议只是规定了一个框架，允许企业根据实际需要自行定制，但是它要求企业自己的标准符合IEEE标准中对于安全性的要求

保护高级信息交流62远程登录安全认证技术IEEE802.1xEAPOL：EAPOverLAN，能够在局域网上传输EAP报文的协议基于802.1x的认证，又称EAPOE认证，因为这个协议依赖于EAP实现。通常，802.1x协议、802.1x认证、EAP协议都可以认为是同一个意思

保护高级信息交流62远程登录安全认证技术IEEE802.1x认证包括三个部分:请求方、认证方、认证服务器。请求方就是希望接入局域网/无线局域网来上网的设备，譬如一台笔记本，有时候也指设备上运行的客户端软件；认证方则是管理接入的设备，譬如以太网交换机或者无线接入点；认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。

保护高级信息交流62远程登录安全认证技术IEEE802.1x在认证过程中认证方起到了关键作用。它将网络接入端口分成两个逻辑端口：受控端口和非受控端口，非受控端口始终对用户开放，只允许用于传送认证信息，认证通过之后，受控端口才会打开，用户才能正常访问网络服务。这种方式可以通过某些方法实现，譬如防火墙。

保护高级信息交流62远程登录安全请求方与认证方之间通过EAPOL传递EAP报文，EAPOL报文在认证方那里封装成EAP报文送往认证服务器

保护高级信息交流62远程登录安全认证流程1.当client有上网需求时打开802.1X客户端程序，输入帐号密码，向server发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。

2.交换机收到请求报文后，会发出一个请求帧要求用户的客户端程序将输入的用户名送上来。

保护高级信息交流62远程登录安全认证流程3.client回应请求，把用户信息通过数据帧传给交换机，交换机将客户端送上来的报文经过封包处理后送给server进行处理。

4.server收到交换机转发上来的用户信息后，将该信息与数据库中的用户信息表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给client。

保护高级信息交流62远程登录安全认证流程5.client收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的如MD5等），并通过交换机传给server。

6.server验证信息，如果相同，则认为该用户为合法用户，反馈给client通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。

保护高级信息交流62远程登录安全RADIUS(远程拨入用户认证服务)是为分布式网络上的认证服务器提供管理服务。RADIUS为服务供应商和公司提供了一种灵活通用的协议,用来完成集中式的用户认证、口令加密、服务选择、过滤和帐目核对等工作。IETF制定RADIUS的工业标准。

保护高级信息交流62远程登录安全RADIUS(远程拨入用户认证服务)

RADIUS具有以下的主要功能:用户身份辩认;用户认证;用户认证信息以及有关的描述信息;帐目核对。RADIUS不仅指运行于服务器上的软件,还包括网络访问服务器与RADIUS服务器之间的交互操作协议。

保护高级信息交流62远程登录安全终端访问控制器访问控制系统（TACACS+）是传输用户名和密码信息到集中服务器的行业标准协议。是为支持远程连接而设计的。在大型网络中，由于用户数据库庞大，最好是将其存储在集中服务器中。这样既节省登录设备的内存，同时也减少了因增加新用户或改变密码而升级每个登录服务的需要。TACACS+支持认证、授权和监控。

保护高级信息交流63安全传输协议

安全壳（SSH）是基于UNIX为安全登录远程计算机的命令接口和协议。SSH实际上是三个实体的组合—slogin、ssh和scp，它们是非安全UNIX相应实体的安全版本。

保护高级信息交流63安全传输协议

安全壳（SSH）UNIX命令名描述结构安全替代命令rlogin登录远程计算机rloginremotecomputersloginrcp远程计算机间拷贝文件rcp[options]localfile

remtecomputer:filenamescprsh不登录而执行远程主机命令rsh

remotecomputercommandssh

保护高级信息交流63安全传输协议

安全壳（SSH）传统的网络服务程序，如：ftp和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个的好处是传输的数据是经过压缩的，加快传输速度。

保护高级信息交流63安全传输协议

安全壳（SSH）从客户端来看，SSH提供两种级别的安全验证。第一种级别（基于口令的安全验证）

只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击。

保护高级信息交流63安全传输协议

安全壳（SSH）第二种级别（基于密匙的安全验证）

需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公用密匙，然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

保护高级信息交流63安全传输协议

SSH另类应用：用ssh做socks5代理

1.下载MyEntunnel

2.下载PuTTY,解压到MyEntunnel程序的目录下。

3.运行MyEntunnel.exe，设置：SSHServer里头填上sshftp的地址或IP，填好用户名和密码，点Connect，系统栏里面的小锁变成绿色就连接成功了。

4.设置浏览器。IE是不支持socks代理的，用firefox好了，打开firefox的代理设置页，在socks主机处填上端口填原先设置的，默认7070。

保护高级信息交流63安全传输协议

IPSec是IPSecurity的缩写，是支持数据包安全交换的一套协议。由于它工作在OSI模型的网络层，IPSec被认为是透明的安全协议。·应用程序—程序不需改动就可以在IPSec下运行。·用户—与一些安全工具不同，用户无需进行特定安全程序的培训（如PGP加密）。·软件—

由于IPSec安全设在如防火墙或路由器这种设备中，因此在本地客户端不需更改软件。

保护高级信息交流63安全传输协议

IPSec提供以下三个领域的保护：·认证—IPSec从数据包中的信息认证是从源头发送的，中间人攻击和再现式攻击不能改变其内容，由认证头（AH）协议完成的。·机密性—通过加密数据包，IPSec确保其他人不能查看其内容。机密性是通过封装安全负载（ESP）协议实现的。ESP支持发送人和加密数据的认证。

保护高级信息交流63安全传输协议

IPSec提供以下三个领域的保护：·密钥管理—IPSec管理密钥确保其免受非授权用户的使用。应用IPSec，发送和接收设备必须使用同一密钥。因为IPSec是通过互联网安全关联和密钥管理协议/Oakley（ISAKMP/Oakley）来实现对用户的保护的，它允许接受者获到密钥，并利用数字证书认证发送人。

保护高级信息交流63安全传输协议

IPSec支持两种加密模式：传输和隧道。传输模式只加密每个数据包的数据部分，而头部不加密。更安全的隧道模式则同时加密数据和头部。

保护高级信息交流63安全传输协议

虚拟专用网络（VPNs）

在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和认证技术。

保护高级信息交流63安全传输协议

虚拟专用网络（VPNs）

VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。

保护高级信息交流63安全传输协议

虚拟专用网络（VPNs）

作用

(1)使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。

(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

保护高级信息交流63安全传输协议

虚拟专用网络（VPNs）

作用

(3)连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。

(4)完全控制——用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

保护高级信息交流64保护目录服务

目录服务是存在网络中的数据库，含有关于用户和网络设备的所有信息。目录服务含有用户名、电话、邮件地址和登录名等信息。目录服务也记录网络资源及用户授权，根据驱动器服务信息接受或拒绝登录。国际标准组织（ISO）设立了驱动器服务标准X.500。X.500的目的是建立数据存储标准，任何计算机系统都可以访问该驱动器。它提供通过姓名查找信息（白页服务）以及浏览和搜索信息（黄页服务）的功能。

保护高级信息交流64保护目录服务

X.500标准定义的客户端应用程序访问X.500目录的标准，叫做目录访问协议（DAP）。然而，由于DAP需要空间较大，其不能在个人电脑中运行。轻级目录访问协议，有时也叫做X.500Lite，是DAP的一个子集。将SSL与LDAP目录配合使用将允许您安全地管理您的目录。可配置LDAP目录服务器以接受从LDAP客户机的SSL连接。还可在将信息发布至LDAP目录服务器时配置您的服务器以使用SSL。

保护高级信息交流65加固无线局域网（WLAN）

无线网络技术也存在一些严重的安全漏洞。包括以下几方面：·非授权用户也可以接受无线信号，登录网络。·攻击者可以在传输中截获和查看传输信息。·办公室员工可以安装个人无线设备，并攻破安全区域。·攻击者可以使用脚本轻松攻破无线安全。

保护高级信息交流65加固无线局域网（WLAN）

IEEE802.11标准：802.11标准定义了LAN，在移动或固定的地点提供无电缆数据访问，最高速度为2Mbps。

物理（PHY）和媒体访问控制（MAC）层的功能提供了所有WLAN功能的实施，所以其他层不需进行调整。

保护高级信息交流65加固无线局域网（WLAN）

保护高级信息交流65加固无线局域网（WLAN）

WALN安全保护可以分为两个部分：基本WLAN安全和更高的企业WLAN安全。基本WLAN安全使用两种新的无线工具和一种有线工具。这些工具是服务设置标志号（SSID）标向，MAC地址过滤和有线等效保密（WEP）。

保护高级信息交流65加固无线局域网（WLAN）

无线网卡物理地址（MAC）过滤

每个无线工作站网卡都由唯一的物理地址标示，该物理地址编码方式类似于以太网物理地址，是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表，以实现物理地址的访问过滤。

保护高级信息交流65加固无线局域网（WLAN）

服务区标识符(SSID)匹配

无线工