信息与网络安全教学课件作者程光十课件

第10章安全网络技术VPN技术无线网络安全IPv6网络安全VoIP安全工具介绍VPN概念VPN是英文VirtualPrivateNetwork的缩写，中文译为“虚拟专用网络”。VPN利用现有的公用网（包括Internet网、电信部门提供的公用电话网、帧中继网及ATM网络等）来搭建自己的虚拟专用网络。VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网所提供的网络平台之上的逻辑网络。通过相应的加密和认证技术来保证用户内部数据在公网上安全传输，从而真正实现网络数据传输的私有性。VPN概念公用网络VPN连接服务器服务器VPN示意图VPN作用一是远程访问，主要为在外出差、移动办公和在家中办公的人员访问企业内部网络；二是企业内部网络互联，在内部各分支机构网络与总部网络之间实现安全互联；三是与合作伙伴建立安全通信。VPN分类从技术上分类以IPSec为代表的、基于用户设备的VPN技术，由网络厂商提供VPN技术和解决方案，既可用于网络互联，又可用于远程访问；以MPLSVPN为代表的、基于网络的VPN技术，由电信运营商提供VPN服务，主要用于网络远程互联。从实际使用上分类软件VPN：对数据的传输速率不高，安全性能也不强，如微软的Windows2000以后的系统就可以实现纯软件平台的VPN连接。

硬件VPN：可以满足企业和个人用户对高数据安全及通信性能的需求，但是它成本高，对于中小企业和用户很难承受。

辅助硬件VPN：主要以现有的网络设备为基础，再添加适当的软件，它既具备了硬件VPN的高性能和安全性，又具有软件VPN的灵活管理性，使目前绝大多数企业首选的VPN解决方案。VPN实现技术VPN的安全技术：隧道技术（Tunneling）它是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。加解密技术（Encryption&Decryption）它是数据通信中一项较成熟的技术，VPN可直接利用现有技术。密钥管理技术（KeyManagement）它的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。使用者与设备身份认证技术（Authentication）最常用的是使用者名称与密码或卡片式认证等方式。VPN实现技术VPN在OSI中的层次VPN实现技术

应用层SSLVPN

会话层Socks5VPN

网络层IPSecVPN数据链路层PPTP及L2TP凡是在公共网络中实现了安全通信（主要包括通信实体的身份识别和通信数据的机密性处理等）的协议都可以称之为VPN协议。

VPN已经在网络协议的多个层次上实现，从数据链路层、网络层、传输层直到应用层。以OSI模型为参照标准，不同的VPN技术可以在不同的OSI协议层实现。

VPN实现技术应用层VPNSSL协议：SSL是一个端到端协议，因而是在处于通信通路端点的机器上实现（通常是在客户机和服务器上），而不需要在通信通路的中间节点（如路由器或防火墙）上实现。会话层VPNSocks4协议：它为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议（不包括UDP）的客户/服务器程序提供了一个无需认证的防火墙，建立了一个没有加密认证的VPN隧道。Socks5协议：Socks5协议扩展了Socks4，以使其支持UDP、TCP框架规定的安全认证方案、地址解析方案中所规定的IPv4、域名解析和IPv6。

VPN实现技术网络层VPNIPSec协议：它是第三层即IP层的加密。链路层VPN技术

PPTP协议：PPTP（点到点隧道协议）是由PPTP论坛开发的点到点的安全隧道协议L2F协议：L2F（Layer2Forwarding）是由Cisco公司提出的，可以在多种介质（如ATM、FR、IP）上建立多协议的安全VPN的通信方式。L2TP协议：IETF建议将PPTP和L2F的优点组合起来组成了一个工业标准，即第二层隧道协议。

目录VPN技术无线网络安全IPv6网络安全VoIP安全工具介绍无线网络安全无线网络特殊机理以及IEEE802.11等无线安全加密认证机制本身的不完善，使得无线网络的安全性相对有线网络更为脆弱和敏感。便携式移动终端由于功能限制不可能提供强有力的安全保障，而且各种新兴的网络增值业务也提出了更高的安全需求。无线网络分类根据网络组织形式有结构网络有结构无线网络具备固定的网络基础设施，负责移动终端的接入和认证，并提供网络服务，包括蜂窝通信网络和无线局域网等等；自组织网络自组织网络按照自发形式组网，网络中不存在集中管理机制，各节点按照分布式途径协同提供网络服务，包括传感器网络和自组织网络。无线网络分类根据数据发送的距离、传输速率和用途名称缩写代表技术传输速率发送距离无线广域网WWANGSM、3G、4G>2Mb/s10km无线城域网WMANIEEE802.16（Wi-MAX）70Mb/s50kmIEEE802.20/（Mobile-Fi）l~4Mb/s15km无线局域网WLANIEEE802.11x11~56Mb/s100m~10km无线个人网WPANIEEE802.15、B1ueTooth1~10Mb/s0.1~10m无线网络分类无线网络的优缺点优点缺点不需铺设传输介质线路，具有充分的灵活性传输距离短，传输数据率低，传输带宽有限，可靠性差无缝覆盖，使用户接入网络方便传输线路可靠性受天气环境影响大可移动通信，能在宽广范围漫游信息在空中传播，使网络攻击变的非常方便无线网络分类无线网络的安全隐患无线窃听无线信道是一个开放的信道，任何具有适当无线设备的人都可以通过窃听无线信道而获得上述信息。无线窃听可以导致信息(如通话信息、身份信息、位置信息、数据信息以及移动站与网络控制中心之间的信令信息等)泄露。假冒攻击无线信道中传送的任何信息都可能被窃听。当攻击者截获到一个合法用户的身份信息时，他就可以利用这个身份信息假冒该合法用户的身份入网无线网络分类无线网络的安全隐患信息篡改信息篡改是指主动攻击者将窃听到的信息进行修改(如删除和/或替代部分或者全部信息)之后再将信息传送给原本的接收者。重传攻击重传攻击包括非法访问、恶意破坏，它指攻击者将窃听到的有效信息经过一段时间后再传给消息的接收者。攻击者的目的是企图利用曾经有效的信息在改变了的情形下达到同样的目的，例如攻击者利用截获到的合法用户日令来获得网络控制中心的授权，从而访问网络资源。无线网络安全技术WEP加密技术WEP(WiredEquivalentPrivacy)是IEEE设计的加解密的机制，期望无线网络使用者能获得与一般有线网络同等的私密性。WEP采用对称式加解密系统(SymmetricCryptographySystem)，原始密钥的长度是40/104bits。用户的密钥只有和AP的密钥匙相同才能访问网络，这样就阻止了非授权用户的监听和访问。缺点：恶意黑客能相对容易地拦截并破坏WEP密码，进入到局域网当中；缺少密钥管理。无线网络安全技术WPA技术Wi-FiProtectedAccess(WPA)是一种过渡性行业标准，它通过升级到基于802.11i的无线网络适配器的固件和无线访问点(AP)来保护802.11i无线LAN联网的安全。WPA将临时密钥完整性协议(TKIP)与Michael（即完成数据校验的MIC算法）结合起来，取代了有线对等保密(WEP)；临时密钥完整性协议可通过加密来保证数据机密性，Michael可保证数据完整性。WPA继承了WEP基本原理而又解决了WEP缺点，它改变了密钥生成方式，能够更频繁地变换密钥，还增加了消息完整性检查功能来防止数据包伪造。无线网络监视工具监视工具Stumbling工具主要作用是确认无线网络的存在并探测其行为；寻找信号帧；广播客户请求，等待可能的AP回应。Stumbling工具有：Netstumbler，Ministumbler，actrumbler，Airfart等。Sniffing则用于捕捉无线流量、观察数据。Sniffing工具有：Ethereal，Kismet，KisMAC，Packetyzer，AirTraf，Airscanner等。其中以NetStumbler和Kismet最为知名。无线网络监视工具监视工具NetstumblerNetstumble支持pcmcia无线网卡，同时支持全球GPS卫星定位系统。这个工具现在是免费的，仅仅支持Windows系统，源代码不公开，而且该软件的开发者还保留在适当的情况下对授权协议的修改权。NetStumbler支持服务集识别符(ServiceSetIdentifier，SSID)、有线等同保密(WEP)、开放式认证、共享密码认证、MAC地址认证等。

无线网络监视工具监视工具KismetKismet是一款802.11b网络嗅探、分析程序，依赖无线网卡的能力来报告数据包，支持SSID解码。大多数常见的无线网卡——包括Linksys，D-Link，CiscoAironet和Orinoco都支持这一功能。Kismet是设计运行在Linux平台上的，在Windows平台上要安装Cygwin并在Cygwin环境下运行Kismet。Kismet可以同时检测到多个源数据包。无线网络监视工具入侵检测工具AirDefenseAirdefense为空中防护，其引申为无线防护。即对Wireless，LAN的网络防护，具有防入侵，安全网络规划等功能。Airdefense主要是由Server，Sensor和一个中央管理器三部分组成，Sensor用来监视和捕捉AP的数据，Server则用来做IDS的分析和统计，而中央管理器则可以使网管清晰的看到被检测的每一步的数据。AirIDS第一款无线(802.11)入侵检测系统。通过使用强大的过滤系统，较好的设备驱动，以及主动防御措施，AirIDS能成功检测和挫败一些恶意行为，如网络stumbling，MAC地址欺骗，未授权无线接入，WEP攻击等。无线网络监视工具无线网络审计工具

商用

开源AirDefense：使用置于各地的网络的IDS传感器和向中央管理服务器或控制台报告信息WIDZ：提供无赖AP检测，监视网络中可能的恶意流量WiSentry：是基于IDS的软件，通过各个小的客户进程检测发现可疑活动AirIDS：提供基本的IDS能力AirMagnet：提供一系列软件工具，用于诊断安全问题和其他无线网络问题Kismet：能检测可疑主机，如运行AirJack等攻击软件的客户端NAISniffer：具有IDS功能的无线协议分析器HotSpot-DefenceKit：监视WMAC地址，ESSID，以及其他各种指标（如信号强度的突然波动）。常用于抵制一些黑客软件如AirSnarf。AiroPeek：具有IDS传感器功能的无线协议分析器无线网络监视工具增加无线网络安全方法改变系统ID禁用SSID广播，并启动MAC地址过滤启用加密不用DHCP(动态主机配置协议)，使用确认的，私有的IP；对于安全和机密要求比较高的企业网络等，采用VPN和强大的加密机制加强AP的管理为PC打补丁、升级VPN技术无线网络安全IPv6网络安全VoIP安全工具介绍目录IPv6网络安全IPv6历史IP第6版（IPv6）是继IP第4版（IPv4）以后，Internet协议的一个新版本。主要为了解决IPv4地址局限性问题，互联网工程任务组IETF（InternetEngineeringTaskForce）于1993年后期形成的IPng（IP-thenextgeneration）工作组着手下一代互联网的制定工作。最后推荐以“简单因特网协议（SimpleInternetProtocolPlus，SIPP）细则（128位ver）”里描述的协议改编作为IPng的依据，作为因特网的下一代协议。IPv5已经被用于一个在Internet上实时传输声音、视频及分布式仿真或游戏等多媒体流的IP层协议THANKYOUSUCCESS2024/10/1027可编辑IPv6网络安全IPv6相对IPv4的变化地址容量的扩展Pv6把IP地址的大小从32位增至128位首部格式的简化IPv6的首部固定长度为40个字节，字段减少为8个字段。支持扩展和选项的改进IPv6中使用扩展头来实现各种选项。数据流标签的能力IPv6中引入了“流”的概念，使得那些发送者要求特殊处理的属于特别的传输“流”的包能够贴上“标签”。安全支持IPv6集成了IPsec，为网络层及上层数据提供认证和保密。IPv6网络安全IPv6头部IPv6头部格式IPv6扩展头部一个IPv6头部可以携带零个，一个或者更多的扩展头部，每个扩展头部由前一个头部中的“下一个头部”字段标识。当在同一个包中使用多于一个扩展头部时，扩展头部要按下列顺序排列：IPv6头部、Hop-by-Hop选项头部、目的地址选项头部、路由头部、分片头部、认证头部、封装安全有效载荷头部、目的地址选项头部、上层协议头部。版本(4bit)传输类别(8bit)数据流标签(20bit))有效载荷长度(16bit)下一个头部(8bit)跳数限制(8bit)源地址(128bit)目的地址(128bit)IPv6与IPSecIPv6与IPSecIPSec在在IPv6中是一个必须的组成部分。IPv6通过IPsec为IP层传输提供多种安全服务。包括访问控制、数据完整性、数据源认证、抗重播保护和数据保密性。在IPv6中，是通过两种安全性扩展头部来支持IP头部验证（AH）和IP封装安全载荷（ESP）。在传送模式中，AH和ESP被看作端到端的有效载荷，因而应该出现在逐跳（Hop-by-Hop）扩展头，路由扩展头和分片扩展头之后。目的选项扩展头既可以在ESP头之前，也可以在ESP头之后。但是，因为ESP仅保护ESP头之后的字段，通常它可能愿意把目的选项头放在ESP头之后。IPv6与IPSec原始IP头扩展头（如果有）TCP数据IPv6AH应用前原始IP头逐跳、目的*、路由、分片AH目的选项*TCP数据<———————已验证（除可变字段外）———————>AH应用后IPv6

传输模式中AH应用前后对比

*如果存在，可以在AH之前、之后或者前后都有IPv6与IPSec原始IP头扩展头（如果有）TCP数据IPv6ESP应用前ESP应用后IPv6

传输模式中ESP应用前后对比

*如果存在，可以在ESP之前、之后或者前后都有原始IP头逐跳，目的*，路由、分片ESP目的选项*TCP数据ESP尾部ESP验证<——————已加密——————><————————已验证———————>IPv6与IPSec

新IP头扩展头（如果有）AH

原始IP头扩展头（如果有）TCP数据<————————已验证（除新IP头中可变字段）————————>新IP头新扩展头ESP原始IP头原始扩展头TCP数据ESP尾部ESP验证<————————已加密——————><—————————已验证——————>隧道模式中应用AH隧道模式中ESP应用IPv6IPv6IPv6的安全问题IPSec本身的问题大规模的密钥管理和分发问题并没有得到实施IPsec不能保证其上层应用的安全IPsec与现有网络安全设备的冲突等问题的存在IPv6自身的问题IPv6地址空间巨大访问控制自动地址配置和邻节点发现协议移动性的安全过渡期的问题VPN技术无线网络安全IPv6网络安全VoIP安全工具介绍目录VoIP概述VoiceoverInternetProtocol(VoIP)：通过使用IP协议的公共网络本身或者公共或个人通信网络提供的各种语音服务。VoIP是包交换而PSTN是电路交换。VoIP，或IP电话，是通过将语音模拟信号转换成可以通过IP网络传输的数字信号，经IP网络进行传送，到达目的地后，再还原成模拟信号的声音。VoIP的优势在于它以低廉的价格提供更多的服务。VoIP系统VoIP关键技术包括信令技术、编码技术、实时传输技术、QoS保证技术及网络传输技术等。此外还有静音检测技术和回声消除技术、网关互联技术、网络管理及安全认证等技术。VoIP技术涉及到多种协议：话音建立和控制信令协议：H.323和SIP；传统语音的数字化压缩编码协议：ITU-T的G.711、G.722、G.723、G.728、G.729；；保证QoS的RSVP（资源预留协议）在IP网络中实时传输数据流的RTP（实时传输协议）和RTCP（实时传输控制协议）VoIP系统VoIP关键技术H.323规定了在不能保证服务质量的分组网络上的多媒体通信的技术要求。提供了点对点或多点会议中音频（以及可选的视频及数据）的通信能力。H.323是一个系列，由多个协议组成。它的标准范围不包括网络接口、物理网络和网络上的传输协议。目前，我国的IP电话运营主要是以H.323为基础的。SIPSIP是与H.323并行的IP电话协议，它具有简单、扩展性好及和现有的Internet应用紧密结合的特点。SIP是继基于文本的SMTP和HTTP协议之后基于客户端/服务器结构的模型，它是一个独立于现行包协议（TCP、UDP、ATM、X.25）的应用层协议。H.323和SIP介绍H.323简要介绍H.323终端设备VideoI/OequipmentAudioI/OequipmentUserDataApplicationT.120,etc.SystemControlUserInterface.VideoCodecH.261,H.263AudioCodecG.711,G.722,G.723,G.728,G.729

SystemControlH.245ControlCallControlH.225.0RSAControlH.225.0H.225.0LayerNetworkInterfaceScopeofRec.H.323receivepathDelay注：虚线框以外的部分为H.323体系范围外的终端单元，虚线框以内的部分为H.323体系范围内的终端单元。H.323和SIP介绍H.323简要介绍范围外的终端单元：配接的音频设备：提供话音激活功能、麦克风和扬声器、电话机或等效设备、多麦克风混合器以及回音抵消设备。配接的视频设备：摄像机和监视器及其控制和选择、改善压缩或提供拆分屏幕功能的视频处理。数据应用及其相关的用户接口：在数据信道上使用T.120或其它数据服务。配接的网络接口：根据国内或国际标准提供与分组交换网的接口并支持适当的信令和电平。人机用户系统控制：用户接口和操作。H.323和SIP介绍H.323简要介绍

标准以内的终端单元：视频编解码器（H.261等）对来自视频源（如摄像机）的视频进行编码发送，对接收到的视频码进行解码并输出到视频显示器。音频编码器（G.711等）对来自麦克风的音频信号进行编码发送，对接收到的音频码进行解码并输出到扬声器。数据信道支持远程信息处理应用，如电子白板、静态图像传输、文件交换、数据库访问、音频图形会议等。建议T.120是实时音频图形会议的标准数据应用。其它应用和协议也可以通过H.245协商使用。系统控制单元（H.245，H.225.0）为H.323终端的正确的操作提供信令。它提供呼叫控制、能力交换、命令和指示的信令以及消息。H.225.0层（H.225.0）对发送的视频、音频、数据和控制流进行格式化，形成消息输出到网络接口；从网络接口接收到的消息中提取视频、音频、数据和控制流。另外，对每一种媒体类型，完成适当的逻辑成帧、顺序编号、差错检测和差错纠正。

H.323和SIP介绍H.322相关概念介绍H.245H.245是H.323协议体系中用于媒体信道控制的协议，主要完成多媒体通信中每个逻辑通道的建立、维护和释放，同时，它还完成多点会议呼叫中逻辑信道的配合控制功能。H.245定义了两类信道：控制信道（也称H.245信道）和逻辑信道（也称媒体信道或通信信道）。H.245的主要控制过程有：能力交换、逻辑信道信令过程、主从确定过程、往返时延确定、环路维护及其它命令和指示。RAS信令功能RAS信令功能利用H.225.0消息来执行在端点和关守之间的注册、接入、带宽改变、状态、以及脱离过程。RAS信令信道独立于呼叫信令信道和H.245控制信道。RSA信令信道的打开先于H.323端点之间任何其它信道的建立。H.323和SIP介绍SIP介绍用户代理服务器（UAS）：当接到SIP请求时联系用户，并代表用户返回响应。代理服务器（ProxyServer）：代表其他客户机发起请求，既充当服务器又充当客户机的应用程序。它在转发请求之前可能改写原请求消息中的内容。重定向服务器（RedirectSer