网络通信安全.pptVIP

第4章网络通信平安;本章学习目标;4.1网络通信中的平安威胁;4.1.1网络通信的平安性;必威体育官网网址性：指防止静态信息被非授权访问和防止动态信息被截取解密。

完整性：要求在存储或传输时信息的内容和顺序都不被伪造、乱序、重置、插入和修改。

可靠性：指信息的可信度，包括信息的完整性、准确性和发送人的身份认证等方面。

实用性：即信息的加密密钥不可丧失。;

可用性：指主机存放静态信息的可用性和可操作性。

占有性：假设存储信息的主机、磁盘等信息载体被盗用，那么将导致对信息占有权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密、使用物理和逻辑的访问限制，以及维护和检查有关盗窃文件的审计记录和使用标签等。;4.1.2网络通信存在的平安威胁;截获：信息被非法用户截获，这时接收方没有接收到应该接收的信息，从而使信息中途丧失，失去了信息的可靠性。

窃听：信息虽然没有丧失，接收方也接收到了信息，但该信息已被不该看的人看到，失去了信息的必威体育官网网址性。

篡改：信息外表上虽然没有丧失，接收方也收到了应该接收的信息，但该信息在传输过程中已被截获并被修改，或插入了欺骗性的信息，实际上接收方所接收到的信息是错误的，失去了信息的完整性。

伪造：发送方并没有发送信息给接收方，而接收方收到的信息是第三方伪造的，如果接收方不能通过有效方法发现这一情况，那就有可能造成严重的后果。;4.1.3TCP/IP协议的脆弱性;网上信息易被窃取

大多数互联网上的信息是没有经过加密的，如电子邮件、网页中输入口令或填写个人资料、文件传输等这一切都很容易被一些别有用心的人监听和劫持，其实这就是TCP/IP通信协议在平安性方面的一个漏洞。;2.IP的缺陷导致易被欺骗

IP包中的源地址可以伪造；

IP包中的“生成时间”可以伪造；

薄弱的认证环节。

图4-1说明了如何使用这个选项把攻击者的系统假扮成某一特定效劳器的可信任的客户。;图4-1IP地址欺骗;攻击者要使用那个被信任的客户的地址取代自己的地址。

攻击者构成一条要攻击的效劳器和其主机间的直接路径，把被信任的客户作为通向效劳器???路径的最后节点。

攻击者用这条路径向效劳器发出客户申请。

效劳器接收客户申请，就好似是从可信任客户直接发出的一样，然后给可信任客户返回响应。

可信任客户使用这条路径将包向前传送给攻击者的主机。; 3.?ICMP的缺陷

网络中经常会使用到ICMP协议，只不过一般觉察不到而已。比方经常使用的用于检查网络通不通的“Ping”命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的“Tracert”命令也是基于ICMP协议的。; ICMP中的“Redirect”消息可以用来欺骗主机和路由器，并使用假路径。这些假路径可以直接通向攻击者的计算机系统，而不能真正连接到一个合法的可信赖的计算机用户，这会使攻击者获得系统的访问权。

对于系统来说，缺乏反映信源到信宿真实路径的跟踪信息。通过TCP/IP发出一个数据包如同把一封信丢入信箱，发出者知道正在走向信宿，但发出者不知道通过什么路线或何时到达。这种不确定性也是平安漏洞。; 4.?TCP/IP协议明码传送信息导致易被监视

网络中最常见的窃听是发生在共享介质的网络中(如以太网)，这是由于TCP/IP网络中众多的网络效劳均是明码传送。黑客使用Sniffer、Tcpdump或Snoop等探测工具，就可以清楚地看到某个用户从一台机器登录到另一台机器的全过程。

大多数用户不加密邮件，而且许多人认为电子邮件是平安的，所以用它来传送敏感的内容。因此，电子邮件或者Telnet和FTP的内容，可以被监视从而了解一个站点的情况。; 5.提供不平安的效劳

基于TCP/IP协议的效劳很多，有WWW效劳、FTP效劳和电子邮件效劳，TFTP效劳、NFS效劳等。这些效劳都存在不同程度上的平安缺陷，当用户要保护站点时，就需要考虑，该提供哪些效劳，要禁止哪些效劳，如果有防火墙，应把不对外的效劳限制在内网中。;4.2远程访问的平安 ;4.2远程访问的平安 ;4.2.1拨号调制解调器访问平安; 调制解调器的危险在于它提供了进入用户网络的另一个入口点，也就是端口，一般来说，翻开网络端口点越多，被入侵的可能性就越大。

一般一个标准的Intranet结构会包括内、外网段。内网段和外段网之间有防火墙，在内外网段都可能提供拨号效劳器，外网段拨号效劳器供普通用户使用，内网段拨号效劳器供公司的高级职员使用，这两种拨号效劳保护方式是不同的。;

外网段拨号效劳器被置于防火墙外部，它的平安是通过防火墙和身份验证效劳器