利用IPSEC實現網絡的安全管理

本論文在其他論文欄目，由論文格式網整理,轉載請注明來源www.donglienglish.cn,更多論文,請點論文格式范文查看利用IPSEC實現網絡的安全管理
許多單位的網絡,一般都是通過代理服務器,(如:WINGAT,SYGATE,WINDOWS系統集成的ICS等)軟件實現與INTERNET共享連接的.在這樣的一個網絡中,如果沒有安全性的措施,則公用和專用網絡對于未經訪問和監視都是敏感的.這些危險可能都來自民局域網內部的攻擊,也可能來自INTERNET外部的攻擊.因為在一般情況下,僅有基于用戶密碼的訪問控制是不能保護網上傳輸的數據的.
一、目前辦公網絡所面臨的主要不安全因素
在沒有安全措施的情況下,用戶的數據可能會遭受攻擊.一些攻擊是被動的,這意味著信息可能被監視.另一些攻擊是主動的,這意味著用戶信息有可能被修改.在沒有安全措施的情況下,網絡數據對于下列類型的攻擊來說是很脆弱的。
竊聽
在通常的情況下。大部分網絡通信在一個非安全或“純文本”格式下發生,這允許獲取用數據訪問路徑的攻擊者“偵聽”或讀取數據流.當一個攻擊者竊聽用戶通信時,通常指的是竊聽或窺探。竊聽者監視網絡的能力通常是一個企業中網絡管理者面對的最大的安全問題。對于沒有進行基于密碼規則加密的數據,當其在網上時就很可能被其他用戶讀取。
數據修改
當一個攻擊者讀取數據以后,下個步驟就是修改它.攻擊者可以修改包中的信息,而無需知道發送者和接收者之間的任何信息。即使用戶對于通信無需任何保密,但也不想其任何消息被修改。
身份欺騙(IP地址欺騙)
大多數網絡和操作系統使用計算機的IP地址來標識有效用戶.在一定的情況下,合法作為用戶的IP地址有可能被其他不明身份的用戶作為自己的IP地址,用來欺騙網絡管理人員和用戶。攻擊者也可能使用特殊的程序來構造IP地址,比如從團體內部網絡得來有效的地址。在獲取訪問網絡的一個有效IP地址后,攻擊者可以修改,重新路由或刪除用戶的數據。
基于口令的攻擊
通常操作系統命名和網絡安全性計劃是基于對口令的訪問控制.這意味著用戶訪問一個計算機的權利及網絡資源是由用戶來決定,確切地說是由用戶名及用戶口令組成舊的應用有時不會保護相關的身份信息.這可能會使竊聽者假裝成有效的用戶而獲取網絡訪問權.當攻擊者找到一個有效的權利.因此,若用戶擁有管理員級權利,那么攻擊者也可以在后來的訪問中創建賬號以供以后訪問時使用。
拒絕服務攻擊
不像基于對口令的攻擊,拒絕服務攻擊則可以阻止有效用戶正常地使用計算機或者網絡。
中間人攻擊
就像“攻擊”二字本身的名字一樣,中間人攻擊是對兩個建立通信的用戶進行攻擊.進行攻擊的中間人可以在兩個用戶之間進行主動地監視和捕獲,透明地控制用戶之間的通信。例如:攻擊者可以重路由用戶數據交換.當計算機在網絡低層通信時,計算機可能無法決定自己和誰在通信.中間人攻擊能夠成功的原因在于中間人會將自己“假扮”為合法用戶從而讀取用戶消息.這時另一端的用戶可能由于攻擊者能主動回答相信其為合法用戶,并且保持與攻擊者交換數據及讓其能獲取更多的信息。
危害密鑰攻擊
密鑰是用于解釋已加密信息一的段保密代碼或數字盡管對于攻擊者來說獲取一個密鑰是件非常困難并且非常耗費資源的過程,但它仍是可能成功的。當攻擊者獲取一個密鑰以后,該密鑰則被稱為危害密鑰.攻擊者使用危害密鑰獲取一個加密通信的訪問權時,發送者和接收者卻不會知道,有了危害密鑰,攻擊就可以解密或者修改數據。并且試圖利用此密鑰推算另外的密鑰,這可能導致允許攻擊者訪問其他安全加密的通信。
8竊聽器攻擊
竊聽器是一個應用程序或裝置,它可以讀取,監視,捕獲網絡數據并讀取網絡包. 若包沒有加密,竊聽器則可以完全地查看包中的信息,甚至攻擊者沒有獲取密鑰,便可以打開并讀取封裝的包,除非包加密。
IPSEC的工作原理及特點
通過對以上幾種不安全的介紹,可以看出在局域網中,提高數據傳輸的安全性是很重要的.為此,在這次實習中通過在網絡中啟用internet protocol; security(IPSEC internet 協議安全性)來保護網絡安全的方法.
對于IPSEC的工作原理.可以通過以下3個步驟來說明
在進行數據交換之前,先相互驗證雙方計算機的身份。
驗證身份通過以后,在這兩臺計算機之間建立一種安全協作關系。
在進行數據傳輸之前對數據進行加密。
通過這3個步驟,便可以保證網絡的通信安全.即使數據中途被截獲,但因為截獲者不知道加密的密鑰,因而也就無從了解數據的內容。
在Windows 2000/2003 XP中啟用IPSEC安全策略
在 Windows 2000/2003 xp系統中已經集成了IPSEC服務.下面就來介紹怎樣在Windows 2000 2003/xp中啟用IPSEC服務進行網絡安全管理的方法.
Windows 2000操作系統都支持IPSEC. Windows 200/2003以前的版本如Windows 98與Windows NT不支持IPSEC,所以在這些操作系統上無法直接實現IPSEC的管理,故只能將操作系統升級到現在最新的版本才能實現這項功能.在Windows 2000/2003的網絡中不管是局域網還是廣域網,都可以使用IPSEC來保證網絡安全.下面介紹在Windows 2000/2003的網絡中實現IPSEC管理的方法.
在運行Windows 2000/2003的計算機中,選擇”開始→運行”,在出現的對話框中輸入”MMC”命令.單擊”確定”按鈕后出現如圖

圖1
選擇”文件”菜單下的”添加/刪除管理單元”命令項(或者按”CTRL+M組合鍵”),進入如圖2所示的”添加/刪除管理單元”對話框

圖2

單擊”添加”按鍵”,進入如圖3所示的添加獨立管理單元對話框.

圖3
在這個對話框的”管理單元”列表框中可以添加許多管理單元模塊,在此選擇”IP安全策略管理”.然后單擊”添加”按鍵,出現圖4所示的”選擇計算機或域”對話框.

圖4

5選中”本地計算機”單選按鈕,然后單擊”完成”按鈕返回到圖3所示的”添加獨立管理單元”對話框.在此可以看到,在列表框中顯示了”IP安全策略,在本地計算機”的信息,如圖5所示,說明IP安全策略管理已經安裝.如果需要,還可以在此對話框中繼續添加其他的管理單元.

圖5
6從圖5中可以看出,已經添加了一個管理單元.單擊”確定”按鈕返回到MMC控制臺窗口.IP安全策略安裝成功.如圖6所示.

圖6
單擊”IP安全策略,在本地計算機”在右邊的窗口列表中有3條默認的策略.其中從”策略已經指派”下面的狀態信息中可以看到,當前的3策略均沒有被啟用.如果想啟用IPSEC服務,就必須選擇其中的一項服務.這3條策略的意義如下:
安全服務器:如果采用這條策略,表示與這臺計算機進行通信的計算機必須采用IPSEC安全策略,如果對方的計算機沒有采用IPSEC安全策略將不能與本機進行通信。
服務器:如果采用這條策略,表示這臺計算機與其他計算機進行通信時首先要求進行安全通信.如果對方的計算機不支持安全通信,那么這臺計算機也可以與對方的計算機進行通信,但這一通信是不可靠的.
客戶機:采用這條策略,那么只有當對方的計算機要求進行安全通信時,本機才會應用IPSEC安全策略.如果對方的計算機沒有要求,則采用正常的方式進行通信.可以看出這一條策略是最不安全的.
如果網絡中所有的計算機都運行WINDOWS 2000/2003/XP或者WINDOWS.NET SERVER操作系統,則應將安全策略全部設置為”安全服務器”級,這樣可以保證網絡中所有的數據傳略都是安全的.如果網絡中既有WINDOWS2000/2003/XP也有WINDOWS 98/NT/ME則可以將安全策略設置為”服務器”級,這樣在WINDOWS 200/2003/XP之間通信時是安全的。
根據網絡的具體情況,用戶可以選擇一條合適的策略.啟用策略.在選擇需要的策略后單擊右鍵,在出現的快捷菜單中選擇”指派”就啟用了IPSEC安全策略。
指派策略之后將立即生效,不需要重新啟動計算機.在前面已經介紹過,在啟用IPSEC的計算機中進行通信首先要進行身份驗證.在身份驗證通過之后,才能建立一種協作關系。
在具體進行通信時,對數據的加密和身份的難還要通過以下的方法進行設置.
IPSEC的身份驗證及應用
在IPSEC的身份驗證中有三種方法
WINDOWS 2000/2003默認值.只有一個WINDOWS 2000/2003的域中才可以采用這種身份驗證方法,如果網絡中有不同的域則不能采用這種方法.
使用由此證書頒發機構(CA)頒發的證書.當網絡中的計算機從同一個(CA)申請證書進行身份驗證時,可以采用這種辦法.這種方法主要用于在廣域網中進行通信,并且通信雙方的計算機都是同一個證書頒發機構申請證書的時候.
預共享密鑰.采用這種方法時,通信雙方用一個事先認定的字符串來進行身份驗證,在廣域網中,在不同的域中進行通信時都是可以采用這種方法.
對身份驗證的具體選擇如下:
打開如圖6所所示的窗口后雙擊一個IPSeC策略,打開如圖7所示的IPSEC安全策略屬性對話框.選取”IP安全規則”中的”所有IP通訊量”,然后單擊”編輯”按鈕進入圖8所示的”編輯規則屬性”對話框。

圖7

圖8
在該對話框中選擇”身份驗證方法”標簽項,然后單擊”編輯”按鈕進入圖9所示的”身份驗證方法屬性”對話框.

圖9
根據前面的介紹,可視網絡具體情況選擇相應的加密方法.
為傳輸數據選擇加密算法
在圖7中,單擊”常規”標簽項將進入數據加密算法設置對話框,如圖10所示

圖10
單擊”高級”按鈕進入”密鑰交換設置”對話框,如圖11所示

圖11
單擊”方法”按鈕進入”密鑰交換安全措施”對話框,如圖12所示

圖12

單擊”編輯”按鈕進入”IKE安全算法”對話框,如圖13所示

圖13
在該對話框中需要對以下內容進行掌握：
完整性算法:在進行身份驗證的時候要傳輸身份驗證密鑰.為了保證密鑰的安全,可以選用兩種加密傳輸的密鑰.一種是SHA1加密算法,采用160個二進制位,另一種是MD5加密算法,采用128個二進制位.
加密算法:有兩種加密算法可供選擇:DES及3DES.其中3DES算法最安全但是占用的處理器資源也較多.因為3DES算法采用3個56位二進制的密鑰,對每一個數據塊處理3次,回此每一次都需要選用特有的密鑰.而DES算法所產生的密鑰相對要簡單一些,但是安全性相對較差,占用處理器的資源較少.
對于安全性不是要求很高的情況下可以選擇MD5身份驗證加密技術和DES數據加密算法,這種選擇占用的處理器資源有限。
六、IPESEC的模式選擇
除了選擇加密算法外,啟用IPSEC后還應該進行模式選擇,在圖8中單擊”隧道設置”標簽進入模式選擇對話框,如圖14所示.

圖14
如果將IPSEC用在局域網中,則應該選擇中”此規則不指定IPSEC隧道”單選按鈕.如果將IPSEC用在廣域網中,則應該選中”隧道終點由此IP指定”單選按鈕,并且應指出對方計算機的IP地址。
最后需要說明的是:當在設置IPSEC中出現錯誤時,或者在局域網,廣域網中不能進行通信時,可以將IPSEC的設置還原為默認值.方法是選擇”IP安全策略,在本地機器”,單擊右鍵,然后從出現的快捷菜單中選擇”所有任務→還原默認策略”即可。
總結
有關計算機網絡通信的安全已經被越來越多的人所重視.通過這一次實習,對計算機網絡安全維護有了進一步的理解為以后在實際工作應用中打了堅實的基礎。

相關論文


上一篇：圖的搜索實現（鄰接矩陣）	下一篇：對北京市出租車司機的調查——以..

Tags：利用 IPSEC 實現網絡安全管理

【收藏】【返回頂部】