TCP/IP的层次不同提供的安全性也不同,例如,在网络层提供虚拟私用网络,在 传输层提供安全套接服务。下面将分别介绍TCP/IP不同层次的安全性和提高各层安全性的方法。
作者:zdnet安全频道 来源:论坛整理 2008年10月22日
关键字: TCP/IP
TCP/IP的层次不同提供的安全性也不同,例如,在网络层提供虚拟私用网络,在 传输层提供安全套接服务。下面将分别介绍TCP/IP不同层次的安全性和提高各层安全性的方法。
TCP/IP 的名称大解剖
名称解析是为用户提供易于记忆的服务器名称的过程,这样用户就无需记忆那些在 TCP/IP 网络上用于标识服务器的数字 IP 地址了。名称解析服务有 DNS 和 WINS。
域名系统 (DNS)
DNS 是一个用于在 Internet 和专用 TCP/IP 网络上定位计算机的分层命名系统。通常需要安装一个或多个 DNS 服务器。Internet 电子邮件、Web 浏览和 Active Directory 都需要 DNS。某些带有运行 Windows 2000 客户端的域也需要 DNS。当创建域控制器(或将某个服务器提升为域控制器)时,会自动安装 DNS,但当 Windows 2000 软件检测到域内已有 DNS 服务器时例外。(或者,也可以明确地将 DNS 作为安装过程中或安装之后要安装的组件。)
如果在服务器上安装 DNS,将需要为该服务器指定一个静态 IP 地址。此外,还需要配置 DNS 客户端,以便它们能够识别这个 IP 地址。有关分配静态 IP 地址的信息,请参阅指定静态本地 IP 地址及 DNS 和 WINS 所需的设置。有关配置 DNS 的信息,请参阅 DNS。
Windows Internet 名称服务 (WINS)
如果要支持运行 Windows NT 或任何早期 Microsoft 操作系统的客户端,则需要在域内的一个或几个服务器上安装 Windows Internet 名称服务 (WINS)。WINS 是一个可选的软件组件,出现在组件列表的网络服务下面。(有关安装 WINS 组件的信息,请参阅选择要安装的组件。)如果在服务器上安装 WINS,则需要为该服务器指定一个静态 IP 地址。此外还需要配置 WINS 客户端,以便使它们识别这个 IP 地址。
有关分配静态 IP 地址的信息,请参阅指定静态本地 IP 地址及 DNS 和 WINS 所需的设置。有关配置 WINS 的信息,请参阅 WINS。
DNS 查询的工作原理
当 DNS 客户机需要查询程序中使用的名称时,它会查询 DNS 服务器来解析该名称。客户机发送的每条查询消息都包括三条信息,以指定服务器应回答的问题:
TCP/IP的安全性
TCP/IP的层次不同提供的安全性也不同,例如,在网络层提供虚拟私用网络,在传输层提供安全套接服务。下面将分别介绍TCP/IP不同层次的安全性和提高各层安全性的方法。
一、Internet层的安全性
对Internet层的安全协议进行标准化的想法早就有了。在过去十年里,已经提出了一些方案。例如,"安全协议3号(SP3)"就是美国国家安全局以及标准技术协会作为"安全数据网络系统(SDNS)"的一部分而制定的。"网络层安全协议(NLSP)"是由国际标准化组织为"无连接网络协议(CLNP)"制定的安全协议标准。"集成化NLSP(I-NLSP)"是美国国家科技研究所提出的包括IP和CLNP在内的统一安全机制。SwIPe是另一个Intenet层的安全协议,由Ioannidis和Blaze提出并实现原型。所有这些提案的共同点多于不同点。事实上,他们用的都是IP封装技术。其本质是,纯文本的包被加密,封装在外层的IP报头里,用来对加密的包进行Internet上的路由选择。到达另一端时,外层的IP报头被拆开,报文被解密,然后送到收报地点。
Internet工程特遣组(IETF)已经特许Internet协议安全协议(IPSEC)工作组对IP安全协议(IPSP)和对应的Internet密钥管理协议(IKMP)进行标准化工作。IPSP的主要目的是使需要安全措施的用户能够使用相应的加密安全体制。该体制不仅能在目前通行的IP(IPv4)下工作,也能在IP的新版本(IPng或IPv6)下工作。该体制应该是与算法无关的,即使加密算法替换了,也不对其他部分的实现产生影响。此外,该体制必须能实行多种安全政策,但要避免给不使用该体制的人造成不利影响。按照这些要求,IPSEC工作组制订了一个规范:认证头(Authentication Header,AH)和封装安全有效负荷(Encapsulating Security Payload,ESP)。简言之,AH提供IP包的真实性和完整性,ESP提供机要内容。
IP AH指一段消息认证代码(Message Authentication Code,MAC),在发送IP包之前,它已经被事先计算好。发送方用一个加密密钥算出AH,接收方用同一或另一密钥对之进行验证。如果收发双方使用的是单钥体制,那它们就使用同一密钥;如果收发双方使用的是公钥体制,那它们就使用不同的密钥。在后一种情形,AH体制能额外地提供不可否认的服务。事实上,有些在传输中可变的域,如IPv4中的time-to-live域或IPv6中的hop limit域,都是在AH的计算中必须忽略不计的。RFC 1828首次规定了加封状态下AH的计算和验证中要采用带密钥的MD5算法。而与此同时,MD5和加封状态都被批评为加密强度太弱,并有替换的方案提出。
IP ESP的基本想法是整个IP包进行封装,或者只对ESP内上层协议的数据(运输状态)进行封装,并对ESP的绝大部分数据进行加密。在管道状态下,为当前已加密的ESP附加了一个新的IP头(纯文本),它可以用来对IP包在Internet上作路由选择。接收方把这个IP头取掉,再对ESP进行解密,处理并取掉ESP头,再对原来的IP包或更高层协议的数据就象普通的IP包那样进行处理。RFC 1827中对ESP的格式作了规定,RFC 1829中规定了在密码块链接(CBC)状态下ESP加密和解密要使用数据加密标准(DES)。虽然其他算法和状态也是可以使用的,但一些国家对此类产品的进出口控制也是不能不考虑的因素。有些国家甚至连私用加密都要限制。
配置 TCP/IP 设置
打开 网络连接。
单击要配置的连接,然后在“网络任务”下,单击“更改该连接的设置”。
执行以下任一操作:
如果连接是局域网连接,则在“常规”选项卡的“该连接使用下列项目”下,单击“网际协议 (TCP/IP)”,然后单击“属性”。
如果是拨号、VPN 或传入连接,请单击“网络”选项卡上。在“该连接使用下列项目”中,单击“网际协议 (TCP/IP)”,然后单击“属性”。
执行以下任一操作:
如果要自动指派 IP 设置,请单击“自动获得 IP 地址”,然后单击“确定”。
如果要指定 IP 地址或 DNS 服务器地址,请执行以下步骤:
单击“使用下面的 IP 地址”,然后在“IP 地址”中键入 IP 地址。
单击“使用下面的 DNS 服务器地址”,在“首选 DNS 服务器”和“备用 DNS 服务器”中,键入首选和备用 DNS 服务器的地址。
要配置 DNS、WINS 和 IP 设置,请单击“高级”。
注意
要打开“网络连接”,请单击“开始”,指向“设置”,然后双击“网络连接”。
在任何可能的情况下都应该使用自动 IP 设置 (DHCP),原因如下:
默认情况下,会启用 DHCP。
如果您的位置更改了,可以不必修改 IP 设置。
自动 IP 设置用于所有连接,并且不必配置如 DNS、WINS 等的设置
安装简单 TCP/IP 服务
在“控制面板”中打开 添加/删除程序。
单击“添加/删除 Windows 组件”。
在“组件”中,单击“网络服务”,然后单击“详细信息”。
在“网络服务的子组件”中,单击“简单 TCP/IP 服务”,然后单击“确定”。
单击“下一步”。
如果提示,请键入 Windows XP 分发文件的路径,然后单击“确定”。
单击“完成”,然后单击“关闭”。
注意
要打开“添加/删除程序”,请单击“开始”,指向“设置”,单击“控制面板”,然后双击“添加/删除程序”。
必须以管理员或 Administrators 组成员身份登录才能完成该过程。如果计算机与网络连接,则网络策略设置也可以阻止您完成此步骤。
简单 TCP/IP 服务(用于 Windows XP)支持下表中所列的可选 TCP/IP 协议服务。 协议 说明 RFC
字符生成器 (CHARGEN) 发送由一组 95 个可打印 ASCII 字符组成的数据。对测试或解决行式打印机的调试工具很有用。 864
Daytime 返回包括星期几、月、日、年、当前时间(按照 hh:mm:ss 的格式)以及时区信息的消息。一些程序可以使用该服务的输出来调试或监视系统时钟或不同主机上的变化。 867
Discard 丢弃所有在该端口接收到的没有响应或没有确认的消息。可以作为空端口用来在安装和配置网络期间接收和发送 TCP/IP 测试消息,或在某些情况下,可作为消息丢弃功能被程序使用。 863
回声 回应从该服务器端口收到的消息数据。作为网络调试和监视工具很有用。 862
Quote of the Day (QUOTE) 返回消息中的一行或多行文本的引用。配额从如下文件中随机取得:systemroot\System32\Drivers\Etc\Quotes。作为范例的引用文件和简单 TCP/IP 服务一起安装。如果该文件丢失,则引用服务失败。 865
所有这些协议服务可以作为可选的 Internet 标准分类,在指定的 RFC 文档中有定义和描述,该文档在表中列出。有关这些协议服务的详细信息,请参阅 RFC。
除非特别需要该计算机支持与其他使用这些协议服务的系统进行通讯,否则请不要安装简单 TCP/IP 服务。
安装简单 TCP/IP 服务后,就不能单独启用或禁用某个服务。
TCP/IP 概述传输控制协议/网际协议 (TCP/IP) 是最流行的网络协议,也是 Internet 的基础。它的路由功能为企业范围的网络提供了最大的灵活性。In Windows XP TCP/IP 是自动安装的。
在 TCP/IP 网络上,您必须给客户提供 IP 地址。客户可能还需要命名服务或名称解析方法。这部分解释 TCP/IP 网络上的“网络连接”的 IP 寻址和名称解析。同时还描述了 TCP/IP 提供的 FTP 和 Telnet 工具。
将 IP 地址指派给拨号连接和虚拟专用网络 (VPN) 连接
在 Windows TCP/IP 网络上每台连接到远程访问服务器的远程计算机都将由远程访问服务器提供一个 IP 地址。