⽹络安全基础知识
⽹络安全基本知识
⽹络安全:是指⽹络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因⽽遭受到破坏、更改、泄露,系统连续可靠正常地运⾏,⽹络服务不中断。⽹络安全从其本质上来讲就是⽹络上的信息安全。从⼴义来说,凡是涉及到⽹络上信息的保密性、完整性、可⽤性、真实性和可控性的相关技术和理论都是⽹络安全的研究领域。⽹络安全是⼀门涉及计算机科学、⽹络技术、通信技术、密码技术、信息安全技术、应⽤数学、数论、信息论等多种学科的综合性学科。
计算机病毒(Computer Virus)在《中华⼈民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插⼊的破坏计算机功能或者破坏数据,影响计算机使⽤并且能够⾃我复制的⼀组计算机指令或者程序代码”。
⽊马:利⽤计算机程序漏洞侵⼊后窃取⽂件的程序被称为⽊马。它是⼀种具有隐藏性的、⾃发性的可被⽤来进⾏恶意⾏为的程序,多不会直接对电脑产⽣危害,⽽是以控制为主。
防⽕墙(英⽂:firewall)是⼀项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防⽕墙可以是⼀台专属的硬件也可以是架设在⼀般硬件上的⼀套软件。
后门:指房间的背后的可以⾃由出⼊的门,相对于明显的前门。也可以指绕过软件的安全性控制⽽从⽐较隐秘的通道获取对程序或系统访问权的⽅法。
⼊侵检测(Intrusion Detection),顾名思义,就是对⼊侵⾏为的发觉。他通过对计算机⽹络或计算机系统中若⼲关键点收集信息并对其进⾏分析,从中发现⽹络或系统中是否有违反安全策略的⾏为和被攻击的迹象。
数据包监测:可以被认为是⼀根窃听电话线在计算机⽹络中的等价物。当某⼈在“监听”⽹络时,他们实际上是在阅读和解释⽹络上传送的数据包。如果你需要在互联⽹上通过计算机发送⼀封电⼦邮件或请求下载⼀个⽹页,这些操作都会使数据通过你和数据⽬的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,⽽数据包监测⼯具就允许某⼈截获数据并且查看它。
NIDS:是Network Intrusion Detection System的缩写,即⽹络⼊侵检测系统,主要⽤于检测Hacker或Cracker通过⽹络进⾏的⼊侵⾏为。NIDS的运⾏⽅式有两种,⼀种是在⽬标主机上运⾏以监测其本⾝的通信信息,另⼀种是在⼀台单独的机器上运⾏以监测所有⽹络设备的通信信息,⽐如Hub、路由器。
SYN是:TCP/IP建⽴连接时使⽤的握⼿信号。在客户机和服务器之间建⽴正常的TCP ⽹络连接时,客户机⾸先发出⼀个SYN 消息,服务器使⽤SYN-ACK应答表⽰接收到了这个消息,最后客户机再以AC
K消息响应。这样在客户机和服务器之间才能建⽴起可靠的TCP连接,数据才可以在客户机和服务器之间传递。
加密技术:是电⼦商务采取的主要安全保密措施,是最常⽤的安全保密⼿段,利⽤技术⼿段把重要的数据变为乱码(加密)传送,到达⽬的地后再⽤相同或不同的⼿段还原(解密)。加密技术的应⽤是多⽅⾯的,但最为⼴泛的还是在电⼦商务和VPN 上的应⽤,深受⼴⼤⽤户
⼀、引论
1、⽹络安全的概念:⽹络安全是在分布式⽹络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防⽌数据、信息内容或能⼒被⾮授权使⽤、篡改或拒绝服务。
2、基于IP的Internet有很多不安全的问题:1)IP安全。在Internet中,当信息分组在路由器间传递时,对任何⼈都是开放的,路由器仅仅搜集信息分组中的⽬的地址,但不能防⽌其内容被窥视。2)DNS安全。Internet对每台计算机的命名⽅案称之为域名系统(DNS)。3)拒绝服务(DoS)攻击。包括发送SYN信息分组、邮件。4)分布式拒绝(DDoS)攻击。分布式拒绝服务攻击是拒绝服务起攻击的⽅式。
3、维护信息载体的安全就要抵抗对⽹络和系统的安全威胁。这些安全威胁包括物理侵犯(如机房⼊侵、设备偷窃、废物搜寻、电⼦⼲扰等)、系统漏洞(如旁路控制、程序缺陷等)、⽹络⼊侵(如窃听、截获、堵塞等)、恶意软件(如病毒、蠕⾍、特洛伊⽊马、信息等)、存储损坏(如⽼化、破损等)等。为抵抗对⽹络和系统的安全威胁,通常采取的安全措施包括门控系统、防⽕墙、防病毒、⼊侵检测、漏洞扫描、存储备份、⽇志审计、应急响应、灾难恢复等。
4、⽹络安全的三个基本属性:1)机密性(保密性)。机密性是指保证信息与信息系统不被⾮授权者所获取与使⽤,主要防范措施是密码技术。2)完整性。完整性是指信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改,主要防范措施是校验与认证技术。3)可⽤性。可⽤性是指保证信息与信息系统可被授权⼈正常使⽤,主要防范措施是确保信息与信息系统处于⼀个可靠的运⾏状态之下。
5、国际标准化组织在开放系统互联标准中定义了7个层次的参考模型:1)物理层。2)数据链接层。3)⽹络层。4)传输层。5)会话层。6)表⽰层。7)应⽤层。
6、粗略地,可把信息安全分成3个阶段。1)通信安全(comsec)、计算机安全(compusec)和⽹络安全(netsec)。
7、可信计算机系统评估准则(Trusted Computer System Evaluation Criteria, TCSEC)共分为如下4
类7级:1)D级,安全保护⽋缺级。2)C1级,⾃主安全保护级。3)C2级,受控存储保护级。4)B1级,标记安全保护级。5)B2级,结构化保护级。6)B3级,安全域保护级。7)A1级,验证设计级。
8、密码学研究包括两部分内容:⼀是加密算法的设计和研究;⼀是密码分析,即密码破译
9、对称密钥密码技术是传统的简单换位、代替密码发展⽽来的,从加密模式上可分为两类:1)序列密码。序列密码⼀直作为军事和外交场合使⽤的主要密码技术之⼀,它的主要原理是,通过有限状态机产⽣性能优良的伪随机序列,使⽤该序列加密信息流,逐位加密得到密⽂序列,所以,序列密码算法的安全强度取决于它产⽣的伪随机序列的好坏。2)分组密码。分组密码的⼯作⽅式是将明⽂分成固定长度的组(块)(如64位⼀组),⽤同⼀密钥和算法对每⼀块加密,输出固定长度的密⽂。
公钥密码技术:公钥技术是在密码体制中加密和解密采⽤两个不同的相关的密钥的技术,⼜称不对称密钥技术。
两者的⽐较:因为对称密码系统具有加解密速度快、安全强度⾼等优点,在军事、外交及商业应⽤中使⽤得越来越普遍;由于存在密钥发⾏与管理⽅⾯的不⾜,在提供数字签名、⾝份验证等⽅⾯需要与公开密钥密码系统共同使⽤,以达到更好的安全效果。公共密钥的优点在于,也许你并不认识某⼀实体,但只要你的服务器认为该实体证书权威CA是可靠的,就可以进⾏安全通信,⽽这正是电⼦商务这样的业务所要求的,如信⽤卡购物。
⼆、风险分析
1、攻击的类型:1)阻断攻击。2)截取攻击。3)篡改攻击。4)伪造攻击。
2、主动攻击与被动攻击的区分:窃听、监听都具有被动攻击的本性,攻击者的⽬的是获取正在传输的信息,被动攻击包括传输报⽂内容的泄漏和通信流量分析。主动攻击包含对数据流的某些修改,或者⽣成⼀个假的数据流。它可以分成4类:1)伪装。2、回答(重放)。3)修改报⽂。4)拒绝服务。
3、常见的篡改服务攻击有3种:1)改变。2)插⼊。3)删除。
4、拒绝服务攻击可分成以下4种:1)拒绝访问信息。2)拒绝访问应⽤。3)拒绝访问系统。4)拒绝访问通信。
5、风险的概念:风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。
威胁+漏洞=风险
6、风险测量必须识别出在受到攻击后该组织需要付出的代价。代价包括资⾦、时间、资源、信誉及丢失⽣意等。
三、安全策略
1、系统管理程序:1)软件更新。2)漏洞扫描。3)策略检查。4)登录检查。5)常规监控。
2、⼀个恰当的灾难恢复计划应考虑各种故障的级别:单个系统、数据中⼼、整个系统。
件。4)灾难恢复计划的测试。
3、安全策略的⽣成步骤:1)确定重要的策略。2)确定可接受的⾏为。3)征求建议。4)策略的开发。
四、⽹络信息安全服务
*1、机密性服务包括:1)⽂件机密性。2)信息传输机密性。3)通信流机密性。
*2、完整性服务包括:1)⽂件完整性。2)信息传输完整性。
*3、可⽤性服务包括:1)后备。2)在线恢复。3)灾难恢复。
4、⽹络环境下的⾝份鉴别:1)⾝份认证技术(常见的有⼝令技术和采⽤物理形式的⾝份认证标记进⾏⾝份认证的鉴别技术)。2)⾝份认证协议(会话密钥、共享密钥认证和公钥认证。)
5、访问控制:访问控制是确定来访实体有否访问权以及实施访问权限的过程。
五、安全体系结构
1、可信系统体系结构概述:如果保护在硬件层实现,保护机制更简单,可提供⼴泛的通⽤的保护。越是层次向上升,越是增加复杂性,⽽功能则更加专门和细粒度。最⾼层也最复杂,因为它直接向⽤户提供⼴泛的功能和选项。功能和安全复杂性增加,则越靠近⽤户。复杂性增加,则安全机制的级别越低。
*2、⽹络体系结构的观点(课本P74)
3、加密机制。1)加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且是其他安全机制中的⼀部分或对安
全机制起补充作⽤。2)加密算法可以是可逆的,也可以是不可逆的。3)除了某些不可逆加密算法的情况外,加密机制的存在便意味着要使⽤密钥管理机制。
4、⼤多数应⽤不要求在多个层加密,加密层的选取主要取决于下列⼏个因素:1)如果要求全通信业务流机密性,那么选取物理层加密,或传输安全⼿段(如适当的扩频技术)。2)如果要求细粒度保护(即对不同应⽤提供不同的密钥),和抗否认或选择字段保护,那么将选取表⽰层加密。3)如果希望实现所有客户端系统通信的简单块保护,或希望有⼀个外部的加密设备(例如,为了给算法和密钥加
物理保护,或防⽌错误软件),那么将选取⽹络层加密。4)如果要求带恢复的完整性,同时⼜具有细粒度保护,那么将选取传输层加密。5)对于今后的实施,不推荐在数据链接层上加密。
6、数字签名机制的特点:1)签名过程使⽤签名者的私有信息作为密钥,或对数据单元进⾏加密,或产⽣出该数据单元的⼀个密码校验值。2)验证过程使⽤公开的规程与信息来决定
者的私有信息才能产⽣出来。因⽽,当该签名得到验证后,它能在事后的任何时候向第三⽅(例如法官或仲裁⼈)证明只有那个私有信息的唯⼀拥有者才能产⽣这个签名。
六、Internet安全体系结构之⼀
1、局域⽹LAN的安全。防御⽅法:1)防⽕墙。2)特权区(privileged zones)。3)LAN 连接。
2、⽆线⽹⾯临着⼀系列有线⽹没有的不安全风险,包括:1)分组嗅测(packet sniffing)。2)服务集标识SSID(the service set identifier)信息。3)假冒(inpersonation)。4)寄⽣者(parasites)。5)直接安全漏洞(direct security breaches)。
3、风险缓解的⽅法:1)SSID打标签。2)⼴播SSID。3)⽆线放置。4)MAC过滤。5)WEP。6)其他密码系统。7)⽹络体系结构。
4、课本P107图6-3 CHAP处理。
5、ARP和RARP的风险
课本P110图6-4 作为MitM攻击的ARP受损。
6、所有的分段机制有两个主要风险:丢失分段和组装数据的容量。此外分段管理的类型能导致丢失数据分段。
分段的风险:1)丢失分段攻击。2)最⼤的不分段⼤⼩。3)分段重组。
7、IP风险:1)地址冲突。2)IP拦截。3)回答攻击。4)分组风暴。5)分段攻击。)6)转换通道。
七、Internet安全体系结构之⼆
1、TCP DoS攻击:1)SYN攻击。2)RST和FIN攻击。3)ICMP攻击。4)LAND攻击。
*2、缓解对TCP攻击的⽅法:1)改变系统框架。2)阻断攻击指向。3)识别⽹络设备。4)状态分组校验。5)⼊侵检测系统(IDS)。6)⼊侵防御系统(IPS)。
*3、UDP攻击:1)⾮法的进⼊源。2)UDP拦截。3)UDP保持存活攻击。4)UDP Smurf攻击。5)UDP侦察。
4、DNS风险:1)直接风险(⽆⾝份鉴别的响应、DNS缓存受损、ID盲⽬攻击、破坏DNS分组)。2)技术风险(DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS)。3)社会风险(相似的主机名、⾃动名字实现、社会⼯程、域更新)。#
5、缓解风险的⽅法:
1)直接威胁缓解。基本的维护和⽹络分段能限制直接威胁的影响。
和维护。
2、内部和外部域分开:DNS服务器应该是分开的。⼤的⽹络应考虑在内部⽹络分
段间分开设置服务器,以限制单个服务器破坏的影响,且能够平衡DNS负载。
文件访问被拒绝3、限制域或转换:域的转换限制于特定的主机,且由⽹络地址或硬件地址标识。这
个⽅案对MAC和IP的伪装攻击是脆弱的,但对任意的主机请求域转换确实是有⽤的。
4、鉴别的域转换:采⽤数字签名和鉴别域转换能减少来⾃域转换拦截和破坏的影响。
5、有限的缓冲间隔:缓冲间隔减少⾄低于DNS回答规定的值,可以减少缓冲器受
损的损坏装⼝。
6、拒绝不匹配的回答:假如缓冲DNS服务器接到多个具有不同值的回答,全部缓
冲器应刷新。虽然这会影响缓冲器性能,但它消除了长期缓冲器受损的风险。
2)技术威胁的缓解。技术风险预防⽅法包括⽹络、主机和本地环境。
1、加固服务器:限制远程可访问进程的数量,就能限制潜在攻击的数量。加固服务
器可降低来⾃技术攻击的威胁。
2、防⽕墙:在DNS服务器前放置硬件防⽕墙限制了远程攻击的数量。
3)侦察威胁的缓解。
1、限制提供DNS信息:这可以缓解攻击者侦察的威胁,虽然DNS不能完全做到,
但可限制提供信息的类型和数量。
2、限制域转换:域的转换仅限于鉴别过的主机。虽然不能组织蛮⼒主机的查,但
可组织侦察。
3、限制请求:限制DNS请求的数量可由任何单个⽹络地址完成。虽然不能防⽌蛮
⼒域监听,但是可设置障碍。
4、去除反向查:假定反向查不是必须的,那么去除它。这可限制蛮⼒域监听的
影响。
5、分开内部和外部域:DNS域服务器应该是分开的,以确保LAN的信息保持在
LAN。特别是内部主机名应该不允许外部可观察。
6、去除额外信息:不是直接为外部⽤户使⽤的信息应该去除,例如TXT,CHAME,HINFO这些信息。
7、隐藏版本:对允许本地登录或远程状态报告的DNS服务器,这些DNS版本可能被泄漏。因为不同的版本和不同的利⽤相关,应该修改版本以报告假信息或将其去除。
1、监控相似域:经常搜索域名的变化。当发现有相似主机名的标识,DNS提供者
要求他们关掉。虽然这是⼀个复杂的耗时的任务,但这是监控相似域名的⼀种专门服务。
2、锁住域:使⽤⽀持域名锁定的域注册者。这需要⼀些附加信息,诸如账户信息、
转换域名的⼝令。
3、使⽤有效联系:在域注册中提供⼀个或多个有效联系⽅法,以允许⽤户和注册者
联系域主。但不需要专门的⼈名或个⼈信息,以免攻击者使⽤这些信息攻击域主。
4、不间断⽀持:选择⼀天24⼩时,⼀周7天不间断⽀持的域注册者。这样在任何
时候可和注册者联系,以解决有关域的问题。
5、⾃⼰主持:⼤的单位应选择称为拥有管理⾃⼰域的注册者。
5)优化DNS设置。
6)确定可信的回答。
6、P133 图7-2 SSL协议会话过程⽰意图。
⼋、防⽕墙
1、防⽕墙⼀般安防在被保护⽹络的边界,必须做到以下⼏点,才能使防⽕墙起到安全防护的作⽤:1)所有进出被保护⽹络的通信必须通过防⽕墙。2)所有通过防⽕墙的通信必须经过安全策略的过滤或者防⽕墙的授权。3)防⽕墙本⾝是不可被侵⼊的。
*2、防⽕墙的功能:1)访问控制功能。2)内容控制功能。3)全⾯的⽇志功能。4)集中管理功能。5)⾃⾝的安全和可⽤
性。
3、拒绝服务攻击主要有以下⼏种形式:(记住四种解释)
a)Syn Flood:该攻击以多个随机的源主机地址向⽬的主机发送SYN包,⽽在收到⽬的
主机的SYN ACK后并不回应,这样⽬的主机就为这些源主机建⽴了⼤量的连接队
列,⽽且由于没有收到ACK⼀直维护着这些队列,造成了资源的⼤量消耗⽽不能向
正常请求提供服务。
b)Smurf:该攻击向⼀个⼦⽹的⼴播地址发⼀个带有特定请求(如ICMP回应请求)的
包,并且将源地址伪装成想要攻击的主机地址。⼦⽹上所有的主机都回应⼴播包请
求⽽向被攻击主机发包,使该主机受到攻击。
c)Land-based:攻击者将⼀个数据包的源地址和⽬的地址都设置为⽬标主机的地址,
然后将该数据包通过IP欺骗的⽅式发送给被攻击主机,这种包可以造成被攻击主机因试图与⾃⼰建⽴连接⽽陷⼊死循环,从⽽很⼤程度地减低了系统性能。
⼤的IP包时将进⾏分⽚,这些IP分⽚到达⽬的主机时⼜重新组合起来。在Ping
of Death攻击时,各分⽚组合后的总长度将超过65 536B,在这种情况下会造成某
些操作的宕机。
4、防⽕墙的局限性:1)防⽕墙不能防范不经由防⽕墙的攻击。2)防⽕墙不能防⽌感染了病毒的软件或⽂件的传输。3)防⽕墙不能防⽌数据驱动式攻击。4)防⽕墙不能防范恶意的内部⼈员侵⼊。5)防⽕墙不能防范不断更新的攻击⽅式,防⽕墙制定的安全策略是在已知的攻击模式下制定的,所以对全新的攻击⽅式缺少阻⽌功能。
*5、防⽕墙技术:1)包过滤技术。2)应⽤⽹关技术。3)状态检测防⽕墙。4)电路级⽹关。5)代理服务器技术。
6、堡垒主机:其得名于古代战争中⽤于防守的坚固堡垒,它位于内部⽹络的最外层,像堡垒⼀样对内部⽹络进⾏保护。
构建堡垒主机的要点:1)选择合适的操作系统。它需要可靠性好、⽀持性好、可配置性好。2)堡垒主机的安装位置。堡垒主机应该安装在不传输保密信息的⽹络上,最好它处于⼀个独⽴⽹络中,⽐如DMZ。3)堡垒主机提供的服务。堡垒主机需要提供内部⽹络访问Internet的服务,内部主机可以通过堡垒主机访问Internet,另外内部⽹络也需要向Internet提供服务。4)保护系统⽇志。作为⼀个安全性举⾜轻重的主机,堡垒主机必须有完善的⽇志系统,⽽且必须对系统⽇志进⾏保护。5)监测和备份。最简单的⽅式是把备份存储到与堡垒主机直接相连的磁带机上。
7、防⽕墙的发展趋势:1)⾼安全性和⾼效率。2)数据加密技术的使⽤,使合法访问更安全。3)混合使⽤包过滤技术、代理服务技术和其他⼀些新技术。4)IP协议的变化将对防⽕墙的建⽴与运⾏产⽣深刻的影响。5)分布式防⽕墙的应⽤。6)对数据包的全⽅位的检查。
九、VPN
1、VPN的概念:VPN是Virtual Private Network的缩写,是将物理分布在不同地点的⽹络通过共⽤⾻⼲⽹,尤其是Internet连接⽽成的逻辑上的虚拟⼦⽹。
2、VPN的类型:1)Access VPN(远程访问VPN)、Intranet VPN(企业内部VPN)和Extranet VPN(企业扩展VPN)。
3、VPN的优点:1)降低成本。2)易于扩展。3)保证安全。
4、隧道技术通过对数据进⾏封装,在公共⽹络上建⽴⼀条数据通道(隧道),让数据包通过这条隧道传输。⽣成隧道的协议有两种:第⼆层隧道协议和第三层隧道协议。
⼗、IPSec
1、IPSec的概念:IPSec(IP Security)是⼀种由IETF设计的端到端的确保IP层通信安全的机制
2、IPSec的功能:1)作为⼀个隧道协议实现了VPN通信。2)保证数据来源可靠。3)保证数据完整性。4)保证数据机密性。
3、P188图10-1 IPSec体系结构。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论