网络安全(刘建伟/毛剑版本)重点整理/复试/期末
這份重點是在準備復試時邊看書和ppt邊手打的。掐指一算已經是整整一個月前的事情惹。
這本教材是哈工程復試參考書目,但是網絡上關于它的材料比較少。把自己整理的重點放上來,希望能幫到期末、復試以及自學網絡安全的小可愛?
網絡安全
2.1基本協議
ARP地址解析協議:將局域網中的32bitIP地址→48bit物理地址(網卡的MAC地址)
ARP欺騙:計算機發出假冒的ARP查詢或應答信息,然后將所有流向它的數據流轉移,以此偽裝成某臺機器或修改數據流向。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞或者實現“man in the middle” 進行ARP重定向和嗅探攻擊。
ICMP控制消息協議:介于網絡層和傳輸層,傳輸網絡診斷信息(error)或咨詢信息(information),既傳輸差錯報文,又傳輸控制報文。是監控工具Ping和Traceroute的重要組成部分。
安全威脅:①濫用ICMP來中斷某些連接②利用ICMP對消息重定向(redirect)③死亡之ping。
TCP傳輸控制協議:由于IP數據包易丟失、被復制或亂序傳遞,TCP可以將數據包排序并進行錯誤檢查,重傳重組,同時實現虛電路間的連接。
安全威脅:①unix系統規定超級用戶才可創建1024以下端口(特權端口);
②三次握手進行連接時TCP協議處于半開放狀態下,SYNFlood攻擊會使服務器保持半開放連接狀態進而無法完成三步握手協議,無法響應其他客戶機的連接請求。
③序號攻擊:若攻擊者能預測目標主機選擇的起始序號就可欺騙目標主機。如Morris。
UDP用戶數據報協議:與TCP位于同一層,但是沒有連接建立的過程(TCP具有連接建立、撤銷和狀態維護的過程),沒有糾錯和重傳機制,也沒有數據包檢測機制,進行大流量數據傳輸時易造成堵塞主機或路由器并導致數據包丟失,沒有交換握手信息和序號的過程導致使用UDP實施欺騙比使用TCP簡單;用于交換消息的開銷比TCP小,適用于挑戰/響應類型的應用,如NFS,NTP,DNS(DNS也使用TCP)。
2.2網絡地址和域名管理
路由協議:一種在Internet上動態尋找恰當路徑的機制,是支撐TCP/IP、IPX/SPX、AppleTalk等協議工作的基礎,目的是實現網絡互聯。
非對稱路由(返回通道與發送通道不一致):
優點:起到負載均衡作用;
缺點:有多個防火墻時會引發安全問題。
寬松路由(loose source route):指定數據包必須經過的確切路由地址,根據RFC1122,目標主機必須使用逆通道作為返回路由,使得攻擊者可以假冒目標主機信任的任一主機。(最容易的攻擊方式)。
源路由欺騙:IP地址并非是出廠時就與MAC地址固定在一起的,攻擊者通過自封包和修改網絡節點的IP地址冒充某個可信節點的IP地址。
源路由攻擊:獲取TCP序列號進行序號攻擊。
防范:①拒絕接收含有源路由功能的數據包,關閉主機和路由器上的源路由功能;②拋棄由外部網進來卻聲稱是內部主機的報文。
RIP路由信息協議:動態路由選擇,用于自治系統內的路由信息的傳遞,基于距離矢量算法,使用跳數衡量到達目標地址的路由距離,只與15跳以內的路由器交換信息。
安全缺陷:①通過RIP數據包注入,若攻擊主機比真正的源點主機距離更近則可能改變數據流方向;防范:采用備份路由/使用hopcount站計數衡量路徑長短②有些實現方案可以接收特定主機的路由,使檢測更加困難。
DNS域名系統:分布式數據系統,實現域名到IP之間的相互映射。
安全威脅:
①DNS欺騙:DNS的查詢請求基于UDP,客戶端對DNS應答包僅通過隨機發生的查詢ID和UDP端口號驗證,且只接受首先到達的應答包,為DNS欺騙提供了機會。
步驟:1)Arp欺騙。欺騙者向用戶發送偽造的arp應答報文,更新用戶本地的arp緩存,使用戶認為欺騙者為網關。這樣,在用戶向本地DNS服務器發送請求時,數據的流向就改為用戶—欺騙者—網關—本地DNS服務器。欺騙者通過sniffer軟件,嗅探到DNS請求包的ID和端口號。2)欺騙者利用得到的ID和端口號,優先向用戶發送偽造DNS應答,用戶在對ID和端口號進行核對后認為是正確的應答。此時用戶訪問的域名已經被替換為欺騙者偽造的IP。3)本地DNS服務器發送的真的DNS應答包因為晚于偽造包,用戶收到后丟棄。(前提:攻擊者與用戶處于同一局域網)
*不滿足前提時,攻擊者對DNS緩存進行攻擊(如生日攻擊),使DNS緩存中毒。
②分布式拒絕服務攻擊DDos:攻擊者通過龐大的被控主機群向目標DNS服務器發送DNS查詢請求,使其過載以及網絡線路堵塞。
③DNS軟件漏洞攻擊:Dos攻擊(發送特定數據包請求使BIND自動關閉無法應答)、緩沖區溢出攻擊(利用DNS軟件對輸入的請求字符串不做嚴格檢查的安全漏洞,構造特殊數據包使緩沖區溢出后執行特殊代碼獲取控制權)
④管理缺陷
防范措施:防范ARP攻擊、采用UDP隨機端口、建立靜態IP映射、運行最新版本BIND、限制查詢、利用防火墻、利用交叉檢驗、利用DNSsec機制、TCP區轉移。
DNSsec機制:兼容現有協議的基礎上引入加密和認證體系,允許校驗應答信息的可靠性。
NAT網絡地址轉換協議:將私有(保留)地址轉換為合法IP地址的轉換技術,解決了IPv4地址短缺的問題,有效避免來自網絡外部的攻擊,隱藏并保護網絡內部的計算機。
安全威脅:①不能與加密協調工作,不能對加密的應用數據流進行檢查;②與IPsec沖突。③單點攻擊:SYN flood/Ping flood。
2.3電子郵件協議
SMTP簡單郵件傳輸協議:最常用,使用25號端口。
安全威脅:①主叫方通過命令指定一個返回地址,本地主機無法驗證正確性(無法確認發信人);②可能成為Dos攻擊的工具攻擊郵件服務器;③最常見的實現方案Sendmail中包含很多C代碼并常以root用戶權限工作造成安全漏洞,可能會被網絡蠕蟲利用;④開放中繼允許任何人之間進行郵件傳遞造成危險,比如收到垃圾郵件(使用郵件托付mail submission認證功能拒絕接受開放中繼);⑤垃圾郵件spam;
POP3郵局協議:規定如何將個人計算機連接到網絡郵件服務器上來下載郵件。使用110端口。
安全威脅:口令以明文傳輸或以明文形式存儲在服務器上;POP3服務器軟件在認證結束前以root權限運行,給服務器帶來風險。
IMAP消息訪問協議:一種郵件獲取協議,支持摘要瀏覽、選擇性下載附件、支持離線閱讀,運行在TCP/IP協議之上,使用143號端口。
不足:挑戰/響應機制使用了一個共享密鑰且必須存儲在服務器上;協議復雜度太高。
MIME多用途網際郵件擴充協議:服務器通過說明MIME類型通知接收方/瀏覽器發送的多媒體數據類型。
安全威脅:①缺少MIME可能引起計算機崩潰;②MIME編碼消息可能帶有攻擊代碼;③MIME分段攻擊;④郵寄可執行程序和含有危險動作的PostScript文件,其中蠕蟲和病毒傳播的主要根源就是通過電郵發送可執行程序,或者發送含有偽造的“From:”命令行的MIME信息。
3.數字證書與公鑰基礎設施
PKI(Public Key Infrastructure)即提供安全服務的公鑰基礎設施,目的是從技術上解決網上身份認證、電子信息的完整性和不可否認性等安全問題為網絡應用提供可靠的安全服務。PKI是遵循標準的密鑰管理平臺,提供密鑰和證書管理。組成包括:證書機構CA(發放和管理數字證書)、注冊機構RA(對證書申請進行資格審查)、證書發布庫(存放頒發證書與證書撤銷列表供公眾查詢)、密鑰備份與恢復(僅針對加/解密密鑰)、證書撤銷、PKI應用接口
PKI的應用:①認證服務(身份識別與認證)②數據完整性服務(使用數字簽名確認數據沒有被修改過)③數據保密性服務(“數字信封”機制:使用接收方的公鑰加密對稱密鑰)④不可否認服務(從技術上保證實體對行為的認可,主要是數據來源、接收與接收后的不可否認性)⑤公證服務(數據認證:有效性和正確性)。
數字證書:是一個用戶的身份與其所持有的公鑰的結合,由證書機構CA對證書進行數字簽名證明有效性。
生成參與方:參與方:最終用戶、RA(簽發、維護、撤銷)、CA(接收和驗證最終用戶的信息、為最終用戶生成密鑰、接收和授權密鑰備份與恢復請求、接收與授權證書撤銷請求);
生成步驟:密鑰生成-注冊-驗證-證書生成;
屬性證書AC:結構與數字證書相似,不包含用戶的公鑰而是在實體及其一組屬性之間建立聯系,在授權服務中控制對網絡、數據庫等的訪問和對特定物理環境的訪問。
PKI實例:PKI/CA認證系統=簽發系統Authority+密鑰管理中心系統KMC+申請注冊系統RA+證書發布系統DA+在線證書狀態查詢系統OCSP.
PMI權限/授權管理基礎設施:屬性證書AC、屬性管理機構/屬性權威AA、屬性證書庫等的集合體。以向用戶和應用程序提供權限管理和授權服務為目標。主要負責向業務應用系統提供與應用相關的授權服務管理,提供用戶身份到應用授權的映射功能,實現與實際應用處理模式相對應的、與具體應用系統開發和管理無關的訪問控制機制,極大簡化了應用中訪問控制和權限管理系統的開發與維護,減少管理成本和復雜性。
PKI與PMI的區別:PMI主要進行授權管理,證明“你能做什么”;PKI主要進行身份認證,證明“你是誰”。
實現PMI的機制:
①基于Kerberos:基于對稱密碼技術,但不便于密鑰管理和單點失敗的問題,最適用于大量的實時事務處理環境中的授權管理。
②基于策略服務器概念:有一個中心服務器用來創建、維護和驗證身份、組合角色,便于實行單點管理,但易形成通信瓶頸,最適用于地理位置相對集中的實體環境,具有很強的中心管理控制功能。
③基于屬性證書:分布式解決方案,具有失敗拒絕的優點,但性能不高,適用于支持不可否認服務的授權管理。
PMI模型:目標+權限持有者+權限驗證者。
4.密鑰管理
25. 密鑰管理:處理密鑰從產生到最終銷毀的整個過程中的有關問題,包括系統的初始化及密鑰的產生、存儲、備份/恢復、裝入、分配、保護、更新、控制、丟失、撤銷和銷毀等內容。
26. 密鑰管理中的常見威脅:①秘密鑰的泄露;②密鑰的確證性(authenticity)的喪失,即共享或關于一個密鑰的實體身份的知識或可證實性;③密鑰未經授權使用。
27. 密鑰種類:
①基本密鑰/初始密鑰/用戶密鑰Kp:在較長時間內由一對用戶專用的秘密鑰,可與會話密鑰一起控制密鑰產生器,產生用于加密數據的密鑰流。
②會話密鑰/專用密鑰Ks:通信雙方在一次通話或數據交換時用的密鑰,保護數據時為數據加密密鑰,保護文件時為文件密鑰,時間短暫。
③密鑰加密密鑰/次主密鑰/輔助(二級)密鑰/密鑰傳送密鑰Ke:對密鑰加密時采用的密鑰,每節點應互不相同。
④主機主密鑰Km:對密鑰加密密鑰進行加密的密鑰。
密鑰產生方式:
? 理想的主機密鑰:隨機性、不可重復性、不可預測性;
? 密鑰加密密鑰:安全算法、二極管噪聲產生器、偽隨機數產生器;
? 會話密鑰、數據加密密鑰:安全算法。
密鑰分配:研究密鑰的分發和傳送問題,使用一串數字或密鑰對通信雙方所交換的秘密信息進行加密、解密、傳送等操作以實現保密通信或認證簽名等。
秘密信息共享的三種方法:
①利用安全信道實現密鑰傳遞;
由通信雙方直接面議或通過可靠信使傳遞密鑰,成本高,保證及時性和安全性,偶爾出現丟失、泄密。可采用分層方式即信使只傳送密鑰加密密鑰,或將密鑰拆分傳送,或使用主密鑰對會話密鑰加密。
②利用雙鑰體制建立安全信道傳遞;
運算量大,不適合用于實時數據加解密,適合用來進行密鑰分配。一公一私,發送方使用公鑰對會話密鑰加密,收方收到密文后使用私鑰解密可得會話密鑰。公鑰可通過驗證接收方的數字證書獲得。
③利用特定物理現象(如量子技術)實現密鑰傳遞。
量子密碼不可竊聽、不可破譯。
密鑰分配的基本工具:認證技術(保障)、協議技術(流程)。
密鑰分配的基本模式:
①點對點分配:每對用戶共享一個密鑰,N個用戶需要N(N-1)/2個密鑰。只適用小型網。
②中心化密鑰管理:將一個可信的聯機服務器作為密鑰分配KDC或轉遞KTC中心。各用戶只需保存一個與KDC或KTC共享的長期密鑰。
可信第三方TTP:
①參與方式:協調(中間人,為AB通信提供實時服務AB屬于不同安全區域時尤為重要)、聯機(實時參與AB每次協議的執行,不必參與通信)、脫機(不實時參與AB的協議,而是預先向AB提供雙方執行協議所需信息,對計算資源要求低,但撤銷權宜時不方便證書發放管理機構常采用此種方式)。
②其他功能:密鑰服務器(KDC/KTC);密鑰管理設備;密鑰查閱服務;時戳代理;仲裁代理;托管代理。
密鑰交換協議:
①單鑰體制的密鑰建立協議:分為密鑰傳輸協議與密鑰協商協議。兩方用戶都分別與密鑰分配中心KDC(即Trent)共享一個密鑰。
缺點:協議安全性完全依賴Trent的安全性;Trent可能成為影響系統性能的瓶頸;Trent出現故障會影響整個系統的正常工作。
②雙鑰體制的密鑰交換協議:公鑰+會話密鑰,雙方公鑰存放在數據庫中。
缺點:中間人攻擊(Men-in-the-middle Attack),竊聽、修改、刪除消息,或截獲數據庫查詢指令,或進入數據庫修改雙方公鑰。之所以有效,是因為AB無法驗證他們正在與另一方會話。
③聯鎖協議Interlock:一半密文既不可解密,也不可重新加密,可有效抵擋中間人攻擊。
④采用數字簽名的密鑰交換:可信實體Trent對雙方公鑰進行數字簽名,簽名的公鑰包含在數字證書中。可有效防止假冒攻擊(攻擊者無法獲得雙方的私鑰),防止中間人攻擊(攻擊者無法獲得Trent的私鑰)。
⑤密鑰和消息廣播:發送者使用隨機數作為會話密鑰對消息進行加密,從數據庫中得到接收方的公鑰并對加密后的信息再次加密,發送方廣播加密的信息和所有加密的密鑰。可以在存儲轉發網絡上實現,且服務器不必是安全可信的。
⑥Diffie-Hellman密鑰交換協議:安全性建立在計算離散對數難題的基礎上,但無法抵抗中間人攻擊,因為沒有對通信雙方的身份進行認證。
認證的密鑰交換協議:將認證與密鑰建立結合。
密鑰認證是為了確保自己是和安全的一方通信,而不是和中間人通信。包括隱式密鑰認證、密鑰確證、顯式密鑰認證。
分類:
①基于單鑰體制的密鑰交換協議:大嘴青蛙協議、Yahalom協議、NeedhamSchroeder協議、Otway-Rees協議、Neuman-Stubblebine協議、Kerberos協議。
②基于雙鑰體制的密鑰交換協議:如Diffie-Hellman協議
③基于混合體制的密鑰交換協議:如DASS協議、Denning-Sacco協議、Woo-Lam協議、EKE協議;
e.g:Kerberos協議:AB各與Trent共享一個密鑰,采用時戳技術保證消息新鮮性;AB 通信的會話密鑰由A產生。運行前提是每個用戶必須具有與Trent同步的時鐘,通過設立有效時間間隔,可檢測到重放攻擊。
EKE加密密鑰交換協議:既采用單鑰又采用雙鑰,采用共享密鑰對隨機生成的公鑰加密,通信雙方可實現相互認證并共享一個會話密鑰K。
選用/設計協議需考慮的因素:認證的特性、認證的互易性、密鑰的新鮮性、密鑰的控制、有效性、第三方參與、是否采用證書、不可否認性。
密鑰的保護、存儲與備份:
保護:保證環境安全、密鑰不能以明文形式出現。
①終端密鑰的保護:使用二級通信密鑰(終端主密鑰)對會話密鑰進行加密保護,終端主密鑰存儲于主密鑰寄存器中,由主機對各終端主密鑰進行管理。
②主機密鑰的保護:主密鑰原則
③密鑰分級保護管理法:
存儲:保證密鑰的機密性、認證性、完整性,防止泄露與被修改。
備份:安全員保管、共享密鑰協議。
密鑰的泄露、撤銷、過期與銷毀:
泄露與撤銷:一旦泄露要及時撤銷。補救方法是及時更換密鑰。
有效期:①短期密鑰:如會話密鑰(至少一天一換)
②長期性密鑰:如密鑰加密密鑰(一月或一年一換)
③用于加密數據文件或存儲數據的密鑰不能經常更換
④公鑰密碼的秘密密鑰由具體應用確定,一般以年計,過期密鑰也要保留。
銷毀:舊密鑰要及時銷毀,碎紙機、多次重寫、自毀裝置。
5.防火墻原理與設計
防火墻:由軟件和硬件組成的系統,處于安全的網絡和不安全的網絡之間,根據系統管理員設置的訪問控制規則對數據流進行過濾。
? 不足:防外不防內;繞過防火墻的連接無效;必須允許重要的服務通過,也為攻擊預留了通道。
? 設計要求:
a) 所有進出網絡的數據流都必須通過防火墻;
b) 只允許經過授權的數據流通過防火墻;
c) 防火墻自身對入侵是免疫的。
d) 與防火墻的功能實現不相干但又可能給防火墻自身帶來安全威脅的網絡服務和應用程序應當從防火墻中剝離出去。如NIS\rlogin
?
?
? 包過濾-電路級網關-應用級網關-狀態檢測-內核代理結構/自適應代理。
? 分類:
根據過濾層次:包過濾防火墻、電路級網關防火墻、應用級網關防火墻。
*防火墻通常建立在TCP/IP模型基礎上。
*防火墻工作的層次越高,檢查數據包中的信息越多,工作周期越長,安全保護等級越高。
40. 靜態包過濾防火墻:采用路由器上的過濾模塊實現,無需采用專門設備,低開銷,每個網絡入口都可配備。
a) 工作原理:對兩個方向的每一個數據包根據一組過濾規則對數據包中IP頭和協議頭等特定域(數據源地址、目的地址、源端口號、目的端口號、應用或協議)進行檢查和判定從而進行過濾。工作于網絡層。
b) 實現的三個功能:①接收到達的每個數據包;②對數據包采用過濾規則;③若無規則與數據包頭信息匹配,則對包施加默認規則。
c) 訪問控制規則庫:將特定域與規則逐條比較;默認規則包括允許一切或拒絕一切;可規定拒絕或接收發往/來自某特定IP地址或地址范圍的數據包;可規定拒絕或接收發往/來自某特定服務端口的數據包。
d) 配置步驟:明確企業網絡的安全策略;用邏輯表達式表示數據包的類型;語法重寫。
e) 安全威脅:
①檢查是按順序進行的,所以過濾規則順序極其重要;
②無法識別偽造IP地址,可能受到IP地址欺騙攻擊;
③不檢查數據包的凈荷部分,可能遭受隱信道攻擊;
④沒有狀態感知能力,不能動態打開端口。
f) 優缺點:網絡性能影響小,成本低;
安全性低,缺少狀態感知能力,創建訪問控制規則比較困難。
41. 動態包過濾防火墻:根據當前網絡狀態檢查數據包,兼具安全性和透明性,所有客戶端軟件不加修改即可工作,過濾規則表動態化。
a) 工作原理:具有狀態感知能力,工作在網絡層/傳輸層,既對數據包頭信息進行檢查(與靜態包過濾原理一致),又可對連接進行處理,能感知新建連接與已建連接的區別,若某包與外出數據包有相同連接,則無需檢查直接放行。可處理TCP和UDP協議。
b) 特點:①面向連接;②將連接狀態記錄于RAM表單,后續數據包與RAM表單比較,在系統內核層實現;
c) 實現方式:動態改變規則集;模仿電路級防火墻。
d) 安全性討論:
①FTP數據通道的安全性,要對21號端口(FTP命令通道)進行特別處理;
②具有性能差異。來源1.是否支持對稱多處理技術2.建立連接的方式;
③有些防火墻不滿足三步握手協議,接收第一個SYN數據包時就打開新連接,使服務器易受偽裝IP地址攻擊,如單數據包攻擊(如LAND、PING OF DEATH、Tear Drop)。
e) 優缺點:網絡性能影響小,安全性優于靜態包過濾,狀態感知帶來性能提升;
檢查字段有限,不檢查凈荷,易受偽裝IP地址欺騙,創建規則較難,不一定遵循TCP三次握手協議而引入風險。
42. 電路級網關:又名線路級網關,類似中繼計算機的作用,作為服務器接收外來請求,有內部主機請求訪問外部網絡時充當代理服務器。當有效連接建立后僅進行轉發不再過濾。如SOCKS(其實是一種網絡代理協議)。
a) 工作原理:是包過濾防火墻的擴展,工作在會話層。除了基本的包過濾檢查,還增加了對連接建立過程中的握手信息及序列號合法性的驗證。
①阻止了IP數據包端到端的流動;②IP層存在的碎片攻擊、firewalking等問題都會在中繼主機上終結;③在兩個無任何IP連通性的網絡之間架起了一道橋梁;④一般可直接建立電路連接,有時需要網關協助。
b) 處理過程:接收-檢查更多字段-處理。
c) 安全性討論:
①對網絡性能影響較小;
②一旦建立連接,任何應用均可通過連接運行,缺少對數據包內容的過濾。
d) 優缺點:對網絡性能有一定程度的影響,切斷了外部網絡到防火墻后的服務器的直 接連接,比包過濾防火墻具有更高的安全性;不能對數據凈荷進行檢測,無法提供應用級的安全保障,當增加新的內部程序或資源時,需要對網關代碼進行修改
43. 應用級網關:只對特定服務的數據流進行過濾,為特定的應用服務編寫特定的應用代理即“服務代理”。
a) 工作原理:截獲進出網絡的數據包,運行代理程序來回復制和傳遞通過網關的信息,起代理服務器的作用,避免直接連接。
b) 與電路級網關的差別:代理針對應用;在應用層對整個數據包進行檢查。
c) 工作原理:運行的代理程序對數據包進行逐個檢查和過濾而不再只是簡單復制;對應用協議中的特定信息或命令進行過濾,即關鍵詞過濾或命令字過濾;采用“強應用代理”技術。
d) 特點:在更高層上過濾信息,自動創建必要規則,因此更易配置;對真個數據包進行檢查;缺乏對新應用、協議的支持。
e) 安全性討論:
①檢查內容更多,更復雜;
②不是采用通用機制處理數據包,而是采用特定的代理程序處理特定應用服務的數據包;
③容易記錄和控制所有進出網絡的數據流;
④需要編寫專門的用戶程序或用戶接口,只支持重要服務,范圍有限;
⑤不適合復雜網絡環境,若高并發、大流量可能會擁塞或死機;
⑥可以解決IP地址缺乏的問題,運行的FTP代理程序可以傳輸文件。
f) 優缺點:安全性高、認證功能強大、日志功能強大、規則配置簡單;
靈活性差(一個代理for一個應用)、代理配置繁瑣、性能瓶頸。
44. 狀態檢測防火墻:基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個數據流的整體看待,構成連接狀態表。通過狀態表和規則表的配合對表中的各個連接狀態因素加以識別。多數只工作于網絡層。
a) 工作原理:
①通信信息:即所有7層協議的當前信息。分析多層標志,在所有層上進行過濾,安全性更全面;
②通信狀態:即以前的通信信息。無需事先打開端口,對于無連接的協議如UDP,RPC將創建虛會話信息進行跟蹤;
③應用狀態:即其他相關應用的信息。理解和學習各種協議和應用以支持最新應用,從應用程序中收集狀態信息存入狀態表以做檢測策略;
④操作信息:即在數據包中能執行邏輯運算或數學運算的信息。面向對象,基于多方面因素,利用靈活表達式形式構造策略規則;
b) 安全性討論:
①有的狀態檢測防火墻不能對內部主機發出的數據包的序列號進行檢測,內部主機可偽裝成其他主機的IP;
②仍采用C/S模式,在應用層上截獲和檢查每個數據包,但影響防火墻性能;
③依賴引擎中的算法識別和處理應用層數據。
c) 優缺點:具有動態包過濾的所有優點且更安全,提供集成的動/狀態包過濾功能,以動態包過濾模式運行時速度很快,采用SMP兼容更快;
采用單線程進程對性能影響很大,沒有打破C/S模式產生安全風險,依賴于Inetd進程,并發連接數受到極大限制。
45. 切換代理Cutoff Proxy:動/狀態包過濾與電路級代理的結合。分為兩個階段:連接建立和連接完成。建立階段-電路級代理-會話層;完成階段-動態包過濾-網絡層。
a) 與電路級代理區別:切換代理無法打破C/S模式。
b) 優缺點:對網絡性能影響比電路級網關小,對三次握手進行驗證降低IP欺騙風險
未打破C/S模式,具有動態包過濾的缺陷,不檢查數據包凈荷,難于創建規則,安全性不及電路級網關。
6.入侵檢測系統
46. 入侵檢測概述:入侵包括攻擊者非法取得系統控制權、收集系統漏洞信息并由此對系統造成危害的行為。入侵檢測是對企圖入侵、正在進行的入侵或已經發生的入侵行為進行識別的過程。
47. IDS的任務:
①信息收集(探測、收集用戶在網絡、系統、DB及應用系統中活動的狀態和行為);
②信息分析(對信息進行模式匹配、統計分析和完整性分析)
③安全響應(發現入侵行為后進行響應)
48. IDS的主要功能:對防火墻進行合理補充。包括網絡流量的跟蹤與分析、已知攻擊特征的識別功能、異常行為的分析統計與響應功能、特征庫的在線和離線升級功能、數據文件的完整性檢查功能、自定義的響應功能、系統漏洞的預報警功能、IDS探測器集中管理功能。
49. IDS的評價標準:性能測試(高負載下的運行情況)、功能測試(擴展性、可定制、完備性)、用戶可用性測試。
50. IDS通用模型:數據收集器/探測器+檢測器/分析器/檢測引擎+知識庫+控制器。
51. 入侵檢測原理及主要方法:
①異常檢測:基于行為,識別主機或網絡中的異常行為。基于“攻擊與正常活動具有明顯差異”的假設。方法:統計異常檢測法、特征選擇異常檢測法、基于貝葉斯推理/網絡異常檢測法、基于模式預測異常檢測法。
②誤用檢測:基于知識,基于“所有入侵行為和手段都能表達為一種模式或特征“的假設。方法:基于條件的概率誤用檢測方法、基于專家系統誤用檢測方法、基于狀態遷移分析誤用檢測方法、基于鍵盤監控誤用檢測方法、基于模型誤用檢測方法。
③其他技術:
基于概率統計的檢測:最常用,對用戶歷史行為建立模型,如IDES;
基于神經網絡的檢測:不成熟,對基于概率方法進行改進,訓練困難;
基于專家系統的檢測:基于由專家經驗事先定義的規則的推理系統,不全面、效率低;
基于模型推理的檢測:為某些行為建立模型,為不同攻擊者和系統建立特定攻擊腳本;
基于免疫的檢測:吸取自然免疫系統的特征,使系統適應性、自我調節、可擴展;
新:適用數據挖掘技術、移動代理技術。
52. IDS的體系結構:
組件劃分:事件(網絡數據包、日志)、事件產生器、事件分析器、響應單元、事件數據庫。
功能結構:事件提取、入侵分析、入侵響應、遠程管理。
53. IDS分類:
①按數據來源:
基于網絡的IDS(快、不易受攻擊、資源消耗少、誤報率高)、基于主機的IDS(誤報少、實時性差)、分布式IDS。
②按入侵檢測策略:
濫用檢測(減少系統負擔、需要不斷升級)、異常檢測(可檢測未知入侵、易誤報漏報、不適應用戶行為突然改變)、完整性分析(只要攻擊導致改變都能發現、采用批處理實時響應性差)
54. IDS的前沿技術:
①NIDS: 基于網絡,根據網絡流量、網絡數據包和協議來分析入侵檢測。
常用技術:模式、表達式或字節匹配,頻率或穿越閾值,低級事件的相關性,統計學意義上的非常規事件檢測。
優點:成本低,攻擊者轉移證據困難,實時檢測和響應,能檢測未成功的攻擊和企圖,操作系統獨立。
關鍵技術:IP碎片重組(先重組再檢測,避免碎片攻擊)、TCP流重組(重組通過TCP連接交換的數據)、TCP狀態檢測(避免基于規則的誤報,有效避免stick攻擊)、協議分析(利用協議的有序性,根據協議到固定位置取值,假如狀態特性分析即為狀態協議分析,提高性能、準確性、反規避能力)、零復制(采用DMA數據傳輸技術和內存區域映射技術減少數據復制次數,實現CPU零參與,解決“抓包”瓶頸)、蜜罐(吸引潛在攻擊者的陷阱,收集分析現有威脅的信息)。
②HIDS:基于主機,檢測系統文件、進程和日志文件尋找可疑活動。
特點:監視特定的系統活動,適用于加密和文件交換,近實時的檢測和應答,不需要額外的硬件。
關鍵技術:文件和注冊表保護、網絡安全防護、IIS保護(針對HTTP請求、緩沖區溢出、關鍵字和物理目錄)、文件完整性分析。
③DIDS:由數據采集構件、通信傳輸構件、入侵檢測分析構件、應急處理構件和用戶管理構件組成。
55. IDS發展方向:寬帶高速實時檢測技術、大規模分布式檢測技術、數據挖掘技術、更先進的檢測算法、入侵響應技術。
7.VPN技術、身份認證、網安新技術
56. VPN基礎概念:
①概念:(virtual private network)將物理上分布在不同地點的網絡通過公用網絡連接而構成邏輯上的虛擬子網。
②特點:費用低,安全保障,服務質量保證,可擴充性和靈活性,可管理性。
③分類:
根據訪問方式:移動用戶遠程訪問VPN連接(鏈路上的第一個數據包總是由遠程訪問客戶機提出);網關-網關VPN連接(鏈路兩端分別是專用網絡的兩個不同部分)。
④關鍵技術:隧道技術(在公用網使用隧道協議建立一條數據通道傳輸數據包)、加解密技術(加解密認證信息和通信數據等)、密鑰管理技術(保證密鑰在公用數據網行安全傳遞)、身份認證技術、訪問控制。
57. 隧道協議:對數據包添加報頭進行封裝(或封裝后加密)的規則協議。分為兩類:
①第二層隧道協議:對數據鏈路層(OSI第二層)的數據包進行封裝,主用于構建遠程訪問VPN,如PPTP、L2TP、L2F.
特點:簡單易行,但擴展性不好;沒有提供內在的安全機制,不能提供企業和外部客戶及供應商之間會話的保密性要求。
②第三層隧道協議:對網絡層(OSI第三層)的網絡協議數據包進行封裝,主用于構建LAN-to-LAN型網關,如IPSec、GRE、多協議標記交換MPLS。
58. 常見的VPN類型:
1)IPSec VPN:在IPv6協議制定時產生,對IP數據包進行加密和認證。包括AH(認證首部協議,只涉及認證,抵御中間人攻擊與IP數據包重放攻擊)、ESP(封裝安全負荷協議,主要負責加密IP數據包)、IKE(密鑰交換協議,動態建立安全關聯)。面向企業。
工作模式:隧道模式(對整個IP數據包進行加密或認證)、傳輸模式(只對IP數據包凈荷進行加密或認證)。
構成:管理模塊、密鑰分配和生成模塊、身份認證模塊、數據加/解密模塊、數據分組封裝/分解模塊、加密函數庫。
特點:成本高,需要在每臺計算機上配置相應的安全策略。
2)SSL/TLS VPN:傳輸層安全協議VPN,TLS(即SSL)協議主要用于HTTPS協議。
特點:用戶不需安裝和配置客戶端軟件,只需安裝一個瀏覽器;允許使用數字簽名和證書,提供強大認證功能。面向用戶。
原理:采用HTTP反向代理,通過web瀏覽器訪問,即插即用,連接TLS服務器。
所需協議:握手協議(建立在可靠的傳輸協議上,為高層協議提供數據封裝、壓縮和加密等功能,主要用于會話參數加密)、TLS記錄協議(建立在TCP/IP之上,用于在實際數據傳輸開始前通信雙方進行身份認證、協商加密算法和交換加密密鑰)、警告協議(提示何時TSL協議發生錯誤或兩主機間的會話何時終止,TSL協議失效時才會被激活)。
優點:無需安裝客戶端軟件,適用大多數設備、操作系統,支持網絡驅動器訪問,無需對遠程設備或網絡進行改變,資源控制能力較強,費用低,安全性良好,可繞過防火墻和代理服務器進行訪問,加密內嵌于瀏覽器無需額外軟件。
缺點:認證方式單一,應用局限性大(僅適用于數據庫-應用服務器-web服務器-瀏覽器這一模式),僅對應用通道加密,不能對應用層消息數字簽名,不支持LAN-to-LAN,加密不如IPSec,不能保護UDP通道安全。
59. 身份認證:
系統組成:示證者P/申請者C、驗證者V、攻擊者、*可信者;
要求:正確識別的概率極大化、不可傳遞性、抗已知攻擊、計算有效性、通信有效性、秘密參數安全存儲、交互識別、第三方實時參與、第三方可信性、可證明安全性。
分類:身份驗證、身份識別。
實現途徑:所知Knowledge、所有Possesses、個人特征Characteristics。
60. 口令認證系統:
口令選擇原則:易記、難猜、抗暴力破解。
控制措施:抑制系統消息、限制試探次數、限定有效期、雙口令系統、限制最小長度、封鎖用戶系統、保護root根口令、系統生成口令。
檢驗方法:反應法(被檢口令與易猜測口令對比,如RPC、CRACK、OPUS,費時間,無法保障驗證之間的安全性)、支持法(用戶自選口令,系統檢驗安全性)。
安全存儲:一般方法(加密形式存儲口令或存儲口令的單項雜湊值)、UNIX系統中的口令存儲(口令+12bit填充后迭代加密25次輸出11字符密文)、用智能卡令牌Token產生一次性口令(本質由隨機數產生器生成,一般用于第三方認證,用戶需要輸入PIN,被截獲也難以使用)
61. 個人特征的身份證明:手寫簽字、指紋、語音、視網膜圖樣、虹膜圖樣、臉型;
設計考慮因素:安全設備的系統強度、用戶的可接受性、系統成本。
62. 黑客攻擊的主要技術:緩沖區溢出、木馬、計算機病毒(宏病毒和網絡蠕蟲)、分布式拒絕服務攻擊、窮舉攻擊(Brute Force)、Sniffer報文截獲。
63. 一次性口令認證:在登錄過程中加入不確定因素,通過某種運算(一般是單向函數如MD5、SHA)使每次登錄時用戶使用密碼都不同以抵御口令竊取和搭線竊聽攻擊。
現用方案:①挑戰/響應機制:客戶端將認證請求發往服務器得到挑戰值,使用令牌計算后得到一次性口令傳回服務器端進行認證;
②口令序列機制:使用單向函數計算n個數值按次序作為n次登錄的口令打印出來,僅支持服務器對用戶單方面認證,無法防范假冒服務器欺騙用戶,迭代到0或口令泄露系統必須初始化;
③時間同步機制:把當前時間作為不確定因素產生一次性口令,簡單方便,通信量小,要求時鐘偏差不能太大;
④事件同步機制:計數器同步機制,使用密鑰K和計數器數值+1作為雜湊函數的輸入。
實現步驟:①生成、存儲與發布數字證書(CA將數字證書發給用戶,服務器數據庫以
二進制格式存儲副本);
②發送用戶名和數字證書;
③服務器隨機生成挑戰值;
④用戶對隨機挑戰值簽名(用戶對挑戰值進行雜湊運輸再輸入口令打開私鑰文件
對其簽名,將簽名發送給服務器進行驗證);
⑤服務器向用戶返回相應消息。
總結
以上是生活随笔為你收集整理的网络安全(刘建伟/毛剑版本)重点整理/复试/期末的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 空间计量 python_stata进行空
- 下一篇: 当天剩余时间,当月剩余时间(秒数),用于