前言:本文用于网络安全课期末复习资料,都是从老师上课讲的ppt和课本总结的,可能不太全,后面有一部分习题(填空和简答)。如果需要word版可以找我要。
目录
知识点
信息安全属性
信息安全的属性:机密性、完整性、可用性。
机密性:对信息资源开放范围的控制。机密性是指保证信息与信息系统不被非授权者所获取与使用。
完整性:保证计算机系统中的信息处于“保持完整或一种未受损的状态”。完整性是指信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改。为确保数据的完整性,系统必须能够检测出未经授权的数据修改。其目标是使数据的接收方能够证实数据没有被改动过。
可用性:合法用户在需要的时候,可以正确使用所需的信息而不遭服务拒绝。可用性是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。
网络防御模型
网络防御模型:P2DR模型、APPDRR模型、网络加密模型。
P2DR模型包括四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)。
APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。
安全攻击分类:被动攻击、主动攻击。
被动攻击:对所传输的信息进行监听和监测,攻击者的目标是获得线路上所传输的信息。常见例子:窃听攻击、流量分析。
主动攻击:指恶意篡改数据流或伪造数据流等攻击行为。主要分为四类:伪装攻击、重放攻击、消息篡改、拒绝服务攻击。
防止重放攻击的方法:时间戳、序号、提问与应答。
网络攻击:攻击者利用网络通信协议设计上的缺陷、操作系统、应用软件或硬件设计上的漏洞、管理上的安全隐患等,通过使用网络命令、下载的攻击软件或攻击者自己编写的程序,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息(如特洛伊木马)等一系列过程的总称。
常见的网络攻击手段:阻塞类攻击、控制类攻击、探测类攻击、欺骗类攻击、漏洞类攻击、破坏类攻击。
阻塞类攻击通过强制占有网络连接资源、系统资源,使服务器崩溃或资源耗尽无法对外继续提供服务。
**拒绝服务攻击(DoS)**是典型的阻塞类攻击。
目的是使计算机或网络无法提供正常的服务。
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。
连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
控制类攻击是一类试图获得对目标机器控制权的攻击。
最常见的三种:口令攻击、特洛伊木马、缓冲区溢出攻击。
口令截获与破解:是最有效的口令攻击手段,下一步的发展应该是研制功能更强的口令破解程序。
木马技术目前重点研究更新的隐藏技术和秘密信道技术。
缓冲区溢出是一种常用的攻击技术,早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击,现在研究制造缓冲区溢出。
探测类攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。主要包括:扫描技术、结构刺探、系统信息服务收集等。
信息搜集:黑客完成入侵任务的第一步;在本阶段,黑客通过各种途径尽可能地搜集到与攻击目标相关的所有信息。
搜集内容包括:IP地址、地理位置、网络拓扑、用户列表、服务列表,甚至网络管理员的教育背景、家庭背景、作息时间等;以便对目标系统进行总体安全评估,进而拟定出目标系统可能存在的安全缺陷。
欺骗类攻击包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括:ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。
漏洞类攻击:外部攻击者主要利用系统提供的网络服务中的脆弱性进行攻击;内部攻击者主要利用系统内部服务及其配置上的脆弱性。
破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手段。
密码体制
密码体制(这个部分应该子在密码学复习),主要考查(能够判断是什么类型的加密):分为对称加密和非对称加密。对称加密:DES、AES;非对称加密:RSA;签名:RSA、DSA;消息认证。
数字证书与公钥基础设施(PKI)
PKI的基本概念:PKI(公钥基础设施 Public Key Infrastructure)是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。
PKI的目的:解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题,为网络应用提供可靠的安全服务。
PKI的任务:确立可信任的数字身份。
PKI的组成:证书机构、注册机构、证书发布库、密钥备份与恢复、证书撤销、PKI应用接口。
证书机构CA
负责发放和管理数字证书;提供网络身份认证服务、负责证书签发及签发后证书生命周期中的所有方面的管理;跟踪证书状态;在证书需要撤销时发布证书撤销通知;维护证书档案和证书相关的审计。
注册机构RA是数字证书注册审批机构,是认证中心的延伸。RA按照特定政策与管理规范对用户的资格进行审查,并执行“是否同意给该申请者发放证书、撤销证书”等操作。
证书发布库:用于集中存放CA颁发证书和证书撤销列表;支持分布式存放,以提高查询效率;LDAP目录服务支持分布式存放,是大规模PKI系统成功实施的关键,也是创建高效的认证机构的关键技术。
密钥的备份与恢复:密钥备份和恢复只能针对加/解密密钥,而无法对签名密钥进行备份。数字签名是用于支持不可否认服务的,有时间性要求,因此不能备份/恢复签名密钥。如果注册声明公/私钥对是用于数据加密的,则CA即可对该用户的私钥进行备份。当用户丢失密钥后,可通过可信任的密钥恢复中心或CA完成密钥恢复。
证书撤销:利用周期性发布机制,如证书撤销列表(CRL,Certificate Revocation List);在线查询机制,如在线证书状态协议(OCSP,Online Certificate StatusProtocol)。
PKI的应用:认证服务、数据完整性服务、数据保密性服务、不可否认服务、公证服务。
数字证书:一个用户的身份与其所持有的公钥的结合,由一个可信任的权威机构CA来证实用户的身份,然后由该机构对该用户身份及对应公钥相结合的证书进行数字签名,以证明其证书的有效性。
数字证书的标准:X.509。
注册机构:提供服务:接收与验证最终用户的注册信息、为最终用户生成密钥、接收与授权证书撤销请求
证书机构:负责签发证书。
数字证书的生成步骤:密钥生成、注册、验证、证书生成。
密钥生成:○1主体生成密钥对、○2注册机构为主体生成密钥对。
注册:主体将公钥与证明材料发送给注册机构。
验证:RA要求用户采用私钥对证书签名请求进行数字签名。RA生成随机数挑战信息,用该用户公钥加密,并将加密后的挑战值发送给用户。若用户能用其私钥解密,则验证通过。RA将数字证书采用用户公钥加密后,发送给用户。用户需要用与公钥匹配的私钥解密方可取得明文证书。
证书生成:RA将用户细节传递给证书机构、证书机构验证后生成数字证书、证书机构将证书发给用户、在CA维护的证书目录中保留一份证书记录。
交叉证书:首先,两个CA建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书﹐从而决定对方用户是否可信。
AC:属性证书(AC)是PMI的基本概念,它是权威签名的数据结构,将权限和实体信息绑定在一起。属性证书中包含了用户在某个具体的应用系统中的角色信息,
而该角色具有什么样的权限是在策略中指定的。
AA:属性证书的签发者被称为属性权威AA,属性权威AA的根称为SOA。
ARA:属性证书的注册申请机构称为属性注册权威ARA。
LDAP:用来存储签发的属性证书和属性证书撤销列表。
※防火墙
防火墙:指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一种访问控制设备。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略,控制(允许、拒绝、监测、记录)出入网络的信息流,且本身具有较强的抗攻击能力。
防火墙=过滤器+安全策略
目的:保护本地计算机或内网免遭来自外网的威胁和入侵
核心思想:在不安全的网际环境中构造一个相对安全的子网环境。
防火墙的三个区域:内网、外网、DMZ区。
内网(内联网):采用因特网技术构建的可支持企事业内部业务处理和信息交流的综合网络信息系统。
外网:一般指Internet网络。
内网是安全的(可信的)、外网是不安全的(扩展:不同安全域)
防火墙不能防止内部攻击和旁路攻击。
包过滤防火墙
包过滤技术:对数据包进行过滤(筛选),是最早、最基本的访问控制技术,又称报文过滤技术。
作用是执行边界访问控制功能。按事先定义的过滤规则(访问控制列表),检查每一个通过的网络包,执行(丢弃或放行)。
包过滤技术的工作对象是数据包。对TCP/IP协议族来说,包过滤技术主要对其数据包包头的部分字段进行操作。
包过滤防火墙的优缺点
优点:实现简单。在路由器上安装过滤模块实现;速度快。检查规则相对简单,耗时短,效率高,对用户性能影响小。
缺点:安全性差。过滤判断条件受限,前后报文和检测无关,安全性差;应用层控制能力弱;不能实现用户级控制。
※防火墙过滤规则(一定要会写)
例一
例二
规则集1:防火墙设备不允许任何人直接访问,也阻止防火墙直接访问其他设备
规则集2:允许信任网络向外的所有通信
规则集3:允许外部主机访问DMZ中WWW服务,并允许内部主机访问WWW服务