信息安全5 —— 网络安全

第五章 网络安全

5.1 常见的网络安全

1. 常见网络安全威胁

分类

类型	定义	攻击的安全要素
中断	攻击PC或网络资源，使其不可用或不能用	可用性
窃取	访问未授权的资源	机密性
篡改	接货并修改资源内容	完整性
伪造	伪造信息	真实性

1.1 APT

高级持续性威胁，利用先进的攻击手段和社会工程学方法，对特定目标进行长期持续性网络渗透和攻击。
三个阶段：攻击前准备，攻击阶段，持续攻击阶段

1.2 暗网

• 表层网络：4% ~ 20%
• 深网：普通搜索引擎无法抓取

1.3 网络监听

共享以太网才用的是广播通信方式，因此，网卡设置为“混杂模式”时，可以接受该网内的所有信息。

防范：加固系统；通信加密

检测：

• 反应时间判断：监听主机接受大量数据包，响应时间变化大
• DNS测试：监听主机通常会DNS反向解析
• 利用ARP数据包：向局域网内的主机发送非广播的ARP包，若某主机以自己IP来响应，可判断该主机处于网络监听模式。
• 使用反监听工具：例如Antisniffer

1.4 口令破解

类型：字典攻击，强行攻击（暴力），组合攻击

防范：高强度口令；定期更改；公共场合慎用；不通系统使用不同的口令

1.5 拒绝服务攻击

Dos，攻击者想办法让目标机器停止服务攻击或资源访问。

模式：

• 消耗资源：磁盘，内存，进程，带宽
• 篡改配置
• 物理破坏
• 利用处理程序错误：使其进入死循环

1. 服务端口令攻击：向主机开放的端口发送大量数据

（1）SYN Flood

解决：优化配置，减少等待市场，增加半连接队列长度，关闭不需要服务，

• 优化路由器配置
• 防火墙
• 使用流控设备

（2）Sumrf攻击，利用IP欺骗和ICMP回复
已免疫

（3）利用处理程序错误

• ping of death：大于65535的IP包，导致宕机或重启，已免疫。
• Teardnp
• winnuke，利用NetBIOS的漏洞
• Land

（4）电子邮件轰炸，对SMTP(25端口)的攻击方式，短时间发送大量无用的邮件，导致服务瘫痪。

2. DoS，DDoS，LDoS

1. DoS：利用大量合法请求占用大量网络资源

2. 分布式DoS：多个攻击源
   特点：

   • 被攻击主机有大量的TCP连接
   • 大量TCP,UDP数据分组，不是现有连接，而是机器任意端口
   • 大量无用包，原地址是假冒的
   • 大流量无用数据，造成网络拥塞
   • 利用服务和协议缺失，反复发送请求，造成无法及时处理

3. 低速率DoS

   最大特点：不需要维持高频率攻击，耗尽其所有可用资源，利用安全漏洞，间隔发送。
   防范：给予协议的防范，基于攻击流特征检测的防范。

1.6 漏洞攻击

• 缓冲溢出
• 系统漏洞

1.7 僵尸网络

较流行的方法：

• 使用蜜罐（多个蜜罐）技术
• 网络流量研究
• IPCserver识别技术

1.8 网络钓鱼

1.9 网络欺骗

常见：ARP 欺骗，DNS 欺骗，IP 欺骗，Web 欺骗，E-mail 欺骗

1.10 网站安全威胁

常见：

• SQL注入

• 跨站运动

• 旁注攻击：从服务器其他网站渗透。

  避免：提升同一个服务器上其他网站的安全性

• 失效的身份认证和会话管理

  失效：

  1. 区分公共区域和受限区域
  2. 对cookie内容进行加密
  3. 可以禁用和锁定账户
  4. 设置密码和会话有效期，并使用强密码

1.11 社会工程学

信息安全定义的社工是：使用非计算机手段得到敏感信息的方法的集合。

5.2 恶意代码

是指没有作用却会带来危险的代码，特点如下：

• 恶意的目的
• 本身是计算机程序
• 通过执行发生作用

病毒，木马，蠕虫，后门，广告软件~~~

1. 命名规则！！！

代码前缀. 代码名称. 代码后缀
重点必考：常见的前缀名，其中考的多是蠕虫病毒（Worm）、后门（Backdoor）、木马（Trojan）、宏病毒（Macro）和脚本病毒（Script），P156。

2. 计算机病毒

生命周期：潜伏、传播、出发、发作

引导过程：

1. 驻留内存
2. 取代或扩充原有功能，并且窃取系统控制权
3. 恢复系统功能

3. 蠕虫

借住程序自行传播

4. 木马

分类：正向连接木马和反向连接木马

5. 恶意代码防治

发现：

• 使用杀软查杀
• 分析启动项，进程，配置，日志等找到异常
• 分析系统异常点（CPU频率，网络利用率）从而发现异常

清除：

（1）停止其行为（包括停止进程、停止服务、卸载DLL等）

（2）删除恶意代码新建的文件（包括EXE，DLL驱动等）

（3）清理启动项

（4）清除被感染病毒的文件

6. 计算机取证

1. 电子证据：《民事诉讼法》中暂未考虑电子证据

2. 合法性认定，一下内容不合法，不予以考虑

   • 窃录所得
   • 非法搜查、扣押所得
   • 非核证程序所得
   • 非法软件所得

3. 步骤：准备工作 -> 保护计算机系统（保护现场） -> 确定电子证据 -> 收集电子证据 -> 保全电子证据

   注：保护现场时，关机的不开机，开机的不关机

4. 常用工具（略）

5.3 安全防御 P159

1. 安全扫描

漏洞扫描、端口扫描、密码扫描

2. 网络隔离

常见技术：

• 防火墙
• 多重安全网关
• VLAN划分
• 网闸：根据国家安全要求，涉密网络与非涉密网络互联时，需要进行网闸隔离；非涉密网络与互联网，单向网闸。非涉密网络与互联网不连通时，使用双向网闸。

3. 网络蜜罐

4. 匿名网络

TOR、时间攻击、通信流攻击

5. 网络存储与备份

• DAS
• NAS
• SAN：高可扩展性、高可用、简单管理，优化资源和服务共享

备份：全备份、差量备份、增量备份

注：必须备份在300km之外，不能再同一地震带，不嫩在同地区电网，不在同一江河流域。=> 异地容灾备份

5.4 安全设备

重要的有防火墙、入侵检测与入侵防护、VPN、网络协议分析工具等。

1. 防火墙

1.1 常见技术

• 包过滤防火墙：通过规则（ACL）来确定数据包是否通过
• 代理服务器防火墙：对第四层到第七层的数据进行检查。用户进过建立会话状态并通过认证及授权后，才能访问到受保护的网络。
• 基于状态检测的防火墙：检测每一个TCP、UDP之类的会话连接。其工作基于数据包、连接会话和一个基于状态的会话流表。

1.2 体系结构

• 内网
• 外网
• DMZ区：又称周边网络。从内网划分，用于给外网提供服务，eg：Web、FTP…

术语：堡垒主机、双重宿主主机

1.3 ACL

ACL：访问控制列表，控制进出数据包

分为：标准访问控制列表，扩展访问控制列表

默认执行顺序是自上而下，在配置时要遵循最小特权原则，最靠近受控对象原则和默认丢弃原则。

（1）标准ACL：基于IP地址，列表取值为1~99，分析包的源地址。

​ 配置：P166

（2）扩展ACL：

​ 配置：略。

1.4 基本配置

P168，以PIX为例：

4种模式：用户模式、特权模式、全局配置模式、监视模式

1. 配置防火墙接口
2. 配置接口参数
3. 配置接口地址
4. 配置公网地址范围和定义地址池
5. 地址转换（NAT）
6. 路由配置
7. 配置静态地址映射
8. 侦听

2. 入侵检测与入侵防护

2.1 入侵检测IDS

一般认为IDS是被动防护。

基本模式是PDR模型，最早提现主动防御思想的网络安全模型。包含：防护、检测、响应三个部分。

P^2DR是动态安全模型，还包含安全策略。

入侵检测系统的体系大致可以分为：

• 基于主机型
• 基于网络型
• 基于主体性

两个步骤：信息收集和数据分析

2.2 入侵防护IPS

可以识别潜在威胁并应对，一般认为IPS是动态保护。

3. VPN

虚拟专用网，在公网上简历专用网络的技术。

分为三种：

• 远程接入VPN
• 内部VPN
• 外联网VPN

组成三部分：客户机、传输介质和服务器

关键技术：隧道技术、加解密技术和身份认证技术

3.1 隧道技术

在公网简历虚信道，可建立在链路层和网络层

VPN主要隧道协议有：PPTP、L2TP、IPSec、SSLVPN、TLSVPN

• PPTP（点到点隧道协议）：第2层隧道协议
• L2TP：综合PPTP和L2F（第二层转发），第2层隧道协议
• IPSec：在隧道外再封装，保证传输安全，第3层隧道协议
• SSLVPN和TLSVPN：使用SSL和TSL，在传输层实现VPN，是第4层。SSLVPNyao 加密，所以比IPSec慢，但配置使用简单。

3.2 IPSec

​ Internet协议安全性（Internet Protocol Security ，IPSec），是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇。

​ 工作在TCP/IP的网络层。提供访问控制机密性，数据源验证，抗重放，数据完整性等多种安全服务。

​ IPsec是一个协议体系，由“建立安全分组流的密钥交换协议”和“保护分组流的协议”两部分。前者：IKE协议；后者：AH和ESP。

1. IKE协议

​ Internet密钥交换协议，IKE定义了自己的密钥交换方式（手工密钥交换和自动IKE）。由ISAKMP框架，OAKLEY密钥交换模式以及SKEME的共享和密钥更新技术组成。

2. AH

​ 认证头是IPSec体系主要协议，它位IP数据报提供完整性检查和数据源认证，并防止重放攻击。不加密，使用Hash函数。

3. ESP

​ 封装安全载荷，提供完整性认证和加密。

4. IPSec VPN应用场景

• 站点到站点：又称为网关到网关，多个异地机构利用运营商网络建立IPSec隧道，将各自内网联系起来。
• 端到端：PC到PC，两个PC之间由IPSec完成。
• 端到站点：两个PC之间的通信由网关和异地PC之间的IPSec会话完成。

5. 工作模式：传输模式和隧道模式

​ 传输模式下的AH和ESP处理后的IP头部不变，而隧道模式下处理后需要重新封装一个新的IP头。

​ AH：摘要

​ ESP：摘要，加密

3.3 MPLS （P173）

为了提高路由器转发速率，提出，思想：利用标签交换替代复杂的路由计算和交换。

属于二层和三层之间的协议，也称2.5层协议。（考试时候写2.5）

MPLS VPN承载亭台由P路由器和PE路由器和CE路由器组成。

5.4 网络协议分析和流量监控工具

1. 网络监控技术

• 基于硬件探针的监测
• 基于流量镜像的协议分析
• 基于SNMP的流量监测
• 基于NetFlow的流量监测

2. 协议分析

• 端口识别
• 深度包检测
• 深度流检测

3. 常见工具

Sniffer，wireshark，MRTG，NBAR

5.5 无线网络安全

2006年国家密码管理局要求无线局域网必须使用的密码算法有：

（1）对称密码算法：SM4

（2）秘钥协商算法：ECDH，必须采用指定的椭圆曲线和参数

（3）数字签名算法：ECDSA，同上

（4）杂凑算法：SHA-256

（5）随机数生成算法自行决定

1. WPKI：无线基础设施

​ WPKI采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书；采用证书管理公钥，通过第三方CA验证，从而实现信息的安全传输。

​ WPKI包含RA注册中心、CA认证中心、PKI目录、EE（端应用实体）

2. WEP

​ IEEE802.11b定义了无线网的安全协议WEB。WEP才用了RC4算法，使用40位或60位密钥。于2003年被淘汰。标准64位的密钥和初始向量位40位和24位。

3. IEEE 802.11i

包含WPA和WPA2，略

4. WAPI

无线局域网鉴别和保密基础（WAPI），中国无线局域网安全强制性标准（协议）。认证和私密性保护协议。

结合了椭圆曲线密码和分组密码，实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线下的加密保护。

5. 无线个域网安全

5.1 蓝牙安全

蓝牙安全体系结构的关键部分是安全管理器。

蓝牙设备和服务有几种不同的安全等级。

• 安全模式：无安全模式，服务级模式，链路级模式
• 设备信任级别：可信任设备，不可信任设备，未设
• 安全服务：需授权服务，需认证服务，需加密服务
• 密钥管理：单一密钥，组合密钥，主设备密钥，初始密钥
• PIN

5.2 ZigBee安全：双向无线通信安全

5.3 RFID安全

射频识别：无线通信技术，通过无线电信号识别，必须建立接触

存在三个方面的安全问题：

• 截获RFID标签
• 破解RFID标签
• 复制RFID标签

RFID系统的安全需求以下：

1. 授权访问
2. 标签的认证
3. 标签的匿名性
4. 可用性

5.4 NFC安全

近场通讯，非接触式点对点数据传输

6. 网络安全协议

常见的网络安全协议有：RADIUS、SSL、TLS、HTTPS 。。。

6.1 RADIUS

远程用户拨号认证系统是目前应用最广泛的授权，计费和认证协议。

过程略~

6.2 SSL\TLS

​ 安全套接字协议是一个安全传输、保证数据完整的安全协议，传输层安全TLS是SSL的非专有版本。提供秘密性、完整性、认证性服务。

1. SSL协议

SSL处于应用层和传输层，是一个两层协议。

其三个高层协议，SSL握手协议、SSL修改密文协议、SSL告警协议

2. 工作流程

6.3 HTTPS和S-HTTP

超文本传输协议，使用SSL来对信息内容进行加密，使用443端口。

安全超文本传输协议（S-HTTP），面向安全通信信息

S-HTTP可提供通信保密，身份识别，可信赖的信息传输服务及数字签名等。

6.4 S/MIME

S/MIME使用RSA、SHA-1、MD5等算法，是互联网E-mail格式标准MIME的安全版本。

用来支持邮件加密。基于MIME标准，S/MIME提供认证、完整性、保护、鉴定及数据加密等服务。