《CISP》（八）物理与网络通信安全

本系列是学习《CISP》中易混淆点的记录，文章顺序是按照教材讲解而定

一、OSI七层模型 开放系统互联模型

• 1 物理层
• 2 数据链路层
• 3 网络层
• 4 传输层
• 5 会话层
  允许不同主机中的应用程序进行绘画，建立虚连接。会话层管理进程，控制哪一方有权发送信息，哪一行必须接受信息
• 6 表示层
  以用户理解的格式向上层用户提供必要的数据
  可以提供加密解密
• 7 应用层

== tips:==
除了第五层（会话层）外每每一层均可以提供相应的安全服务

二、TCP/IP协议安全 4层

• 网络接口层
  目的：
  （1）为IP模块发送和接收IP数据包
  （2）为ARP地址解析协议模块发送ARP请求和接收ARP应答
  （3）为RARP逆地址解析协议发送RARP请求和接收RARP应答
• 互联网络层
  IP协议：提供主机到主机的数据传输服务
  没有差错控制，无法重发、流量控制
  IP欺骗、源路由欺骗、碎片攻击
• 传输层
  TCP：提供可靠的、面向连接的数据通信服务
  UDP：提供不可靠的、无连接的服务

UDP通常用于传输实时性要求较高的、对数据传输可靠性没有严格要求的数据

• 应用层
  电子邮件安全协议 S/MIME
  安全超文本传输协议 S-HTTP

三、无线局域网 WLAN

1、WEP 有限等效保密协议

在IEEE 802.11i协议之前，WEP是无线局域网安全性保护协议
提供：传输数据加密、接入认证

（1）开放式认证（空认证）

客户端发送一个认证请求信息，AP就回应一个认证成功消息，任何用户都可以认证成功
用户使用服务集标识符SSID识别AP，
SSID并非安全认证机制，仅仅用于表示不同的AP网段，
伪造SSID是针对无线局域网用户的典型攻击方式，攻击者将自己控制的AP设置为大量用户所熟知的SSID，用户接入这样的AP之后，通过这个AP发送的敏感数据就被攻击者部署的嗅探器获取

MAC地址过滤
只有注册了MAC的STA才能关联至AP，要求AP在本地或源端服务器上建立MAC地址控制列表，MAC地址不在列表中的STA不允许访问网络资源

不能真正实现有效的访问控制，因为MAC地址在帧首部以明文形式传输，非授权用户可以在监听到一个合法用户的MAC地址后，通过改变其MAC地址获得资源访问权限

（2）共享密钥认证

需要AP和客户端STA工作站预先共享一个密钥，但是很容易被破解

WEP使用静态密钥加密所有通信，通过简单级联初始化向量IV和密钥形成终止，以明文方式发送IV，使用RC4加密算法（流密码）

两种认证都是：单向认证，没有认证AP的合法性，不能实现访问控制

2、WPA与WPA2

（1）简介

WEP在认证、加密、密钥管理无法满足WLAN安全保护要求
Wi-Fi联盟在802.11i标准草案的基础上制定了WPA标准
2004年正式发布802.11i 也就是WPA2

加密算法：基于AES的CCMP
使用基于端口访问控制的802.1X协议进行身份认证和密钥管理
临时密钥完整性协议TKIP（采用RC4作为加密算法）
计数器模式
密码块链消息认证码协议CCMP

（2）802.11i的四个运行阶段

1. 发现AP
2. 802.1X认证
   使用802.1X协议实现用户认证和密钥管理
   802.1X本身是一个框架，采用IETF制定的可扩展认证协议EAP作为核心协议
   EAP是一种框架协议，可以适用于不同链路层类型：EAP over LAN…
   802.1X基于端口实现网络访问控制，申请者与认证者之间使用EAP over LAN，认证者与认证服务器之间通过网络协议RADIUS
3. 密钥管理
4. 安全数据传输
   两种：TKIP、CCMP

四、蓝牙安全

拒绝服务攻击、窃听、中间人共计、职能制篡改、资源滥用…

五、射频识别 RFID安全

六、典型网络攻击

1、欺骗攻击

• IP欺骗
  向目的主机发送源地址为已经建立信任关系主机的IP报文，冒充其他主机对目标主机进行IP欺骗
  关键：数据报文中的会话序号是否正确
  前置步骤：
  （1）获得目标主机与被冒充主机之间会话的序号
  （2）使冒充主机无法响应主机的数据包，通常采取对冒充主机拒绝服务攻击
• ARP欺骗
  向目标主机或网络发送伪造的ARP应答报文，修改目标计算机上的ARP缓存，形成一个错误的IP地址<——>MAC地址映射，这个映射在目标主机在需要发送数据时封装错误的MAC地址
  可以利用ARP攻击实现中间人攻击、拒绝服务攻击
  解决
  （1）静态ARP缓存，人工更新
  （2）三层交换技术，OSI第三层地址，TCP/IP中为IP地址进行数据交换
  （3）ARP无法跨越路由设备除非设置ARP代理，故划分更多子网
  （4）在系统中部署ARP防火墙以组织攻击者修改ARP缓存
• DNS欺骗
  伪造DNS应答在目标DNS服务器上生成错误的域名与IP地址解析缓存，欺骗用户访问错误的服务器

2、拒绝服务攻击

• SYN Flood
  TPC中， 伪造带有虚假源地址的SYN包，使得目标主机发送的ACK/SYN包无法得到确认，大量虚假SYN包涌入，数量超过目标主机所支持的并发连接数量时，其他正常连接请求无法被目标主机接收
• UDP Flood
  通过产生大量的UDP数据报文，占用目标网络的带宽，使得目标网络堵塞
• 泪滴攻击
  分片攻击、碎片公司
  发送伪造含有重叠偏移信息的分段包到主机，当攻击主机尝试将分段包重组是，由于分段数据的错误，会导致内存错误，进而导致协议栈的崩溃
• DDOS 分布式拒绝服务
  利用专用程序，实现多个计算机系统协同进行攻击

七、网络安全防护技术

1、入侵检测系统

（1）基于网络的入侵检测系统

数据源：网络数据包
将获取的有用信息与一直攻击特征相匹配或与正常网络行为原型比较识别攻击事件

• 与平台无关，不影响主机性能，对供给透明，在较大网络范围进行安全检测、可检测基于协议的攻击行为
• 无法应对加密数据流量、不能检测主机内部发生的入侵行为、对于交换网络支持不足、处理负荷较重

（2）基于主机的入侵检测系统

数据源：主机的审计记录、系统日志、应用例子以及其他辅助数据

• 能监测所有的系统行为，不需要额外的硬件支持，适合加密环境，与网络无关
• 与平台有关、可移植性差、影响目标主机性能、无法监测基于网络的入侵行为

2、入侵检测技术

（1）异常检测

根据系统或用户的非正常行为或对计算机资源的非正常使用监测入侵行为
观察的是异常现象而非已知的入侵行为
把当前行为和正常模型比较

（2）误用检测

基于现有的各种攻击手段进行分析，建立能够代表该攻击行为的特征集合

入侵检测系统只能对主机或者网络行为进行安全审计

八、防火墙

1、静态包过滤

根据预先制定的规则

2、状态检测（动态包过滤）

通过维持一个记录网络连接状态变化的状态表自动生成或删除安全过滤规则

3、应用代理

应用层，外部网络向内部网络或者内部网络向外部网络申请服务时的转接作用
内部网络只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求
需要对每一种协议设置一个不同的代理服务器

4、部署

单防火墙（无DMZ）、单防火墙（有DMZ）、双防火墙

九、虚拟专用网VPN

1、隧道技术

（1）第二层隧道协议

数据链路层
网络协议封装到PPP包中，再把整个数据包装入隧道协议
PPTP、L2TP

（2）第三层隧道协议

网络层
把各种网络协议直接装入隧道协议，形成的数据包依靠第三层协议传输
IPSec、GRE（通用路由协议）

（3）第四层隧道协议

传输层
将TCP数据包封装后进行传输，如HTTP会话中的数据包
SSL、TLS

2、加解密技术

加解密数据：对称
分发密钥：非对称

3、身份认证

口令认证PAP
询问握手CHAP
远程拨号RADIUS
PKI SSL Kerberos

4、协议

IPSec
AH认证头——验证算法
ESP封装安全载荷——加密算法

传输模式：在IP头与上层协议头之间嵌入一个新的IPSec头
隧道模式：使用新的IP头，在新的IP头和旧的头之间插入IPSec头

SSL安全套阶层协议，加密、通信密钥协商、服务器认证