一、绪论
网络安全的定义
网络安全是指网络系统的软件、硬件以及系统中存储和传输的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改i、泄露,网络系统可靠正常地运行,网络服务不中断
网络安全的属性
①机密性:
保证信息与信息系统不被非授权的用户、实体或过程所获取与使用
②完整性:
信息在存贮或传输时不被修改、破坏,或不发生信息包丢失、乱序等
③可用性:
信息与信息系统可被授权实体正常访问的特性,即授权实体当需要时能够存取所需信息
④可控性:
对信息的存储与传播具有完全的控制能力,可以控制信息的流向和行为方式
⑤真实性:
也就是可靠性,指信息的可用度,包括信息的完整性 、准确性和发送人的身份证实等方面
CIA三要素:机密性,完整性 ,可用性
网络安全通用模型
注:
安全变换就是用密码学的各中算法
使通信双方共享某些秘密信息,这些信息不为攻击者所知需要用密钥管理技术(比如Diffie-Hellman)、VPN技术来实现安全信息通道,以及 PKI/CA (数字证书) 实现第三方仲裁
网络攻击
网络攻击是指降级、瓦解、拒绝、摧毁计算机或计算机网络中的信息资源,或者降级、瓦解、拒绝、摧毁计算机或计算机网络本身的行为。
攻击方式
被动攻击试图收集、利用系统的信息但不影响系统的正常访问,数据的合法用户对这种活动一般不会察觉到
主动攻击则是攻击者访问其所需信息的故意行为,一般会改变系统资源或影响系统运作
安全服务
①鉴别服务
鉴别服务提供对通信中对等实体和数据来源的鉴别,保证了通信的真实性
②访问控制服务
访问控制服务包括身份认证和权限验证,用于防止未授权用户非法使用或越权使用的系统资源
③数据保密性服务
数据保密性服务为防止网络各系统之间交换的数据被截获或被非法存取而泄密提供机密保护
④数据完整性服务
数据完整性服务防止非法实体对正常数据段进行变更,如修改,插入,延时和删除等,以及在数据交换过程中的数据丢失
⑤不可否认服务
不可否认服务用于防止发送方在发送数据后否认发送,以及接收方在收到数据后否认收到数据或伪造数据的行为
安全机制
加密机制
数字签名机制
访问控制机制
数据完整性服务
鉴别交换机制
通信业务填充机制
路由选择机制
公证机制
认识Internet上的严峻的安全形势并深入分析其根源
互联网安全形势严峻,主要原因包括技术漏洞、恶意软件、社会工程与钓鱼攻击。软件漏洞和网络协议问题导致系统易受攻击,恶意软件如病毒和勒索软件广泛传播。同时,社会群众安全意识浅薄,并且缺乏法律意识,攻击者二利用社会工程手段通过欺诈获取用户信息,钓鱼攻击令人防不胜防。
二、网络协议基础
TCP/IP参考模型
1.TCP/IP参考模型:所有服务基于IP
应用层:
支持各种网络应用(FTP,SMTP,HTTP) 协议数据单元:数据报(报文)
传输层:
进程-进程的数据传输(TCP,UDP) 协议数据单元:段(查分,加头)
网络层:
源主机到目的主机的数据分组路由与转发(IP协议,路由协议)
协议数据单元:数据报(加头)
链路层:
相邻网络元素(主机,交换机,路由器等)的数据传输(以太网,wifi) 协议数据单元:帧(加头,加尾)
物理层:
比特传输
协议数据单元:比特
网络协议的漏洞
Arp协议的漏洞:
信任本地网段内所有的主机,一台主机不必收到一个ARP请求,就可以向其他主机发送ARP响应,任何一台主机都可以向其他主机发送ARP包。接收方并不会对发送方的真实性进行校验
TCP协议的漏洞
在建立通信的三次握手中,当服务端发送ACK包后,会一直等待客户端发送ACK包以建立通信,造成资源浪费(TCP泛洪攻击)
TCP所含的序列号也不安全,攻击者通过分析TCP包,猜测下一个序列号,从而篡改数据或插入恶意数据
HTTP协议的漏洞:
HTTP传输数据是明文的,可能被中间人攻击截获并查看
TELNET协议的漏洞:
TELNET协议在传输过程中使用明文传输,包括用户名、密码和执行的命令,容易造成信息泄漏。TELNET协议还缺乏加密和身份验证机制,使其容易受到中间人攻击
SMTP协议的漏洞:
SMTP传输邮件的过程中通常使用明文,可能被中间人攻击截获,导致邮件内容泄露
三、密码学在网络安全中的应用
对称密码体制/非对称密码体制
对称密码算法的优点:
加密、解密速度快,实现简单,密钥短
对称密码算法的缺点:
密钥分发困难,数字签名困难,密钥管理困难
非对称密码体制的优点:
密钥管理简单,密钥分发简单,可以实现数字签名
非对称密码体制的缺点:
加解密速度慢,同等安全强度下非对称密码体制的密钥位数要求更多
混合加密体制
对称加密用于加密数据,而非对称加密则用于安全地交换对称密钥。
数字签名
数字签名的作用:
防止通信双方之间的欺骗和抵赖行为
数字签名的过程:
A采用自己的私钥对消息 m 签名,A将 m 和签名发给B; B收到A的签名后,采用A的公钥来验证签名的有效性
四、消息鉴别与身份认证
认证分为哪两大类
身份认证和消息认证
消息鉴别协议的核心——鉴别函数
基于消息加密方式的认证:
以整个消息的密文为鉴别符
基于消息认证码(MAC)的认证
基于哈希函数的认证
身份认证
身份认证是计算机及网络系统识别操作者身份的过程
基于口令的认证
根据已知事务验证身份的方法
优点:便于实现,能抵抗暴力破解
缺点:口令易泄露
基于生物特征的认证
根据每个人独一无二的生物特征来验证用户身份
优点:可信性高,几乎不可被仿冒
缺点:准确性和稳定性差,成本高
基于智能卡的认证
软硬件结合,内置智能卡芯片,可以存储用户的密钥或数字证书等信息,利用内置的密码学算法实现对用户身份的认证
基于挑战应答/KDC方式的认证的作用
作用:防止用户名密码明文传输,防范重放攻击
设计一个满足安全要求的认证协议
Kerberos系统
解决问题:分布网络环境下,用户访问网络资源时的安全问题
Kerberos:一种基于对称密钥、在网络上实施身份认证的服务
能够实现用户和服务器之间的双向认证
提供一种基于可信第三方的认证服务
KDC作为第三方,若用户与服务器都信任KDC,则Kerberos就可以实现用户与服务器之间的双向鉴别。如果KDC是安全的,并且协议没有漏洞,则认证是安全的
安全性:
能够有效防止攻击者假冒合法用户
可靠性:
Kerberos服务自身可采用分布式结构,KDC之间相互备份
透明性:
用户只需要提供用户名和口令,工作站代替用户实施认证的过程
可伸缩性:
能够支持大量用户和服务器
数字证书
PKI技术
PKI:公钥基础设施,以公钥理论和技术为基础,以数字证书为媒介,将个人、组织、设备的标识信息与各自的公钥捆绑在一起
确立可信任的数字身份,为网络应用提供安全保证
五、Internet安全
IPSec
IPSec的思想:使用IP封装技术,对纯文本的包加密。
实现的目的:使需要安全服务的用户能够使用相应的加密安全体制,且该体制与算法无关,即使替换了加密算法也不会对其他部分产生影响
IPSec使用两个不同的协议:AH协议和ESP协议来保证通信的认证、完整性和机密性
IP头部认证(AH)提供无连接的完整性验证、数据源认证、选择性抗重放服务
封装安全负载(ESP)提供加密保障,完整性验证,数据源认证,抗重放服务
IPSec的两种工作模式
传输模式:
用于主机到主机之间的直接通信
隧道模式:
用于主机到网关或网关到网关之间的通信
传输模式下的AH
AH头插入到IP头部之后,传输层协议之前
验证范围整个IP包,可变字段除外
与NAT冲突,不能同时使用
隧道模式下的AH
AH插入到原始IP头部之前,然后在AH外面再封装一个新的IP头部
验证范围整个IP包,也和NAT冲突不能同时使用
安全负载封装协议ESP
ESP不仅能提供AH提供的源点鉴别和数据完整性,还能提供保密性
在发送IPSEC数据报前,在源实体和目的实体之间必须创建一条网络层的逻辑连接,这个连接称为SA。IPSEC就把传统的无连接的网络层变为具有逻辑连接的一个层
传输方式下的ESP:
在整个传输层报文段的前后面添加控制字段
要保护的是IP报的载荷(TCP,UDP,ICMP等)
隧道方式下的ESP:
是在IP数据报前后加上控制字段
ESP插入到原始IP头部前,在ESP外在封装新的IP头部
保护的是整个IP包
SSL/TLS协议
SSL(安全套接层)协议:用于在两个通信应用程序之间提供保密性和数据完整性
SSL提供的安全服务有三种:
- SSL服务器鉴别:允许用户验证服务器的身份。支持SSL客户端通过验证来自服务器的证书,来鉴别服务器的真实身份并获得服务器的公钥
- SSL客户鉴别:SSL的可选安全服务,允许服务器证实客户的身份
- 加密的SSL会话:对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改
PGP
提供的服务:为电子邮件和文件存储应用提供了认证和保密性服务
优点:软件免费,版本众多,支持各种操作平台,安全性高
完整服务及实现:
基本的IP欺骗:
攻击者冒充受害者的IP,与其他设备通信
基本的IP欺骗技术有三种:①基本地址变化②使用源站选路截取数据包③利用Unix机器上的信任关系
基本地址变化:
把一台计算机伪装成别人机器的IP地址,这样做就可以使所有发送的数据包都带有假冒的源地址
即会造成:TCP连接没法建立,但是对于UDP这种无连接的传输协议,所有单独的UDP数据包都会被发送到受害者的系统中
源站选路(源路由攻击):
基本地址变化方法没法接收返回的信息流,为了得到从目的主机返回源地址主机的数据流,有两个方法:
- 攻击者插入到正常情况下数据流经过的通路上
- 保证数据包会经过一条给定的路径,保证它经过攻击者的机器
利用信任关系:
单位里经常指定一个管理员管理几十个区域或者甚至上百台机器。
管理员一般会使用信任关系和UNIX的r*命令从一个系统方便的切换到另一个系统。 r*命令允许一个人登录远程机器而不必提供口令
取代询问用户名和口令,远程机器基本上使用IP地址来进行验证,也就是说将会认可来自可信IP地址的任何人
TCP会话劫持攻击
会话:进行一次通信即会话
会话劫持:结合了嗅探以及欺骗在内的攻击手段,在一次正常的会话中,攻击者作为第三方参与其中,或者是在数据流里注入额外的信息,或者是将双方的通信模式暗中改变,从用户之间的直接联系转变为通过攻击者联系(避开了身份验证)
会话劫持的基本原理:
接管一个现存动态会话的过程,在正常通信双方中,分别冒充发送方和接收方,监视并掌握会话内容
会话劫持分为被动型和主动型:
被动型:首先劫持会话,然后在后方观察和记录双方所有发送和接受的信息
主动型:首先完成被动型劫持攻击,寻找动态会话并接管它,从而攻入目标主机
利用了TCP协议中的三次握手机制和序列号机制
总结过程:
首先要使被信任关系的主机失去工作能力,同时利用目标主机发出的TCP序列号,猜测出它的数据序列号,然后伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。连接成功后,欺骗者就可以设置后门以便日后使用
DNS欺骗
当用户向一个网站发送请求时,域名需要先经由DNS域名服务器解析成IP地址,再转发数据。假如入侵者伪装成DNS服务器提前向客户端发送响应数据报,那么客户端的DNS缓存里的域名所对应的IP就是攻击者定义的IP,用户对网站的请求就被发送到入侵者希望的IP了
Web欺骗
Web欺骗是一种电子信息欺骗,攻击者创造了一个完整令人相信的Web世界,实际上是虚拟的复制
常见的有钓鱼网站
六、防火墙技术
防火墙的过滤机制和安全策略
防火墙对数据流的处理方式
- 允许数据流通过
- 拒绝数据流通过,并向发送者回复一条消息,提示发送者该数据流已被拒绝
- 将数据流丢弃,不对这些数据包进行任何处理,也不会向发送者发送任何提示信息
防火墙的分类,各自的特点
分类:
包过滤防火墙
电路级网关防火墙
应用级网关防火墙
包过滤防火墙(传输层)
静态包过滤防火墙
动态包过滤防火墙
优点:
一个包过滤路由器能协助保护整个网络
包过滤用户对用户透明
包过滤路由器速度快,效率高
技术通用,实现成本低
缺点:
安全性差(只过滤网络层和传输层)
日志功能有限
无法执行某些安全策略
容易受到IP欺骗
电路级网关路由器(会话层)
电路级网关通常作为代理服务器的一部分在应用代理类型的防火墙中实现
当两个主机建立TCP连接时,电路级网关在两个主机之间建立一道屏障,转发Internet的请求,并充当内部主机的代理服务器,打破了端到端的传输方式
优点:
安全性较好
切断了外部网络到防火墙后的服务器直接连接
缺点:
当增加新的内部程序或资源时,需要大量改动段代码
不能检测数据净荷,无法抵御应用层攻击
应用级网关防火墙(应用层)
当各种类型的应用服务通过网关时,必须经过客户机代理和服务器代理的过滤
优点:
安全性高
认证功能强大
规则配置简单
缺点:
灵活性差
实现成本高
性能不高
防火墙不能抵抗来自内网的攻击
七、VPN技术
VPN是什么,其实现的目的
VPN(虚拟局域网):是指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网
VPN的目的:利用Internet或其他公共互联网络的基础设施为用户创建隧道以仿真专有的广域网,并提供与专用网络一样的安全和功能保障
VPN的特点:
VPN的类型
主要应用的技术
VPN的本质:隧道
隧道技术实际上是一种数据封装技术,对隧道两端的数据进行封装再传输
1245
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
