网络安全 期末总结提纲
网络安全概述
资产保护
资产的类型:任何有效的风险分析始于需要保护的资产和资源的鉴别。
物理资源、知识资源、时间资源、信誉资源
损失:即时的损失、长期的恢复所需花费
需要考虑:用户的方便程度、管理的复杂性、对现有系统的影响、对不同平台的支持
信息安全模型
信息保障:通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统的功能。
PDRR模型:保护、检测、响应、恢复
网络攻击类型及分类
攻击属性:阻断攻击、截取攻击、篡改攻击、伪造攻击
攻击方式:主动攻击、被动攻击
主动攻击:伪装、回答、修改报文、拒绝服务
被动攻击:传输报文内容的泄露和通信流量分析
访问攻击:窥探、窃听、截获(机密性、可审性)
篡改攻击:改变、输入、删除(完整性、可审性)
拒绝服务攻击:拒绝访问信息、拒绝访问应用、拒绝访问系统、拒绝访问通信(可用性)
否认攻击:假冒、否认(完整性、可审性)
网络信息安全服务
机密性服务、完整性服务、可用性服务、可审性服务
数字签名是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证。
访问控制是确定来访实体有否访问权以及实施访问权限的过程。
网络安全评估
风险评估就是从风险管理的角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的防御威胁的防护对策和整改措施,以防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全。
网络攻击
DNS威胁与防范
DNS:在域名和IP地址之间进行转换。采用层次树状结构
查询方式:递归查询、迭代查询
DNS应答包被客户端接受需要满足的五个条件:
应答包question域和请求包question域的域名信息一致;
应答包的Transaction ID和请求包中的Transaction ID一致;
应答包的源IP地址与请求包的目的IP地址一致;
应答包的目的IP地址和端口与请求包的源IP地址和端口一致;
第一个到达的符合以上四个条件的应答包。
DNS的安全漏洞主要体现在以下三个方面:
DNS报文只使用序列号来进行有效性鉴别;
在DNS应答报文中可以附加信息;
DNS的缓存机制。
DNS安全威胁:缓冲区溢出攻击、拒绝服务攻击、信息泄漏
DNS攻击的防范:选择安全的没有缺陷的BIND版本、DNS服务器配置正确可靠
ARP攻击
ARP协议:地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。
ARP攻击技术:发送大量虚假MAC地址数据报、ARP欺骗、修改本地MAC地址
ARP欺骗:ARP欺骗利用修改主机ARP缓存表的方法达到嗅探的目的,是一种中间人攻击。主机C为了达到嗅探的目的,会向主机A和主机B分别发送ARP应答包,告诉它们IP地址为IPB的主机MAC地址为MACC,IP地址为IPA的主机MAC地址为MACC。
ARP攻击溯源:捕包分析、arp-a、tracert
ARP攻击防御方法:减少过期时间、建立静态ARP表、禁止ARP
拒绝服务攻击
Ping of Death:攻击者故意在ICMP Echo数据包(Ping包)之后附加非常多的冗余信息,使数据包的尺寸超过65535个字节的上限。接收方对这种数据包进行处理时就会出现内存分配错误,导致TCP/IP堆栈溢出,从而引起系统崩溃,挂起或重启。
Teardrop:向目标机器发送损坏的IP包,诸如重叠的包或过大的包载荷,该攻击通过TCP/IP协议栈中分片重组代码中的bug来瘫痪各种不同的操作系统。
Land攻击:用一个特别打造的SYN包,它的源地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时。
SYN洪水:每个机器都需要为半开连接分配一定的资源,这种半开连接的数量是有限制,这种半开连接的数量是有限制,目标机器不能进一步接受TCP连接。机器就不再接受进来的连接请求。
Smurf:攻击者向一个广播地址发送ICMP Echo请求,并且用受害者的IP地址作为源地址;广播地址网络上的每台机器响应这些Echo请求,同时向受害者主机发送ICMP Echo-Reply应答;受害者主机会被这些大量的应答包淹没。
HTTP洪水:攻击会占用大量的HTTP进程,从而耗费大量的系统资源。最终,会导致系统因不堪重负而崩溃掉。
基于误用的DDoS检测:依赖于攻击特征的选取,利用特征匹配、 模型推理、 状态转换和专家系统。
基于异常的DDoS检测:取决于检测模型的建立,包括统计检测、模式预测、人工智能检测、机器学习检测。
SQL注入攻击
SQL注入:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串。
SQL注入的基本流程:寻找注入点、信息采集、权限判断、攻击系统
SQL注入攻击防范:服务器安全、代码安全
恶意代码
恶意代码是指在未经授权的情况下,在信息系统中安装、执行并达到不正当目的的程序。
计算机病毒
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机使用并能自我复制的一组计算机指令或者程序代码。
特征:可执行性、传染性、隐蔽性、潜伏性、可触发性、破坏性、寄生性、衍生性、诱骗性
生命周期:开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期
组成结构:引导模块、感染模块、表现(破坏)模块
传播途径:不可移动的计算机硬件设备、移动存储设备、有线网络系统、无线通信系统
传播机制:目的是实现病毒自身的复制和隐藏。
木马
木马程序一般由客户端和服务端组成:服务端是黑客植入到目标机器的独立的木马模块,等待接受客户端的各种命令操作。客户端是控制端,被使用木马的黑客操控,享有服务端各种操作的最大权限。
木马和病毒最典型的区别就是:病毒依附于其它文件或程序并自我复制,在运行指定的程序时被激活运行;木马通常把自己伪装成一个有用的程序,一般来说自我复制并不是木马功能的一部份。
计算机病毒具有破坏性和传染性,对受害者的机器进行软硬件破坏、删除文件、长期占用CPU、不能重启机子等各种破坏行为。计算机病毒能够自动寻找其宿主对象,感染机器中的程序文件,依附于其他程序,并可通过网络传染给网络上的其他计算机,是一种具备传染、隐藏、破坏、繁殖等能力的可执行程序,可以说传染性是病毒最本质的性质之一。
计算机病毒相比,木马主要以偷盗为主,偷取机密文件,记录各种密码,为黑客提供控制受害者机器的后门等。为了能长期隐藏在主机中进行这些操作,木马一般具有很好的隐蔽性,默默地潜伏在受害者机器中进行各种活动。木马不具有自我复制性。
蠕虫
蠕虫可以独立运行,并且自动复制自身并传播到另一台主机。
主体功能模块:探索模块、攻击模块、传输模块、信息搜集模块、繁殖模块
功能结构模型:通信模块、隐藏模块、破环模块、控制模块
目前,网络蠕虫首先采用路由扫描,再利用随机扫描进行传播是最佳选择。
启动、隐藏
恶意代码启动:注册表、任务计划、配置文件、文件关联、伪装成服务、特定程序、驱动启动、自动运行功能、浏览器
恶意代码隐藏:任务栏隐藏、进程隐藏、通信隐藏、隐藏加载方式
网络安全扫描
是指对计算机网络系统进行相关的安全检测, 进而找出安全隐患和漏洞, 客观评估网络风险等级, 有效地避免非法入侵行为, 做到防患于未然。发现主机或网络、 发现正在运行的服务进而发现潜在的漏洞、 能够为漏洞提出解决方案。
网络安全扫描概述
扫描步骤:发现目标主机或网络;发现目标后进一步搜集目标信息, 包括操作系统类型、 运行的服务以及服务软件的版本等;根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。
发现目标:Ping扫射
搜索信息:端口扫描、服务识别、操作系统探测
漏洞检测:直接测试、推断、带凭证的测试
网络安全扫描技术
包括:端口扫描、漏洞扫描、操作系统扫描
端口扫描技术是一项自动探测本地和远程系统端口开放情况的策略及方法, 它使系统用户了解系统目前向外界提供了哪些服务, 从而为系统用户管理网络提供了一种手段。 端口扫描流程:发送数据到目标主机、等待接收目标主机返回的数据、分析返回数据、判断端口是否打开或关闭。
端口扫描原理: 向目标主机的TCP/IP服务端口发送探测数据包, 并记录目标主机的响应, 通过分析响应来判断服务端口是打开还是关闭, 即可得知端口提供的服务或信息。 也可以通过捕获本地主机或服务器流入流出IP数据包来监视本地主机的运行情况, 通过对接收到的数据进行分析, 帮助我们发现目标主机的某些内在的弱点。分为全连接扫描、 半连接扫描、 秘密扫描。
漏洞扫描技术主要分为:基于网络系统漏洞库的漏洞扫描、基于模拟攻击的漏洞扫描
网络协议安全
TCP、IP、ARP、UDP、ICMP、SMTP、FTP、DNS
改进:网络层(IP封装)、传输层(SSL)、应用层(数字签名)
安全漏洞概述
安全漏洞又叫脆弱性。脆弱状态是指能够使用已授权的状态变换到未授权状态的已授权状态。 受损状态是指通过上述方法到达的状态。 攻击是指以受损状态结束的已授权状态变换的顺序。
来源:软件或协议设计时的瑕疵、软件或协议实现中的弱点、软件本身的瑕疵、系统和网络的错误配置
安全漏洞发现和防御
漏洞发现就是对计算机信息系统进行检查, 发现其中可被黑客利用的漏洞
基于主机的发现技术:这种技术是对操作系统的各种配置、 权限、 补丁等方面进行检测, 以发现主机潜在的安全漏洞;主要从系统的文件、 目录和设备文件的权限, 重要系统文件的内容、格式、 权限和重要的系统二进制文件的校验等方面进行检测。
基于网络的发现技术:这种技术是利用了一系列的脚本对远端系统进行攻击, 然后对远端系统的响应结果进行分析; 可以发现远端不同平台的一系列漏洞;检测范围包括所有的网络设备: 服务器、 防火墙、 交换机、 路由器以及主机等。
漏洞防御就是在漏洞发现的基础上, 采取各种技术对漏洞进行防御, 达到保护系统的目的
- 基于源码的防御技术、基于操作系统的防御技术、漏洞信息发布机制
防火墙
访问控制
访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段,是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。主要目的是限制访问主体对客体的访问:识别和确认访问系统的用户、 决定该用户可以对某一系统资源进行何种类型的访问。
访问控制包括三个要素:主体、客体和控制策略。
安全策略的实施原则:最小特权原则、最小泄露原则、多级安全策略。
访问控制模型
自主访问控制模型是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。
任意访问控制对用户提供的这种灵活的数据访问方式,使得DAC广泛应用在商业和工业环境中;由于用户可以任意传递权限,那么,没有访问文件File1权限的用户A就能够从有访问权限的用户B那里得到访问权限或是直接获得文件File1;因此, DAC模型提供的安全防护还是相对比较低的,不能给系统提供充分的数据保护。
自主访问控制模型的特点是授权的实施主体( 1、可以授权的主体; 2、管理授权的客体; 3、授权组)自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。
强制访问控制模型是一种多级访问控制策略。系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体和受控对象分配不同的安全级别属性,实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。
MAC对访问主体和受控对象标识两个安全标记:一个是具有偏序关系的安全等级标记;另一个是非等级分类标记。当主体s的安全类别为TS,而客体o的安全类别为S时,用偏序关系可以表述为SC(s)≥SC(o)。
- Lattice模型:五个安全级别,用户所对应的安全级别必须比可以使用的客体资源高才能进行访问,这种方案非常适用于需要对信息资源进行明显分类的系统。
- Bell-LaPadula模型:无上读、无下写。维护系统的保密性,有效地防止信息泄露,忽略了完整性指标,使非法、越权篡改成为可能。
- Biba模型:无下读、无上写。定义了信息完整性级别,在信息流向的定义方面不允许从级别低的进程到级别高的进程,也就是说用户只能向比自己安全级别低的客体写入信息,从而防止非法用户创建安全级别高的客体信息,避免越权、篡改等行为的产生。
防火墙
防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合。所有进出被保护网络的通信必须通过防火墙;所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权;防火墙自身应对渗透(peneration)免疫。
功能:访问控制、应用程序代理、内容过滤、用户认证、VPN日志、NAT、IDS与报警
过滤进出网络的数据、管理进出网络的访问行为、封堵某些禁止的业务
记录进出网络的信息和活动、对网络攻击进行检测和告警
控制方法:服务控制、方向控制、用户控制、行为控制
好处:强化安全策略;有效地记录Internet上的活动;隔离不同网络,限制安全问题扩散;安全策略的检查反馈。
局限性:给⼈虚假的安全感;对⽤户不完全透明可能带来传输延迟瓶颈及单点失效;⽆法做到绝对的安全(不能防范恶意的内部⼈员侵⼊、不能防范不通过它的连接、不能防范全新的威胁、不能有效地防范数据驱动式的攻击、当使⽤端-端加密时其作⽤会受到很⼤的限制)
防火墙分类:
形态:软件防火墙、硬件防火墙
实现技术:包过滤防火墙、应用网关防火墙、代理防火墙、状态检测防火墙、电路级网关
部署位置:主机防火墙、网络防火墙
网络地址翻译
地址翻译NAT就是将一个IP地址用另一个IP地址代替。
目的:解决IP地址空间不足问题、向外界隐藏内部网结构
三种类型:静态NAT、NAT池、端口NAT
防火墙体系架构
双重宿主主机体系架构:围绕双重宿主主机构筑
- 它位于内部网络和外部网络之间,这样的主机可以充当与这些接口相连的网络之间的路由器,它能从一个网络接收IP数据包并将之发往另一网络。
- 双重宿主主机的防火墙体系结构禁止这种发送功能,完全阻止了内外网络之间的IP通信。
两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。
双重宿主主机的特性:安全至关重要(唯一通道),其用户口令控制安全是关键;必须支持很多用户的访问(中转站),其性能非常重要。
缺点:双重宿主主机是隔开内外网络的唯一屏障,一旦它被入侵,内部网络便向入侵者敞开大门。
屏蔽主机体系结构:由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单,可能就是简单的路由器。典型构成:包过滤路由器+堡垒主机。
-
包过滤路由器配置在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。
-
堡垒主机配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁,它需要拥有高等级的安全。
屏蔽路由器可按如下规则之一进行配置: -
允许内部主机为了某些服务请求与外部网上的主机建立直接连接(即允许那些经过过滤的服务)。
-
不允许所有来自外部主机的直接连接。
安全性更高,双重保护:实现了网络层安全(包过滤)和应用层安全(代理服务)。
缺点:过滤路由器能否正确配置是安全与否的关键。如果路由器被损害,堡垒主机将被穿过,整个网络对侵袭者是开放的。
屏蔽子网体系结构:本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。
原因:堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。
优点:入侵者需突破3个不同的设备才能入侵内部网络;只对外通告DMZ区的网络,保证内部网络不可见;内部网络用户通过堡垒主机或代理服务器访问外部网络。
入侵检测技术
入侵检测概述
动态安全模型P2DR:策略、防护、检测、响应
入侵是指未经授权蓄意尝试访问信息、窜改信息,使系统不可靠或不能使用的行为。入侵企图破坏计算机资源的完整性、 机密性、 可用性、可控性。
网络攻击工作流程:目标探测和信息收集、自身隐藏、利用漏洞侵入主机、稳固和扩大战果、清除日志
入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。 一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。
入侵检测功能:监控、分析用户和系统活动;发现入侵企图或异常现象;记录、报警和响应;审计系统的配置和弱点、评估关键系统和数据文件的完整性等。
入侵检测的优点:提高信息安全构造的其他部分的完整性;监控系统及用户行为及事件;检测系统配置安全状态,发现错误并纠正;从入口点到出口点跟踪用户的活动;识别和汇报数据文件的变化;识别入侵行为,并向管理人员发出警报。
入侵检测的分类:
根据原始数据的来源:
基于主机的入侵检测系统:监控粒度更细、配置灵活、可用于加密的以及交换的环境
基于网络的入侵检测系统:视野更宽 、隐蔽性好 、攻击者不易转移证据
根据检测原理:
异常入侵检测:根据异常行为和使用计算机资源的情况检测出来的入侵
误用入侵检测:利用已知系统和应用软件的弱点攻击模式来检测入侵
基于主机系统结构(HIDS):检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。
HIDS优点:性能价格比高;细腻性,审计内容全面;事业集中;适用于加密及交换环境
HIDS缺点:IDS的运行影响服务器的性能;HIDS依赖性强,依赖于审计数据或系统日志准确性和完整性,以及安全事件的定义;如果主机数目多,代价过大;不能监控网络上的情况
基于网络系统结构(NIDS):根据网络流量、协议分析、单台或多台主机的审计数据检测入侵。
NIDS优点:
- 服务器平台独立性:监视通信流量而不影响服务器的平台的变化和更新;
- 配置简单:只需要一个普通的网络访问接口即可;
- 众多的攻击标识:探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击。
NIDS缺点: - 不能检测不同网段的网络包;
- 很难检测复杂的需要大量计算的攻击;
- 协同工作能力弱;
- 难以处理加密的会话。
入侵检测结构
事件产生器:事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件;入侵检测的第一步;采集内容包括系统日志、应用程序日志、系统调用、网络数据、用户行为、其他IDS的信息。
事件分析器:事件分析器分析得到的数据,并产生分析结果;分析是核心,效率高低直接决定整个IDS性能。
响应单元:响应单元则是对分析结果作出作出反应的功能单元,功能包括:告警和事件报告;终止进程,强制用户退出;切断网络连接,修改防火墙设置;灾难评估,自动恢复;查找定位攻击者。
事件数据库:事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
Denning模型:1987年提出的一个通用入侵检测模型
主体(Subjects): 在目标系统上活动的实体,如用户。
对象(Objects): 指系统资源,如文件、设备、命令等。
审计记录: 由主体、活动(主体对目标的操作)、 异常条件(系统对主体的该活动的异常情况的报告)、 资源使用状况(系统的资源消耗情况)和时间戳(Time-Stamp)等组成。
活动档案: 即系统正常行为模型,保存系统正常活动的有关信息。
异常记录: 由事件、时间戳和审计记录组成,表示异常事件的发生情况。
活动规则: 判断是否为入侵的准则及相应要采取的行动。
入侵检测技术
异常检测技术:任何正常人的行为有一定的规律,而入侵会引起用户或系统行为的异常
需要考虑的问题:选择哪些数据来表现用户的行为;通过以上数据如何有效地表示用户的行为,主要在于学习和检测方法的不同;考虑学习过程的时间长短、用户行为的时效性等问题。
典型算法:统计分析(均值、偏差、Markov过程)
异常检测模型:首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
检测原理:正常行为的特征轮廓;检查系统的运行情况;是否偏离预设的门限
举例:多次错误登录、午夜登录
优点:可以检测到未知的入侵;可以检测冒用他人帐号的行为;具有自适应,自学习功能;不需要系统先验知识
缺点:漏报、误报率高:入侵者可以逐渐改变自己的行为模式来逃避检测;合法用户正常行为的突然改变也会造成误警;统计算法的计算量庞大,效率很低;统计点的选取和参考库的建立比较困难。
误用检测技术:主要是通过某种方式预先定义入侵行为,然后监视系统,从中找出符合预先定义规则的入侵行为。
误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述。
重要问题:如何全面的描述攻击的特征;如何排除干扰,减小误报;解决问题的方式
典型算法:专家系统、模型推理、完整性分析
优点:算法简单;系统开销小;准确率高;效率高
缺点:被动:只能检测出已知攻击 、新类型的攻击会对系统造成很大的威胁;模式库的建立和维护难:模式库要不断更新,知识依赖于硬件平台、操作系统和系统中运行的应用程序等。
入侵检测部署
检测器部署位置
放在边界防火墙之内
放在边界防火墙之外
放在主要的网络中枢
监控大量的网络数据,可提高检测黑客攻击的可能性
放在一些安全级别需求高的子网
对非常重要的系统和资源的入侵检测
入侵检测实例
Snort:基于攻击特征匹配的原理,准确度高,误报率低,无法检测未知攻击,典型的误用检测技术。
典型的误用检测技术
需要准确理解攻击模式并撰写检测规则
无法应对未知攻击,造成漏报
检测效率高、准确率高
攻击规则更新要求高,好在攻击方式变化不剧烈
Snort的主要功能:
截取网络数据报文,进行网络数据实时分析、报警、以及日志的能力。
Snort还能够记录网络数据,其日志文件可以是 tcpdump格式,也可以是解码的ASCII格式。
Snort具有实时报警能力。可以将报警信息写到syslog、 指定的文件、套接字或者使用WinPopup消息。
能够进行协议分析,内容搜索、匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。
Snort使用一种灵活的规则语言来描述网络数据报文, 因此,可以对新的攻击作出快速地解析。
Snort的组成:
虚拟专用网
VPN的定义:是指依靠ISP或其它NSP在公用网络基础设施之上构建的专用的数据通信网络,这里所指的公用网络有多种,包括IP网络、帧中继网络和ATM网络。
虚拟:协议封装
专用网:封闭的用户群、安全性高、服务质量保证
VPN要解决的问题:在端到端的数据通路上随处都有可能发生数据的泄漏,包括拨入段链路上、ISP接入设备上、在因特网上、在安全网关上、在企业内部网上。
VPN的构成:
隧道技术:
隧道是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。
隧道使用隧道协议来封装数据。一种协议X的数据报被封装在协议Y中,可以实现协议X在公共网络的透明传输。这里协议X称作被封装协议,协议Y称为封装协议。隧道的一般封装格式为(协议Y(隧道头(协议X)))。
定义:实质上是一种封装,将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用传输网络(采用协议Y)的透明性。
隧道协议:
第二层隧道:以PPTP,L2TP为代表
第三层隧道:IPSec
VPN分类:
业务类型划分:
Intranet VPN(内部公文流转)
Access VPN(远程拨号VPN)
Extranet VPN(各分支机构互联)
按VPN发起主体划分:
客户发起,也称基于客户的VPN
服务器发起,也称客户透明方式或基于网络的VPN
VPN功能:数据机密性保护、数据完整性保护、数据源身份认证、重放攻击保护
链路层安全
PPTP(Point to Point TunnelingProtocol,点对点通道协议)
PPTP 提供PPTP 客户机和PPTP 服务器之间的加密通信。
PPTP 客户机是指运行了该协议的PC机, 如启动该协议的 Windows系统;
PPTP 服务器是指运行该协议的服务器,如启动该协议的 WindowsNT服务器。
PPTP 可看作是PPP 协议的一种扩展。
提供了一种在Internet 上建立多协议的安全虚拟专用网(VPN)的通信方式。
远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。
L2F(Layer 2 Forwarding,二层转发协议)
L2F 是可以在多种介质如ATM、帧中继、IP 网上建立多协议的安全虚拟专用网的通信方式。
远端用户能够透过任何拨号方式接入公共IP 网络
首先按常规方式拨号到ISP 的接入服务器(NAS),建立PPP 连接;
NAS 根据用户名等信息, 发起第二重连接, 通向HGW (家庭网关) 服务器
在这种情况下隧道的配置和建立对用户是完全透明的。
L2TP(Layer 2 Tunneling Protocol,二层通道协议)
L2TP 结合了L2F 和PPTP 的优点, 可以让用户从客户端或访问服务器端发起VPN 连接。L2TP 支持多个PPP链路的捆绑问题;L2TP扩展了PPP连接。
PPTP和L2TP都使用PPP协议对数据进行封装,不同点:
- PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP、帧中继、X.25虚拟电路、ATM等网络上使用。
- PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。
- L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。
- L2TP可以提供隧道验证,而PPTP则不支持隧道验证。
网络层安全
IPSec体系结构:通过对IP报文的封装以实现TCP/IP网络上数据的安全传送。
IPSec传输模式
IPSec隧道模式
数据包输出处理:数据包被从网络设备发送出去之前,截取到IP包,然后从中提取选择符信息,依据之搜索SPD,产生如下可能结果:
SP决定丢弃此包,于是直接丢弃,或者还可以向源主机发送 ICMP信息;
SP决定通过此包,直接将数据包投放到网络设备的发送队列;
SP决定应用IPSec,此时SP要么指向一个SA,可以根据它进行安全处理,要么需要的SA不存在,则触发IKE模块协商建立SA,协商周期内数据包进入等待队列等待协商完成,若协商超时,也会丢弃该包。
数据包输入处理:系统收到IP包后,判断如果是IPSec包,则从头部取到<src_ip,protocol,SPI>,搜索SADB。
若找不到SA,丢弃包;
若找到,根据其进行解封装,得到去通道化后的原始IP包,再从原始IP包中提取选择符,搜索到SPD中某一条目,检查收到包的安全处理是否符合描述规则,不符合则丢弃包,符合则转入系统IP协议栈进行后继处理。
IKE阶段一工作原理:
IKE阶段二工作原理:
传输层安全
SSL协议的设计目标:为两个通讯个体之间提供保密性和完整性(身份认证) ;互操作性、可扩展性、相对效率;为上层协议提供安全性、保密性、身份认证和数据完整性。
底层:SSL记录协议
上层:SSL握手协议、SSL密码变化协议、SSL警告协议
SSL记录协议提供连接安全性,有两个特点:保密性、完整性
上层消息的数据被分片成214字节大小的块,或者更小
无损压缩,如果数据增加的话,则增加部分的长度不超过1024字节
计算消息认证码
加密:采用CBC,算法由cipher spec指定
SSL连接:一个连接是一个提供一种合适类型服务的传输;SSL的连接是点对点的关系;连接是暂时的,每一个连接和一个会话关联。
SSL会话:一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数;会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价。
PGP
PGP为电子邮件和文件存储应用提供了认证和保密性服务
本帖仅用于学习交流,内容取自郑康锋、武斌老师《网络安全》课程
1004
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
