网络安全基本知识
网络安全:是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全
从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,
影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
木马:利用计算机程序漏洞侵入后窃取文件的程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。
后门:指房间的背后的可以自由出入的门,相对于明显的前门。也可以指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。
入侵检测(Intrusion Detection ),顾名思义,就是对入侵行为的发觉。他通过对计算机
网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
数据包监测:可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
NIDS:是Network Intrusion Detection System 的缩写,即网络入侵检测系统,主要
用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行
以监测所有网络设备的通信信息,比如Hub、路由器。
SYN是:TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP
网络连接时,客户机首先发出一个SYN消息,服务器使用 SYN-ACK应答表示接收到了
这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可
靠的TCP连接,数据才可以在客户机和服务器之间传递。
加密技术:是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用,深受广大用户
的喜爱。
、引论
1、网络安全的概念:网络安全是在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。
2、基于 IP 的 Internet 有很多不安全的问题: 1) IP 安全。在 Internet 中,当信息分组在路由器间传递时,对任何人都是开放的,路由器仅仅搜集信息分组中的目的地址,但不能防止其内容被窥视。2)DNS安全。In ternet对每台计算机的命名方案称之为域名系统
(DNS o 3)拒绝服务(DoS攻击。包括发送SYN言息分组、由M牛炸弹。4)分布式拒绝(DDoS 攻击。分布式拒绝服务攻击是拒绝服务群起攻击的方式。
3、维护信息载体的安全就要抵抗对网络和系统的安全威胁。这些安全威胁包括物理侵犯
(如机房入侵、设备偷窃、废物搜寻、电子干扰等)、系统漏洞(如旁路控制、程序缺陷等)、网络入侵(如窃听、截获、堵塞等)、恶意软牛(如病毒、蠕虫、特洛伊木马、信息炸弹等)、存储损坏(如老化、破损等)等。为抵抗对网络和系统的安全威胁,通常米取的安全措施包括门控系统、防火墙、防病毒、入侵检测、漏洞扫描、存储备份、日志审计、应急响应、灾难恢复等。
4、网络安全的三个基本属性:1)机密性(保密性)。机密性是指保证信息与信息系统不被非授权者所获取与使用,主要防范措施是密码技术。 2)完整性。完整性是指信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改,主要防范措施是校验与认证技
术。3)可用性。可用性是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。
5、国际标准化组织在开放系统互联标准中定义了7个层次的参考模型:1)物理层。2)数据链接层。3)网络层。4)传输层。5)会话层。6)表示层。7)应用层。
6、粗略地,可把信息安全分成 3个阶段。1)通信安全(comsec)、计算机安全
(compuseC 和网络安全(netsec )。
7、可信计算机系统评估准则( Trusted Computer System Evaluation Criteria, TCSEC
共分为如下4类7级:1)D级,安全保护欠缺级。2)C1级,自主安全保护级。3) C2级,受控存储保护级。4 ) B1级,标记安全保护级。5) B2级,结构化保护级。6 ) B3级,安全域保护级。7 ) A1级,验证设计级。
8、密码学研究包括两部分内容:一是加密算法的设计和研究;一是密码分析,即密码破译技术。
9、对称密钥密码技术是传统的简单换位、代替密码发展而来的,从加密模式上可分为两类:1)序列密码。序列密码一直作为军事和外交场合使用的主要密码技术之一,它的主要原理是,通过有限状态机产生性能优良的伪随机序列,使用该序列加密信息流,逐位加密得到密文序列,所以,序列
密码算法的安全强度取决于它产生的伪随机序列的好坏。2)分组
密码。分组密码的工作方式是将明文分成固定长度的组(块)(如 64 位一组),用同一密钥和算法对每一块加密,输出固定长度的密文。
公钥密码技术:公钥技术是在密码体制中加密和解密采用两个不同的相关的密钥的技术,又称不对称密钥技术。
两者的比较:因为对称密码系统具有加解密速度快、安全强度高等优点,在军事、外交及商业应用中使用得越来越普遍;由于存在密钥发行与管理方面的不足,在提供数字签名、身份验证等方面需要与公开密钥密码系统共同使用,以达到更好的安全效果。公共密钥的优点在于,也许你并不认识某一实体,但只要你的服务器认为该实体证书权威CA是可靠的,
就可以进行安全通信,而这正是电子商务这样的业务所要求的,如信用卡购物。
二、风险分析
1、攻击的类型: 1)阻断攻击。 2)截取攻击。 3)篡改攻击。 4)伪造攻击。
2、主动攻击与被动攻击的区分:窃听、监听都具有被动攻击的本性,攻击者的目的是获取
正在传输的信息,被动攻击包括传输报文内容的泄漏和通信流量分析。主动攻击包含对数据流的某些修改,或者生成一个假的数据流。它可以分成 4 类: 1)伪装。 2、回答(重放)。3)修改报文。 4)拒绝服务。
3、常见的篡改服务攻击有 3种: 1)改变。 2)插入。 3)删除。
4、拒绝服务攻击可分成以下4 种:1)拒绝访问信息。2)拒绝访问应用。3)拒绝访问系统。4)拒绝访问通信。
5、风险的概念:风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。
威胁+漏洞=风险
6、风险测量必须识别出在受到攻击后该组织需要付出的代价。代价包括资金、时间、资源、信誉及丢失生意等。
三、安全策略
1、系统管理程序: 1)软件更新。2)漏洞扫描。3)策略检查。4)登录检查。5)常规监控。
2、一个恰当的灾难恢复计划应考虑各种故障的级别:单个系统、数据中心、整个系统。灾难恢复
计划应考虑: 1)单个系统或设备故障。 2)数据中心事件。 3)场地破坏事
件。4)灾难恢复计划的测试。
3、安全策略的生成步骤: 1)确定重要的策略。 2)确定可接受的行为。 3)征求建议。 4)策略的开发。
四、网络信息安全服务
*1 、机密性服务包括: 1)文件机密性。 2)信息传输机密性。 3)通信流机密性。
*2 、完整性服务包括: 1)文件完整性。 2)信息传输完整性。
*3 、可用性服务包括: 1)后备。 2)在线恢复。 3)灾难恢复。
4、网络环境下的身份鉴别: 1)身份认证技术(常见的有口令技术和采用物理形式的身份认证标记进行身份认证的鉴别技术)。 2)身份认证协议(会话密钥、共享密钥认证和公钥认证。)
5、访问控制:访问控制是确定来访实体有否访问权以及实施访问权限的过程。
五、安全体系结构
1、可信系统体系结构概述:如果保护在硬件层实现,保护机制更简单,可提供广泛的通用的保护。越是层次向上升,越是增加复杂性,而功能则更加专门和细粒度。最高层也最复杂,因为它直接向用户提供广泛的功能和选项。功能和安全复杂性增加,则越靠近用户。复杂性增加,则安全机制的级别越低。
*2 、网络体系结构的观点(课本 P74)
3、加密机制。 1)加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且是其他安全机制中的一部分或对安全机制起补充作用。 2)加密算法可以是可逆的,也可以是不可逆的。3)除了某些不可逆加密算法的情况外,加密机制的存在便意味着要使用密钥管理机制。
4、大多数应用不要求在多个层加密,加密层的选取主要取决于下列几个因素:1)如果要求
全通信业务流机密性,那么选取物理层加密,或传输安全手段(如适当的扩频技术)。2)
如果要求细粒度保护(即对不同应用提供不同的密钥),和抗否认或选择字段保护,那么将选取表示层加密。3)如果希望实现所有客户端系统通信的简单块保护,或希望有一个外部的加密设备(例如,为了给算法和密钥加物理保护,或防止错误软件),那么将选取网络层加密。 4)如果要求带恢复的完整性,同时又具有细粒度保护,那么将选取传输层加密。5)对于今后的实施,不推荐在数据链接层上加密。
6、数字签名机制的特点:1)签名过程使用签名者的私有信息作为密钥,或对数据单元进行加密,或产生出该数据单元的一个密码校验值。 2)验证过程使用公开的规程与信息来决定该签名是否是用签名者的私有信息产生的。 3)签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。因而,当该签名得到验证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明只有那个私有信息的唯一拥有者才能产生这个签名。
六、 Internet 安全体系结构之一
1 局域网LAN的安全。防御方法:1)防火墙。2)特权区(privileged zones )。3) LAN 连接。
2、无线网面临着一系列有线网没有的不安全风险,包括:1)分组嗅测( packet
sniffing )。 2)服务集标识 SSID ( the service set identifier )信息。 3)假冒(inpersonation)。4)寄生者(parasites )。5)直接安全漏洞(direct security breaches )。
3、风险缓解的方法:1)SSID打标签。2)广播SSIDb 3)无线放置。4)MACS滤。5)WEP。6)其他密码系统。 7)网络体系结构。
4、课本P107图6-3 CHAP处理。
5、A RP和RARP勺风险
课本P110图6-4 作为MitM攻击的ARP S损。
6、所有的分段机制有两个主要风险:丢失分段和组装数据的容量。此外分段管理的类型能导致丢失数据分段。
分段的风险: 1)丢失分段攻击。 2)最大的不分段大小。 3)分段重组。
7、 IP 风险: 1)地址冲突。 2)IP 拦截。 3)回答攻击。 4)分组风暴。 5)分段攻击。) 6)转换通道。
七、Internet 安全体系结构之二
1、TCP DoS攻击:1) SYN攻击。2) RST和 FIN 攻击。3) ICMP攻击。4) LAND攻击。
*2、缓解对TCP攻击的方法:1)改变系统框架。2)阻断攻击指向。3)识别网络设备。4)状态分组校验。 5)入侵检测系统( IDS)。 6)入侵防御系统( IPS)。
*3、UDF攻击:1)非法的进入源。2)UDP拦截。3)UDP保持存活攻击。4)UDP Smurf攻击。5)UDP侦察。
4、DNS风险:1)直接风险(无身份鉴别的响应、DNS缓存受损、ID盲目攻击、破坏DNS分组)。2)技术风险(DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS。3)社会风险(相似的主机名、自动名字实现、社会工程、域更新)。
#5、缓解风险的方法:
1)直接威胁缓解。基本的维护和网络分段能限制直接威胁的影响。
1、补丁: DNS!务器的增强版经常会发布,DNS服务器和主机平台应定期打补丁
和维护。
2、内部和外部域分开:DNS服务器应该是分开的。大的网络应考虑在内部网络分
段间分开设置服务器,以限制单个服务器破坏的影响,且能够平衡DNS负载。
3、限制域或转换:域的转换限制于特定的主机,且由网络地址或硬件地址标识。这
个方案对MAC和IP的伪装攻击是脆弱的,但对任意的主机请求域转换确实是有用的。
4、鉴别的域转换:采用数字签名和鉴别域转换能减少来自域转换拦截和破坏的影
响。
5、有限的缓冲间隔:缓冲间隔减少至低于 DNS回答规定的值,可以减少缓冲器受损的损坏装口。
6、拒绝不匹配的回答:假如缓冲 DNS服务器接到多个具有不同值的回答,全部缓冲器应
刷新。虽然这会影响缓冲器性能,但它消除了长期缓冲器受损的风险。
2)技术威胁的缓解。技术风险预防方法包括网络、主机和本地环境。
1、加固服务器:限制远程可访问进程的数量,就能限制潜在攻击的数量。加固服务器可
降低来自技术攻击的威胁。
2、防火墙:在DNS服务器前放置硬件防火墙限制了远程攻击的数量。
3)侦察威胁的缓解。
1、限制提供DNS言息:这可以缓解攻击者侦察的威胁,虽然DNS不能完全做到,但可限
制提供信息的类型和数量。
2、限制域转换:域的转换仅限于鉴别过的主机。虽然不能组织蛮力主机的查找,但可组
织侦察。
3、限制请求:限制DNS青求的数量可由任何单个网络地址完成。虽然不能防止蛮力域监听,
但是可设置障碍。
4 、去除反向查找:假定反向查找不是必须的,那么去除它。这可限制蛮力域监听的影响。
5、分开内部和外部域:DNS域服务器应该是分开的,以确保 LAN的信息保持在 LAN特别是内
部主机名应该不允许外部可观察。
6 、去除额外信息:不是直接为外部用户使用的信息应该去除,例如TXT, CHAM,E HINFO这些信息。
7、隐藏版本:对允许本地登录或远程状态报告的 DNS K务器,这些DNS版本可能被泄漏。因为不同的版本和不同的利用相关,应该修改版本以报告假信息或将其去除。
4)社会威胁缓解。除了对用户进行培训,防止相似主机名和自动名字完成的风险,还有:
1、监控相似域:经常搜索域名的变化。当发现有相似主机名的标识,DNS提供者
要求他们关掉。虽然这是一个复杂的耗时的任务,但这是监控相似域名的一种专门服
务。
2、锁住域:使用支持域名锁定的域注册者。这需要一些附加信息,诸如账户信息、转换
域名的口令。
3、使用有效联系:在域注册中提供一个或多个有效联系方法,以允许用户和注册者联系
域主。但不需要专门的人名或个人信息,以免攻击者使用这些信息攻击域主。
4、不间断支持:选择一天 24 小时,一周 7 天不间断支持的域注册者。这样在任何时
候可和注册者联系,以解决有关域的问题。
5、自己主持:大的单位应选择称为拥有管理自己域的注册者。
5)优化DNS设置。
6)确定可信的回答。
6、P133 图 7-2 SSL 协议会话过程示意图。
八、防火墙
1 、防火墙一般安防在被保护网络的边界,必须做到以下几点,才能使防火墙起到安全防护的作用:1)所有进出被保护网络的通信必须通过防火墙。2)所有通过防火墙的通信必须经
过安全策略的过滤或者防火墙的授权。3)防火墙本身是不可被侵入的。
*2、防火墙的功能: 1)访问控制功能。 2)内容控制功能。 3)全面的日志功能。 4)集中管理功能。 5)自身的安全和可用性。
3、拒绝服务攻击主要有以下几种形式:(记住四种解释)
a)Syn Flood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样目的主机就为这些源主机建立了大量的连接队
列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
b)Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有的主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
c)Lan d-based :攻击者将一个数据包的源地址和目的地址都设置为目标主机的地址,然后将该数据包通过 IP 欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地减低了系统性能。
d)P ing of Death:根据TCP/IP的规范,一个IP包的长度最大为65 536B,但发送较大的IP 包时将进行分片,这些 IP 分片到达目的主机时又重新组合起来。在 Ping of Death攻击时,各分片组合后的总长度将超过 65 536B,在这种情况下会造成某些操作的宕机。
4、防火墙的局限性: 1)防火墙不能防范不经由防火墙的攻击。 2)防火墙不能防止感染了病毒的软件或文件的传输。 3)防火墙不能防止数据驱动式攻击。 4)防火墙不能防范恶意的内部人员侵入。 5)防火墙不能防范不断更新的攻击方式,防火墙制定的安全策略是在已知的攻击模式下制定的,所以对全新的攻击方式缺少阻止功能。
*5、防火墙技术: 1)包过滤技术。 2)应用网关技术。 3)状态检测防火墙。 4)电路级网关。5)代理服务器技术。