7.1、网络安全概述
1、安全包括哪些方面
- 数据存储安全
- 应用程序安全
- 操作系统安全
- 网络安全
- 物理安全
- 用户安全教育
2、网络安全面临的问题
1)截获——从网络上窃听他人的通信内容。
2)中断——有意中断他人在网络上的通信。
3)篡改——故意篡改网络上传送的报文。
4)伪造——伪造信息在网络上的传送。
截获信息的攻击称为被动攻击;
更改信息和拒绝用户使用资源的攻击称为主动攻击;
也就是1)属于被动攻击,而2)3)4)属于主动攻击。
DNS (域名)劫持、ARP 欺骗,钓鱼网站、SYN 攻击
软件:cain,末日帝国
DDOS 一般指分布式拒绝服务攻击
Distributed denial of service attack
分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。
分布式拒绝服务攻击方式在进行攻击的时候,可以对源IP地址进行伪造,这样就使得这种攻击在发生的时候隐蔽性是非常好的,同时要对攻击进行检测也是非常困难的,因此这种攻击方式也成为了非常难以防范的攻击。
3、计算机面临的威胁——恶意程序(rogue program)
1)计算机病毒(应用程序):会 ”传染“ 其他程序的程序,”传染“ 是通过修改其他程序来把自身或其变种复制进去完成的。
2)计算机蠕虫(应用程序):通过网络的通信功能将自身从一个节点发送到另一个节点并启动运行的程序。会一点点的消耗计算机的 CPU、内存,最后不得不重启,重启之后又开始一点点消耗资源。
3)特洛伊木马:一种程序,执行的功能超出所声称的功能。盗号发送邮件、远程控制、偷取数据……
4)逻辑炸弹:一种当运行环境满足某种特定条件时执行其他特殊功能的程序。
如何识别木马程序:
- 通过 netstat -n 查看可疑会话
- 通过 msconfig 隐藏微软服务,查看后来安装的可疑服务
- 安装杀毒软件
7.2、两类加密技术
7.2.1、对称加密
所谓常规秘钥密码体制,即加密秘钥和解密秘钥相同,这种加密系统又称为对称秘钥系统。
- 优点:效率高
- 缺点:秘钥不适合在网络上传输,秘钥维护麻烦
我们通过加密算法来加密秘钥,也就是通过数据加密标准 DES 来进行加密。
数据加密标准 DES(对称加密)
数据加密标准 DES 属于常规密钥密码体制,是一种分组密码。
在加密前,先对整个明文进行分组。每一个组长为 64 位。
然后对每一个 64 位二进制数据进行加密处理,产生一组 64 位密文数据。
最后将各组密文串接起来,即得出整个的密文。
使用的密钥为 64 位(实际秘钥长度为 56 位,有 8 位用于奇偶校验)。
DES 的保密性
DES 的保密性取决于对密钥的保密,而算法是公开的。
尽管人们在破译 DES 方面取得了许多进展,但至今仍未能找到比穷举搜索密钥更有效的方法。
DES 是世界上第一个公认的实用密码算法标准。
- 56 位密钥破解需要 3.5 或 21 分钟
- 128 位密钥破解需要 5.4 * 1018 年
7.2.2、非对称加密
公钥密码提示使用不同的加密密钥与解密秘钥,是一种“由已知加密密钥推导出解密秘钥在计算上是不可行的“的密码体制。
公钥密码体制的产生主要是因为两个方面的原因:
- 由于常规密钥密码体制的密钥分配问题,也就是维护起来困难
- 对数字签名的需求
现有最著名的公钥密码体制是 RSA 体制,它基于数论中大数分解问题的体制,由美国三位科学家于 1976 年提出并在 1978 年正式发表。
公钥和私钥
加密秘钥和解密秘钥不同,秘钥对,公钥和私钥
公钥加密私钥解密,私钥加密公钥解密,必须成对使用!
- 优点:秘钥维护简单,只要私钥不泄露,公钥不怕丢
- 缺点:效率低
那么如何实现效率高而且维护简单?
这就是非对称加密的细节,其实也是非对称加密和对称加密的结合:用[对称加密]加密数据,用[公钥加密]对称加密的秘钥
7.3、数字签名(又称公钥数字签名)
数字签名存在的目的:鉴别源头,防止抵赖,能够检查签名之后内容是否被更改。
用到的技术:非对称密钥加密技术、报文摘要技术 MD(Message Digest)
以甲方和乙方公司使用数字签名技术在网上签订合同开始讲述:
这里存在两个问题:
- 如何证明(合同,公钥,签名)没有被一起修改过?
- 如果甲方公司的公钥和私钥都是自己制作的,万一甲方公司抵赖呢?
这里就需要第三方的介入,也就是证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。
证书颁发机构的作用:
- 为企业和用户颁发数字证书,确认这些企业和用户的身份
- 发布证书吊销列表
- 企业和个人信任证书颁发机构
如果企业的数字证书丢失,那么企业就需要在 CA 上进行证书挂失,将该证书放到一个证书吊销列表上,供企业查看。
企业的数字证书申请需要 Money,就跟申请域名一样。
1)当乙方拿到信息之后,并不着急验证信息是否被修改,而是先用 CA 的公钥去解密甲方带有 CA 数字签名的公钥(CA 的数字签名是用 CA 的私钥加密的,只有 CA 的公钥才能解密),也就是验证甲方的公钥是否合法,此外还要在证书吊销列表上检查该证书是否已被吊销!
这个时候乙方公司是不信任甲方,而是信任 CA 这个证书颁发机构。
2)然后乙方再用甲方的公钥去解密甲方的签名获取摘要和进行过同样担单向散列的摘要进行对比。
数字签名用小红花标记,数据加密用一把锁来标记
数字签名用发件人的私钥加密,加密数据用收件人的公钥加密
7.4、Internet 上使用的安全协议
7.4.1、安全套接字 SSL
SSL (Secure Sockets Layer,安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全、鉴别以及数据完整性的一种安全协议。
TLS 与 SSL 在传输层与应用层之间对网络连接进行加密。
SSL 在双方的联络阶段协商将使用的加密算法和密钥,以及客户与服务器之间的鉴别。
在联络阶段完成之后,所有传送的数据都使用在联络阶段商定的会话密钥。
SSL 不仅被所有常用的浏览器和万维网服务器所支持,而且也是运输层安全协议 TLS (Transport Layer Security)的基础。
SSL 的位置:
SSL 提供以下三个功能:
1)加密 SSL 会话:客户和服务器交互的所有数据都在发送方加密,在接收方解密;
2)SSL 服务器鉴别:允许用户证实服务器的身份。具有 SSL 功能的浏览器维持一个表,上面有一些可信赖的认证中心 CA(Certificate Authority)和它们的公钥;
3)SSL 客户鉴别:允许服务器证实客户的身份;
HTTPS (Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在 HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性 。HTTPS 在 HTTP 的基础下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。
Web 服务器使用了安全套接字 SSL 之后和客户机通信的过程:
Web 服务器和客户机进行通信,服务器会向客户机发送带有 CA 数字签名的公钥,客户机会生成对称加密的密钥,用来加密传输的数据,然后再用服务器发来的公钥加密对称加密的密钥,将加密的密钥发送给服务器, 服务器和客户机之间的通信就是这个是用公钥加密了的密钥进行通信。
访问网站出现安全警告的原因:
- 你不信任该证书
- 该证书过期或没有申请证书
- 没有访问证书绑定的域名, 访问 IP 地址或没有使用 HTTPS 协议访问
收发电子邮件使用安全套接字之后:
| 应用层协议 | 传输层协议 + 端口 |
|---|---|
| IMAPS | TCP + 993 |
| POP3S | TCP + 995 |
| SMTPS | TCP + 465 |
| HTTPS | TCP + 443 |
7.4.2、网络层安全 IPSec
数据加密和数字签名属于应用层安全,要有应用程序的支持才可以。
打个比方,有张三,李四两个人正在用电话通信,张三和李四用事先商量好的密文进行通信,即使我们截获了通信的内容,没有秘钥解密也无法正确解读信息,这就是【应用层安全的数据加密】。
同样还是张三李四两个人通信,他们也都是正常说话,只不过他们通信的时候需要对暗号,暗号对了才能正确找到接头人,而且发送方发出数据之前,数据已经被事前商量好的规则(共享密钥对)加密了,接收方也要按照特定的规则解密,这个加密解密的过程不需要张三李四的参与,对他们来说透明的,这就是要说的【网络层安全 IPSec】
例如:
张三:“天王盖地虎”
李四:“宝塔镇河妖”
暗号正确,可以通信
张三正常说话
发送方使用共享密钥对对数据进行加密
网络传输……
接收方使用共享密钥对对数据进行解密
李四读取张三说话的内容
这里暗号只是形象的说明,实际的暗号(共享密钥)需要双方协商成一致的,并且可以动态改变。
这个加密解密的过程由网卡参与完成,IPSec 是点到点(端到端)的加密与解密。
IPSec 中最主要的协议
- 鉴别首部 AH(Authentication Header):AH 鉴别源点和检查数据完整性,但不能保密。也就是能进行数字签名,但不能进行数据加密。
- 封装安全有效载荷 ESP(Encapsulation Security Payload):ESP 比 AH 复杂得多,它鉴别源点、检查数据完整性和提供保密。既能进行数字签名,又能进行数据加密。
1、鉴别首部协议 AH
- 在使用鉴别首部协议 AH 时,把 AH 首部插在原数据报数据部分的前面,同时把 IP 首部中的协议字段置为 51。
- 在传输过程中,中间的路由器都不查看 AH 首部。
- 当数据包到达终点时,目的主机才处理 AH 字段,以鉴别源点和检查数据报的完整性。
2、封装安全有效载荷 ESP
- 使用 ESP 时,IP 数据报首部的协议字段置为 50。
- 当 IP 首部检查到协议字段是 50 时,就知道在 IP 首部后面紧接着的是 ESP 首部,同时在原 IP 数据报后面增加了两个字段,即 ESP 尾部和 ESP 数据(存放数据鉴别的结果)。
安全关联 SA(Security Association )
在使用 AH 或 ESP 之前,先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA。
IPSec 就把传统的因特网无连接的网络层转换为具有逻辑连接的层。
SA(安全关联)是构成 IPSec 的基础,是两个通信实体协商(利用 IKE 协议)建立起来的一种协定,它决定了用来保护数据分组安全协议(AH 协议或者 ESP 协议)、转码方式、密钥以及密钥的有效存在时间,传输多少字节后跟换密钥等。
7.5、数据链路层安全
在采用链路加密的网络中,每条通信链路上的加密是独立实现的。
通常对每条链路使用不同的加密密钥。
相邻结点之间具有相同的密钥,因而密钥管理易于实现。
链路加密对用户来说是透明的,因为加密的功能是由通信子网提供的。
由于报文是以明文形式在各结点内加密的,所以结点本身必须是安全的。
所有的中间结点(包括可能经过的路由)未必都是安全的。因此必须采取有效措施。
链路加密的最大缺点是在中间结点暴露了信息的内容。
在网络互连的情况下,仅采用链路加密是不能实现通信安全的,一般使用端到端(IPSec)的加密和解密,这样报文的安全不会因中间结点的不可靠而受影响。
7.6、防火墙(Firewall)
- 防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间设置访问控制策略。
- 访问控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。
- 防火墙的网络称为“可信赖的网络(trusted network)”,而将外部的因特网称为“不可信赖的网络(untrusted network)”。
- 防火墙可用来解决内联网和外联网的安全问题。
防火墙在互连网络中的位置:
防火墙的功能:阻止 和 允许
- “阻止” 就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来);
- “允许” 的功能与 “阻止” 恰好相反;
防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是 “阻止”。
防火墙技术一般分为两类:
网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。
- 分组过滤检查所有流入本网络的信息,然后拒绝不符合事先制订好的一套规则的数据。
- 授权服务器是检查用户的登录是否合法。
应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。
- 例如:可以只允许访问 Web 网站的应用通过,而阻止 FTP 应用通过。
网络层防火墙:基于数据包 源地址 目的地址 协议和端口 控制流量
应用层防火墙:数据包 源地址 目的地址 协议和端口 控制流量 用户名 时间段 数据包内容 防病毒进入内网
防火墙网络拓扑结构:
- 边缘防火墙
- 三像外围网
DMZ 介绍
- 两个防火墙之间的空间被称为 DMZ。与 Internet 相比,DMZ 可以提供更高的安全性,但是其安全性比内部网络低。
- DMZ 是英文 “demilitarized zone” 的缩写,中文名称为“隔离区”,也称“非军事化区”。
- 它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。
- 该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
- 另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
- 背靠背防火墙
- 单一网卡
