文章目录
8-1考点分析
8-2网络安全基础
■ ( 1 ) 窃 听:例如搭线窃听、安装通信监视器和读取网上的信息等。
■ ( 2 ) 假 冒:当一个实体假扮成另一个实体进行网络活动时就发生了假冒。
■ ( 3 ) 重 放 :重复发送一份报文或报文的一部分,以便产生一个被授权效果(添加随机数或者时间戳可以防止)。
■ (4)流量分析 :对网上信息流观察和分析推断出网上传输的有用信息。
■ (5)数据完整性破坏:有意或无意地修改或破坏信息系统,或者在非授权和不能监测的方式下对数据 进行修改。
■ (6)拒绝服务DoS: 当一个授权实体不能获得应有的对网络资源的访问。 SYN-Flooding
■ (7)资源的非授权使用:即与所定义的安全策略不一致的使用。
■ (8)陷门和特洛伊木马:通过替换系统合法程序,或者在合法程序里插入恶意代码。
■ (9)病毒:随着人们对计算机系统和网络依赖程度的增加,计算机病毒已经构成了对计算机系统和网 络的严重威胁。
■ (10)诽谤:利用计算机信息系统的广泛互连性和匿名性散布错误的消息,以达到坻毁某个对象的形 象和知名度的目的。
网络攻击分类
被动攻击 :典型代表嗅探、监听和流量分析 ,最难被检测,重点是预防,主要手段是加密。
主动攻击:假冒、重放、欺骗、消息篡改和拒绝服务等,重点是检测而不是预防 ,手段有防火墙、 IDS等技术
物理临近攻击:防止外人乱进机房。
■ 内部人员攻击:内鬼渗透,国共抗战,内部瓦解。
分发攻击:软件开发出来未安装之前,被篡改。 (疫苗运输恒温不合格)
安全目标与技术
安全目标
· 访问控制
·认证:身份认证、消息认证
。完整性:确保接收到的信息与发送的信息一致
。审计:不可抵赖
。保密:确保敏感信息不被泄露
基本安全技术:数据加密、数字签名、身份认证、防火墙、入侵检测、内容检查。
8-3现代加密技术
私钥密码/对称密码体制
密码分为私钥和公钥密码两种,而介于私钥和公钥之间的密码称为混合密码。
私钥密码又称对称密码,该体制的特点是加密和解密使用相同的密钥。消息的收发双方必须事先通过安全渠道交换密钥。
·优点: 加解密速度快、密文紧凑、使用长密钥时的难破解。
·缺点: 密钥分配问题、密钥管理问题、无法认证源。
常见的对称密钥加密算法如下: DES、3DES、AES、RC4/5、IDEA。
对称加密算法总结
公钥密码/非对称密码
:::info
公钥密码又称为非对称加密,就是对数据加密和解密的密钥是不同的。
· 优 点 :密 钥 分 发 方 便 、 密 钥 保 管 量 少 、 支 持 数 字 签 名。
· 缺 点 :加 密 速 度 慢 ( 计 算 量 大 , 不 适 合 加 密 大 数 据 ) 、 数 据 膨 胀 率 高。
每个实体有两个密钥: 公钥公开,私钥自己保存。
· 公 钥 加 密 , 私 钥 解 密 , 可 实 现 保 密 通 信
· 私 钥 加 密 , 公 钥 解 密 , 可 实 现 数 字 签 名
:::
常见的非对称加密算法如下:
图3-2 公钥密码体制原理示意图
:::info
·RSA:512 位 ( 或 1 0 2 4 位 ) 密 钥 , 计 算 量 极 大 , 难 破 解 。
:::
·Elgamal、ECC ( 椭 圆 曲 线 算 法 ) 、 背 包 算 法 、 Rabin、DH 等 。
混合密码
■ 混合密码:发送方用对称密钥加密需要发送的消息,再用接收方的公钥加密对称密钥,然后一起发送
给接收方;接收方先用自己的私钥解密得到对称密钥,然后用对称密钥解密得到明文。
国产加密算法- SM 系列
《中华人民共和国密码法》密码分为核心密码、普通密码和商用密码 ,实行分类管理。
·核心密码、普通密码用于保护国家秘密信息 ,属于国家秘密,由密码管理部门依法实行严格统一管理。
。商用密码用于保护不属于国家秘密的信息,公民、法人可用。
国产密码算法:是指由国家密码研究相关机构自主研发,具有相关知识产权的商用密码算法,目前已经公布的国产密码算法如下:
(记忆)
| SM1 | 对称加密,分组长度和密钥长度都为128比特 |
|---|---|
SM2 |
非对称加密,用于公钥加密算法、密钥交换协议、数字签名算法(椭圆曲线问题) |
SM3 |
杂凑算法(哈希),分组512位,输出杂凑值长度为256位 |
SM4 |
对称加密,分组长度和密钥长度都为128比特 |
SM9 |
标识密码算法,支持公钥加密、密钥交换、数字签名等安全功能 |
8-4Hash哈希算法
哈希算法 Hash
:::info
■ HASH 函数,又称为杂凑函数、散列函数,它能够将任意长度的信息转换成固定长度的哈希值 ( 数 字摘要),并且任意不同消息或文件所生成的哈希值是不一样的。
:::
h 表示hash 函数,则h满足下列条件:
· (1)h 的输入可以是任意长度的消息或文件M。
· (2)h 的输出的长度是固定的。
· (3)给定h和M, 计算h(M) 是容易的。
· (4)给定h的描述,找两个不同的消息M1 和M2, 使得h(M1)=h(M2) 是计算上不可行的。
哈希函数特性: 不可逆性(单向)、无碰撞性、雪崩效应。
常见的Hash 算法有:
· (1)MD5算法:以512位数据块为单位来处理输入,产生128 位的信息摘要。常用于文件校验。
· (2)SHA算法:以512位数据块为单位来处理输入,产生160 位的哈希值,具有比MD5更强的安全性。
· (3)SM3国产算法:消息分组长度为512比特,输出256 位摘要。
HASH 应用(一)文件完整性校验
HASH 应用(二)账号密码存储
1.明文存储,无安全防护
| 用户名 | 密码 |
|---|---|
| test | 123456 |
2.哈希存储 (Rinbow Table Attack,彩虹表攻击)
| 用户名 | 密码 |
|---|---|
| test | e10adc3949ba59abbe56e057f20f883e |
3. ( 盐+哈希 )存储(彩虹表攻击失效)
| 用户名 | 盐 | 密码 |
|---|---|---|
test |
2018-2-20 20:08:23 |
d8e423a9d5eb97da9e2d58cd57b92808 |
HASH 应用(三)用户身份认证
增加 一 个随机数R做哈希 MAC= Hash (密码+R)
■ 需要双方预先知道这个R
■ MAC: 消除中间人攻击,源认证+完整性校验
8-5数字签名
数字签名
■ 签名方用自己的私钥进行签名 ,对方收到后,用签名方的公钥进行验证。
■ 数字签名算法(公钥加密算法):RSA、Rabin 、ELGamal 签名体制和DSS标准。
■ 数据签名是用于确认发送者身份和消息完整性的一个加密消息摘要,具有如下特点:
· (1)数字签名是可信的。
· (2)数字签名不可伪造。
· (3)数字签名不能重新使用。
· (4)签名文件是不能改变的。
· (5)数字签名不能抵赖。
(6)接收者能够核实发送者身份。
数字签名与验证过程(信息安全工程师教程第2版)
8-6数字证书与CA
数字证书
数字证书类比
PKI体系结构(了解即可)
证书链
:::info
■ 如果用户数量很多,通常由多个CA, 每个CA为一部分用户发行和签署证书。
如 果 有 两 个CA,X1 和X2, 假设用户A 从CA 机构X1 获得了证书,用户B从X2 获得证书,如果两个证书
发放机构X1和X2彼此间安全交换了公钥 ,彼此信任,那么他们的证书可以形成证书链。
·A 通过一个证书链来获取B的公钥,证书链表示为: X1《X2》X2《B》
。 B也能通过相反的证书链来获取A的公开密钥: X2《X1》X1《A》
:::
8-7IPSec原理
虚拟专用网基础
:::info
虚拟专用网(Virtual Private Network )
。一种建立在公网上的,由某一组织或某一群用户专用的通信网络
· 二层: L2TP 和PPTP (基于PPP)
· 三 层 :IPSec 和GRE
· 四 层 :SSL/TLS
不加密:L2TP 和GRE
实现虚拟专用网关键技术
· 隧道技术 (Tuneling)
· 加解密技术 (Encryption&Decryption)
·密钥管理技术 (Key Management)
·身份认证技术 (Authentication)
:::
虚拟专网解决方案
二层隧道协议
■ 二层隧道协议有PPTP 和L2TP, 都基于PPP 协议,但PPTP只支持TCP/IP 体系 ,网络层必须是IP协议,
而L2TP 可以运行在IP协议上,也可以在X.25、 帧中继或ATM 网络上使用。
· PPP 协议包含链路控制协议LCP和网络控制协议NCP。
· PPP 协议可以在点对点链路上传输多种上层协议的数据包,有校验位。
帧标志(7E) |
地址(FF) |
控制(03) |
协议 |
数据(<1500字节) |
CRC |
帧标志(7E) |
|---|
1 1 1 2 2 1
PPP 认证方式: PAP 和CHAP
PAP: 两次握手验证协议,口令以明文传送,被验证方首先发起请求。
CHAP: 三次握手 ,认证过程不传送认证口令,传送HMAC 散列值。
IPSec基础(重点)
IPSec(IP Security) 是IETF定义的一组协议,用于增强IP网络的安全性。
■ IPSec 协议集提供如下安全服务:
· 数据完整性(Data Integrity)
· 认证 (Autentication)
· 保密性(Confidentiality)
· 应用透明安全性(Application-transparent Security)
IPSec 原理
:::info
■ IPSec 功能分为三类:认证头 (AH)、 封装安全负荷 (ESP) 、Internet 密钥交换协议 (IKE)。
。认证头 (AH) : 提供数据完整性和数据源认证,但不提供数据保密服务 ,实现算法有MD5 、SHA 。
。封装安全负荷 (ESP) : 提供数据加密功能,加密算法有DES 、3DES 、AES 等。
· Internet密钥交换协议 (IKE) : 用于生成和分发在ESP和AH中使用的密钥。
:::
IPSec 两种封装模式
8-8SSL与HTTPS
SSL安全套接层
■ 安全套接层(Secure Socket Layer,SSL) 是Netscape 于1994年开发的传输层安全协议 ,用于实现 Web 安全通信。
■ 1999年, IETF基于SSL3.0版本,制定了传输层安全标准TLS ( Transport Layer Security)。
■ SSL/TLS在Web 安全通信中被称为HTTPS=HTTP+SSL/TLS。
■ SSL包含记录协议、警告协议和握手协议 ,其中握手协议用于协商参数。
HTTPS 和S-HTTP
■ HTTPS=HTTP+SSL/TLS, 端 口TCP 443。
■ S-HTTP 安全的超文本传输协议 (Security HTTP), 端口TCP 80。
■ S-HTTP 语法与HTTP一样,而报文头有所区别,进行了加密。
PGP
:::info
PGP(Pretty Good Privacy) 是一个完整的电子邮件安全软件包,PGP提供数据加密和数字签名两种
服务。采用RSA公钥证书进行身份验证,使用IDEA进行数据加密,使用MD5 进行数据完整性验证。
:::
■ PGP应用广泛的原因:
。支持多平台 (Windows,Linux,MacOS) 上免费使用,得到许多厂商支持。
·基于比较安全的算法 (RSA,IDEA,MD5)。
。即可以加密文件和电子邮件,也可以用于个人通信,应用集成PGP。
Kerberos 和PKI
其他应用层安全协议
S/MIME( Security/Multipurpose Internet Mail Extensions) 提供电子邮件安全服务。
SET(Secure Electronic Transation) 安全的电子交易,用于保障电子商务安全。
8-9防火墙入侵与入侵检测(下午案例分析题)
防火墙
防火墙可以实现内部网络信任网络与 外部不可信任网络 (Internet) 之间或是内部网络不同区域隔离与访问控制。
■ 防火墙技术与分类: 包过滤、状态化防火墙、应用层网关、应用层检测DPI。
防火墙区域划分
根据网络的安全信任程度和需要保护的对象,人为划分若干安全区域,包括:
· 本地区域 (Local) : 防火墙本身。
·信任区域 (Trust) : 内部安全网络,如内部文件服务器、数据库服务器。
·非信任区域 (Untrust) : 外部网络,比如互联网。
·军事缓冲区域 (DMZ) : 内部网络和外部网络之间的网络,常放置公共服务设备 ,向外提供信息服务。
入侵检测
■ 入侵检测IDS是防火墙之后的第二道安全屏障。
。美国国防部提出公共入侵检测系统架构。
入侵检测系统的数据源
华为交换机端口镜像配置(重点)
:::info
将 交 换 机 网 口GigabitEthernet1/0/2 的流量镜像到部署Snort的网口GigabitEthernet1/0/1 上。
· system-view //进入系统模式
· [HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 //定义索引号为1的观察端口g1/0/1
[HUAWEI] interface gigabitethernet 1/0/2 //进入流量采集接口
[HUAWEI-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound //将g1/0/2 入方向的流量镜像到g1/0/1
:::
入侵检测分类
■ 按信息来源分: HIDS 、NIDS 、DIDS (主机/网络/分布式)。
■ 按响应方式分:实时检测和非实时检测。
■ 按数据分析技术和处理方式分: 异常检测、误用检测和混合检测。
。异常检测: 建立并不断更新和维护系统正常行为的轮廓,定义报警阈值,超过阈值则报警。
能够检测从未出现的攻击,但误报率高。
。误用检测: 对已知的入侵行为特征进行提取,形成入侵模式库,匹配则进行报警。
已知入侵检测准确率高,对于未知入侵检测准确率低, 高度依赖特征库。
检测技术:专家系统和模式匹配。
入侵防御系统IPS
定义:入侵防御系统是一种抢先的网络安全检测和防御系统,能检测出攻击并积极响应。
。IPS 不仅具有入侵检测系统检测攻击行为的能力,而且具有拦截攻击并阻断攻击的功能。
·IPS 不是IDS和防火墙功能的简单组合, IPS 在攻击响应上采取的是主动的全面深层次的防御。
入侵防御系统IPS vs 入侵检测系统IDS
部署位置不同:IPS 一般串行部署,IDS一般旁路部署。
入侵响应能力不同: IPS 能检测入侵,并能主动防御,IDS 只能检测记录日志,发出警报。
8-10计算机病毒与防护
计算机病毒基础
■ 病毒:指一段可执行的程序代码,通过对其他程序进行修改,可以感染这些程序使其含有该病毒程序 的一个拷贝。
■ 病毒四个阶段:
· 潜伏阶段(震网病毒)
· 繁殖阶段(勒索病毒)
· 触发阶段(震网病毒)
· 执行阶段
病毒命名规则
■ 病毒名称一般格式
<病毒前缀>.<病毒名>.<病毒后缀>
Worm.Sasser.b 震荡波蠕虫病毒的变种b
病毒变种b
病毒名:震荡波家族
病毒种类:蠕虫病毒
8-11章节总结
■ 网络攻击分类:主动和被动。
■ 加密技术:
。对称: DES、3DES、IDEA、AES、RC4
。非对称: RSA
■ 哈希:验证数据完整性,防止非法篡改。掌握: MD5 、SHA。
| 协议 | 分组 | 散列值 | 安全性 |
|---|---|---|---|
MD5 |
512 |
128 |
一般 |
SHA |
512 |
160 |
高 |
■ 数字签名原理与特点。
■ 数字证书: CA 用自己私钥签名,证明主体的公钥,证书链。
■ 密钥管理: PKI 和Kerberos。
■ 虚拟专用网:概念和实现原理, PPP,LCP 和NCP,PAP 和CHAP。
■ 病毒:蠕虫病毒-前缀为worm 宏病毒-前缀为macro, 感染excel 或word。
■ IDS: 收集信息并进行分析,发现违反安全策略的行为或攻击。
■ 被动监听, 一般旁挂部署 IPS 是主动安全设备, 一般串行部署。
。异常检测:既能对已知的攻击进行检测,也能检测未出现过的攻击,缺点是误报较多。
。误用检测:对已知入侵行为检测准确率高,漏检率低,缺点是未知入侵检测准确率低。