1,緒論
網路安全的基本概念
定義
? CIA三要素:保護、防止、保證, 機密性、完整性、可用性
? 廣義上講:保密性、完整性、可用性、真實性、可控性
? 兩個方面:技術、管理
? ISO對網路安全的定義:網路系統的軟體、硬體以及系統中存盤和傳輸的資料受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露;網路系統連續可靠正常地運行,網路服務不中斷
屬性
機密性、完整性、可用性、可控性、真實性
模型
? ![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-KxuFd0UT-1640524000266)(C:\Users\huol20\AppData\Roaming\Typora\typora-user-images\image-20211223105859218.png)]](https://img.uj5u.com/2021/12/29/292815290727421.png)
攻擊手段
? 被動攻擊:資訊收集、流量分析
? 主動攻擊:偽裝、重放、訊息修改、拒絕服務
攻擊方式
? 口令竊取
? 欺騙攻擊
? 缺陷和后門攻擊
? 認證失敗
? 協議缺陷 (序列號攻擊)
? 資訊泄露
? 指數攻擊
? 拒絕服務攻擊
安全服務
? 認證(確保通信物體就是它們所聲稱的物體)
? 訪問控制
? 資料保密性
? 資料完整性
? 不可否認性 (1.具有源點證明的不可否認 2.具有交付證明的不可否認)
安全機制
? 加密、數字簽名、訪問控制、資料完整性、認證交換、路由控制、公證(可信的第三方)、流量填充(在流量流空襲中加入若干位以阻止流量分析)
![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-FDUBz3zH-1640524000268)(C:\Users\huol20\AppData\Roaming\Typora\typora-user-images\image-20211223111807567.png)]](https://img.uj5u.com/2021/12/29/292815290727423.png)
認識Internet上的嚴峻安全形勢并深入分析其根源
1 系統的脆弱性
2 自然災害的影響
3 網路建造的歷史原因
Internet特點
資源共享、高度開放、跨地區時間的自由
2.TCP/IP協議安全
網路體系結構分層設計
? OSI(7層)
? TCP/IP(4層)
? 五層協議
各層的功能
物理層:位元的傳輸
資料鏈路層:包括處理與傳輸電纜的物理介面細節
網路層:IP協議、ARP協議、路由協議
傳輸層:UDP、TCP
應用層:HTTP、SMTP
![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-IQZS1cwF-1640524000269)(C:\Users\huol20\AppData\Roaming\Typora\typora-user-images\image-20211223131955532.png)]](https://img.uj5u.com/2021/12/29/292815290727426.png)
認識TCP/IP協議族中一些協議的安全問題
ARP
? IP與MAC之間的轉換,ARP確定兩者之間的影射關系,
? ARP攻擊:一臺計算機發出假冒的ARP查詢資訊或應答資訊,將所有流向他的資料流轉移,
?影響->交換式網路下的監聽(即建立了錯誤的ARP表項,攻擊者可以監聽局域網內的資料包)、偽造網關(即建立假網關,讓已被欺騙的PC向假網關發資料,現象->“網路掉線”)
TCP
? 三次握手協議
? 客戶端–SYN–服務端–SYN+ACK(表示確認客戶端的連接請求)–客戶端–ACK–服務端
? SYN Flood攻擊:攻擊點->TCP連接半開放狀態,手段->大量流量沖擊,結果->服務器一直處于半開放連接狀態,解決辦法:算短SYN Timeout,設定SYN cookie,
? 序號(seq)攻擊:條件->協議雙方只靠IP源地址認證,手段->攻擊者預測到目標主機的起始序號
HTTP
? 資料明文傳輸
? 無狀態連接(使用cookie解決HTTP的無狀態性)
TELNET
Telnet協議是TCP/IP協議家族中的一員,是Internet遠程登陸服務的標準協議和主要方式,可以在本地就能控制服務器,要開始一個telnet會話,必須輸入用戶名和密碼來登錄服務器,Telnet是常用的遠程控制Web服務器的方法,
缺點:輸入的賬戶和密碼是明文傳輸,容易被監聽,
SMTP
? 作用:發送郵件使用
? 缺點:無加密機制, 本協議允許開放中繼(即允許在任何人之間傳遞郵件), sendmail服務常以root用戶權限作業, 拒絕服務的發源地,攻擊者采用DoS攻擊阻止用戶合法使用郵件服務器,郵件內容明文傳輸,郵件地址可以被假冒–角色欺騙,
對ICMP協議的利用:
(由于在路由發現程序中,ICMP并不對應答方進行認證,接收方將無法知道這個回應是否偽造的,)
監控工具:ping,traceroute(windows下為tracert)
3.密碼學在網路安全中的應用
對稱密碼體制/非對稱密碼體制
提供保密pk
提供認證和簽名sk
混合加密體制
數字簽名
MAC(Message Authentication Code)方法不能提供數字簽名
數字簽名應滿足的要求:
R1-條件_抗偽造
S-條件_不可否認
R2-條件_抗抵賴
T-條件_第三方只能證明不能復刻
按壓縮分類
1.對整體資訊進行簽名
2.對壓縮資訊進行簽名
安全性約定
簽名密鑰只有簽名人掌握
簽名/驗證演算法公開
基于仲裁的公開密鑰簽名
可避免聯合作弊
基于仲裁的對稱密鑰簽名
存在聯合作弊條件
密鑰管理
Diffie-Hallman (雙方密鑰交換)
KDC (第三方分發)
4.訊息鑒別與身份認證
認證分為哪兩大類
物體認證、數字認證
身份認證和訊息認證
訊息鑒別協議的核心——鑒別函式
如何利用鑒別函式構造鑒別協議
分析一個鑒別協議的安全問題
安全握手協議—簽名、身份確定、
? KDC密鑰分配
Kerberos認證協議
? 例子:電影票
? Kerberos服務器又稱KDC
?
身份認證的概念、有哪些常用的身份認證方式,分析其優缺點
-
傳統身份認證、數字世界里的身份認證、零知識證明(zk)
-
基于口令的認證(易記,難猜中,抗蠻力破解;易泄露)
基于生物特征的認證(虹膜識別)(最可靠,幾乎不可仿冒;技術不成熟)
基于智能卡的認證(方便,安全,經濟)
基于挑戰應答/KDC方式的認證的作用
提高了用戶身份認證的安全性,可以抵抗重放攻擊
KDC是什么?
KDC和每一個節點都有一個共享密鑰,每個節點希望和其它節點通信,則首先和KDC聯系,由KDC分配一個臨時的會話密鑰,
設計一個滿足安全要求的認證協議*
1.雙方各自應擁有數字簽名 防止偽造、抵賴
2.第三方機構 ca證書機構
Kerberos系統
一種基于對稱密鑰、在網路上實施身份認證的服務,包含認證服務器(AS)和門票授權服務器(TGS)
設計目的
解決分布式網路環境下用戶訪問網路資源時的安全問題
Kerberos認證服務
特征
提供一種基于可信第三方的認證服務、安全性、透明性、可伸縮性
總結
1.雙頭設計(AS&TGS)、2密鑰共享、3防止重放
PKI技術
作用
從技術上解決網上身份認證、資訊完整性、抵賴性等安全問題
內容
以公鑰技術為基礎、以數字證書為媒介、結合對稱加密和非對稱加密,將個人 、組織、設備的標識資訊與各自的公鑰捆綁在一起,
通過自動管理密鑰和證書,為用戶建立一個安全可信的網路運行環境,
PKI是目前為止既能實作用戶身份認證,又能保證互聯網上所傳輸資料安全的唯一技術,
組成
證書機構、證書發布庫、證書撤銷、注冊機構、密鑰備份和恢復、PKI應用介面
信任模型
單一模型CA 、樹狀、對等、網狀
5.Internet安全
各層協議的安全
IPSec
IPSec對于IPv4是可選的,對于ipv6是強制的,
思想
使用IP封裝技術,對純文本的包加密,封裝在外層的IP資料報的首部里,用來對加密的包進行路由
實作的目的
使需要安全服務的用戶能夠使用相應的加密安全體制,且該體制與演算法無關
作業程序(AH和ESP)
AH(IP頭部認證):提供無連接的完整性驗證、資料源認證、選擇性抗重放服務
? 傳輸模式下的AH :"AH頭部"插入到"IP頭部"之后
? 隧道模式下的AH : "AH頭部"插入到"IP頭部"之前,然后在AH外面再封裝一個新的IP頭部
ESP(封裝安全負載):提供加密保障,完整性驗證、資料源認證、抗重放服務
? 在發送IPSEC資料報前,在源物體和目的物體之間必須創建一條網路層的邏輯連接,這個連接稱為SA
? 傳輸模式
? 隧道模式(對整個IP包加密)
作業模式
傳輸模式:用于端到端(主機到主機)的應用時,僅對源點做鑒別和完整性,沒有提供保密性
隧道模式:用于主機到網關或網關到網關之間或用于防火墻或其他安全網關,保護內部網路,隔離外部網路,不僅能提供AH提供的源點鑒別和資料完整性,還能提供保密性
功能
密鑰管理
手動管理
自動管理
Photuris
簡單Internet密鑰管理協議SKIP
Internet密鑰交換協議IKE
IPSec默認協議
IKE(Internet Key Exchange)
SSL/SET的思想
SSL(Secure Socket Layer)
用于在兩個通信應用程式之間提供保密性和資料完整性
(https 即http呼叫SSL對這個網頁傳輸內容加密,埠也從80變成443)
SET(Secure Electronic Transaction)
能夠保證信用卡資訊安全可靠地通過因特網傳輸的新協議
通過DES,RSA等進行高效率資料加密,利用數字證書、訊息摘要、時間戳、數字簽名和雙重簽名等技術確保資訊的完整性、不可抵賴性和隱私保護等,具有安全性高、密鑰管理簡便等優點
PGP技術
提供的服務
為電子郵件和檔案存盤應用提供了認證和保密性服務
如何實作上述服務
常用的欺騙技術
基本的IP欺騙
基本地址變換
? 即攻擊者使用假冒IP,一般只能發送,不能接受
? 限制較多
源站選路
? 第一種方法:攻擊者插入到資料流經過的通路上
? 第二種方法——源路由機制(需要使用源路由;某些路由器對源路由包的反應是使用其指定的路由,并使用其反向路由來傳送應答資料)
利用信任關系
? 只能在Unix環境下使用
總結
TCP會話劫持攻擊
目的
使攻擊者避開了被攻擊主機對訪問者的身份驗證和安全認證,從而使攻擊者直接進入對被攻擊主機的訪問狀態,因此對系統安全構成的威脅比較嚴重
原理
角色扮演
型別
主動、被動 (一把伴隨拒絕服務攻擊)
DNS欺騙
dns表更新不及時
dns服務器被劫持
中間人攻擊
Web欺騙
莆田系網站
6.防火墻技術
防火墻的過濾機制和安全策略,
通過、拒絕并回應、、丟棄無回應
安全策略是按一定規則檢查資料流是否可以通過防火墻的基本安全控制機制
防火墻的分類,各自的特點,
包過濾防火墻
靜態包過濾防火墻–作業于網路層
? 安全性較高、直接使用路由器軟體過濾
? 決定是否接受一個包:取決于資料包中的IP頭和協議頭等特定區域的檢查和
? 作業原理
? 過濾規則、過濾位置、訪問控制策略
? 安全性
IP地址欺騙、隱信道攻擊(靜態不檢查資料包的凈荷部分,hacker可將惡意命令或資料隱藏于此)、無“狀態感知”(管理員需配置相應規則保護服務器)
動態包過濾防火墻–先進的作業于傳輸層,一般在網路層
電路級網關防火墻–作業于會話層
建立兩個防火墻
電路層網關只是在內部連接和外部連接之間來回拷貝位元組,并不進行任何附加的包處理或過濾
應用級網關防火墻–作業于應用層
防火墻能否抵抗來自內網的攻擊?
莫法
7.VPN技術
VPN是什么
利用Internet或其它公共互聯網路的基礎設施為用戶創建隧道,來仿真專有的廣域網,并提供與專用網路一樣的安全和功能保障
其實作的目的
外地訪問企業內部網路、分公司訪問總部網路
降低專有網的成本
有哪些型別
遠程訪問型vpn(撥號型VPN)(Access vpn)
LAN間互連型VPN——Intranet VPN(內部網VPN)
LAN間互連型VPN——Extranet VPN(外部網VPN)
主要應用的技術
隧道技術–資料封裝,被封裝的資料包所經過的邏輯路徑叫隧道,相關協議:二層 PPTP\L2TP 三層 GRE\IPSc(AH[認證]+ESP[加密])
加解密技術–DES\3DES\IDEA
密鑰管理技術
身份認證技術
訪問控制
0524000283)]
防火墻能否抵抗來自內網的攻擊?
莫法
7.VPN技術
VPN是什么
利用Internet或其它公共互聯網路的基礎設施為用戶創建隧道,來仿真專有的廣域網,并提供與專用網路一樣的安全和功能保障
其實作的目的
外地訪問企業內部網路、分公司訪問總部網路
降低專有網的成本
有哪些型別
網關-網關vpn
遠程訪問型vpn(撥號型VPN)
LAN間互連型VPN——Intranet VPN(內部網VPN)
LAN間互連型VPN——Extranet VPN(外部網VPN)
主要應用的技術
隧道技術–資料封裝,被封裝的資料包所經過的邏輯路徑叫隧道,相關協議:二層 PPTP\L2TP 三層 GRE\IPSc(AH[認證]+ESP[加密])
加解密技術–DES\3DES\IDEA
密鑰管理技術
SKIP(DIFFIE-HELLMAN) ISAKMP(公開密鑰)
身份認證技術
訪問控制
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/396088.html
標籤:其他
上一篇:【因果推斷論文】中國新冠死亡率更高?- 新冠死亡率的辛普森悖論
下一篇:學習Java對網路安全的重要性