7.1 網絡安全介紹
7.1.1 一個入侵實例
(1)端口掃描,指定一個公網範圍掃描端口的地址,調查哪些主機開了1433端口。
(2)將地址拷貝到某個破解數據庫管理員密碼的軟件。
7.1.2 安全包括哪些方面
(1)數據(文件/文件夾)存儲安全
(2)應用程序安全
(3)操作系統安全
(4)網絡安全
(5)物理安全
(6)用戶安全教育
7.2 計算機網絡上的通信面臨的威脅
(1)截獲——從網絡上竊聽他人的通信內容。(被動攻擊)(例如cain軟件)
(2)中斷——有意中斷他人在網絡上的通信。(主動攻擊)
(3)篡改——故意篡改網絡上發送的報文。(主動攻擊)(例如cain軟件)
(4)偽造——偽造信息在網絡上傳送。(主動攻擊)
例如,cain軟件能夠截獲和篡改本網段的的報文。它是在主機通過ARP協議尋找網關地址(想上網)的時候,用ARP欺騙,把本電腦的地址發給那個主機,此時,網段內的所有的計算機的報文都會發給cain,這樣主機訪問外網的時候,都是通過cain訪問的(主機訪問cain提供的假域名,cain去訪問真的域名,再把信息轉給主機,這是一種DNS劫持),既能篡改DNS解析結果,還能獲取密碼。同樣的道理,局域網管理員可以在網關設置監視端口,獲得本網段的所有信息。
7.2.1 被動攻擊和主動攻擊
中斷——拒絕服務式攻擊
舉例:DoS拒絕服務式攻擊,通過在網絡上擁擠一些沒用的數據包來阻斷網絡。一般會佔用下載通道ADSL而不是上傳通道UDP,因為下載的帶寬要大得多。
DDoS分佈式攻擊,可以在網絡上找很多有漏洞的網站(肉雞),給指定的服務器發流量來使網絡擁擠吃掉帶寬,對於這種方式沒有什麼好辦法。
篡改——修改域名解析的結果
類似於釣魚網站,當用戶想出入建設銀行的域名,解析錯誤導致用戶訪問了錯誤的網站,當用戶輸入賬號密碼的話就會導致信息洩漏。
偽造——偽裝成其它主機的IP地址
趁其它主機關機時,把IP地址偽裝成該主機的IP地址,從而獲取信息。
7.3 計算機面臨的威脅——惡意程序(rogue program)
(1)計算機病毒——會“傳染”其它程序,“傳染”是通過修改其它程序來把自身或其變種複製進去完成的。(熊貓燒香)
(2)計算機蠕蟲——通過網絡的通信功能將自身從一個結點發送到另一個結點並啟動運行的程序。(消耗CPU資源)
(3)特洛伊木馬——一種程序,它執行的功能超過所聲稱的功能。(和(1)(2)的區別是會和外界通信)
(4)邏輯炸彈——一種當運行環境滿足某種特定條件時執行其它特殊功能的程序。
7.3.1 木馬程序的識別
查看會話netstat -n看看是否有可疑的會話;
運行msconfig服務,把隱藏微軟服務掉,看看剩下的有哪些刻意;
殺毒軟件。
7.4 加密技術
廣泛應用於應用層加密。
7.4.1 對稱加密
加密密鑰和解密密鑰是同一個。
缺點:密鑰不適合在網上傳;密鑰是一對一的,如果有很多主機相互通信,有很多密鑰需要維護;
優點:效率高。
加密包括加密算法和加密密鑰。
7.4.2 數據加密標準DES
(1)它屬於常規密鑰密碼體制,是一種分組密碼。在加密前,先對整個銘文進行分組,每一個租場為64位,然後對每一個64位二進制數據進行加密處理,產生一組64位密文數據。最後將各組密文串接起來,即得出整個密文。使用的密鑰是64位(實際密鑰長度位56位,有8位數用來奇偶校驗)。
(2)DES的保密性
僅取決於對密鑰的保密,而算法本身是公開的。儘管人在破譯DES上有很多進展,但是至今沒有找到比窮舉搜索密鑰更有效的方法。
DES是世界上第一個公認的使用密碼算法標準,它曾對密碼學的發展做出了重大貢獻。
目前較為嚴重的問題是DES的密鑰的長度。
現在已經設計出來搜索DES密鑰的專用芯片。
DES算法公開,所以破解取決於密鑰長度,56位密碼破解需要3.5-21min;128位密鑰破解需要5.4*10^18年。
7.4.2 非對稱加密
(1) 加密密鑰和解密密鑰是不同的,有一對密鑰對,公鑰和私鑰。
要麼公鑰加密私鑰解密;要麼私鑰加密公鑰解密。
(2)優點:給出私鑰和公鑰其中一個無法算出另一個。
(3)缺點:效率低。
(4)非對稱加密實現細節:
設A是非對稱加密機制;B為對稱加密機制;A1要給A2傳一組數據,很大,如果直接用非對稱加密花的時間很長;為了加快速度,用對稱加密手段B來加密這個數據得到加密後數據B’和密鑰B給A1,速度很快;然後A1對密鑰B進行非對稱加密得到公鑰A1’;A1把密鑰A1’和數據B’發給A2;A2運用私鑰解密A1’獲得密鑰B,再用密鑰B解密這個數據,最終得到想要的結果。
通過這種對數據採用對稱加密,對對稱加密的密鑰進行非對稱加密的方式能實現快速加密。
7.4.3 數字簽名
防止抵賴,能夠檢查簽名後的內容有沒有被更改過。
7.4.4 證書頒發機構CA
來驗證公鑰是否是證書頒發機構認證過。
為企業和用戶辦法數字證書,確認這些企業和個人的身份;
如果證書丟失,它要發佈證書吊銷列表;
企業和個人是信任證書頒發機構的。
7.5 Internet上使用的安全協議
7.5.1 安全套接字SSL(Secure Sockets Layer)
(1)SSL的位置
是在應用層和傳輸層之間進行加密。好處是應用層和傳輸層都不需要來加密。不需要應用程序(應用層)來支持,但是需要在服務器配置證書。
例如,不使用SSL加密使用的是http://,使用SSL加密是https://。
注意,http://使用的是TCP的80端口,而https://使用的是TCP的443端口。
(2)SSL的配置(加密的實現)(https://)
客戶端有一個瀏覽器IE,想要訪問服務器端的網站web;
瀏覽器IE要訪問網站web,此時網站web會把他的公鑰給瀏覽器IE;
瀏覽器IE通過校驗CA證書確保網站web的公鑰是可靠的;
瀏覽器IE會產生一個對稱密鑰;
瀏覽器IE拿著網站web的公鑰對它的對稱密鑰進行加密,發給網站web;
網站web用它的私鑰進行解密,就得到了瀏覽器IE的對稱密鑰;
所以說,本質上是用對稱密鑰對數據進行加密的,公鑰和私鑰是用來對這個對稱密鑰進行加密的。這也是為什麼https://剛開始打開的時候會有一些慢。
(3)另外一些協議使用的安全套接字SSL時對應的TCP端口
imaps tcp-993
pop3s tcp-995
smtps tcp-465
https tcp-443
(4)SSL提供的三個功能
->SSL服務器鑑別:允許用戶證實服務器的身份;具有SSL功能的瀏覽器維持一個表,上面有一些可信賴的認證中心CA(Certificate Authority)和它們的公鑰。
->加密的SSL會話:客戶和服務器交互的所有數據都在發送方加密,在接收方解密。
->SSL客戶鑑別:允許服務器證實客戶的身份。
7.5.2 網絡層安全IPSec
網絡層安全是底層安全,不需要應用程序支持,也不需要配置證書,對用戶是透明的(感覺不到)。
(1)安全關聯SA(Security Association)
在使用AH或ESP之前,先要從源主機到目的主機建立一條網絡層的邏輯連接。此邏輯連接叫做安全關聯SA。
IPsec就把傳統的Internet無連接的網絡層轉換為具有邏輯連接的層。
SA是構成IPSec的基礎,是兩個通信實體經過協商(利用IKE協議)建立起來的一種協定,它決定了用來保護數據分組安全的安全協議(AH協議(只簽名:只關心發送方的身份而不關心數據是否被竊取)或ESP協議(既簽名又對數據加密)),轉碼方式,密鑰及密鑰的生存週期等。
(2)IPsec中最主要的2個協議
->鑑別首部AH(Authentication Header):AH鑑別源點和檢查數據完整性,但不能保密。
在使用AH時,把AH首部插在原數據報數據部分的簽名,同時把IP首部中的協議字段設置為51.
在傳輸過程中,中間的路由器都不查看AH首部。當數據報到達終點時,目的主機才會處理AH字段,以鑑別源點和檢查數據報的完整性。
->封裝安全有效載荷ESP(Encapsulation Security Payload):ESP比AH複雜的多,它鑑別源點,檢查數據完整性和提供保密。
使用ESP時,IP數據報首部的協議字段設置為50.當IP首部檢查到協議字段是50時,就知道在IP首部後面緊跟著ESP首部,同時在原IP數據報後面增加了2個字段,即ESP尾部和ESP數據。
7.6 數據鏈路層安全(鏈路加密與端到端加密)
PPP 身份驗證
ADSL
7.7 防火牆(firewall)
防火牆用來解決內聯網和外聯網的安全問題。
防火牆是由軟件,硬件構成的系統,是一種特殊編程的路由器,用來在兩個網絡之間實施接入控制策略。接入控制策略是由防火牆的單位自行制定的,為的是可以最適合本單位的需要。
防火牆內的網絡稱為“可信賴的網絡”(trusted network),而將外部的Internet稱為“不可信賴的網絡”(untrusted network)。
7.7.2 防火牆在互聯網中的位置
7.7.3 防火牆的功能
(1)阻止:阻止某種類型的通信量通過防火牆(從外部網絡到內部網絡,或反過來)。
(2)允許:允許某種類型的通信量通過防火牆(從外部網絡到內部網絡,或反過來)。
防火牆必須能夠識別通信量的各種類型。一般是阻止功能。
7.7.4 防火牆技術的分類
(1)網絡層防火牆:用來防止整個網絡出現外來非法的入侵。屬於這類的有分組過濾和授權服務器。前者檢查所有流入本網絡的信息,然後拒絕不符合事先制訂好的一套準則的數據,而後者則是檢查用戶的登錄是否合法。
可以基於數據包,源地址,目標地址,協議和端口來控制流量。
(2)應用層防火牆:從應用程序來進行接入控制,通常使用應用網關或代理服務器來區分各種應用。例如,可以只允許用過訪問www的應用,而阻止FTP應用的通過。
應用級防火牆可以檢查數據報的內容。
可以基於數據包,源地址,目標地址,協議和端口,用戶名,時間段來控制內容,可以放病毒,可見功能更強大。
7.7.5 防火牆的結構
(1)邊緣防火牆
(2)三向外圍網
DMZ是公司內部的服務器。內網可以訪問外網,外網不能訪問內網,只能訪問服務器DMZ。
(3)背靠背防火牆
(4)單一網卡防火牆
山東掌趣網絡科技
閱讀更多 掌趣網絡 的文章