网络安全技术内容辅导03.ppt

第三部分 网络安全之防御技术 第8章安全操作系统基础 介绍Unix Linux和Windows的特点 着重介绍安全操作系统的原理 介绍Windows操作系统的安全配置方案 第9章密码学与信息加密 介绍密码学的基本概念 DES加密算法的概念以及如何利用程序实现 RSA加密算法的概念以及实现算法 PGP加密的原理和实现 第三部分 网络安全之防御技术 第10章防火墙与入侵检测 介绍防火墙的基本概念 分类 实现模型以及如何利用软件实现防火墙的规则集 介绍入侵检测系统的概念 原理以及如何利用程序实现简单的入侵系统 第11章IP安全与Web安全 介绍IPSec的必要性 IPSec中的AH协议和ESP协议 密钥交换协议IKE以及VPN的解决方案等 第八章操作系统安全配置方案 知识点 常用操作系统安全操作系统的概念安全操作系统的机制代表性的安全模型操作系统安全体系结构操作系统安全配置方案 知识点 常用操作系统 目前服务器常用的操作系统有三类 UnixLinuxWindowsNT 2000 2003Server 这些操作系统都是符合C2级安全级别的操作系统 但是都存在不少漏洞 如果对这些漏洞不了解 不采取相应的措施 就会使操作系统完全暴露给入侵者 UNIX系统 UNIX操作系统诞生于20世纪60年代末期 由美国贝尔实验室开发的一种多用户 多任务的通用操作系统 它从一个实验室的产品发展成为当前使用普遍 影响深远的主流操作系统 主要特点 可靠性高极强的伸缩性网络功能强强大的数据库支持功能开放性好 Linux系统 Linux是一套可以免费使用和自由传播的类Unix操作系统 主要用于基于Intelx86系列CPU的计算机上 这个系统是由全世界各地的成千上万的程序员设计和实现的 Linux是一个免费的操作系统 用户可以免费获得其源代码 并能够随意修改 它是在共用许可证GPL GeneralPublicLicense 保护下的自由软件 也有好几种版本 如RedHatLinux Slackware 以及国内的XteamLinux 红旗Linux等等 Linux系统 Linux的流行是因为它具有许多优点 典型的优点有7个 完全免费完全兼容POSIX1 0标准多用户 多任务良好的界面丰富的网络功能可靠的安全 稳定性能支持多种平台 Windows系统 WindowsNT NewTechnology 是微软公司第一个真正意义上的网络操作系统 发展经过NT3 0 NT40 NT5 0 Windows2000 和NT6 0 Windows2003 等众多版本 并逐步占据了广大的中小网络操作系统的市场 WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法 使用户使用起来比较方便 与Windows9X相比 WindowsNT的网络功能更加强大并且安全 WindowsNT系列操作系统 WindowsNT系列操作系统具有以下三方面的优点 支持多种网络协议内置Internet功能支持NTFS文件系统 知识点 安全操作系统的概念 安全操作系统涉及很多概念 主体和客体安全策略安全模型访问监控器安全内核可信计算基 主体和客体 操作系统中的每一个实体组件都必须是主体或者是客体 或者既是主体又是客体 主体是一个主动的实体 它包括用户 用户组 进程等 客体是一个被动的实体 主体和客体 系统中最基本的主体应该是用户 包括一般用户和系统管理员 系统安全员 系统审计员等特殊用户 每个进入系统的用户必须是惟一标识的 并经过鉴别确定为真实的 系统中的所有事件要求 几乎全是由用户激发的 进程是系统中最活跃的实体 用户的所有事件要求都要通过进程的运行来处理 在这里 进程作为用户的客体 同时又是其访问对象的主体 主体和客体 在操作系统中 客体可以是按照一定格式存储在一定记录介质上的数据信息 通常以文件系统格式存储数据 也可以是操作系统中的进程 操作系统中的进程 包括用户进程和系统进程 一般有着双重身份 当一个进程运行时 它必定为某一用户服务 直接或间接的处理该用户的事件要求 于是 该进程成为该用户的客体 或为另一进程的客体 这时另一进程则是该用户的客体 安全策略和安全模型 安全策略是指有关管理 保护和发布敏感信息的法律 规定和实施细则 系统中的用户和信息被划分为不同的层次 一些级别比另一些级别高 如果主体能读访问客体 当且仅当主体的级别高于或等于客体的级别 如果主体能写访问客体 当且仅当主体的级别低于或等于客体的级别 安全策略和安全模型 安全模型则是对安全策略所表达的安全需求的简单 抽象和无歧义的描述 它为安全策略和安全策略实现机制的关联提供了一种框架 安全模型描述了对某个安全策略需要用哪种机制来满足 而模型的实现则描述了如何把特定的机制应用于系统中 从而实现某一特定安全策略所需的安全保护 访问监控器 访问控制机制的理论基础是访问监控器 ReferenceMonitor 由J P Anderson首次提出 访问监控器的具体实现称为引用验证机制 它是实现访问监控器思想的硬件和软件的组合 安全内核 安全内核是实现访问监控器概念的一种技术 它的理论依据是在一个大型操作系统中 只有其中的一小部分软件用于安全目的 在重新生成操作系统过程中 可用其中安全相关的软件来构成操作系统的一个可信内核 称之为安全内核 可信计算基 操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件 这些软件 硬件和负责系统安全管理的人员一起组成了系统的可信计算基 TrustedComputingBase TCB 可信计算基 可信计算基由以下7个部分组成 操作系统的安全内核 具有特权的程序和命令 处理敏感信息的程序 如系统管理命令等 与TCB实施安全策略有关的文件 其它有关的固件 硬件和设备 负责系统管理的人员 保障固件和硬件正确的程序和诊断软件 知识点 安全操作系统的机制 安全操作系统的机制包括 硬件安全机制操作系统的安全标识与鉴别访问控制最小特权管理可信通路安全审计 硬件安全机制 计算机硬件安全的目标是 保证其自身的可靠性和为系统提供基本安全机制 其中基本安全机制包括存储保护运行保护I O保护 标识与鉴别 标识与鉴别是涉及系统和用户的一个过程 标识就是系统要标识用户的身份 并为每个用户取一个系统可以识别的内部名称 用户标识符 将用户标识符与用户联系的过程称为鉴别 鉴别过程主要用以识别用户的真实身份 访问控制 在安全操作系统领域中 访问控制一般都涉及自主访问控制 DiscretionaryAccessControl DAC 强制访问控制 MandatoryAccessControl MAC 两种形式 自主访问控制 自主访问控制是最常用的一类访问控制机制 用来决定一个用户是否有权访问一些特定客体的一种访问约束机制 一个用户可以自主地说明他所拥有的资源允许系统中哪些用户以何种权限进行共享 对其他具有授予某种访问权力的用户能够自主地 可能是间接的 将访问权或访问权的某个子集授予另外的用户 强制访问控制MAC 在强制访问控制机制下 系统中的每个进程 每个文件 每个IPC客体 消息队列 信号量集合和共享存贮区 都被赋予了相应的安全属性 这些安全属性是不能改变的 它由管理部门 如安全管理员 或由操作系统自动地按照严格的规则来设置 不像访问控制表那样由用户或他们的程序直接或间接地修改 强制访问控制和自主访问控制 强制访问控制和自主访问控制是两种不同类型的访问控制机制 它们常结合起来使用 仅当主体能够同时通过自主访问控制和强制访问控制检查时 它才能访问一个客体 最小特权管理 最小特权管理的思想是系统不应给用户超过执行任务所需特权以外的特权 如将超级用户的特权划分为一组细粒度的特权 分别授予不同的系统操作员 管理员 使各种系统操作员 管理员只具有完成其任务所需的特权 从而减少由于特权用户口令丢失或错误软件 恶意软件 误操作所引起的损失 可信通路 在计算机系统中 用户是通过不可信的中间应用层和操作系统相互作用的 需要一个机制保障用户和内核的通信 这种机制就是由可信通路提供的 安全审计 一个系统的安全审计就是对系统中有关安全的活动进行记录 检查及审核 它的主要目的就是检测和阻止非法用户对计算机系统的入侵 并显示合法用户的误操作 审计作为一种事后追查的手段来保证系统的安全 它对涉及系统安全的操作做一个完整的记录 知识点 代表性的安全模型 安全模型的特点代表性的安全模型 安全模型的特点 安全模型的目的就在于明确地表达系统的安全需求 为设计开发安全系统提供方针 安全模型有以下4个特点 精确的 无歧义的 简易和抽象的 所以容易理解 一般性的 只涉及安全性质 而不过度地牵扯系统的功能或其实现 安全策略的明显表现 安全模型的特点 安全模型一般分为两种 形式化的安全模型和非形式化的安全模型 非形式化安全模型仅模拟系统的安全功能形式化安全模型则使用数学模型 精确地描述安全性及其在系统中使用的情况 主要安全模型 BLP机密性安全模型Biba完整性安全模型Clark Wilson完整性安全模型信息流模型RBAC安全模型DTE安全模型无干扰安全模型等 知识点 操作系统安全体系结构 安全体系结构的定义安全体系结构的类型 安全体系结构的含义 一个计算机系统 特别是安全操作系统 的安全体系结构 主要包含如下4方面的内容 详细描述系统中安全相关的所有方面 在一定的抽象层次上描述各个安全相关模块之间的关系 提出指导设计的基本原理 提出开发过程的基本框架及对应于该框架体系的层次结构 安全体系结构的类型 在美国国防部的 目标安全体系 中 把安全体系划分为四种类型 抽象体系 AbstractArchitecture 通用体系 GenericArchitecture 逻辑体系 LogicalArchitecture 特殊体系 SpecificArchitecture 知识点 操作系统安全配置方案 初级12条中级10条高级 安全配置方案初级篇 常规的操作系统安全配置 物理安全停止Guest帐号限制用户数量创建多个管理员帐号管理员帐号改名陷阱帐号 更改默认权限设置安全密码屏幕保护密码使用NTFS分区运行防毒软件确保备份盘安全 安全配置方案中级篇 操作系统的安全策略配置 操作系统安全策略关闭不必要的服务关闭不必要的端口开启审核策略开启密码策略 开启帐户策略备份敏感文件不显示上次登陆名禁止建立空连接下载最新的补丁 安全配置方案高级篇 操作系统安全信息通信配置 关闭DirectDraw关闭默认共享禁用DumpFile文件加密系统加密Temp文件夹关机时清除文件 禁止软盘光盘启动使用智能卡使用IPSec禁止判断主机类型抵抗DDOS禁止Guest访问日志数据恢复软件 第九章密码学与信息加密 知识点 密码学的基本概念DES加密RSA加密PGP加密技术 知识点 密码学概述 密码学发展消息和加密密码的功能算法和密钥对称算法公开密钥算法 密码学的发展 两千多年前 罗马国王JuliusCaesare 恺撒 就开始使用目前称为 恺撒密码 的密码系统 密码学三个方向 密码学 研究信息系统的安全保密的科学密码编码学 研究对信息编码 实现对信息的隐藏密码分析学 研究加密消息的破译或消息的伪造 消息和加密 消息被称为明文 用某种方法伪装消息以隐藏它的内容的过程称为加密 加了密的消息称为密文 把密文转变为明文的过程称为解密 密码的功能 除了提供机密性外 密码学需要提供三方面的功能 鉴别 消息的接收者应该能够确认消息的来源 入侵者不可能伪装成他人 完整性 消息的接收者应该能够验证在传送过程中消息没有被修改 入侵者不可能用假消息代替合法消息 抗抵赖性 发送消息者事后不可能虚假地否认他发送的消息 算法和密钥 密码算法也叫密码函数 是用于加密和解密的数学函数 如果算法本身是保密的 这种算法成为受限算法 受限制的密码算法不可能进行质量控制和标准化 现代密码学用密钥解决了这个问题 密钥用K表示 K可以是很多数值里的任意值 密钥K的可能值的范围叫做密钥空间 对称算法 基于密钥的算法通常有两类 对称算法和公开密钥算法 非对称算法 对称算法有时又叫传统密码算法 加密密钥能够从解密密钥中推算出来 反过来也成立 在大多数对称算法中 加解密的密钥是相同的 对称算法要求发送者和接收者在安全通信之前 协商一个密钥 对称算法的安全性依赖于密钥 泄漏密钥就意味着任何人都能对消息进行加解密 公开密钥算法 公开密钥算法 非对称算法 的加密的密钥和解密的密钥不同 而且解密密钥不能根据加密密钥计算出来 或者至少在可以计算的时间内不能计算出来 之所以叫做公开密钥算法 是因为加密密钥能够公开 即陌生者能用加密密钥加密信息 但只有用相应的解密密钥才能解密信息 加密密钥叫做公开密钥 简称公钥 解密密钥叫做私人密钥 简称私钥 知识点 DES对称加密技术 算法目的算法原理算法的程序实现 DES对称加密技术 DES DataEncryptionStandard 算法 于1977年得到美国政府的正式许可 是一种用56位密钥来加密64位数据的方法 DES算法目的 加密算法要达到的目的有四点 提供高质量的数据保护 防止数据未经授权的泄露和未被察觉的修改 具有相当高的复杂性 使得破译的开销超过可能获得的利益 同时又要便于理解和掌握 DES密码体制的安全性应该不依赖于算法的保密 其安全性仅以加密密钥的保密为基础 实现经济 运行有效 并且适用于多种完全不同的应用 DES算法的原理 DES算法的入口参数有三个 Key Data Mode Key为8个字节共64位 是DES算法的工作密钥Data也为8个字节64位 是要被加密或被解密的数据Mode为DES的工作方式有两种 加密或解密 DES算法的原理 如Mode为加密 则用Key去把数据Data进行加密 生成Data的密码形式 64位 作为DES的输出结果如Mode为解密 则用Key去把密码形式的数据Data解密 还原为Data的明码形式 64位 作为DES的输出结果 RSA算法 算法原理RSA体制描述算法的安全性算法的速度 RSA算法的原理 RSA算法是一种基于大数不可能质因数分解假设的公钥体系 找到两个很大的质数 一个公开给世界 称之为 公钥 另一个不告诉任何人 称之为 私钥 两把密钥互补 用公钥加密的密文可以用私钥解密 反过来也一样 常用的公钥加密算法包括 RSA密码体制 ElGamal密码体制和散列函数密码体制 MD4 MD5等 RSA体制 RSA体制可以简单描述如下 生成两个大素数p和q 计算这两个素数的乘积n p q 计算小于n并且与n互质的整数的个数 即欧拉函数 n p 1 q 1 选择一个随机数b满足1 b n 并且b和 n 互质 即gcd b n 1 计算ab 1mod n 保密a p和q 公开n和b RSA算法的安全性 RSA的安全性依赖于大数分解 但是否等同于大数分解一直未能得到理论上的证明 目前 RSA的一些变种算法已被证明等价于大数分解 现在 人们已能分解多个十进制位的大素数 因此 模数n必须选大一些 因具体适用情况而定 RSA算法的速度 由于进行的都是大数计算 使得RSA最快的情况也比DES慢上倍 一般来说只用于少量数据加密 RSA算法是第一个能同时用于加密和数字签名的算法 RSA是普遍认为是目前最优秀的公钥方案之一 知识点 PGP加密技术 原理操作 PGP加密技术 PGP PrettyGoodPrivacy 加密技术是一个基于RSA公钥加密体系的邮件加密软件 提出了公共钥匙或不对称文件的加密技术 把把RSA公钥体系和传统加密体系的结合起来 并且在数字签名和密钥认证管理机制上有巧妙的设计 因此PGP成为目前几乎最流行的公钥加密软件包 PGP加密技术操作 使用PGP产生密钥使用PGP加密文件使用PGP加密邮件 第十章防火墙与入侵检测 知识点 防火墙的基本概念防火墙的分类常见防火墙系统模型创建防火墙步骤入侵检测系统基本概念入侵检测的方法入侵检测的步骤 知识点 防火墙基本概念 防火墙的定义防火墙的功能防火墙的局限性 防火墙的定义 防火墙的本义原是指古代人们房屋之间修建的墙 这道墙可以防止火灾发生的时候蔓延到别的房屋 防火墙是指隔离在本地网络与外界网络之间的一道防御系统 在互联网上 防火墙是一种非常有效的网络安全系统 通过它可以隔离风险区域 Internet或有一定风险的网络 与安全区域 局域网 的连接 同时不会妨碍安全区域对风险区域的访问 防火墙的功能 根据不同的需要 防火墙的功能有比较大差异 但是一般都包含以下三种基本功能 可以限制未授权的用户进入内部网络 过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点 防火墙的功能 由于防火墙假设了网络边界和服务 因此适合于相对独立的网络 例如Intranet等种类相对集中的网络 Internet上的Web网站中 超过三分之一的站点都是有某种防火墙保护的 任何关键性的服务器 都应该放在防火墙之后 防火墙的局限性 防火墙有以下三方面的局限 防火墙不能防范网络内部的攻击 比如 防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令 并授予其临时的网络访问权限 防火墙不能防止传送己感染病毒的软件或文件 不能期望防火墙去对每一个文件进行扫描 查出潜在的病毒 知识点 防火墙的分类 常见的放火墙有三种类型 分组过滤防火墙 应用代理防火墙 状态检测防火墙 分组过滤防火墙 分组过滤 PacketFiltering 作用在协议组的网络层和传输层 根据分组包头源地址 目的地址和端口号 协议类型等标志确定是否允许数据包通过 只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端 其余的数据包则从数据流中丢弃 分组过滤防火墙 数据包过滤可以在网络层截获数据 使用一些规则来确定是否转发或丢弃所各个数据包 通常情况下 如果规则中没有明确允许指定数据包的出入 那么数据包将被丢弃 分组过滤防火墙 一个可靠的分组过滤防火墙依赖于规则集 分组过滤防火墙 第一条规则 主机10 1 1 1任何端口访问任何主机的任何端口 基于TCP协议的数据包都允许通过 第二条规则 任何主机的20端口访问主机10 1 1 1的任何端口 基于TCP协议的数据包允许通过 第三条规则 任何主机的20端口访问主机10 1 1 1小于1024的端口 如果基于TCP协议的数据包都禁止通过 分组过滤防火墙 WinRoute目前应用比较广泛 既可以作为一个服务器的防火墙系统 也可以作为一个代理服务器软件 操作用WinRoute创建包过滤规则用WinRoute禁用FTP访问用WinRoute禁用HTTP访问 应用代理防火墙 应用代理 ApplicationProxy 也叫应用网关 ApplicationGateway 它作用在应用层 其特点是完全 阻隔 网络通信流 通过对每种应用服务编制专门的代理程序 实现监视和控制应用层通信流的作用 实际中的应用网关通常由专用工作站实现 应用代理防火墙 应用代理 ApplicationProxy 是运行在防火墙上的一种服务器程序 防火墙主机可以是一个具有两个网络接口的双重宿主主机 也可以是一个堡垒主机 代理服务器被放置在内部服务器和外部服务器之间 用于转接内外主机之间的通信 它可以根据安全策略来决定是否为用户进行代理服务 代理服务器运行在应用层 因此又被称为 应用网关 状态检测防火墙 状态检测 StatusDetection 直接对分组里的数据进行处理 并且结合前后分组的数据进行综合判断 然后决定是否允许该数据包通过 知识点 常见防火墙系统模型 常见防火墙系统一般按照四种模型构建 筛选路由器模型单宿主堡垒主机 屏蔽主机防火墙 模型双宿主堡垒主机模型 屏蔽防火墙系统模型 屏蔽子网模型 筛选路由器模型 筛选路由器模型是网络的第一道防线 功能是实施包过滤 创建相应的过滤策略时对工作人员的TCP IP的知识有相当的要求 如果筛选路由器被黑客攻破那么内部网络将变的十分的危险 该防火墙不能够隐藏你的内部网络的信息 不具备监视和日志记录功能 单宿主堡垒主机模型 单宿主堡垒主机 屏蔽主机防火墙 模型由包过滤路由器和堡垒主机组成 该防火墙系统提供的安全等级比包过滤防火墙系统要高 因为它实现了网络层安全 包过滤 和应用层安全 代理服务 入侵者在破坏内部网络的安全性之前 必须首先渗透两种不同的安全系统 双宿主堡垒主机模型 双宿主堡垒主机模型 屏蔽防火墙系统 可以构造更加安全的防火墙系统 双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了 在物理结构上强行将所有去往内部网络的信息经过堡垒主机 屏蔽子网模型 屏蔽子网模型用了两个包过滤路由器和一个堡垒主机 它是最安全的防火墙系统之一 因为在定义了 中立区 DMZ DemilitarizedZone 网络后 它支持网络层和应用层安全功能 网络管理员将堡垒主机 信息服务器 Modem组 以及其它公用服务器放在DMZ网络中 如果黑客想突破该防火墙那么必须攻破以上三个单独的设备 模型如 知识点 创建防火墙的步骤 成功的创建一个防火墙系统一般需要六步 制定安全策略搭建安全体系结构制定规则次序落实规则集注意更换控制做好审计工作 知识点 入侵检测系统的概念 定义误报入侵检测系统的类型和性能比较 入侵检测系统的定义 入侵检测系统IDS IntrusionDetectionSystem 指的是一种硬件或者软件系统 该系统对系统资源的非授权使用能够做出及时的判断 记录和报警 误报 一个有效的入侵检测系统应限制误报出现的次数 但同时又能有效截击 误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问 误报是入侵检测系统最头疼的问题 攻击者可以而且往往是利用包的结构伪造无威胁的 正常 假警报 而诱导没有警觉性的管理员人把入侵检测系统关掉 误报 误报原因主要有四个方面 缺乏共享数据的机制缺乏集中协调的机制缺乏揣摩数据在一段时间内变化的能力缺乏有效的跟踪分析 入侵检测系统的类型和性能比较 根据入侵检测的信息来源不同 可以将入侵检测系统分为两类基于主机的入侵检测系统基于网络的入侵检测系统 入侵检测系统的类型和性能比较 基于主机的入侵检测系统 主要用于保护运行关键应用的服务器通过监视与分析土机的审计记录和日志文件 来检测入侵 基于网络的入侵检测系统主要用于实时监控网络关键路径的信息监听网络上的所有分组来采集数据 分析可疑现象 知识点 入侵检测的方法 静态配置分析异常性检测方法基于行为的检测方法 入侵检测的方法 目前入侵检测方法有三种分类依据 根据物理位置进行分类 根据建模方法进行分类 根据时间分析进行分类 常用的方法有三种 静态配置分析 异常性检测方法和基于行为的检测方法 静态配置分析 静态配置分析通过检查系统的配置 诸如系统文件的内容 来检查系统是否已经或者可能会遭到破坏 静态是指检查系统的静态特征 比如 系统配置信息 采用静态分析方法主要有以下几方面的原因 入侵者对系统攻击时可能会留下痕迹 可通过检查系统的状态检测出来 静态配置分析 网络入侵者都会连接到主机的某个非法端口 通过检查出与端口关联应用程序 可以进行入侵检测 这种方法属于静态配置分析 利用工具软件fport exe可以检查与每一端口关联的应用程序 异常性检测方法 异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下 就可以检测入侵者的方法 它也是检测冒充合法用户的入侵者的有效方法 但是 为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事 基于行为的检测方法 基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为 来检测系统中的入侵活动 如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式 就可以保证系统在受到这种入侵行为攻击时能够把它检测出来 知识点 入侵检测的步骤 信息收集数据分析响应操作入侵检测工具 入侵检测的步骤 入侵检测系统的作用是实时地监控计算机系统的活动 发现可疑的攻击行为 以避免攻击的发生 或减少攻击造成的危害 入侵检测的三个基本步骤 信息收集数据分析响应 信息收集 收集的内容包括整个计算机网络中系统 网络 数据及用户活动的状态和行为 入侵检测在很大程度上依赖于收集信息的可靠性 正确性和完备性 因此 要确保采集 报告这些信息的软件工具的可靠性 这些软件本身应具有相当强的坚固性 能够防止被篡改而收集到错误的信息 否则 黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样 数据分析 数据分析 AnalysisSchemes 是入侵检测系统的核心 它的效率高低直接决定了整个入侵检测系统的性能 根据数据分析的不同方式可将入侵检测系统分为两类 异常入侵检测误用入侵检测 响应 数据分析发现入侵迹象后 入侵检测系统的下一步工作就是响应 响应并不局限于对可疑的攻击者 目前的入侵检测系统一般采取下列响应 将分析结果记录在日志文件中 并产生相应的报告 触发警报 修改入侵检测系统或目标系统 如终止进程 切断攻击者的网络连接 或更改防火墙配置等 入侵检测工具 冰之眼 冰之眼 网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品 使用 冰之眼 系统管理人员可以自动地监控网络的数据流 主机的日志等 对可疑的事件给予检测和响应 在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为 第11章IP安全与Web安全 知识点 IP安全概述密钥交换协议IKEVPN技术Web安全性的3个方面SSL和TLS安全协议安全电子交易SET简介 知识点 IP安全概述 IP安全的必要性IPSec的实现方式AH协议ESP协议 IP安全的必要性 大型网络系统内运行多种网络协议 TCP IP IPX SPX和NETBEUA等 这些网络协议并非为安全通信设计 而其IP协议维系着整个TCP IP协议的体系结构 除了数据链路层外 TCP IP的所有协议的数据都是以IP数据报的形式传输的 TCP IP协议簇有两种IP版本 版本4 IPv4 和版本6 IPv6 IPv6是IPv4的后续版本 IPv6简化了IP头 其数据报更加灵活 同时IPv6还增加了对安全性的考虑 IP安全的必要性 目前占统治地位的是IPv4 IPv4在设计之初没有考虑安全性 IP包本身并不具备任何安全特性 导致在网络上传输的数据很容易受到各式各样的攻击 为了加强因特网的安全性 制定了一套用于保护IP通信的IP安全协议 IPSecurity IPSec IPSec是IPv6的一个组成部分 是IPv4的一个可选扩展协议 IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足 IP安全的必要性 IPSec定义了一种标准的 健壮的以及包容广泛的机制 可用它为IP以及上层协议 比如TCP或者UDP 提供安全保证 IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力 高质量和基于密码的安全功能 在IP层实现多种安全服务 包括访问控制 数据完整性 机密性等 IPSec通过支持一系列加密算法如DES 三重DES IDEA和AES等确保通信双方的机密性 IP安全的必要性 IPSec协议簇包括两个安全协议 AH协议 AuthenticationHeader 验证头 可以证明数据的起源地 保障数据的完整性以及防止相同数据包在因特网重播 ESP协议 EncapsulatingSecurityPayload 封装安全载荷 具有所有AH的功能 还可以利用加密技术保障数据机密性 IP安全的必要性 AH和ESP都可以提供身份认证 但它们有2点区别 ESP要求使用高强度的加密算法 会受到许多限制 多数情况下 使用AH的认证服务已能满足要求 相对来说 ESP开销较大 有两套不同的安全协议意味着可以对IPSec网络进行更细粒度的控制 选择安全方案可以有更大的灵活度 知识点 IPSec的实现方式 IPSec的实现方式有两种 都可用于保护通信 传输模式隧道模式 IPSec的实现方式 传输模式用于两台主机之间 保护传输层协议头 实现端到端的安全性 当数据包从传输层传送给网络层时 AH和ESP会进行拦截 在IP头与上层协议之间需插入一个IPSec头 当同时应用AH和ESP到传输模式时 应该先应用ESP 再应用AH IPSec的实现方式 隧道模式用于主机与路由器或两部路由器之间 保护整个IP数据包 将整个IP数据包进行封装 称为内部IP头 然后增加一个IP头 称为外部IP头 并在外部与内部IP头之间插入一个IPSec头 验证头AH协议 AH为IP报文提高能够数据完整性校验和身份验证 还具备可选择的重放攻击保护 但不提供数据加密保护 AH不对受保护的IP数据报的任何部分进行加密 除此之外 AH具有ESP的所有其他功能 AH和ESP同时保护数据 在顺序上 AH在ESP之后 封装安全有效载荷ESP ESP为IP报文提供数据完整性校验 身份验证 数据加密以及重放攻击保护等 除了AH提供的所有服务外 还提供机密性服务 ESP可在传输模式以及隧道模式下使用 ESP头可以位于IP头与上层协议之间 或者用它封装整个IP数据报 知识点 密钥交换协议IKE IKE协议的组成ISAKMP协议IKE的两个阶段 密钥交换协议IKE 对IP包使用IPSec保护之前 必须建立一个安全关联SA SA可以手工创建或者动态建立 采用手工增加密钥的方式会大大降低扩展能力 利用因特网密钥交换 InternetKeyExchange IKE 可以动态地验证IPSec参与各方的身份 IKE的主要用途是在IPSec通信双方之间建立起共享安全参数以及验证过的密钥 也就是建立 安全关联 关系 IKE协议的组成 整个IKE协议规范主要由3个文档定义 RFC2407 RFC2408和RFC2409 RFC2407定义了因特网IP安全解释域 RFC2408描述了因特网安全关联和密钥管理协议 InternetSecurityAssociationandKeyManangementProtocol KSAKMP RFC2409描述了IKE协议如何利用Oakley SKEME和ISAKMP进行安全关联的协商 IKE协议的组成 Oakley是一种基于Diffie Hellman算法的密钥交换协议 并提供附加的安全性 SKEME是另外一种密钥交换协议 该协议定义了验证密钥交换的一种类型 其中通信各方利用公钥加密实现相互的验证 ISAKMP为认证和密钥交换提供了一个框架 可实现多种密钥交换 IKE协议的组成 IKE基于ISAKMP Oakley和SKEME 是一种 混合型 协议 它建立在由ISAKMP定义的一个框架上 同时实现了Oakley和SKEME协议的一部分 它沿用了ISAKMP的基础 Oakley的模式以及SKEME的共享和密钥更新技术 ISAKMP协议 ISAKMP定义了整套加密通信语言 目的是为了通信双方建立安全关联并初始化密钥 ISAKMP提供了对身份进行验证的方法和对安全服务进行协商的方法 还规定了通信双方实体的身份验证 安全关联的建立 管理 密钥产生的方法以及安全威胁等 ISAKMP消息的构造方法是 在一个ISAKMP报头后链接一个或者多个有效载荷 IKE的两个阶段 IKE基于两个阶段的ISAKMP来建立安全关联SA第一阶段建立IKESA第二阶段利用IKESA建立IPSec的SA IKE的两个阶段 对于第一阶段 IKE交换基于两种模式 主模式 MainMode 和野蛮模式 AggressiveMode 主模式是一种身份保护交换野蛮模式基于ISAKMP的野蛮交换方法 在第二阶段中 IKE提供一种快速交换 QuickMode 作用是为除IKE之外的协议协商安全服务 IKE的第一阶段 第一阶段的主要任务是建立IKESA 为后面的交换提供一个安全通信信道 主模式交换和野蛮模式交换都可以建立SA 两者的区别在于野蛮模式只用到主模式一半的消息 因此野蛮模式的协商能力受到限制的 而且它不提供身份保护 野蛮模式可以有一些特殊用途 比如远程访问等 IKE的第一阶段 主模式和野蛮模式都允许4中不同的验证方法 预共享密钥DSS数字签名RSA数字签名交换加密 IKE的第二阶段 快速模式交换主要是为通信双方协商IPSecSA的具体参数 并生成相关密钥 IKESA通过数据加密 消息验证来保护快速模式交换 快速模式交换和第一阶段交换相互关联 来产生密钥材料和协商IPSec的共享策略 快速模式交换的信息由IKESA保护 即除了ISAKMP报头外 所有的载荷都需要加密 并且还要对消息进行验证 知识点 VPN技术 定义功能解决方案 VPN技术定义 虚拟专用网 VirtualPrivateNetwork VPN 指通过一个公用网络 通常是因特网 建立一个临时的 安全的连接 是一条穿过公用网络的安全 稳定的隧道 是对企业内部网的扩展 VPN技术功能 虚拟专用网络可以实现不同网络的组件和资源之间的相互连接 虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道 并提供与专用网络一样的安全和功能保障 虚拟专用网至少应能提供3个方面功能 加密数据 以保证通过公网传输的信息即使被他人截获也不会泄露 信息认证和身份认证 保证信息的完整性 合法性 并能鉴别用户的身份 提供访问控制 不同的用户有不同的访问权限 VPN技术的解决方案 VPN作为一种组网技术的概念 有3种应用方式 远程访问虚拟专网 AccessVPN 企业内部虚拟专网 IntranetVPN 扩展的企业内部虚拟专网 ExtranetVPN VPN技术的解决方案 VPN主要采用4种技术来保证安全隧道技术加解密技术密钥管理技术身份认证技术其中隧道技术是VPN的基本技术 隧道技术 隧道是由隧道协议形成的 分成第二 三层隧道协议 在网络层实现数据封装的协议叫第三层隧道协议 IPSec就属于这种协议类型在数据链路层实现数据封装的协议叫第二层隧道协议 常用的有PPTP L2TP等 隧道技术 此外还有两种VPN的解决方案 在链路层上基于虚拟电路的VPN技术SOCKS同SSL SecureSocketLayer 协议配合使用在应用层上构造VPN 其中SOCKS有SOCKv4和SOCKv5两个版本 隧道技术 基于虚拟电路的VPN通过在公共的路由来传送IP服务 电信运营商或者电信部门就是采用这种方法 直接利用其现有的帧交换或信元交换 如ATM网 基础设施提供IPVPN服务 它的QoS能力由CIR CommittedInformationRate 和ATM的QoS来确保 另外它具有虚拟电路拓扑的弹性 但是它的路由功能不够灵活 构建的相对费用比IP隧道技术高 而且还缺少IP的多业务能力 比如 VOIP VoiceOverIP 知识点 Web安全概述 实现Web安全的方法很多 从TCP IP协议的角度可以分成3种网络层安全性传输成安全性应用层安全性 网络层安全性 传统的安全体系一般都建立在应用层上 这些安全体系虽然具有一定的可行性 但也存在着巨大的安全隐患 IPSec可提供端到端的安全性机制 可在网络层上对数据包进行安全处理 IPSec可以在路由器 防火墙 主机和通信链路上配置 实现端到端的安全 虚拟专用网络和安全隧道技术等 传输层安全性 在TCP传输层之上实现数据的安全传输是另一种安全解决方案 安全套接层SSL和TLS TransportLayerSecurity 通常工作在TCP层之上 可以为更高层协议提供安全服务 应用层安全性 将安全服务直接嵌入在应用程序中 从而在应用层实现通信安全 SET SecureElectronicTransaction 安全电子交易 是一种安全交易协议 S MIME PGP是用于安全电子邮件的一种标准 它们都可以在相应的应用中提供机密性 完整性和不可抵赖性等安全服务 知识点 SSL TLS技术 定义及功能体系结构会话与连接OpenSSL SSL技术定义及功能 1994年Netscape开发了安全套接层协议SecureSocketLayer 专门用于保护Web通讯 SSL是在网络传输层之上提供的一种基于RSA和保密密钥的安全连接技术 SSL在两个结点间建立安全的TCP连接 基于进程对进程的安全服务和加密传输信道 通过数字签名和数字证书可实现客户端和服务器双方的身份验证 安全强度高 SSL体系结构 SSL协议的目标就是在通信双方利用加密的SSL信道建立安全的连接 它不是一个单独的协议 而是两层协议 结构如图 SSL的会话与连接 SSL会话由握手协议创建 定义了一系列相应的安全参数 最终建立客户机和服务器之间的一个关联 对于每个SSL连接 可利用SSL会话避免对新的安全参数进行代码繁多协商 SSL的会话与连接 SSL会话状态参数包括 会话标志符 SessionIdentifier 用来确定活动或可恢复的会话状态 对等实体证书 PeerCertificate 是对等实体X 509v3证书 压缩方法 CompressionMethod 加密规范 CipherSpec 主密码 MasterSecret 由客户机和服务器共享的密码 是否可恢复 isResumable 会话是否可用于初始化