网络安全基础知识

1一、引论1、网络安全的概念：网络安全是在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。2、基于IP的Internet有很多不安全的问题：1）IP安全。在Internet中，当信息分组在路由器间传递时，对任何人都是开放的，路由器仅仅搜集信息分组中的目的地址，但不能防止其内容被窥视。2）DNS安全。Internet对每台计算机的命名方案称之为域名系统（DNS）。3）拒绝服务（DoS）攻击。包括发送SYN信息分组、邮件炸弹。4）分布式拒绝（DDoS）攻击。分布式拒绝服务攻击是拒绝服务群起攻击的方式。3、维护信息载体的安全就要抵抗对网络和系统的安全威胁。这些安全威胁包括物理侵犯（如机房入侵、设备偷窃、废物搜寻、电子干扰等）、系统漏洞（如旁路控制、程序缺陷等）、网络入侵（如窃听、截获、堵塞等）、恶意软件（如病毒、蠕虫、特洛伊木马、信息炸弹等）、存储损坏（如老化、破损等）等。为抵抗对网络和系统的安全威胁，通常采取的安全措施包括门控系统、防火墙、防病毒、入侵检测、漏洞扫描、存储备份、日志审计、应急响应、灾难恢复等。4、网络安全的三个基本属性：1）机密性（保密性）。机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施是密码技术。2）完整性。完整性是指信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改，主要防范措施是校验与认证技术。3）可用性。可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。5、国际标准化组织在开放系统互联标准中定义了7个层次的参考模型：1）物理层。2）数据链接层。3）网络层。4）传输层。5）会话层。6）表示层。7）应用层。6、粗略地，可把信息安全分成3个阶段。1）通信安全（comsec）、计算机安全（compusec）和网络安全（netsec）。7、可信计算机系统评估准则（TrustedComputerSystemEvaluationCriteria,TCSEC）共分为如下4类7级：1）D级，安全保护欠缺级。2）C1级，自主安全保护级。3）C2级，受控存储保护级。4）B1级，标记安全保护级。5）B2级，结构化保护级。6）B3级，安全域保护级。7）A1级，验证设计级。8、密码学研究包括两部分内容：一是加密算法的设计和研究；一是密码分析，即密码破译技术。9、对称密钥密码技术是传统的简单换位、代替密码发展而来的，从加密模式上可分为两类：1）序列密码，序列密码一直作为军事和外交场合使用的主要密码技术之一，它的主要原理是，通过有限状态机产生性能优良的伪随机序列，使用该序列加密信息流，逐位加密得到密文序列，所以，序列密码算法的安全强度取决于它产生的伪随机序列的好坏。2）分组密码。分组密码的工作方式是将明文分成固定长度的组（块）（如64位一组），用同一密钥和算法对每一块加密，输出固定长度的密文。公钥密码技术：公钥技术是在密码体制中加密和解密采用两个不同的相关的密钥的技术，又称不对称密钥技术。两者的比较：因为对称密码系统具有加解密速度快、安全强度高等优点，在军事、外交及商业应用中使用得越来越普遍；由于存在密钥发行与管理方面的不足，在提供数字签名、身份验证等方面需要与公开密钥密码系统共同使用，以达到更好的安全效果。公共密钥的优点在于，也许你并不认识某一实体，但只要你的服务器认为该实体证书权威CA是可靠的，就可以进行安全通信，而这正是电子商务这样的业务所要求的，如信用卡购物。二、风险分析21、攻击的类型：1）阻断攻击。2）截取攻击。3）篡改攻击。4）伪造攻击。2、主动攻击与被动攻击的区分：窃听、监听都具有被动攻击的本性，攻击者的目的是获取正在传输的信息，被动攻击包括传输报文内容的泄漏和通信流量分析。主动攻击包含对数据流的某些修改，或者生成一个假的数据流。它可以分成4类：1）伪装。2、回答（重放）。3）修改报文。4）拒绝服务。3、常见的篡改服务攻击有3种：1）改变。2）插入。3）删除。4、拒绝服务攻击可分成以下4种：1）拒绝访问信息。2）拒绝访问应用。3）拒绝访问系统。4）拒绝访问通信。5、风险的概念：风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。威胁+漏洞=风险6、风险测量必须识别出在受到攻击后该组织需要付出的代价。代价包括资金、时间、资源、信誉及丢失生意等。三、安全策略1、系统管理程序：1）软件更新。2）漏洞扫描。3）策略检查。4）登录检查。5）常规监控。2、一个恰当的灾难恢复计划应考虑各种故障的级别：单个系统、数据中心、整个系统。灾难恢复计划应考虑：1）单个系统或设备故障。2）数据中心事件。3）场地破坏事件。4）灾难恢复计划的测试。3、安全策略的生成步骤：1）确定重要的策略。2）确定可接受的行为。3）征求建议。4）策略的开发。四、网络信息安全服务*1、机密性服务包括：1）文件机密性。2）信息传输机密性。3）通信流机密性。*2、完整性服务包括：1）文件完整性。2）信息传输完整性。*3、可用性服务包括：1）后备。2）在线恢复。3）灾难恢复。4、网络环境下的身份鉴别：1）身份认证技术（常见的有口令技术和采用物理形式的身份认证标记进行身份认证的鉴别技术）。2）身份认证协议（会话密钥、共享密钥认证和公钥认证。）5、访问控制：访问控制是确定来访实体有否访问权以及实施访问权限的过程。五、安全体系结构1、可信系统体系结构概述：如果保护在硬件层实现，保护机制更简单，可提供广泛的通用的保护。越是层次向上升，越是增加复杂性，而功能则更加专门和细粒度。最高层也最复杂，因为它直接向用户提供广泛的功能和选项。功能和安全复杂性增加，则越靠近用户。复杂性增加，则安全机制的级别越低。*2、网络体系结构的观点（课本P74）3、加密机制。1）加密既能为数据提供机密性，也能为通信业务流信息提供机密性，并且是其他安全机制中的一部分或对安全机制起补充作用。2）加密算法可以是可逆的，也可以是不可逆的。3）除了某些不可逆加密算法的情况外，加密机制的存在便意味着要使用密钥管理机制。4、大多数应用不要求在多个层加密，加密层的选取主要取决于下列几个因素：1）如果要求全通信业务流机密性，那么选取物理层加密，或传输安全手段（如适当的扩频技术）。2）如果要求细粒度保护（即对不同应用提供不同的密钥），和抗否认或选择字段保护，那么将选取表示层加密。3）如果希望实现所有客户端系统通信的简单块保护，或希望有一个外部的加密设备（例如，为了给算法和密钥加物理保护，或防止错误软件），那么将选取网络层加密。4）如果要求带恢复的完整性，同时又具有细粒度保护，那么将选取传输层加密。5）对于今后的实施，不推荐在数据链接层上加密。6、数字签名机制的特点：1）签名过程使用签名者的私有信息作为密钥，或对数据单元进行3加密，或产生出该数据单元的一个密码校验值。2）验证过程使用公开的规程与信息来决定该签名是否是用签名者的私有信息产生的。3）签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。因而，当该签名得到验证后，它能在事后的任何时候向第三方（例如法官或仲裁人）证明只有那个私有信息的唯一拥有者才能产生这个签名。六、Internet安全体系结构之一1、局域网LAN的安全。防御方法：1）防火墙。2）特权区（privilegedzones）。3）LAN连接。2、无线网面临着一系列有线网没有的不安全风险，包括：1）分组嗅测（packetsniffing）。2)服务集标识SSID（theservicesetidentifier）信息。3)假冒(inpersonation)。4）寄生者（parasites）。5）直接安全漏洞（directsecuritybreaches）。3、风险缓解的方法：1)SSID打标签。2）广播SSID。3）无线放置。4）MAC过滤。5）WEP。6）其他密码系统。7）网络体系结构。4、课本P107图6-3CHAP处理。5、ARP和RARP的风险课本P110图6-4作为MitM攻击的ARP受损。6、所有的分段机制有两个主要风险：丢失分段和组装数据的容量。此外分段管理的类型能导致丢失数据分段。分段的风险：1）丢失分段攻击。2）最大的不分段大小。3）分段重组。7、IP风险：1）地址冲突。2）IP拦截。3）回答攻击。4）分组风暴。5）分段攻击。）6）转换通道。七、Internet安全体系结构之二1、TCPDoS攻击：1）SYN攻击。2）RST和FIN攻击。3）ICMP攻击。4）LAND攻击。*2、缓解对TCP攻击的方法：1）改变系统框架。2）阻断攻击指向。3）识别网络设备。4）状态分组校验。5）入侵检测系统（IDS）。6）入侵防御系统（IPS）。*3、UDP攻击：1）非法的进入源。2）UDP拦截。3）UDP保持存活攻击。4）UDPSmurf攻击。5）UDP侦察。4、DNS风险：1）直接风险（无身份鉴别的响应、DNS缓存受损、ID盲目攻击、破坏DNS分组）。2）技术风险（DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS）。3）社会风险（相似的主机名、自动名字实现、社会工程、域更新）。#5、缓解风险的方法：1）直接威胁缓解。基本的维护和网络分段能限制直接威胁的影响。1、补丁：DNS服务器的增强版经常会发布，DNS服务器和主机平台应定期打补丁和维护。2、内部和外部域分开：DNS服务器应该是分开的。大的网络应考虑在内部网络分段间分开设置服务器，以限制单个服务器破坏的影响，且能够平衡DNS负载。3、限制域或转换：域的转换限制于特定的主机，且由网络地址或硬件地址标识。这个方案对MAC和IP的伪装攻击是脆弱的，但对任意的主机请求域转换确实是有用的。4、鉴别的域转换：采用数字签名和鉴别域转换能减少来自域转换拦截和破坏的影响。5、有限的缓冲间隔：缓冲间隔减少至低于DNS回答规定的值，可以减少缓冲器受损的损坏装口。6、拒绝不匹配的回答：假如缓冲DNS服务器接到多个具有不同值的回答，全部缓冲器应刷新。虽然这会影响缓冲器性能，但它消除了长期缓冲器受损的风险。2）技术威胁的缓解。技术风险预防方法包括网络、主机和本地环境。1、加固服务器：限制远程可访问进程的数量，就能限制潜在攻击的数量。加固服务4器可降低来自技术攻击的威胁。2、防火墙：在DNS服务器前放置硬件防火墙限制了远程攻击的数量。3）侦察威胁的缓解。1、限制提供DNS信息：这可以缓解攻击者侦察的威胁，虽然DNS不能完全做到，但可限制提供信息的类型和数量。2、限制域转换：域的转换仅限于鉴别过的主机。虽然不能组织蛮力主机的查找，但可组织侦察。3、限制请求：限制DNS请求的数量可由任何单个网络地址完成。虽然不能防止蛮力域监听，但是可设置障碍。4、去除反向查找：假定反向查找不是必须的，那么去除它。这可限制蛮力域监听的影响。5、分开内部和外部域：DNS域服务器应该是分开的，以确保LAN的信息保持在LAN。特别是内部主机名应该不允许外部可观察。6、去除额外信息：不是直接为外部用户使用的信息应该去除，例如TXT，CHAME，HINFO这些信息。7、隐藏版本：对允许本地登录或远程状态报告的DNS服务器，这些DNS版本可能被泄漏。因为不同的版本和不同的利用相关，应该修改版本以报告假信息或将其去除。4）社会威胁缓解。除了对用户进行培训，防止相似主机名和自动名字完成的风险，还有：1、监控相似域：经常搜索域名的变化。当发现有相似主机名的标识，DNS提供者要求他们关掉。虽然这是一个复杂的耗时的任务，但这是监控相似域名的一种专门服务。2、锁住域：使用支持域名锁定的域注册者。这需要一些附加信息，诸如账户信息、转换域名的口令。3、使用有效联系：在域注册中提供一个或多个有效联系方法，以允许用户和注册者联系域主。但不需要专门的人名或个人信息，以免攻击者使用这些信息攻击域主。4、不间断支持：选择一天24小时，一周7天不间断支持的域注册者。这样在任何时候可和注册者联系，以解决有关域