网络安全概论知识点总结
网络安全基础
- 信息安全的四个属性: 保密性,完整性,可用性,合法使用
- 基础威胁:信息泄露,完整性破坏,拒绝服务,非法使用
- 渗入威胁:假冒,旁路控制,授权侵犯
- 植入威胁:特洛伊木马,陷门
- 潜在威胁:窃听,流量分析,操作人员不当所导致的信息泄露,媒体废弃物所导致的信息泄露
- 安全防护措施:物理安全,人员安全,管理安全,媒体安全,辐射安全,生命周期控制
- 网络安全策略:安全策略目标,机构安全策略,系统安全策略
- 访问控制策略:基于身份的策略,基于任务的策略,多等级策略
- 安全攻击类别:被动攻击(窃听攻击,流量分析),主动攻击(伪装攻击,重放攻击,消息篡改,拒绝服务攻击)
- X.800的五个安全服务:认证,访问控制,数据保密性,数据完整性,不可否认性
- X.800的五个普遍安全机制:可信功能度,安全标志,事件检测,安全审计跟踪,安全恢复
- X.800的八个特定安全机制:加密,数字签名,访问控制,数据完整性,认证交换,流量填充,路由控制,公证
- 网络安全模型的六个功能实体:信源,信宿,安全变换,信息通道,可信的第三方,攻击者
TCP/IP 协议簇的安全性
- 网际协议(IP)
- 不可靠,不能保证数据包传送成功,也不能保证按特定次序传输,也不能校验正确性。头部的校验和只是用于检验数据包IP头部的正确性,没有任何机制保证数据净荷传输的正确性。
- 使用了“IP source routing”这一选项的网际协议的数据包好像总是从路径最后一个系统上传递过来的。
- 根据IP协议规定,中间节点不能对小数据包进行拼接组合。
- 地址解析协议(ARP):将32bit的IP地址(IPV4)转化为48bit的MAC地址。
- 传输控制协议(TCP)
- TCP三次握手
- SYN Flood 攻击和防范
- 用户数据报协议(UDP), TCP与UDP的区别
- UDP 传输数据时,既没有纠错和重传机制,也没有对数据包进行丢包,复制,重新排列的检查机制。进行大量流的数据传输时会造成路由器堵塞和丢失。
- UDP忽略了原地址和目的地址
- UDP没有交换握手信息和序号的过程,因此易受到欺骗
- Internet 控制消息协议(ICMP)
- ICMP 用来处理传输错误,当某个网管发现传输错误,立刻向信源主机发送ICMP报文,报告出错信息。它是一种差错和控制报文协议。不仅传输差错报文还传输控制报文。
- 路由协议
- 它是一种在Internet上动态寻找恰当路径的机制
- 路由信息产生两个通道:主叫主机到目标主机,目标主机到主叫,当这两个不互逆时叫做非对称路由(优:负载均衡 缺:有多个***引发安全问题)
- 路由协议的攻击与防范: 攻击者通过自封包或修改网络节点的IP地址来冒充某个可信节点的IP地址进行攻击。抛弃外网进来却生成内部主机的报文,关闭路由器的源路由功能。
- 有限开放最短路径协议(OSPF)三个优点
- 验证机制:支持空验证,简单口令验证,加密验证三种方式对路由器之间交换的信息进行验证。
- 扩散机制:链路状态定时刷新,或链路变化时发送,独立计算最佳路径,对错误链路进行反击。
- 分层路由: 对其他区域屏蔽使得危害对于整个自治区最小,其他区域路由仍能正常使用。
- 边界网关协议(BGP):通过TCP连接在路由器之间分配路由信息。
- 动态主机配置协议(DHCP)端口:67,68
- DNS协议(53端口):将前向命名和后向命名分离,可能会带来安全问题。
- IPV6(128bit),与IPV4不同,IPV6头部没有校验和字段,并去掉了所有与分段相关的字段。
- 电子邮件协议:
- 简单邮件传输协议(SMTP 端口:25)
- 邮局协议(POP3 端口:110)
- Internet 消息访问协议(IMAP 端口:143)
- 消息传输协议:
- 简单消息文件传输协议(TFTP UDP 67)
- 文件传输协议(FTP) 21端口是控制连接,20端口是数据连接。
服务 | 功能 | 协议 |
---|---|---|
Telnet | 远程登录 | TCP 23 |
SSH | 安全的远程登录 | TCP 22 |
SNMP | 对网元的管理 | UDP 161 |
NTP | 所有设备时钟保持一致 | UDP 123 |
- IPV6地址缩写 (可以删除前导0, 例如0DB8 -> DB8)
详细视频: https://www.bilibili.com/video/BV1wu41127A1?share_source=copy_web
数字证书与公钥基础设施
- PKI(公开密钥基础设施): 证书机构CA,注册机构RA,证书发布库,密钥备份与恢复,证书撤销,PKI应用接口。
- 证书发布库:CA颁发证书,证书撤销列表。
- 密钥备份与恢复:只能针对加/解密密钥,而无法对签名密钥进行备份。
- PKI的应用:
- 认证服务:先验证证书的真伪,在验证身份的真伪。
- 数据完整***(确认数据没有被修改过):先用杂凑算法,在用自己的私钥对杂凑值进行加密。
- 数据保密***:采用数据证书机制,发送方产生一个对称密钥,必用其加密数据。发送方用接收方的公钥加密对称密钥,就像装进信封里,接收方用自己的私钥解开之后,用对称密钥得到敏感数据。
- 不可否认服务
- 公证服务:证明数据的有效性和正确性
- 数据证书的组成:主体名,序号,有效期,签发者名,公钥,版本,签名算法标识符。
- X.509标准, 用户的私钥不能出现在数字证书中。
- 证书生成的四个步骤:密钥生成,注册,验证,证书生成。
- 利用证书层次,自签名证书,交叉证书使得所有用户可验证其他用户的数字证书。
- 证书撤销的原因:
- 证书持有者报告证书的指定公钥对应的私钥被破解。
- CA签发数字证书时出错。
- 证书持有者离职,而证书是在离职期间签发的。
- CA 签名证书
- 使用杂凑算法对所有字段计算一个消息摘要
- CA 使用私钥加密消息摘要构成CA的数字签名作为数字证书的最后一个字段插入。
- 数字证书的验证
- CRL 是证书撤销列表,是脱机证书撤销状态检查的主要方法,他只列出来在有效期内的因故被撤销的证书,而不是所有。差异CRL都需要CA签名。
- OCSP 联机证书状态协议:缺点
- 缺少对当前证书相关的证书链的有效期的检查,需要客户机应用程序的辅助。
- 客户机应用程序还要检查证书的有效期,密钥使用合法性和其他限制。
- 授权管理基础设施(PMI)
- AA:属性权威:生成并签发属性证书的机构,并负责管理属性证书的整个生命周期。
- AC: 属性证书
- PMI 与 PKI的区别:
- PMI主要进行授权管理,PKI主要进行身份认证。
- 授权信息与公钥实体的生存周期不同。
- 对授权信息来说,身份证书的签发者通常不具有权威性,导致其需要使用额外步骤从权威源获取信息。
- 对于同一实体可由不同属性权威颁发属性证书,赋予不同的权限。
- 数字证书将用户与其公钥联系起来。
- SCVP是联机的证书状态检查。
网络加密与密钥管理
-
网络加密:
- 链路加密:报头以密文传输,中间节点存在明文。开销大,需要对链路两段的加密设备进行系统同步。
- 节点加密:报头以明文传输,中间节点不存在明文。开销大,需要对链路两段的加密设备进行系统同步。
- 端到端加密:报头以名文传输,中间节点不存在明文。开销小,无需系统同步。
- 链路与端到端混合加密:报头以密文传输,中间节点不存在明文。开销大,需要对链路两段的加密设备进行系统同步。
-
密钥种类:
- 基本密钥:kp,用户身份的唯一证明,必须确保绝对安全,因此需要频繁更换。
- 会话密钥:ks,用户一次通话或交换数据时的密钥。
- 密钥加密密钥:ke,用于对会话密钥和文件密钥进行加密。
- 主机主密钥:km,对密钥加密密钥加密的密钥。
-
密钥认证的分类:
- 隐式密钥认证
- 密钥确认
- 显示密钥认证
-
密钥分配的方法:
- 利用安全信道实现密钥传递
- 利用双钥体制建立安全信道传递
- 利用特定的物理现象(量子传递)实现密钥传递
-
密钥分配的模式:
- 点对点密钥管理
- 中心密钥管理
-
可信第三方TTP的功能: 密钥服务器、密钥管理设备、密钥查阅服务、时间戳代理、仲裁代理、托管代理
-
密钥交换协议:
- 采用单密钥体制的密钥交换协议:通信双方需要依赖Trent,谈的安全性也完全依赖于Trent,Trent可能成为影响系统性能的瓶颈。
- 采用双密钥体制的密钥交换协议:通信双方的密钥被可信第三方签名后存入数据库中,不能阻挡中间人攻击。
- 连锁协议(一半密文传输):可以抵挡中间人攻击,中间人既不能对一半密文解密,也不能用一方的密文加密。
- 采用数字签名的密钥交换:可以防止中间人攻击。
- 密钥和消息广播: 与多人通信。
- Diffe-hellman 密钥交换协议:不能抵抗中间人攻击,没有对通信双方的身份进行验证。
-
密钥的保护:终端密钥保护,主机密钥保护,密钥分级保护管理法。
-
短期密钥:会话密钥 长期密钥:密钥加密密钥
-
按照协议的功能分类,密码协议可以分为认证建立协议,密钥建立协议,认证的密钥建立协议。
-
可信第三方TTP的三种方式:联机、脱机、协调。
***原理与设计
- ***设计的要求(对防御内部的攻击无效):
- 所有进出网络的数据都要通过***(但不一定要过滤)
- 只允许经过授权的数据流通过***
- ***自身对入侵是免疫的
- ***分类
-
包过滤***(静态、***络层及以下,
- (静,访问控制规则库)优缺点:对网络性能有较小的影响,成本低;安全性较低,缺少状态感知能力,容易遭受IP欺骗攻击,创建访问控制规则比较困难。
- (动,连接建立以后的数据包不需要检查)优缺点:对网络性能有较小的影响,具有状态感知能力,性能显著提高;安全性低,容易遭受IP欺骗攻击,难于创建规则(必须考虑规则的先后顺序)
***类型 层级/特点 优点 缺点 电路级网关 会话层,仅复制和传递数据,而不进行过滤 1. 对网络性能有一定的影响,比包过滤性能低,但优于应用代理***。
2. 切断了外部网络和***后服务器的直接连接
3. 安全性较高1. 无法抵御应用层的入侵
2. 当程序和资源增加时,电路及网关的许多代码需要修改应用级网关 应用层 1. 在已知安全模型中安全性高
2. 强大的认证功能
3. 强大的日志功能
4. 规则创建简单1. 灵活性差
2. 配置繁琐
3. 性能低状态检测*** 网络层及以下 1.具有更高的安全性,能抵御协议细节攻击
2.没有打破客户、服务器模式
3.提供集成的动态包过滤功能1.单线程设计
2.性能不高
3.无法高并发切换代理 三次握手是电路级网关,再转化为动态包过滤 空气隙 -
- 网络地址转换
- NAT按照实现方式分类:静态网络地址转换,***络地址转换,端口地址转换。
- 按照数据流向分类:源地址转换,目的地址转换。
- 输入数据包的目的地址=所有输出数据包的源地址=路由器的外部地址
- 空气隙***也称作安全网闸,他在外网和内网之间实现了真正的物理隔离。
- ***提供的四种控制机制:服务控制,方向控制,用户控制,行为控制。
- 应用级网关和电路级网关切断了数据的端到端流动。
入侵检测系统
- IDS系统模型的四个部分:数据收集器,检测器,知识库,控制器
- 按照数据来源分类
名称 数据来源 优缺点 关键技术 工作原理 基于网络的入侵检测系统(NIDS) 数据来自于网络的数据流 侦测速度快,不容易受到攻击,对主机资源消耗少
来自服务器本身的攻击不经过网络,误报率高蜜罐技术 将入侵检测系统的产品放在比较重要的网段,如果数据包与产品内置的规则温和就发出警报甚至直接切断连接 基于主机的入侵检测系统(HIDS) 数据来自于审计记录和系统日志 不同操作系统捕获应用层入侵,误报少
依赖于主机及其子系统,实时性差扫描操作系统和应用程序日志文件,查看敏感文件是否被篡改,检验进出主机的网络传输流,发现攻击。 分布式入侵检测系统(DIDS) 数据来自于系统审计记录和网络的数据流 - 按照入侵检测策略分类:
类型 优缺点 原理 滥用检测 只收集相关数据集合,减少系统负担
需要不断升级将收集到的信息与已知网络入侵和数据库比对 异常检测 可检测未知的入侵和更复杂的入侵
误报,漏报率高,且不适于用户正常行为的突然改变统计正常使用的测量属性,弱冠差值超过正常范围,则认为有人入侵发生。 完整性分析 只要攻击导致某个文件的改变就可以被发现
一般以批处理方式不容易实时响应关注某个文件是否被修改 - IDS的评价标准:性能测试,功能测试,用户可用性测试
- IDS的任务:
- 信息收集
- 信息分析:
- 模式匹配(与已知的网络入侵数据库比较,误报率小,但只能发现已知攻击)
- 统计分析(观察值与正常值比较)
- 完整性分析(检查某个文件是否被修改)
- 安全响应:
- 主动响应(系统本身自动执行,采取终止连接,修正系统环境)
- 被动响应(发出警告信息和通知)
***技术
- ***根据访问方式不同分类
- 移动用户远程访问***连接
- 网关-网关的***连接
- ***的特点:费用低,安全保证,服务质量保证,可扩充行和灵活性,可管理性
- ***的关键技术:隧道技术,加/解密技术,密钥管理技术,身份认证技术,访问控制
- 第二层隧道协议
- PPTP(点对点隧道协议)
- L2F(第二层转发协议)
- L2TP(第二层隧道协议)
- 第三层隧道协议
- IPSec
- GRE
- MPLS
- IPSec ***(网络层)
- 传输模式:在整个***的传输过程中,IP包头并没有被封装进去。 IP包头+***头(AH头或ESP头)+数据+***尾
- 隧道模式: 把数据报文封装进***数据中,再添加新的IP包头。 新IP包头+***头(AH头或ESP头)+IP包头+数据+***尾
- IPSec的工作原理:与包过滤***类似,但增加了IPSec处理方式,保证来自内部网络的数据包不被截取,进入内部网络的数据包未被修改。
- IPSec的主要协议:AH(认证首部),ESP(封装净荷安全协议),IKE(密钥交换协议)
- TLS ***
- 原理:在企业***后放置一个TLS代理服务器,如果用户想安全连接到公司网络,现在浏览器输入url,该请求被TLS获取,身份验证后,服务器将提供连接。
- TLS ***与IPSec ***的性能比较
选项 TLS *** IPSec *** 身份验证 单项身份验证
双向身份验证
数字证书双向身份验证
数字证书加密 强加密
基于Web浏览器强加密
依靠执行全程安全性 端到端安全
从客户到资源端全程加密网络边缘到客户端
仅对从客户到***网关之间通道加密可访问性 适用于任何时间、任何地点访问 限制适用于已经定义好受控用户的访问 费用 低(无需任何附加客户端软件) 高(需要管理客户端软件) 安装 即插即用安装
无须任何附加的客户端软、硬件安装通常需要长时间的配置
需要客户端软件或硬件用户的易用性 对用户非常友好,使用Web浏览器
无须终端用户培训对没有相应技术的用户比较困难
需要技术培训支持的应用 基于Web的应用
文件共享
E-mail所有基于IP的协议服务 用户 客户、合作伙伴用户、远程用户、供应商 更适合在企业内部使用 可伸缩性 容易配置和拓展 在服务器端容易实现自由伸缩,在客户端比较困难 穿越*** 可以 不可以 - IPSec的ESP是加密封装化的协议,而L2TP则不对分组加密
- IPSec核心协议中实现安全关联的是IKE
- 一个安全关联由三个参数确定,即SPI,IP的目的地址,安全协议标识
- AH序列号提供了抗重放功能
身份认证
- 身份验证(你是否是你所声称的你),身份识别(我是否知道你是谁)
- 身份证明系统设计的三要素:安全设备的系统强度,用户的可接受性,系统的成本。
- 一次性口令验证:在登陆过程中,加入不确定的因素,通过某种算法,使每次登陆时用户所使用的的密码不同。
挑战/响应机制,口令序列机制在认证的过程中,客户端和服务端信息交互次数醉倒,通信量大。而其他两种,无需频繁传递信息,通讯量小。
挑战响应机制容易输入失误,且通信量大,更容易被截取,安全性若。S/key只是服务器对用户的单方面验证,容易受到欺骗。其他两种都加入随机信息和密钥最为不确定因素,安全性高。 - 基于时间的令牌中的可变因子是当前时间,基于事件令牌的可变因子是计数器值。
- 身份证明的三种基本途径分别是所知、所有、个人特征。