網(wǎng)絡(luò)安全與攻防技術(shù)

1、第8章 網(wǎng)絡(luò)安全與攻防技術(shù),本章學(xué)習(xí)要求,了解網(wǎng)絡(luò)安全的概念 掌握密碼體制和應(yīng)用 掌握主要的認(rèn)證技術(shù)：消息認(rèn)證、身份認(rèn)證和數(shù)字簽名 掌握電子郵件安全協(xié)議：PGP和S/MIME 掌握防火墻的概念和種類 了解計(jì)算機(jī)病毒的概念和基本防范措施 了解入侵檢測的方法,8.1 信息安全技術(shù),8.1.1 信息安全基礎(chǔ) 8.1.2 密碼學(xué) 8.1.3 對(duì)稱加密體系 8.1.4 非對(duì)稱加密體系 8.1.5 散列函數(shù),8.1.1 信息安全基礎(chǔ),信息安全是指信息能夠機(jī)密地、完整地、可靠地傳輸和存儲(chǔ),不受偶然的或者惡意的原因而遭到破壞、更改和泄露。 信息安全具有以下五個(gè)特性： (1) 機(jī)密性 (2) 完整性 (3) 可

2、用性 (4) 可控性 (5) 可審查性,8.1.2 密碼學(xué),密碼目的：確保信息不泄露給未授權(quán)的實(shí)體 加密：對(duì)信息進(jìn)行編碼轉(zhuǎn)換 解密：加密的逆過程 明文：被轉(zhuǎn)換的信息 密文：轉(zhuǎn)換后的信息 在編碼轉(zhuǎn)換過程中，主要涉及到密鑰和加密算法，其中密鑰是獨(dú)立于明文，算法則是編碼轉(zhuǎn)換的規(guī)則,8.1.3 對(duì)稱加密體系,圖8-1 對(duì)稱加密過程,8.1.3 對(duì)稱加密體系,特點(diǎn)： 1、單密鑰 2、在公共信道上傳輸密鑰極容易被截獲 3、網(wǎng)絡(luò)中有N個(gè)用戶之間要進(jìn)行相互通信則需要N*（N-1）個(gè)密鑰。 典型算法： 1、DES算法 2、IDEA算法 3、AES算法,8.1.4 非對(duì)稱加密體系,圖8-3 非對(duì)稱加密工作過程,8

3、.1.4 非對(duì)稱加密體系,特點(diǎn)： 1、采用雙密鑰 2、從加密算法和加密密鑰要確定解密密鑰，在計(jì)算上是不行的。 3、解決常規(guī)加密所面臨的兩大難題：分配密鑰的難題；數(shù)字簽名的難題 主要典型算法： 1、RSA算法 2、DSA算法,8.1.5 散列函數(shù),Hash函數(shù)H一般滿足以下幾個(gè)基本要求： (1) 輸入x可以為任意長度；輸出數(shù)據(jù)串長度固定； (2) 正向計(jì)算容易，即給定任何m，容易算出h=H(m)； (3) 反向計(jì)算困難，即p=H-1(m)在計(jì)算上是不可行的，這也是散列函數(shù)的單向?qū)傩裕?(4) 抗沖突性,8.1.5 散列函數(shù),散列函數(shù)具有以下安全特性： (1) 一致性：相同的輸入產(chǎn)生相同的輸出。

4、(2) 隨機(jī)性：消息摘要是隨機(jī)的，以防被猜出輸入消息。 (3) 唯一性：幾乎不可能找到兩個(gè)不同消息產(chǎn)生相同的消息摘要。 (4) 單向性：即如果給出輸出，則很難確定出輸入消息,8.2 網(wǎng)絡(luò)安全,8.2.1 數(shù)字簽名 8.2.2 認(rèn)證 8.2.3 IP安全 8.2.4 Web安全 8.2.5 電子郵件的安全 8.2.6 網(wǎng)絡(luò)系統(tǒng)安全,8.2.1 數(shù)字簽名,圖8-5 數(shù)字簽名和鑒別,8.2.2 認(rèn)證,認(rèn)證目的： 1、驗(yàn)證消息的發(fā)送者是真正的，而不是冒充的，此為信源識(shí)別； 2、驗(yàn)證消息的完整性，在傳送或存儲(chǔ)過程中未被篡改、重放或延遲等。 主要的認(rèn)證技術(shù)有： 1、消息認(rèn)證 2、身份認(rèn)證 3、數(shù)字簽名,8

5、.2.3 IP安全,IP層的安全包含三個(gè)功能：鑒別、機(jī)密性和密鑰管理。 1、鑒別機(jī)制可以保證IP包確實(shí)由聲明的發(fā)送方所發(fā)送； 2、機(jī)密性可以保證數(shù)據(jù)包在傳輸過程中不被第三方所竊聽； 3、密鑰管理則用來處理通信密鑰的安全交換。 IPSec提供兩種安全協(xié)議 1、 AH(鑒別首部) 2、 ESP（封裝安全有效載荷,8.2.4 Web安全,表8-2 Web所面臨的威脅,8.2.5 電子郵件的安全,電子郵件除了提供正常的收發(fā)郵件功能外，還應(yīng)提供相應(yīng)的鑒別和機(jī)密性服務(wù)。 目前使用較為廣泛的有兩種技術(shù)： 1、PGP 主要提供了5種服務(wù)：鑒別、機(jī)密性、壓縮、分段和基數(shù)64轉(zhuǎn)換。 2、S/MIME (1)加密的

6、數(shù)據(jù) (2)簽名的數(shù)據(jù) (3)清澈簽名的數(shù)據(jù) (4)簽名并且加密的數(shù)據(jù),8.2.6 網(wǎng)絡(luò)系統(tǒng)安全,8.2.6.1 防火墻 8.2.6.2 防病毒 8.2.6.3 虛擬專用網(wǎng)(VPNs) 8.2.6.4 網(wǎng)絡(luò)管理安全,8.2.6.1 防火墻,防火墻的基本目標(biāo)： (1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有通信量都要經(jīng)過防火墻的檢測。 (2)只有授權(quán)的協(xié)議和服務(wù)，通過防火墻安全策略定義后才能被允許通過。 (3)本身具有防攻擊的能力。 防火墻主要有兩種類型，分別是包過濾防火墻和應(yīng)用級(jí)網(wǎng)關(guān),8.2.6.2 防病毒,計(jì)算機(jī)病毒也有其生命周期，一般經(jīng)歷四個(gè)階段： (1)潛伏階段 (2)繁殖階段 (3)觸發(fā)階段 (4

7、)執(zhí)行階段 典型的病毒有以下幾種類型： (1)寄生病毒 (2)存儲(chǔ)器駐留病毒 (3)引導(dǎo)區(qū)病毒 (4)隱形病毒 (5)多形病毒,8.2.6.3 虛擬專用網(wǎng)(VPNs,VPN主要有三種應(yīng)用方式： (1)擴(kuò)展的企業(yè)內(nèi)部虛擬專用網(wǎng)，即企業(yè)和合作伙伴、企業(yè)客戶之間建立的VPN。 (2)企業(yè)內(nèi)部的虛擬專用網(wǎng)，即企業(yè)總部和各分支機(jī)構(gòu)建立的VPN。 (3)遠(yuǎn)程訪問虛擬專用網(wǎng)，即企業(yè)和遠(yuǎn)程企業(yè)職員之間建立的VPN,8.2.6.4 網(wǎng)絡(luò)管理安全,網(wǎng)絡(luò)安全管理實(shí)施的目標(biāo)如下： (1) 集中化的安全策略管理 (2) 實(shí)時(shí)安全監(jiān)視 (3) 安全聯(lián)動(dòng)機(jī)制 (4) 配置與補(bǔ)丁管理 (5) 統(tǒng)一的權(quán)限管理 (6) 設(shè)備管理

8、(Device Management,8.3 網(wǎng)絡(luò)攻擊與防范,8.3.1入侵檢測與響應(yīng) 8.3.2網(wǎng)絡(luò)攻擊技術(shù),8.3.1入侵檢測與響應(yīng),入侵檢測方法 (1) 特征檢測 特征檢測對(duì)已知的攻擊或入侵的方式做出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛，該方法預(yù)報(bào)檢測的準(zhǔn)確率較高，但對(duì)于無經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為卻無能為力。 (2) 統(tǒng)計(jì)檢測 統(tǒng)計(jì)模型常用異常檢測，在統(tǒng)計(jì)模型中常用的測量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間和資源消耗情況等。以下是比較典型的統(tǒng)計(jì)模型： (3) 專家系統(tǒng) 用專家系統(tǒng)對(duì)入侵進(jìn)行檢測，經(jīng)常

9、是針對(duì)有特征入侵行為。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性,8.3.1入侵檢測與響應(yīng),圖8-7 P2DR模型,8.3.1 入侵檢測與響應(yīng),入侵檢測系統(tǒng)的響應(yīng)可分為主動(dòng)響應(yīng)與被動(dòng)響應(yīng)。 (1) 主動(dòng)響應(yīng)技術(shù) 主動(dòng)響應(yīng)技術(shù)是指阻止正在進(jìn)行的攻擊，使得攻擊者不能夠繼續(xù)訪問。 (2) 被動(dòng)響應(yīng)技術(shù) 最簡單的被動(dòng)響應(yīng)一般是指自動(dòng)通知，當(dāng)檢測到入侵發(fā)生時(shí)，入侵檢測系統(tǒng)可以給管理員發(fā)出警報(bào)通知,8.3.2 網(wǎng)絡(luò)攻擊技術(shù),網(wǎng)絡(luò)攻擊過程分析： (1) 隱藏攻擊者位置 (2) 尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī) (3) 獲取帳號(hào)和密碼，登錄主機(jī) (4) 獲得控制權(quán) (5) 竊取網(wǎng)絡(luò)

10、資源和特權(quán),8.3.2 網(wǎng)絡(luò)攻擊技術(shù),掃描攻擊技術(shù)主要有三種類型：ping掃描、端口掃描和漏洞掃描。 (1) ping掃描 攻擊者利用ping掃描，可以獲取網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并確定目標(biāo)攻擊主機(jī)是否是活性的。 (2) 端口掃描 一般網(wǎng)絡(luò)服務(wù)和端口是相對(duì)應(yīng)的。攻擊者利用端口掃描，可以獲取目標(biāo)攻擊主機(jī)所開放的端口和對(duì)應(yīng)的服務(wù)，從而找出該主機(jī)的存在的安全漏洞。 (3) 漏洞掃描 漏洞掃描的目標(biāo)不再僅僅是主機(jī)的端口，還掃描目標(biāo)攻擊主機(jī)的特定服務(wù)或網(wǎng)絡(luò)協(xié)議，以獲取系統(tǒng)的安全漏洞,8.3.2 網(wǎng)絡(luò)攻擊技術(shù),緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權(quán)運(yùn)行的程序的功能，這樣可以使得攻擊者取得程序的控制權(quán)，如果該程序具有足夠的權(quán)限，那么整個(gè)主機(jī)就被控制了。 緩沖區(qū)溢出攻擊分為代碼安排和控制程序執(zhí)行流程兩種方法： (1) 在程序的地址空間里存放代碼的方法 (2) 控制程序轉(zhuǎn)移到攻擊代碼的方法,8.3.2 網(wǎng)絡(luò)攻擊技術(shù),使用訪問口令是保護(hù)系統(tǒng)安全的第一道防線，即要求用戶在進(jìn)入系統(tǒng)前不但要提交用戶標(biāo)識(shí)符（ID），還要提交密碼，否則拒絕訪問系統(tǒng)資源。 為了使口令更加安全，可以使用一次性口令方案，主要是通過對(duì)口令進(jìn)行加密或修改加密方法來提供更強(qiáng)健的口令。目前常見的有S/Key協(xié)議和令牌口