网络安全技术

发表于 更新于 分类于 阅读次数: Waline:

信息安全概述

信息和信息安全

信息:信息是对事物不确定性的度量,可用信息量来描述
信息技术:应用在信息加工和处理过程中的科学、技术与工程的训练方法和管理技巧及应用
信息安全:使信息资产远离风险的一切手段和方法。

信息安全

信息安全的发展历程:

  • 通信安全(上世纪60年代)
    这个时候一般认为信息安全就是通信安全,研究如何对信息进行编码后在通信信道上传输,从而防止攻击者通过窃听通信信道来获取信息。

  • 信息安全(上世纪80年代)
    开始采用信息安全及其属性来描述其内涵。提出完整性、可用性、机密性、可靠性、不可否认性,其中机密性、完整性和可用性是信息安全的三个基本目标

  • 信息保障(Information Assurance, IA)(上世纪90年代)
    USDoD提出信息保护过程,保护、检测、恢复、响应(PDRR)

信息安全体系

**信息安全体系结构:**指对信息和信息系统安全功能的抽象描述,它从整体上定义了信息及信息系统所提供的安全服务、安全机制以及各种安全组件之间的关系和交互。

主要包括内容:

  • 风险分析(前提)
    分析信息系统的威胁和脆弱性,分析资源或系统功能失效所带来的影响
  • 安全策略(核心)
    适用于安全域(组织的资源集合)的一组规则,规定各种资源的访问权限,主要包括制度、技术、管理。
  • 安全服务(基础)
    提供数据处理和数据传输安全性的方法
  • 安全机制(基础)
    保护信息与信息系统安全措施的总称,主要有8种:加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、业务填充机制、路由控制机制、公正机制
  • 安全管理
    其中最重要的是安全服务和安全机制,下面分别对其进行详细介绍。

安全服务

认证、访问控制、机密性、完整性、否认性

安全机制

保护信息与信息系统安全措施的总称,主要有8种:加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、业务填充机制、路由控制机制、公正机制

加密机制:
为通信业务流信息、数据提供机密性,同时还可以并入其他安全机制中。
常用的加密技术主要是 对称加密技术 和 非对称加密技术

数字签名机制:
至少包括两个过程:签名和验证。
签名:使用签名者所拥有的私有信息(如私钥)进行操作
验证:使用公之于众的规程与信息(如公钥)进行验证

访问控制机制:
保护受保护的资源不被非授权使用。

数据完整性机制:
包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性两方面。
一般来说,提供两种完整性服务的机制不相同。

认证交换机制:
在认证者和被认证者之间交换某些共享信息的方式来实现认证功能。比较常用以下几种技术:
① 使用鉴别信息,如口令,发送实体提供,接收实体验证。
② 密码技术。公钥机制或对称密钥机制。
③ 使用该实体的特征或占有物,如认证令牌、指纹、虹膜等

业务填充机制:
通过发送额外的数据来掩盖正常通信流量特征,从而达到保护业务流机密性的目的。
这种机制能提供各种不同级别的保护,从而防止对业务流的分析。
这种机制只有在业务流填充受到机密服务保护时才有效。

路由控制机制:
指通过对路由过程进行控制,达到安全保护的目的。

公正机制:
利用可信第三方来实现安全功能,要求通信中的所有实体必须完全信任该可信第三方

安全服务和机制之间的关系

安全服务和安全机制虽然是截然不同的两个概念,但是两者联系紧密。

  • 安全服务由安全机制来实现
  • 一种安全机制可以实现一种或多种安全服务
  • 一种安全服务可以由一种或多种安全机制来实现

安全威胁与攻击

安全威胁是违背安全策略的潜在行为,安全攻击是违背了安全策略,且实际上已经发生的行为。他们之间的关系在于:攻击往往会利用一个或多个威胁。

安全威胁的种类

  • 威胁机密性
  • 威胁完整性
  • 威胁可用性
  • 威胁可控性

攻击

主动攻击

  • 定义:涉及某些数据流的篡改或虚假流的产生
  • 特点:
    易被检测出来
    不易有效地防止,具体措施包括自动审计、入侵检测和完整性恢复等
  • 常见手段:
    假冒,重放,篡改信息,拒绝服务

被动攻击

  • 定义:是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者,但不对数据信息做任何修改
  • 特点:
    不易被发现
    重点在于预防 ,如使用虚拟专用网(VPN)、采用加密技术保护网络以及使用加保护的分布式网络等
  • 常见手段:
    搭线监听、无线截获、其他截获

网络协议的安全性

计算机网络

从资源共享的角度来看,计算机网络是能以相互共享资源的方式互连起来的自治计算机系统的集合,有三个特性:分散性、异构性、自治性
从技术角度来说,计算机网络 = 通信技术(实现互连互通) + 计算机技术(存储和处理信息)

分类

按传输技术分类

  1. 广播式网络
  2. 点对点网络

按网络的覆盖范围与规模分类

  1. 局域网LAN
  2. 城域网MAN
  3. 广域网WAN

按通信技术分类

  1. 有线网络
  2. 无线网络

常见拓扑结构

  1. 总线型
    工作站和服务器均挂在一条总线上,地位平等,无中心点控制,公用总线上的信息多以基带形式串行传递,传递方向从发送信息的节点开始向两端扩散。
    优点:结构简单,可扩充性好
    缺点:维护难,分支节点故障查找难
  2. 环状
    由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环,数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。
    优点:简化了路径选择,节点控制软件简单。
    缺点:传输效率低,不便于扩充,可靠性低,维护难
  3. 星状
    各工作站以星状方式连接成网,网络以中央节点为中心,其他节点与中央节点直接相连,又称为集中控制式网络
    优点:结构简单,便于管理;控制简单,便于建网;网络延迟时间较小,传输误差较低。
    缺点:成本高、可靠性较低、资源共享能力也较差。
  4. 树状
    分级的集中控制式网络
    优点:通信线路总长度短,成本较低,节点易于扩充,寻找路径比较方便。
    缺点:叶节点及其相连的线路外,任一节点或其相连的线路故障都会使系统受到影响。
  5. 网状
    每台设备之间均有点到点的链路连接,这种连接不经济,只有每个站点都频繁发送信息时才使用这种方法。
    优点:系统可靠性高,容错能力强
    缺点:连接不经济,每台设备之间均有点到点的链路连接;安装复杂
  6. 无线通信与卫星通信网络结构
    也称为蜂窝网络拓扑结构,以无线传输介质(红外、微波等)点到点和多点传输为特征,是一种无线网,适用于城市网、校园网、企业网。

网络协议的安全问题

互联网设计之初的使用目的是用于科学研究,其基本假设就是节点的诚实性;但由于计算机网络的广泛使用,这种假设在今天已经无法成立,因此可能导致各种各样的攻击。

这些攻击主要针对两方面的缺陷:
1.协议设计的缺陷,这种攻击会一直存在,直至该协议更新;
2.协议实现的缺陷,这种攻击会随着软件的更新而消除

网络接口层的威胁

交换机毒化攻击

原因:交换表的空间是有限的,新的“MAC地址——端口”映射对的到达会替换旧的表项。

操作:
1.攻击者发送大量的具有不同伪造源MAC地址的帧
2.由于交换机的自学习功能,这些新的“MAC地址—端口”映射对会填充整个交换机表,而这些表项都是无效的
3.交换机完全退化为广播模式,攻击者达到窃听数据的目的。

地址解析协议(ARP)的威胁

ARP攻击过程如下:
1.攻击者在局域网网段发送虚假的IP/MAC对应信息,篡改网关MAC地址,使自己成为假网关
2.受害者将数据包发送给假网关(攻击者)
3.假网关(攻击者)分析接收到的数据包,把有价值的数据包记录下来(比如QQ以及邮箱登录数据包)
4.假网关再把数据包转发给真正的网关

发生ARP欺骗的原因:
1.ARP协议设计之初没有考虑安全问题,所以任何计算机都可以发送虚假的ARP数据包。
2.ARP协议的无状态性。响应数据包和请求数据包之间没有什么关系,如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求。
3.ARP缓存需要定时更新,给攻击者以可乘之机。

ARP欺骗的局限性:
ARP欺骗只能被用于局域网(也就是说黑客必须已经获得局域网中某台机子的访问权限。)

IP层协议的威胁——IP假冒攻击(IP Spoofing)

根据IP协议,路由器只是根据IP分组的目的IP地址来确定该IP分组从哪一个端口发送的,而不关心该IP分组的源IP
地址。基于该原理,任意节点均可以构造IP分组,即使其源IP地址并非当前结点的IP地址,该IP分组仍然能够顺利到达目的结点,即IP假冒攻击(IP Spoofing)

IP假冒攻击主要用于两类网络攻击:
1.拒绝服务攻击DOS
2.基于IP地址认证的网络服务攻击

防范IP假冒攻击的方法:
1.入口/出口过滤
2.IP回溯技术

传输层协议的威胁

TCP

  1. SYN Flooding 攻击
  2. ACK Flooding 攻击
  3. 序列号预测攻击
  4. LAND攻击

UDP

  1. UDP假冒
  2. UDP劫持

应用层协议的威胁

1.DNS

DNS缓存毒化
攻击者掌控有一个自己的域(attack.net)和一个已被攻陷的DNS服务器(ns.attack.net)。攻击者通过查询www.attack.net,迫使本地域名服务器A和ns.attack.net通信,并使ns.attack.net回复针对 www.attack.net的查询,同时通过区域传送(zone transfer)的方式将错误的或篡改过的DNS信息(如,www.google.com = 91.91.91.91)返回给本地域名服务器A。当其他用户向域名服务器A查询 www.google.com时,服务器会返回91.91.91.91。

DNS ID欺骗
DNS协议基于无状态的UDP,因此任何攻击者都可以发送伪造的响应包给请求者,而请求者无法判断该包是否合法。
如果攻击者能够窃听到该DNS请求,比如攻击者和被攻击者在同一局域网,则攻击者能够获得DNS查询的ID号,从而可以构造合法的响应包,而其中的域名解析内容则是由攻击者来任意确定的。

基于DNS的DDOS攻击
攻击者利用僵尸网络发送大量伪造的查询请求至DNS服务器。这些查询请求包的源IP地址被设置为受害者的IP地址,因此DNS服务器会把响应信息发送给受害者。大量的响应信息会导致被攻击者的处理能力被占 用,从而形成DOS

2.HTTP

钓鱼攻击
HTTP没有考虑用户认证,也就是说,用户并不能确定远端服务器的真实身份。

跨站脚本攻击(XSS)

网络安全隔离技术

隔离技术

对具有不同安全需求的应用系统进行分类保护,从而有助于将风险较大的应用系统与其他需要更多安全保护的应用系统隔离,达到保护的目的。

常见的隔离类型:
逻辑隔离
物理隔离

交换机

虚拟子网:即VLAN(Virtual Local Area Network),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。连接在同一交换机上的主机可以通过VLAN划分到不同的虚拟子网,也就是不同的广播域。通过VLAN的构建能够更有效的对局域网的数据进行隔离。

VLAN划分的方式

基于端口划分
优点:简单,一次定义;缺点:灵活性差

基于MAC地址划分
优点:支持用户动态迁移;缺点:配置工作量大,执行效率低

基于IP层划分
支持用户动态迁移,可按协议类型划分;缺点:效率低,需要交换机支持

基于IP组播划分
优点:可通过路由器扩展,支持广域网;缺点:效率低,不适合局域网

路由器

路由器隔离部署方式

1. 路由器作为唯一安全组件

  • 相对交换机,集线器,能提供更高层次的安全功能
  • 包过滤,NAT等
    2. 路由器作为安全组件的一部分
  • 在一个全面安全体系结构中,常用作屏蔽设备,执行包过滤功能,而防火墙对能够通过路由器的数据包进行检查

防火墙

定义:防火墙是用一个或一组网络设备,在两个或多个网络间加强访问控制,以保护一个网络不受到另一个网络攻击的安全技术。

主要技术:分组过滤、应用代理、状态检测

防火墙的常见技术

分组过滤

分组过滤也被称为包过滤,通常根据数据包头信息对网络流量进行处理,一般只关注源地址和目的地址、应用、协议以及每个IP包的端口,位于网络层,过滤依据主要是IP报头里面的信息,不能对应用层数据进行处理。

优点:
1.容易实现,费用少,对性能的影响不大,对流量的管理较出色

缺点:
1.过滤规则表随着应用的深化会很快变得很大而且复杂,出现漏洞的可能性也会增加。
2.包过滤技术只对数据包头进行检查,没有身份验证机制,因此不能分辨正常用户和入侵者。
3.包过滤技术不能进行应用层的深度检查,因此不能发现传输的恶意代码及攻击数据包。
4.包过滤技术容易遭受源地址欺骗,源地址改为内部地址可以绕过包过滤防火墙。

应用代理

应用代理防火墙又被称为“堡垒主机”、“代理网关”、“应用级网关”、“代理服务器”,位于应用层,主要采用协议代理服务。
应用代理防火墙适用于特定的Internet服务,如HTTP、FTP等,必须为每一种应用服务设置专门的代理服务器。
(基本可以直接理解成代理服务器了。)

优点:
1.比起分组过滤防火墙,应用代理防火墙能够提供更高层次的安全性。
2.应用代理防火墙将保护网络与外界完全隔离。并提供更细致的日志,有助于发现异常。
3.应用代理防火墙本身是一台主机,可以执行诸如身份验证等功能。
4.应用代理防火墙检测的深度更深,能够进行应用级的过滤。例如,有的应用代理防火墙可以过滤FTP连接并禁止FTP的“put”命令,从而保证用户不能往匿名FTP服务器上写入数据。

缺点:
1.应用代理防火墙工作在OSI模型最高层,因此开销较大。
2.对每项服务必须使用专门设计的代理服务器。应用代理防火墙通常支持常用的协议,例如:HTTP,FTP,Telnet等等,但不能支持所有的应用层协议。
3.应用代理防火墙配置的方便性较差,对用户不透明。例如使用HTTP代理,需要用户配置自己的IE,从而使之指向代理服务器。

状态检测

状态检测技术是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。

特点:
比分组过滤技术安全性高,比应用代理技术效率高。

典型体系结构

  • 包过滤路由器模型
  • 单宿主堡垒主机模型
  • 双宿主堡垒主机模型
  • 子网屏蔽防火墙模型

防火墙的作用

  • 通过过滤不安全的服务而降低风险,提高内部网络安全性
  • 保护网络免受基于路由的攻击
  • 强化网络安全策略
  • 对网络存取和访问进行监控审计
  • 利用防火墙对内部网络的划分,实现内部网重点或敏感网段的隔离

局限性

  • 防火墙无法检测不经过防火墙的流量,如通过内部提供拨号服务接入公网的流量;
  • 防火墙不能防范来自内部人员恶意的攻击;
  • 防火墙不能阻止被病毒感染的和有害的程序或文件的传递,如木马;
  • 防火墙不能防止数据驱动式攻击,如一些缓冲区溢出攻击

网络地址转换

网络地址转换(Network Address Translation, NAT)允许一个机构以一个地址出现在Internet上,将每个局域网节点的地址转换成一个IP地址,反之亦然。

静态转换
是指将内部网络的私有IP地址与公有IP地址进行一一对应的转换。

动态转换
是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的。

网络地址端口转换
是指改变外出数据包的源端口并进行端口转换,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。

物理隔离

定义:“物理隔离”是指内部网在任何情况下不得直接或间接地连接公共网。
(前面我们提到的都是逻辑隔离)

类型

1.双网双机
两台计算机共用一套外部设备,通过开关选择两套计算机系统。

2.双硬盘物理隔离卡
通过增加一块隔离卡、一块硬盘,将硬盘接口通过添加的隔离卡转接到主板,网卡也通过该卡引出两个网络接口。

3.单硬盘物理隔离
增加一块隔离卡,引出两个网口,并对原有硬盘划分安全区、非安全区。(非严格的物理隔离)

4.隔离网关(网闸)
内、外部主机是完全网络隔离的,支持文件、数据或信息的交换。

实现方式:
物理隔离是通过物理隔离部件来实现的。
物理隔离部件(physical disconnection separation components)是在端上实现信息物理断开的信息安全部件,如物理隔离卡,网闸。
隔离部件的工作方式通常有:单向隔离、协议隔离、网闸隔离

物理隔离和逻辑隔离的区别:

1.物理隔离的哲学是要安全就不连网,要绝对保证安全。

2.逻辑隔离的哲学是在保证网络正常使用下,尽可能安全。

3.物理隔离部件的安全功能应保证被隔离的计算机资源不能被访问(至少应包括硬盘、软盘和光盘),计算机数据不能被重用(至少应包括内存)。

身份认证技术

身份认证概述

定义:
身份认证是证实主体的真实身份与其所声称的身份是否相符的过程,身份认证可分为用户(代表用户的进程)与主机间的认证和主机与主机之间的认证。

目的:
确保通信实体就是它所声称的那个实体

作用:

1.验证用户,对抗假冒

2.依据身份,实施控制

3.明确责任,便于审计

认证的方式:

1.基于口令

2.基于密码学

3.基于生物特征

认证的依据:

1.主体所知的秘密 What you know 如口令、密钥

2.主体所有的实物 What you have 如手机、智能卡

3.主体固有的特征 Who you are 如指纹、视网膜

认证的类型:

1.依据认证条件(凭据)的数量

a.单因子认证
b.双因子认证
c.多因子认证

2.依据认证条件(凭据)的状态

a.静态认证
b.动态认证

基于口令的身份认证

(待续)

基于对称密码的身份认证

(待续)

基于公钥密码的身份认证

(待续)
未完待续