一、網絡安全概述
1.1 定義
信息安全:
為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。
網絡安全:
防止未授權的用戶訪問信息
防止未授權而試圖破壞與修改信息
1.2 信息安全特性
可用性 :確保授權用戶在需要時可以訪問信息并使用相關信息資產
完整性 :保護信息和信息的處理方法準確而完整
機密性: 確保只有經過授權的人才能訪問信息
1.3 網絡安全的威脅
主動攻擊
以各種方式有選擇地破壞信息
添加、修改、刪除、偽造、重放、亂序、冒充、病毒等
被動攻擊
不干擾網絡信息系統正常工作
偵聽、截獲、竊取、破譯和業務流量分析及電磁泄露等
惡意攻擊:特洛伊木馬、黑客攻擊、后門、計算機病毒、拒絕服務攻擊、內外部泄密、蠕蟲、邏輯炸彈、信息丟失篡改銷毀
黑客攻擊:黑客使用計算機作為攻擊主體,發送請求,被攻擊主機成為攻擊對象的遠程系統,進而被竊取信息。
特洛伊木馬:特洛伊木馬通過電子郵件或注入免費游戲一類的軟件進行傳播,當軟件或電子郵件附件被執行后,特洛伊木馬被激活。特洛伊密碼釋放他的有效負載,監視計算機活動,安裝后門程序,或者向黑客傳輸信息。
拒絕服務攻擊DoS: 指故意的攻擊網絡協議實現的缺陷或直接通過暴力手段耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務或資源訪問,使目標系統停止響應甚至崩潰。這些服務資源包括網絡帶寬,文件系統空間容量,開放的進程或者允許的連接。
最常見的DoS攻擊有對計算機網絡的帶寬攻擊和連通性攻擊。
(1)帶寬攻擊指以極大的通信量沖擊網絡,使得所有可用網絡資源都被消耗殆盡,最后導致合法的用戶請求無法通過。
(2)連通性攻擊指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。
分布式拒絕服務攻擊 DDoS:
(1)被攻擊主機上有大量等待的TCP連接;
(2) 網絡中充斥著大量的無用的數據包;
(3)源地址為假,制造高流量無用數據 ,造成網絡擁塞,使受害主機無法正常和外界通訊;
(4)利用受害主機提供的傳輸協議上的缺陷反復高速的發出特定的服務請求,使主機無法處理所有正常請求;
(5)嚴重時會造成系統死機。
病毒: 寄生在宿主文件中,將病毒代碼嵌入到宿主文件中,針對本地程序或文件,宿主程序運行時被觸發進傳染。防治的關鍵是將病毒代碼從宿主文件中摘除。
蠕蟲: 獨立存在的程序個體,通過自身拷貝進行傳染。針對網絡上的其他計算機,通過系統漏洞進行傳染。防治的關鍵是為系統打補丁。
漏洞: 指硬件、軟件或策略上的缺陷,這種缺陷導致非法用戶 未經授權而獲得訪問系統的權限或提高其訪問權限。有了這種訪問權限,非法用戶就可以為所欲為,從而造成對網絡安全的威脅。
區別于后門。后門:是軟硬件制造者為了進行非授權訪問而在程序中故意設置的萬能訪問口令,這些口令無論是被攻破,還是只掌握在制造者手中,都對使用者的系統安全構成嚴重的威脅。
漏洞與后門是不同的,漏洞是難以預知的,后門則是人為故意設置的。
TCP劫持攻擊: A嘗試和B建立加密會話,黑客劫持通訊,假裝是B,然后和A交換密鑰,然后假裝是A和B建立會話。
IP欺騙:黑客更改原地址欺騙防火墻,防火墻允許數據包通過,將其誤認為合法的通信,欺騙后的數據包進入內聯網進行破壞。
1.4 網絡安全的特征
保密性
網絡信息不被泄露給非授權的用戶、實體或過程。即信息只為授權用戶使用。
保密性是在可靠性和可用性基礎之上,保障網絡信息安全的重要手段
常用的保密技術
(1) 物理保密:利用各種物理方法,如限制、隔離、掩蔽、控制等措施,保護信息不被泄露(鎖好柜、關好門、看好人)
(2) 防竊聽:使對手偵收不到有用的信息
(3) 防輻射:防止有用信息以各種途徑輻射出去,例:防窺。
(4) 信息加密:在密鑰的控制下,用加密算法對信息進行加密處理。即使對手得到了加密后的信息也會因為沒有密鑰而無法讀懂有效信息
完整性
網絡信息在存儲或傳輸過程中保持不被偶然或蓄意地添加、刪除、修改、偽造、亂序、重放等破壞和丟失的特性
完整性是一種面向信息的安全性,它要求保持信息的原樣,即信息的正確生成、正確存儲和正確傳輸
保障完整性的方法:
(1)良好的協議:通過各種安全協議可以有效地檢測出被復制的信息、被刪除的字段、失效的字段和被修改的字段
(2)密碼校驗和方法: 它是抗竄改和傳輸失敗的重要手段
(3)數字簽名:保障信息的真實性,保證信息的不可否認性
(4)公證:請求網絡管理或中介機構證明信息的真實性
可靠性
(1)系統能夠在規定條件和時間內完成規定功能的特性,是所有網絡信息系統的運行和建設的基本目標。
(2)通過抗毀性,生存性與有效性進行衡量。
(3)可靠性是在給定的時間間隔和給定條件下,系統能正確執行其功能的概率。
(4)提高可靠性需要強調減少系統中斷(故障)的次數。
可用性
(1)網絡信息可被授權實體訪問并按需求使用的特性。 即網絡信息服務在需要時,允許授權用戶或實體 使用的特性,或者是網絡部分受損或需要降級使 用時,仍能為授權用戶提供有效服務的特性
(2)可用性是系統在執行任務的任意時刻能正常工作的概率,一般用系統正常使用時間和整個工作時間之比來度量
(3)提高可用性需要強調減少從災難中恢復的時間
(4)是產品可靠性、維修性和維修保障性的綜合反映。
不可否認性
(1)也稱作不可抵賴性,在網絡信息系統的信息交互過程中,確信參與者的真實同一性
(2)所有參與者都不可能否認或抵賴曾經完成的操作和承諾
保證不可否認性的方法:
(1)利用信息源證據可以防止發信方不真實地否認已發送信息, 利用遞交接收證據可以防止收信方事后否認已經接收的信息
(2)數字簽名技術是解決不可否認性的手段之一
可控性
對信息的傳播及內容具有控制能力
防止不良內容的傳播
二、入侵方式
2.1 黑客
黑客(hacker) :指技術上的行家或熱衷于解決問題, 克服限制的人
駭客(cracker):是那些喜歡進入其他人系統的人
駭客和黑客之間最主要的不同是:黑客們創造新東西,駭客們破壞東西。
2.1.1 入侵方法
(1)物理侵入:侵入者繞過物理控制而獲得對系統的訪問。對主 有物理進入權限 (比如他們能使用鍵盤) 。 方法包括控制臺特權一直到物理參與系統并且移走磁盤(在另外的機器讀/寫)。
(2)系統侵入: 已經擁有在系統用戶的較低權限。如果系統沒有打最新的漏洞補丁,就會給侵入者提供一個利用漏洞獲得系統管理員權限的機會
(3)遠程侵入: 通過網絡遠程進入系統。侵入者從無特權開始這種侵入方式,包括多種形式。如果在他和受害主機之間有防火墻存在,侵入就復雜得多
2.1.2 系統的威脅
軟件bug
軟件bug存在于服務器后臺程序, 客戶程序, 操作系統,網絡協議棧。
系統配置
(1)缺省配置:許多系統交付給客戶的時候采用的缺省的易用的配置
(2)懶惰的系統管理員:驚人數量的主機被配置成沒有系統管理員口令
(3)生成的漏洞:事實上所有的程序可能被配置成一個非安全的模式
(4)信任的關系:侵入者常用“跳板”的方法利用信任關系攻擊網絡。一個互相信任主機的網絡和他們最脆弱的環節一樣安全。
口令解密
字典攻擊:字典攻擊可以利用重復的登陸或者收集加密的口令并且試圖同加密后的字典中單詞匹配
暴力破解(Brute Force Attacks): 同字典攻擊類似, 侵入者可能嘗試所有的字符組合方式
監聽不安全的通信
(1)共享媒體: 傳統的以太網中, 你只要在線上啟動 Sniffer就可以看到在一個網段的所有通信
(2)服務器監聽: 在一個交換的網絡里,如果入侵者可以在一個服務器(特別是做路由器的)安裝sniffer程序,入侵者就可以使用得到的信息來攻擊客戶主機和信任主機。比如,你可能不知道某個用戶的口令,通過在他登陸的時候監聽Telnet會話,就可以得到他的口令
(3)遠程監聽: 大量的主機可以遠端網絡監控,且使用缺省的community
設計的缺點
TCP/IP 協議缺點
系統設計缺點
2.2 IP欺騙與防范
IP欺騙就是偽造數據包源IP地址的攻擊,
它基于兩個前提:
TCP/IP網絡在路由數據包時,不對源IP地址進行判斷— 可以偽造待發送數據包的源IP地址。目前黑客入侵攻擊的重要手段之一。
主機之間有信任關系存在—基于IP地址認證,不再需要用戶賬戶和口令。
2.2.1 TCP等IP欺騙基礎知識
1. TCP數據報首部標志域
? URG:緊急數據標志,指明數據流中已經放置緊急數據,緊急指針有效;
? ACK:確認標志,用于對報文的確認;
? PSH:推標志,通知接收端盡可能的將數據傳遞給應用層,在telnet登陸時,會使用到這個標志;
? RST:復位標志,用于復位TCP連接;
? SYN:同步標志,用于三次握手的建立,提示接收TCP連接的服務端檢查序號;
? FIN:結束標志,表示發送端已經沒有數據再傳輸了,希望釋放連接, 但接收端仍然可以繼續發送數據。
2. TCP三次握手過程
A發送帶有SYN標志的數據段通知B需要建立TCP連接。并將TCP報頭中的sequence number 設置成自己本次連接的初始值ISN。
B回傳給A一個帶有SYS+ACK標志的數據段,并告訴A自己的ISN,并確認A發送來的第一個數據段,將acknowledge number設置成A的ISN+1。
A確認收到的B的數據段,將acknowledge number設置成B的ISN+1。
3. 信任與認證
1 基于口令的認證:如SMTP(TCP 25)和遠程登錄 Telnet(TCP 23),只通過帳號/口令認證用戶;
2 基于IP地址的認證(即信任):登錄主機的地址受到被登錄服務器信任,則從該主機登錄不要口令;如遠程登錄rlogin(TCP 513),首先是基于信任關系的認證,其次才進行口令認證。
2.2.2 IP欺騙可行的原因
在TCP/IP協議組中,IP協議是非面向連接,非可靠傳輸的協議,IP數據包是進行松散發送的,并不是連續發送的,所以可以在源地址和目的地址中間放入滿足要求的IP地址,(也就是說可以進行虛假IP 地址的提供)
在TCP/IP協議簇中, TCP是面向連接,提供可靠傳輸。
面向連接是兩個主機首先必須建立連接,然后才能進行數據交換。
可靠性是有數據包中的多位控制字來提供,其中有 兩個是SYN和ACK
2.2.3 IP欺騙過程
IP欺騙步驟
選定目標主機
利用端口掃描,網絡監聽工具
看有哪些機器和目標主機進行TCP/IP連接
尋找目標主機信任的主機
選擇好進攻的目標主機后,必須尋找到目標主機信任的主機
可以嘗試顯示目標主機的文件系統在哪里被export, 或者使用rpcinfo來分析有用信息
或者嘗試目標主機的相鄰IP地址,獲取有價值信息
控制被信任的主機
黑客向被信任的主機的TCPA發送大量SYN請求, 使得被信任主機的TCP/IP鏈接達到隊列的最上限, 從而無法響應目標主機的SYN請求
采樣目標主機的TCP序列號,猜測數據包序列號,嘗試建立連接
在此期間,黑客就有機會偽裝成被信任主機的IP地址,將SYN請求返回給目標主機,
黑客利用網絡監聽和抓包軟件,采樣目標主機的 TCP序列號,并猜測目標主機的數據包序列號, 嘗試建立與目標主機的基于地址驗證的應用連接。
建立連接,種植后門
一旦與目標主機建立TCP/IP連接,黑客就會使用命令,通過目標主機的安全性較弱的端口,種植后門程序
進行遠程控制和非法操作
后門種植成功后,黑客一般會斷開與目標主機的連 接,并且停止對被信任主機的攻擊,全身而退。黑客推出后,找尋合理時機,對目標主機進行遠程控制和非法操作。
2.2.4 IP欺騙原理
序列號猜測
序列號猜測的重要性
攻擊者X冒充受攻擊目標A信任的對象B,遠程連接A 的rlogin端口,如果能連接成功,不再需要口令就能登錄A。
因為A對X請求的響應包返回給B,X不可能知道其中A的序列號,要想在圖中的第5步完成三次握手并連 接成功,他必須“猜”到A的序列號(ISN)。
序列號猜測的過程
X首先連接A的SMTP端口(X是A的合法的郵件用戶,但不是它所信任的rlogin用戶,因為郵件應用的安全級別相對不高 ),試探其ISN變化規律,以估算下一次連接時A的ISN值。
X必須馬上按照圖中3—5步的方法假冒B來與A建立rlogin連接。
1 X必須立刻進行欺騙攻擊,否則其他主機有可能與A建立了新的連接,X所猜測的序列號就不準了。
2 當然就這樣也不一定能一次猜測成功。
不同網絡環境下的序列號猜測
1)若X和A及B在同一局域網中,從理論上說很容易實現IP欺騙攻擊。因為攻擊者X甚至于不用猜測A發送給B的數據包中包含的序列號——用嗅探技術即可。
2)若X來自于外網,要想猜測到A和B所在的局域網中傳送的數據包中的序列號非常困難——理論可行。
3)美國頭號電腦黑客米特尼克是第一個在廣域網成功實現IP欺騙攻擊的人。但當時的序列號相對現在非常容易猜測。
關于被冒充對象B
1)X首先必須對B進行DoS攻擊,否則在圖中第4步中B 收到A發送來的它未請求過的請求應答包,將向A返 回RST報文而終止連接,黑客不能冒充連接成功。
2)X發送到A的rlogin端口的偽造數據包的源IP地址是 “假冒”了B的IP地址。
3)為何X不能直接將自己的IP地址修改為B的IP地址來 連接到A的rlogin端口?
1 IP地址產生沖突; 2 外網X不能這樣修改。
2.2.5 IP欺騙防范
使用較強壯的隨機序列號生成器,要準確猜測TCP連接的ISN幾乎不可能。
在邊界路由器上進行源地址過濾,也就是說,對進入本網絡的IP包,要檢查其源IP地址,禁止外來的 卻使用本地IP的數據包進入,這也是大多數路由器的缺省配置。
禁止r-類型的服務,用SSH(專為遠程登錄會話和其 他網絡服務提供安全性的協議,傳輸的數據均加密) 代替rlogin這樣的不安全的網絡服務。
在通信時要求加密傳輸和驗證。
分割序列號空間。Bellovin提出一種彌補TCP序列號隨機性不足的方法,就是分割序列號空間,每一個連接都將有自己獨立的序列號空間。連接之間序列號沒有明顯的關聯。
2.3 Sniffer 探測與防范
2.3.1 Sniffer原理
廣播類網絡上,可以將某一網絡適配器(NIC)設為接收相應廣播域上傳輸的所有幀
sniffer屬第二層次(數據鏈路層)的攻擊。通常是攻擊者已經進入了 目標系統
如果sniffer運行在路由器,或有路由器功能的主機上,則可同時監視多個廣播域,危害更大
通常,sniffer程序只需看到一個數據包的前200-300個字節的數據, 就能發現用戶名和口令等信息
2.3.2 Sniffer防范
設法保證系統不被入侵
Sniffer往往是攻擊者在侵入系統后使用
加密傳輸
傳輸前加密,使收集的信息無法解讀
采用安全拓撲結構
采用交換技術,分割廣播域。
管理員應使各計算機之間的信任關系最小,如lan要和internet相 連,僅有firewall是不行的,要考慮一旦入侵成功后他能得到什么, 保證一旦出現sniffer他只對最小范圍有效
現代網絡常常采用交換機作為網絡連接設備樞紐
交換機不會讓網絡中每一臺主機偵聽到其他主機的通訊,因此Sniffer技術在這時必須結合網絡端口鏡像技術進行配合。
而衍生的安全技術則通過ARP欺騙來變相達到交換網絡中的偵聽。
網絡端口鏡像技術: 在交換機或路由器上, 將一個或多個源端口的數據流量轉發到某一個指定端口來實現對網絡的監聽
ARP欺騙: ARP欺騙的運作原理是由攻擊者發送假的ARP數據包到網上,尤其是送到網關上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。
回顧知識:交換機、路由器、集線器
路由器(Router): 是連接因特網中各局域網、廣域網的設備。在路由器中記錄著路由表,它會根據信道的情況自動選擇和設定路由,以最佳路徑 ,按前后順序發送信號。發生在網絡層。提供了防火墻的服務,只轉發特定地址的數據包,不傳送不支持路由協議的數據包傳送和求知目標網絡數據包的傳送,從而可以防止廣播風暴。
交換機(Switch): 是一種用于電(光)信號轉發的網絡設備。它可以為接入交換機的任意兩個網絡節點提供獨享的電信號通路,把傳輸的信息送到符合要求的相應路由上。發生在數據鏈路層。
集線器(Hub): 是指將多條以太網雙絞線或光纖集合連接在同一段物理介質下的設備。發生在物理層。
2.4 端口掃描技術
2.4.1 原理
端口掃描是指某些別有用心的人發送一組端口掃描消息,試圖以此侵入某臺計算機,并了解其提供的計算機網絡服務類型(這些網絡服務均與端口號相關);
掃描器(工作原理):
自動檢測遠端或本機安全性弱點的程序,用戶可不留痕跡的發現遠端機器各端口的分配及運行的服務及軟件版本
功能
發現一個主機或網絡;
發現該主機運行何種服務;
測試這些服務發現漏洞
2.4.2 分類
常見的端口掃描類型
TCPconnect(): 入侵者無須任何權限,速度快,但是其易被發現,也易被過濾;
TCPSYN: 掃描器發送syn數據包,如果返回ack/syn同時需要再發送 RST關閉連接過程,表示端口處監聽狀態;如果返回RST,則不在偵聽,不會留下入侵記錄,但需要有root權限才能建立自己的syn數據包
TCPFIN: 一般防火墻或過濾器會過掉syn包,但FIN可以沒有麻煩的通過,于是可能存在關閉的端口會用RST來響應FIN,而打開的端口 則不會響應,但有的系統不管打開與否都響應回復RST包
2.4.3 ping命令
Ping的原理
通過向目標主機傳送一個小數據包,目標主機接收并將該包返送回來,如果返回的數據包和發送的數據包一致,則Ping命令成功。根據返回的信息,可以推斷TCP/IP參數是否設置正確,以及運行是否正常、網絡是否通暢等。
作用和特點
用來判斷目標是否活動;
最常用、最簡單的探測手段;
Ping 程序一般是直接實現在系統內核中的, 而不是一個用戶進程
Ping命令可以進行以下操作 :
通過將ICMP(Internet控制消息協議)回顯數據包發 送到計算機并偵聽回顯回復數據包來驗證與一臺或多 臺遠程計算機的連接。
每個發送的數據包最多等待一秒。
打印已傳輸和接收的數據包數。
2.5 特洛伊木馬
2.5.1 木馬與病毒的區別
載體
一般情況下,病毒是依據其能夠進行自我復制即傳染性的特點而定義的
木馬主要是根據它的有效載體,或者是其功能來定義的,更多情況下是根據其意圖來定義的
自我復制和傳播
木馬一般不進行自我復制,但具有寄生性,如捆綁在合法程序中得到安裝、啟動木馬的權限,DLL木馬甚至采用動態嵌入技術寄生在合法程序的進程中
木馬一般不具有普通病毒所具有的自我繁殖、主動感染傳播等特性, 但我們習慣上將其納入廣義病毒,也就是說,木馬也是廣義病毒的一個子類
意圖
木馬的最終意圖是竊取信息、實施遠程監控
木馬與合法遠程控制軟件(如pcAnyWhere)的主要區別在于是 否具有隱蔽性、是否具有非授權性
2.5.2 木馬的組成
木馬系統軟件一般由木馬配置程序、控制程序和木馬程序(服務器程序) 三部分組成。
2.5.3 木馬攻擊過程
木馬通道與遠程控制
木馬連接建立后,控制端端口和服務端木馬端口之間將會出現一條通道;
控制端上的控制端程序可借助這條通道與服務端上的木馬程序取得聯系,并通過木馬程序對服務端進行遠程控制,實現的 遠程控制就如同本地操作
2.5.4 傳播方式
捆綁欺騙
把木馬服務端和某個游戲/軟件捆綁成一個文件
通過即時通訊工具、郵件、下載工具等渠道發送出去
釣魚欺騙(Phishing)
構造一個鏈接或者一個網頁
利用社會工程學欺騙方法
欺騙用戶輸入某些個人,隱私信息,然后竊取個人隱私
漏洞攻擊
利用操作系統和應用軟件的漏洞進行的攻擊
網頁掛馬
網頁掛馬就是攻擊者通過在正常的頁面中(通常是網站的主頁)插入一段代碼。
瀏覽者在打開該頁面的時候,這段代碼被執行, 然后下載并運行某木馬的服務器端程序,進而控制瀏覽者的主機
三、防火墻技術
3.1 防火墻基礎
3.1.1 基本概念
防火墻:過濾!
實現一個機構的安全策略
創建一個阻塞點
記錄internet 活動
限制網絡暴露
什么是防火墻?
防火墻是設置在用戶網絡和外界之間的一道屏障,防止不可預料的、潛在的破壞侵入用戶網絡;
防火墻在開放和封閉的界面上構造一個保護層,屬于內部范圍的業務,依照協議在授權許可下進行;外部對內部網絡的訪問受到防火墻的限制
防火墻功能
過濾進出網絡的數據
管理進出網絡的訪問行為
封堵某些禁止的訪問行為
記錄通過防火墻的信息內容和活動
對網絡攻擊進行檢測和告警
防火墻分類
?
3.1.2 訪問控制機制
訪問控制機制的演變
1、路由器—>ACL 訪問控制列表
2、包過濾防火墻—>根據IP五元組判斷能否通過
3、狀態監測防火墻—>根據應用判斷能否通過
4、應用代理防火墻—>根據應用判斷能否通過
5、多檢測機制防火墻—>根據多個IP包判斷整體應用后判斷能否通過
6、多功能集成網關(下一代防火墻 )—>嵌入多種防護功能,經過多層過濾后判斷能否通過
1. 包過濾防火墻
數據包過濾(Packet Filtering)技術在網絡層對數據包進行選擇, 選擇的依據是系統內設置的過濾邏輯,即訪問控制表(Access Control List,ACL)
包過濾防火墻分為靜態包過濾、動態包過濾防火墻
包檢查器并不是檢查數據包的所有內容,只檢查報頭(IP、TCP頭部)
優點
邏輯簡單
有較強的透明性
網絡性能的影響較小
開銷較小,設備便宜
缺點
無法對數據包的內容進行過濾審核
在傳輸層或則是網絡層上檢測數據,不 能在更高一層檢測數據,比如能禁止和通過一個向內的HTTP請求,但不能判斷這個 請求是非法的還是合法的。
防止欺騙攻擊很難,特別是容易受到IP 欺騙攻擊(允許來自網絡外部的流量,包過 濾防火墻只能檢測數據包中的源IP,無法 確定是否是真正的源地址)
所有可能用到的端口(尤其是>1024的端 口)都必需放開,增加了被攻擊的可能性
在復雜的網絡中很難管理
通常來說包過濾技術是防火墻技術中最低的。
2. 狀態檢測防火墻
狀態檢測防火墻由動態包過濾防火墻演變而來,工作在傳輸層,使用各種狀態表(state tables)來追蹤活躍的TCP會話,它能夠根據連接狀態信息動態地建 立和維持一個連接狀態表,并且把這個連接狀態表用于后續報文的處理。
狀態檢測技術一般的檢查點有:
檢查數據包是否是一個已經建立并且正在使用的通信流的一部分。
如果數據包和連接表的各項都不匹配,那么防火墻就會檢測數據包 是否與它所配置的規則集相匹配。
在檢測完畢后,防火墻會根據路由轉發數據包,并且會在連接表中 為此次對話創建或者更新一個連接項
防火墻通常對TCP包中被設置的FIN位進行檢測、通過會話超時設置決定何時從連接表中刪除某連接項。
優點
更高的安全性
高效性
應用范圍廣
缺點
不能對應用層數據進行控制
不能產生高層日志
配置復雜
3. 應用代理防火墻
應用代理(Application Proxy)也稱為應用層網關(Application Gateway)
工作在應用層,其核心是代理進程
每一種應用對應一個代理進程,實現監視和控制應用層通信流
自適應代理防火墻:在每個連接通信的開始仍然需要在應用層接受檢測, 而后面的包可以經過安全規則由自適應代理程序自動的選擇是使用包過濾還是代理
優點
可以檢查應用層、傳輸層和網絡層的協議特征,對數據包的檢測能力比較強
代理完全控制會話,可以提供很詳細的日志和安全審計功能
可以隱藏內部網的IP地址,保護內部主機免受外部主機的進攻
可以集成認證機制
缺點
最大缺點是要求用戶改變自己的行為,或者在訪問代理服務的 每個系統上安裝特殊的軟件
分析困難,實現困難,每一種應用服務必須設計一個代理軟件模塊進行安全控制,并 且應用升級時,一半代理服務程序也要升級
影響用戶網絡速度(命令解釋)
不能防止SYN攻擊
4. 復合型防火墻
復合型防火墻是指綜合了狀態檢測與應用代理的新一代的防火墻
對整個報文進行訪問控制和處理,具體檢測內容由策略決定,
如果策略是包過濾策略,則對TCP、IP報頭進行檢測,·- 如果策略是應用代理策略,則對用戶數據進行檢測
優點
可以檢查整個數據包的內容
根據需要建立連接狀態表
網絡層保護強
應用層控制細
缺點
會話控制較弱
5. 核檢測防火墻
對于簡單包過濾防火墻、狀態檢測包過濾防火墻和應用代理防火墻,他們只是檢查單個報文,所以只檢查其中的一個報文,但是他們都不能把這些報文組合起來,形成一個會話 來進行處理。
對于核檢測防火墻,它可以將不同報文,在防火墻內部, 模擬成應用層客戶端或服務器端,對整個報文進行重組,合成一個會話來進行理解,進行訪問控制。
可以提供更細的訪問控制,同時能生產訪問日志。可以看到,它的上下報文是相關的,它具備包過濾和應用代理防 墻的全部特點,還增加了對會話的保護能力。
優點
網絡層保護強
應用層保護強
會話層保護強
前后報文有聯系,可以關聯進行出來
缺點
不能防病毒傳播
不能防止一些未知的入侵或攻擊
小結
包過濾防火墻: 包過濾防火墻不檢查數據區,包過濾防火墻不建立連接狀態表,前后報文無關,應用層控制很弱。
應用代理防火墻:不檢查IP、TCP報頭,不建立連接狀態表 ,網絡層保護比較弱,影響用戶的網速。
狀態檢測防火墻:不檢查數據區,建立連接狀態表,前后報文相關,應用層控制很弱。
復合型防火墻:可以檢查整個數據包內容,根據需要建立連接狀態表,網絡層保護強,應用層控制細,會話控制較弱
核檢測防火墻:可以檢查整個數據包內容,網絡層保護強, 應用層保護強,前后報文有聯系。
3.2 防火墻設計原則及優缺點
3.2.1 設計原則
過濾不安全服務的原則
防火墻應封鎖所有信息流,然后對希望提供的安全服務逐項開放
這是一種非常有效實用的方法,可以造成一種十分安全的環境,因為只有經過仔細挑選的服務才能允許用戶使用
屏蔽非法用戶的原則
防火墻可先允許所有的用戶和站點對內部網絡的訪問,然后網絡管理員按照 IP 地址對未授權的用戶或不信任的站點進行逐項屏蔽
這種方法構成了一種更為靈活的應用環境,網絡管理員可以針對不同的服務面向不同的用戶開放,也就是能自由地設置各個用戶的不同訪問權限
3.2.2 優缺點
優點:
允許管理員定義一個中心扼制點防止非法用戶進入內部網絡
保護網絡中脆弱的服務
用戶可方便的監視網絡的安全并產生報警
集中安全性
增強保密性
是審計和記錄網絡流量的一個最佳地方
缺點:
限制有用的服務
不能有效防止內部的攻擊
Internet防火墻不能防止通過防火墻以外的攻擊
不能完全防止傳送已感染病毒的文件和軟件
無法防范數據驅動型攻擊
不能防備新的網絡安全問題
3.3 防火墻體系結構
屏蔽主機網關 Screened Host Gateway
包過濾路由器只放行到堡壘主機的數據包
? 一個分組過濾路由器 連接外部網絡
? 一個堡壘主機安裝在 內部網絡上;
? 通常在路由器上設立過濾規則,并使這個 堡壘主機成為從外部網絡唯一可直接到達 的主機,這確保了內部網絡不受未被授權 的外部用戶的攻擊
屏蔽子網Screened Subnet Firewall
在內部網絡和外部網絡之間增加一個子網
屏蔽子網區域稱為邊界網絡Perimeter Network,也稱為非軍事區 DMZ(De-Militarized Zone)
入侵者攻擊內部網絡至少要突破兩個路由器:
內部路由器
負責管理DMZ到內部網
僅接收來自堡壘主機的數據包
完成防火墻的大部分工作
外部路由器
防范通常的外部攻擊絡的訪問
管理Internet到DMZ的訪問
只允許外部系統訪問堡壘主機
堡壘主機
安全防護、運行各種代理服務
3.4 硬件防火墻的性能指標
1. 吞吐量
1、定義:在不丟包的情況下能夠達到的最大速率
2、衡量標準:吞吐量作為衡量防火墻性能的重要指標之一,吞吐量小就會造成網絡新的瓶頸,以致影響到整個網絡的性能
2. 延時
1、定義:入口輸入幀最后一個比特到達至出口處 輸出幀的第一個比特 輸出所用的時間間隔
2、衡量標準:防火墻的延時能夠體現出它處理數據的速度
3. 丟包率
1、定義:在連續負載的情況下,防火墻設備由于資源不足應轉發但卻未轉發的幀百分比
2、衡量標準:防火墻的丟包率對其穩定性、可靠性有很大的 影響
4. 背靠背
1、定義:從空閑狀態開始,以達到傳輸介質最小合法間隔極限的傳輸速率發送相當數量的固定長度的幀,當出現第一個幀丟失時,發送的幀數
2、衡量標準:背對背包的測試結果能體現出被測防火墻的緩沖容量, 網絡上經常有一些應用會產生大量的突發數據包(例如:NFS、備份、 路由更新等),而且這樣的數據包的丟失可能會產生更多的數據包,強大的緩沖能力可以減小這種突發情況對網絡造成的影響
5. 最大并發連接數
最大并發連接數:
指穿越防火墻的主機之間與防火墻之間能同時建立的最大連接數
衡量標準:并發連接數的測試主要用來測試被測防火墻建立和維持TCP連接的性能,同時也能通過并發連接數的大小體現被測防火墻對來自于客戶端的TCP連接請求響應的能力
6. 每秒新建連接數
每秒新建連接數則指防火墻由開始建立連接直到達到最大連接數的 速率指標,也是防火墻的性能指標之一
3.4 分布式防火墻
邊界防火墻的固有欠缺:
結構上受限制:企業網物理邊界日趨模糊
內部不夠安全:80%的攻擊和越權訪問來自于內部
效率不高:邊界防火墻把檢查機制集中在網絡邊界的單點,造成了網絡訪問的瓶頸問題(大容量、高性能、可擴展、安全策略的復雜性)
單點故障:邊界防火墻本身也存在著單點故障危險, 一旦出現問題或被攻克,整個內部網絡將 會完全暴露在外部攻擊者面前
3.4.1 定義
從狹義來講,分布式防火墻產品是指那些駐留在網絡主機中,如服務器或桌面機,并對主機系統自身提供安全防護的軟件產品
從廣義來講,分布式防火墻是一種新的防火墻體系 結構。
它們包含如下產品:網絡防火墻、主機防火墻、中心管理等
網絡防火墻:用于內部網與外部網之間(即傳統的邊界防火墻)和內部網子網之間的防護產品
主機防火墻:對于網絡中的服務器和桌面機進行防護,這些主機的物理位置可能在內部網中,也可能在內部網外,如托管服務器或移動辦公的便攜機
中心管理:中心管理是分布式防火墻系統的核心和重要特征之一。
總體安全策略的策劃、管理、分發及日志的匯總,解決 了由分布技術而帶來的管理問題。
邊界防火墻只是網絡中的單一設備,管理是局部的。對分布式防火墻來說,每個防火墻作為安全監測機制可以根據安全性的不同要求布置在網絡中的任何需要的位置上,但總體安全策略又是統一策劃和管理的,安全策略的分發及日志的匯總都是中心管理應具備的功能。
優點
增加系統安全性
(1)增加了針對主機的入侵監測和防護功能;
(2)加強了對來自內部攻擊的防范;
(3)可以實施全方位的安全策略;
(4)提供了多層次立體的防范體系。
保證系統性能
消除了結構性瓶頸問題,提高了系統性能。
系統的可擴展性
隨系統擴充提供了安全防護無限擴充的能力。
四、密碼學基礎
4.1 定義
密碼技術通過信息的變換或編碼,將機密消息變換 成亂碼型文字,使非指定的接收者不能由其截獲的 亂碼中得到任何有意義的信息,并且不能偽造任何 亂碼型的信息
研究密碼技術的學科稱為密碼學(cryptology) ,它包 含兩個分支:
密碼編碼學(cryptography) -對信息進行編碼實現信息隱 蔽
密碼分析學(cryptanalysis) -研究分析如何破譯密碼
術語:
?未加密的消息(Message)被稱為明文(PlainText);(它可能是比特流,也可 能是文本文件、位圖、數字化的語音流或數字化的視頻圖像);
?被加密的消息稱為密文(Cipher);
?用某種方法偽裝消息以隱藏它的內容的過程稱為加密(Encryption);
?把密文轉變為明文的過程稱為解密(Decryption);
?密鑰:參與變換的參數,用 K(Key)表示;
?加密算法:對明文進行加密時采用的一組規則;
?解密算法:對密文解密時采用的一組規則;
?使消息保密的技術和科學叫做密碼編碼學(Cryptography);
?破譯密文的科學和技術是密碼分析學(Cryptanalysis);
4.2 對稱和非對稱加密
對稱密鑰算法:K1 與 K2 相同
非對稱密鑰算法:K1 和 K2 可以相同,也可以不同
對比
單鑰密碼體制中,收發雙方使用同一密鑰,系統的保密性主要取決于密鑰的安全性。禾統的密鑰管理、傳輸和分配是一個重要且十分復雜的問題。
單鑰的優點是:保密強度高,運算速度快,缺點是密鑰數目大,密鑰分配困難,天法實現不可否認服務。
公鑰容碼體制中,加密密鑰K是公開的,解密密鑰K必須保密。公鑰體制的密鑰產生、分配和管理相對簡單,尤適用于計算機網絡系統中。
公鑰體制的特點:實現信息公開加密,實現不可否認服務,但缺點是加解密運算復雜,速度較慢。
兩類密碼攻擊法
窮舉法
分析破譯法
常見密碼分析攻擊
唯密文攻擊
已知明文攻擊
選擇明文攻擊
自適應選擇明文攻擊
選擇密文攻擊
唯密文攻擊
密碼分析者有一些用同一加密算法加密的消息的 密文,他們的任務是恢復盡可能多的明文,或者最好是能推算出加密消息的密鑰,以便用密鑰解出其他被加密的消息。
已知明文攻擊
密碼分析者得到一些消息的密文和相應的明文后, 用加密信息推出用來加密的密鑰或導出一個算法, 此算法可以對用同一密鑰加密的任何新的消息進 行解密
選擇明文攻擊
如果分析者能夠用某種方式進入源系統,并向系統中插入分析者自己選定的明文
這時,密碼分析者能選擇特定的明文塊去加密, 并比較明文和對應的密文信息,從中可以發現更 多與密鑰有關的信息。這往往比已知明文攻擊更 有效。此時,分析者的任務是推出用來加密消息 的密鑰或導出一個算法,該算法可以對用同一密 鑰加密的任何新的消息進行解密。
自適應選擇明文攻擊
這是選擇明文攻擊的特殊情況。
密碼分析者不僅能選擇被加密的明文,而且也能 基于以前加密的結果修正這個選擇。
在選擇明文攻擊中,密碼分析者可以選擇一大塊 待加密的明文。而在自適應選擇密文攻擊中,密碼分析者可選取較小的明文塊,然后再基于第一塊的結果選擇另一明文塊,以此類推
選擇密文攻擊
密碼分析者能選擇不同的被加密的密文,并可得到相應的明文。密碼分析者的任務是推出密鑰。例如,用一定的手段在通信過程中偽造消息替換真實消息,然后竊取通信另 一方獲得并解密的結果,有可能正好發現隨手偽造的密文解密結果是有意義的
已知:C1,P1=Dk(C1),C2,P2=Dk(C2),··· ,Ci, Pi=Dk(Ci),推導出: K
用于公開密鑰體制
選擇密文攻擊有時也可有效地用于對稱算法(有時選擇明 文攻擊和選擇密文攻擊一起稱作選擇文本攻擊)
數字簽名
4.3 加密算法
經典密碼
置換密碼: 完全倒置法、分組倒置法、列換位法、矩陣換位法、雙換位密碼
替代密碼: 單表替換密碼(凱撒密碼)、同音替代密碼、多字母組替密碼、多表替換密碼(Vigenere)
對稱加密算法: DES 、AES
非對稱公鑰算法: RSA 、背包密碼、McEliece密碼、Rabin、 橢圓 曲線、EIGamal D_H
編輯:黃飛
?
評論