[ 笔记 ] 计算机网络安全_1_网络安全基础

[笔记] 计算机网络安全：（1）网络安全基础

1. 网络安全基础
2. internet协议的安全性
3. Web安全
4. 网络扫描和网络监听
5. 防火墙原理与设计
6. 入侵检测系统
7. VPN技术

---

---

引言

传统信息安全手段：物理措施，行政措施

信息安全两次重大变革：

• 计算机安全：重要信息被存储在计算机中
• 网络安全：通过网络进行数据传输 、交换、存储、共享和分布式计算

一 网络安全现状

差

导致发生网络安全事件可能的原因

• 导致安全事件发生的原因
  • 未修补或防范软件漏洞仍然是导致安全事件发生的最主要原因
• 发现网络安全事件的途径
  • 网络（系统）管理员通过技术监测发现占53.5%
  • 通过安全产品报警发现占46.4%
  • 事后分析发现的占35.4%
• 使用最多的网络安全产品
  • 防火墙
  • 计算机病毒防治软件
  • 入侵检测系统

二 网络安全威胁与防护措施

信息安全的基本目标

• 保密性：确保信息不被泄露或呈现给 非授权的人
• 完整性：确保数据的一致性，防止非授 权地生成、修改或毁坏数据
• 可用性：确保合法用户不会无缘无故地被拒绝访问信息或资源
• 合法使用：确保资源不被非授权的人或以非授权的方式使用

信息安全的一些基本概念

• 安全威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。
• 防护措施：是指保护资源免受威胁的一些物理的控制/机制/策略和过程。脆弱性是指在实施防护措施中或缺少防护措施时系统所具有的弱点
• 风险：是对某个已知的、可能引发某种成功攻击的脆弱性代价的测度

安全威胁来源

• 基本威胁
  • 信息泄漏
  • 完整性破坏
  • 拒绝服务
  • 非法使用
• 主要的可实现威胁
  • 渗入威胁：假冒、旁路控制、授权侵犯
  • 植入威胁：特洛伊木马、陷门
• 潜在威胁：在某个特定环境中，对基本威胁和可实现威胁分析可发现其潜在威胁
  • 窃听 Eavesdropping
  • 流量分析 Traffic analysis
  • 操作人员不慎导致信息泄漏
  • 媒体废弃物导致信息泄漏

典型威胁及其相互关系

安全攻击分类

X.800和RFC 2828对安全攻击进行分类

• 被动攻击
  • 试图获得系统信息，但不会对系统资源造成破坏。
  • 难以检测，但可预防。
• 主动攻击
  • 试图破坏系统的资源，影响系统的正常工作。
  • 易于检测，难以绝对阻止。应重视检测，应急响应，从破坏中恢复
    
    

网络攻击的常见形式

1. 口令窃取
   • 口令猜测攻击的三种基本方式
     • 利用已知或假定的口令尝试登录
     • 根据窃取的口令文件进行猜测
     • 窃听某次合法终端之间的会话，并记录所使用的口令
   • 抵御口令猜测攻击方式
     • 阻止选择低级口令
     • 对口令文件严格保护
   • 彻底解决口令机制的弊端
     • 使用基于令牌的机制，例如一次性口令方案（OTP-One-Time password）
2. 欺骗攻击：钓鱼邮件
3. 软件缺陷
   • 缺陷
     • 指程序中某些代码不能满足特定需求
     • 采取相应的步骤，降低缺陷发生的可能性
   • 网络蠕虫传播
     • 方式之一是向守护程序发送新的代码
     • 蠕虫向“读”缓冲区内注入大量的数据
   • 缓冲器溢出（堆栈粉碎）攻击
     • 一种扰乱程序的攻击方法
     • 通过改进设计或者避免在堆栈上执行代码消除此缺陷
4. 认证失效
   • 认证机制的失效易导致服务器被攻击者欺骗
   • 被破坏的主机不会进行安全加密，因此对源主机采用密码认证的方式无用。
   • 通过修改认证方案消除其缺陷，完全可以挫败这种类型的攻击。
5. 协议缺陷
   • 协议本身的缺陷导致攻击的发生
     • 攻击者可以对TCP发起序列号攻击
     • DNS和许多基于RPC的协议易遭到序列号攻击
   • 安全壳（SSH）协议易遭受
     • 通过改进设计或者避免在堆栈上执行代码消除此缺陷
   • 802.11无线数据通信标准中的WEP协议也存在缺陷
6. 信息泄漏
   • 协议分享的信息易被攻击者利用，攻击者借助这些信息攻破系统
     • Finger协议
     • 口令猜测，欺骗攻击等
   • DNS有丰富的数据来源，易被黑客利用
7. 指数攻击
   • 指数攻击能够使用程序快速复制并传播攻击
     • 蠕虫（Worms）：程序自行传播
     • 病毒：依附于其他程序传播
8. 拒绝服务攻击
   • 拒绝服务攻击DoS
     • 过度使用服务，使软件、硬件过度运行，使网络连接超出其容量
     • 造成关机或系统瘫痪，或者降低服务质量
   • 分布式拒绝服务攻击DDoS
   • DDoS常用工具：Trinoo,Tribe Flood Network(TFN),TFN2k,Stacheldraht

DDos攻击实例

Trinoo

• 基于UDP flood，它向被攻击目标主机随机端口发送大量UDP包
• 攻击者主机到主控端主机27665/TCP，主控端主机到代理端主机27444/UDP，代理端主机到主服务器主机31335/UDP
• 通过三个模块：攻击守护进程(NS，agent)、攻击控制进程(MASTER,主控制)、客户端(NETCAT，标准TELNET程序等，攻击者)。
• 可用命令：设定攻击时长、对目标主机（可以为多个）实施攻击、停止正在实施的攻击、请求攻击守护进程NS回应监测NS是否工作、设置攻击包的大小

TFN

• 组成：主控端程序和代理端程序两部分组成(没有Master)
• 攻击方法：实施 ICMP flood、SYN flood、UDP flood和Smuf攻击，具有伪造数据包的能力。
• 利用漏洞： RPC 服务安全漏洞“statd”、“cmsd”和“ttdbserverd”
• 远程控制：通过TFN 客户端程序命令行，客户端程序的运行无需口令，需要有代理端的IP列表文件"iplist"。
• 通信方式：客户端到代理端的通讯通过 ICMP ECHO REPLY 数据包完成，无TCP 或 UDP 的通讯。

TFN2K

• 组成：主控端（客户端）和在代理端守护进程。
• 攻击方法：增加了 Mix 和 Targa3，TFN2K 可配置代理端的进程端口
• 远程控制：主控端向其代理端发送攻击指定的目标主机列表，代理端据此对目标进行拒绝服务攻击。
• 通信方式：主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP 的通讯没有加密。 TFN2K 网络可能使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能伪造其IP地址。
• 防御：防御TFN2K攻击的策略和技术非常困难或效率低下

DDos攻击分类

• 按自动化程度

  • 手动DDoS：黑客手动寻找可入侵的计算机入侵并植入攻击程序，再下指令攻击目标
  • 半自动DDoS：客户端控制攻击用的agent程序，黑客散布自动化的入侵工具植入agent程序，使用客户端控制所有agents对目标发动DDoS攻击；
  • 自动攻击：将攻击的目标、时间和方式都事先写在攻击程序里，黑客散布攻击程序以后就会自动扫描可入侵的主机植入agent并在预定的时间对指定目标发起攻击，例如W32/Blaster即属于此类

• 按利用的弱点分

  • 语义攻击：黑客利用某个网络协议设计上的弱点或执行上的 bug 消耗大量资源，例如 TCP SYN 攻击
  • 暴力攻击：黑客使用大量正常的联机消耗受害者的资源，由于多台主机发起DDoS攻击，只要单位时间内攻击方发出的网络流量高于目标所能处理速度，即可消耗掉目标的处理能力而使得正常的使用者无法使用服务

• 按伪造IP方式分类

  • 随机伪造：将随机生成一个32位的IP地址填入攻击包的源IP
  • 子网伪造：攻击者伪造一个和攻击者同一子网的IP地址
    • 可以实现特定的目的，如陷害某一主机，给其带来负面的影响。
  • 固定伪造：攻击者使用某些特定的IP地址列表来伪造IP包。
    • 可能产生反弹式DDoS攻击，也可能是为了让被攻击服务器误认为这些机器发动了攻击，进行陷害

DDoS防御

• 理想
  • 多点实行分布式防范，攻击者子网，代理端，受害端
• 现实
  • Internet分散式管理，进行协同检测困难，也难以保证协同检测的可靠性
  • 经济和社会因素也是分布协作系统必需考虑的因素。广泛的部署并不能保证给每一个网络服务商带来直接的利益，部署防范系统本身需要一定的代价和资源消耗
  • 缺少足够的关于DDoS攻击信息,如对DDoS攻击的频率、强度、攻击包的大小、每次攻击中代理端数目的报告。通常只知道某些网站被攻击的结果，而缺乏具体的攻击细节

网络安全防护措施

1. 物理安全
2. 人员安全
3. 管理安全
4. 媒体安全
5. 辐射安全
6. 生命周期控制

三 网络安全策略

概念

安全策略：某个安全域内，施加给所有与安全相关活动的一套规则。

安全域：属于某个组织机构的一系列处理进程和通信资源

安全策略由安全域中所设立的安全权威机构制定，并由安全控制机构来描述、实施或实现。

授权：是指主体（用户、终端、程序等）对客体（数据、程序等）的支配权利，它等于规定了谁可以对什么做些什么（Who may do what to what）。

安全策略的几个等级

• 安全策略目标：一个机构对于所保护的资源要达到的安全目标而进行的描述。
• 机构安全策略：是一套制度、规则及实际操作方法，用于规范一个机构如何管理、保护和分配资源，以便达到安全策略所规定的安全目标。
• 系统安全策略：描述如何将一个特定的信息系统付诸工程实现，以支持此机构的安全策略要求

访问控制策略

访问控制策略隶属于系统安全策略，迫使计算机系统和网络自动地执行授权。

• 授权例子1——基于身份的策略
  • 允许或拒绝对明确区分的个体或群体进行访问
• 授权例子2——基于任务的策略
  • 是基于身份的策略的一种变形，给每个个体分配任务，并基于任务来使用授权规则
• 授权例子3——多等级策略
  • 基于信息敏感性的等级及工作人员许可等级而制定的一般规则的策略

强制性访问控制策略 Mandatory Access Control Policies

• 根据中央权威所确定的强制性规则来进行访问控制，不允许主体干涉，基于安全属性的访问控制
• 强制实施，任何人都不能回避

自主性访问控制策略 Discretionary Access Control Policies

• 根据主体的标识或主体所属的组对主体访问客体的过程进行限制
• 为一些特定用户提供了访问资源的权限，以后可以利用此权限控制这些用户对资源的进一步访问，权限可以传递

责任

所有安全策略的一个潜在基本原则：责任

• 执行任务时，受到安全策略约束的任何个体需要对其行为负责
• 某些网络安全防护措施，如对人员的身份及采用这些身份从事的相关活动进行认证，都直接支持这一原则。

四 网络安全体系结构

• 研究目的
  • 将普遍性的安全理论与实际信息系统相结合，形成满足信息系统安全需求的安全体系结构
• 应用目的
  • 从管理上和技术上保证完整、准确地实现安全策略，满足安全需求
• 开放系统互连（OSI）安全体系结构
  • 定义了必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。
  • OSI安全框架：X.800定义了一种安全的组织方法，将产品、服务与安全机制的结构化定义紧密结合

安全服务

X.800定义的5类安全服务

• 认证
• 同等实体认证：为连接的实体的身份提供可信保障
• 数据源点认证：在无连接传输时，保证收到的信息来源是所声称的来源
• 访问控制
  • 防止对策略的非授权访问，包括防止以非授权的方式使用某一资源
• 数据保密性
  • 连接保密性：保护一次连接中所有的用户数据
  • 无连接保密性：保护单个数据单元里的所有用户数据
  • 选择域保密性：对一次连接或单个数据单元里选定的数据部分提供保密性保护
  • 流量保密性：保护那些可以通过观察流量而获得的信息
• 数据完整性
  • 具有恢复功能的连接完整性：提供一次连接中所有用户数据的完整性，检测整个数据序列内存在的修改、插入、删除或重发 ，且试图将其恢复
  • 无恢复功能的连接完整性：同具有恢复功能的连接完整性基本一致，但仅提供检测，无恢复
  • 选择域连接完整性：提供一次连接中传输的单个数据单元用户数据中选定部分的数据完整性，判断选定域是否有修改、插入 、删除或重发
  • 无连接完整性：为单个无连接数据单元提供完整性保护，判断选定域是否被修改
• 不可否认性
  • 源点的不可否认性：证明消息由特定的一方发出
  • 信宿的不可否认性：证明消息被特定方收到

安全机制

X.800定义的安全机制

• 加密：运用数学算法将数据转换成不可知的形式。数据的变换和复原依赖于算法和一个或多个加密密钥。
• 数字签名：确定两个过程：对数据单元签名和验证签过名的数据单元。
• 访问控制：对资源实施访问控制的各种机制。
• 数据完整性：包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。
• 认证交换机制：通过信息交换来保证实体身份的各种机制
• 流量填充机制：在数据流空隙中插入若干位以阻止流量分析
• 路由控制机制：能为某些数据动态地或预定地选取路由，以便只使用物理上安全的子网络、中继站或链路
• 公证机制：利用可信的第三方来保证数据交换的某些性质

五 网络安全模型

安全模型

信息安全模型 信息安全模型对信息安全相关结构、特征、状态和过程模式与规律的描述和表示。

信息安全模型的作用

• 构建信息安全体系结构
• 描述和研究实际信息安全实施过程
• 规划、制定、设计和实施信息安全解决方案

安全理论模型

• P2DR2模型是可适应网络安全理论或称为动态信息安全理论的主要模型，是目前被普遍采用的安全模型。
• P2DR2模型包含五个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）、Response（响应）和Restore（恢复）。 防护、检测、响应和恢复组成了一个所谓的“完整的、动态”的安全循环，在安全策略的整体指导下保证信息系统的安全。

P2DR2模型

• 策略（整体指导）
  • 突出了管理策略在信息安全工程中的主导地位。
• 保护（保护是安全的第一步）
  • 安全规则的制定：在安全策略的规则的基础上再做细则
  • 系统安全的配置：针对现有的网络环境的系统配置，安装各种必要的补丁，提高安全策略级别
  • 安全措施的采用：安装防火墙（软/硬）
• 检测
  • 异常发现：系统发生不正常情况。如：服务停止，无法正常登陆，服务状态不稳定等；
  • 模式发现：对已知攻击的模式进行发现。
• 响应
  • 报告：无论系统的自动化程度多高，都需要管理员知道是否有入侵事件发生。
  • 记录：必须将所有的情况记录下来，包括入侵的各个细节以及系统的反映（尽最大可能）。
  • 反应：进行相应的处理以阻止进一步的入侵。
• 恢复
  • 清除入侵造成的影响，使系统正常运行。