第二章-数据传输安全
4)数字证书
数字证书:包含公钥和使用者的身份信息、颁发者CA、有效期、数字证书等
CA证书认证机构:负责颁发证书
PKI公钥基础设施体系:证书管理平台 – 只要应用电子商务
PKI:终端实体、CA证书认证机构、RA证书注册机构、证书 / CRL存储库
数字证书分类:
- 根证书:CA机构自己给自己颁发的证书
- 设备证书:CA机构颁发给服务器的证书
- 用户证书:CA机构颁发给个人的证书
5)数据传输安全步骤
传输步骤说明:
发送端:
- 发送端将原始信息通过HASH算法得到摘要(指纹/Key值),摘要(指纹/Key值)通过发送端私钥加密得到数字签名
- 原始数据、数字签名和发送端证书(发送端公钥)采用对称密钥加密得到加密信息
- 对称密钥在通过接收端的公钥进行加密得到密钥信封
传输:
- 将密钥信封和加密信息通过公网发送到接收端
接收端:
- 接收端用自己的私钥解密出对称密钥
- 用解密出来的对称密钥解密加密信息得到原始信息、数字签名和发送端的证书(发送端公钥)
- 数字签名用发送端证书(发送端公钥)解密得到摘要(指纹/key1)
- 用得到的原始信息用HASH算法得到另一个摘要(指纹/key2)
- 比较key1和key2值是否相同。相同则数据完整;不同则数据不完整,重新请求数据
2.2 IPSec VPN解决方案
1. IPSec协议簇安全框架 – IPSec VPN概述
1)IPSec VPN 简介
IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议族。
IPSec协议的设计目标:保证IP层之上的数据安全
IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
2)IPSec提供的安全服务 – IPSec VPN功能
IPSec VPN功能:保密性、完整性、数据源验证、不可否认性、防重放(重传攻击保护)
3)IPSec架构
ESP协议、AH协议、IKE密钥交换
4)IPSec协议族
2. IPSec 工作模式
1)传输模式
传输模式数据包格式
应用场景:适用于主机到主机之间端到端通信的数据保护
2)隧道模式
隧道模式数据包格式
应用场景:经常用于私网与私网之间通过公网进行通信,建立安全VPN通道。
3. IPSec 通信协议
1)AH协议
AH认证头协议 – 协议号51
AH功能:完整性、数据源验证(共享密钥)、抗重放攻击
AH报文结构
- 下一个头部:AH报头里封装的协议,TCP:6,UDP:17,ICMP:1
- 负载长度:AH报头的长度
- 保留:0
- 安全参数索引SPI:标识SA安全联盟
- 序列号:一串数值,要求不同,用来防重放
- 认证数据:存放完整性校验的Key值
传输模式下的AH封装 – 认证内容整个IP报文
隧道模式下的AH封装
2)ESP协议
ESP封装安全载荷协议–协议号50
ESP功能:完整性、数据源验证、防重放、保密性、有限的数据流保护
ESP报文结构
- 下一个头部:ESP报头里封装的协议,TCP:6,UDP:17,ICMP:1
- 负载长度:ESP报头的长度
- 保留:0
- 安全参数索引SPI:标识SA安全联盟
- 序列号:一串数值,要求不同,用来防重放
- 填充:加密算法都是分组加密,所以不够一组时,需要填充
- 认证数据:存放完整性校验的Key值
传输模式下的ESP封装
- 验证内容:从ESP头到ESP尾
- 加密内容:从ESP头之后到ESP尾
隧道模式下ESP封装
- 验证内容:从ESP头到ESP尾
- 加密内容:从ESP头之后到ESP尾
3)AH和ESP区别
4. IPSec VPN 建立阶段
资料地址-IPSec原理
1)IKE 协商阶段
安全联盟SA
- 定义:SA(Security Association)是通信对等体间对某些要素的约定(加密算法、认证算法、工作模式等协商) ,通信的双方符合SA约定的内容,就可以建立SA。
- SA由三元组来唯一标识,包括:SPI安全参数索引(32bit数值)、目的IP地址、安全协议号
IKE因特网密钥交换管理协议:自动建立SA安全联盟和交换管理密钥
IKE协议包含的协议:
- ISAKMP协议(因特网安全联盟密钥管理系统)–应用层协议,封装在UDP,源目端口号500
- OAKLEY(密钥交换协议) – 基于到达两个对等体间的加密密钥交换机制
- SKEME(密钥交换协议)– 实现公钥加密认证的机制
第一阶段:IKE协商(IKE SA)协商加密算法,验证算法等,用于保护IPSec SA协商
第一阶段 – IKE SA建立 – 存活时间3600秒,1小时
① 主模式–6次信息交互
- 第1,2次:发送IKE安全提议(安全参数:加密算法、验证算法、工作模式、安全协议、DH组、认证机制–预共享等)
- 第3,4次:发送密钥计算素材、材料(g,p,A,B随机数)
- 第5,6次:身份验证信息(加密)
② 野蛮模式–3次信息交互
- 第1次:发送IKE安全提议,DH计算密钥素材,身份信息
- 第2次:发送IKE安全提议,DH计算密钥素材,身份信息,HASH值(将消息1加消息2做HASH计算)
- 第3次:确认结束(对比HASH值,一致确认)
③ 主模式和野蛮模式对比
第二阶段:IPSec协商(IPSec SA)协商加密算法,验证算法等,用于保护用户数据
第二阶段 – IPSec SA – 快速模式
- 第1次:发送IPSec安全提议(加密算法、验证算法、传输模式、生存时间、安全协议),DH计算密钥素材,身份信息
- 第2次:发送IPSec安全提议,DH计算密钥素材,身份信息,HASH值(将消息1加消息2做HASH计算)
- 第3次:确认结束(对比HASH值,一致确认)
2)数据传输阶段
DPD对等体失效检测:检测IKE SA对端是否正常
DPD检测机制:空闲计时器机制,如果VPN正常发送及接收IPSec VPN的加密报文,会重置、刷新计时器
如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化资料的朋友,可以点击这里获取
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!