2019-2020-1学期 20192428 《网络空间安全专业导论》第九周学习总结
第九周内容学习主要围绕《网络空间安全导论》这本书展开。
第三章 网络安全
3.1 网络安全及管理概述
计算机网络的广泛应用,促进了我们社会的发展,因此管理网络并保障网络安全也成为了网络空间安全的首要问题。
网络安全的概念
网络安全研究领域涉及很多,但凡涉及网络信息的保密性、完整性、可用性、真实性、可控性、可审查性的技术和理论,就与网络安全有相关联之处。
而网络安全包括了网络硬件资源和信息资源的安全性:
- 网络硬件资源:包括了通信线路、通信设备(路由机、交换机等等)、主机等。
- 网络信息资源:包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等
网络管理的概念
网络管理是指监督、组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。
对网络管理的分类(从网络管理范畴):
- 对网络设备的管理(针对交换机、路由器等主干网络进行管理。)
- 对接入的内部计算机、服务器等进行的管理。
- 对行为的管理(针对用户使用网络的行为进行管理。)
- 对网络设备硬件资产进行管理。
安全网络的特征
可靠性 :网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。
可用性 :网络信息可被授权实体访问并按需求使用的特性。
保密性 :网络信息不被泄露给非授权的用户、实体或过程,或者供其利用的特性。
完整性 :网络信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
可控性 :对信息的传播及内容具有控制能力。
可审查性 :出现安全问题时提供的依据和手段。
常见的网络拓扑
总线形拓扑结构
总线形拓扑结构是将所有的网络工作站或网络设备连接在同一物理介质上,这时每个设备直接连接在通常所说的主干电缆上。
安全缺陷 :
(1).故障诊断困难
(2).故障隔离困难
(3).终端必须是智能的
星形拓朴结构
星型拓扑结构由中央节点和通过点到点链路连接到中央节点的各站点组成。
安全缺陷 :
(1).对电缆的需求大且安装困难
(2).扩展困难
(3).对中央节点的依赖性太大
(4).容易出现“瓶颈”现象
环形拓扑结构
环形拓扑结构的网络由一些中继器和连接中继器的点到点链路组成一个闭合环。
安全缺陷 :
(1).节点的故障将会引起全网的故障
(2).故障诊断困难
(3).不易重新配置网络
(4).影响访问协议
树形拓扑结构
树形拓扑结构是从总线形拓扑演变而来的,其形状像一棵倒置的树。树形拓扑通常采用同轴电缆作为传输介质,且使用宽带传输技术。
安全缺陷 :
对根节点的依赖性太大,如果根节点发生故障,则全网不能正常工作。
3.2 网络安全基础
OSI七层模型及安全体系结构
七层模型的组成
OSI参考模型由下至上分别为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
OSI协议的运行原理
简单来说,在发送端,从高层到低层进行数据封装操作,每一层都在上层数据的基础上加人本层的数据头,然后再传递给下一层处理。因此,这个过程是数据逐层向下的封装过程,俗称“打包”过程。
在接收端,对数据的操作与上述过程相反,数据单元在每一层被去掉头部,根据需要传送给上一层来处理,直到应用层解析后被用户看到内容。这是一个从低层到高层的解封装过程,俗称“拆包”过程。
OSI安全体系结构
OSI安全体系结构是与OSI七层相对应的。
物理层:设置连接密码。
数据链路层:设置PPP验证、交换机端口优先级、MAC地址安全、BPDU守卫、快速端口等。
网络层:设置路由协议验证、扩展访问列表、防火墙等。
传输层:设置FTP密码、传输密钥等。
会话层&表示层:公钥密码、私钥密码应该在这两层进行设置。
应用层:设置NBAR、应用层防火墙等。
OSI安全体系结构中定义了五类相关的安全服务:
认证(鉴别)服务:提供通信中对等实体和数据来源的认证(鉴别)。
访向控制服务:用于防止未授权用户非法使用系统资源,包括用户身份认证和用户权限确认。
数据保密性服务:为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。同时,对有可能通过观察信息流就能推导出信息的情况进行防范。
数据完整性服务:用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
抗否认性服务(也叫不可否认性服务):用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。
TCP/IP协议及安全
TCP/IP( Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)是Internet的基本协议,由OSI七层模型中的网络层IP协议和传输层TCP协议组成。TCP/IP定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。
网络层协议
IP协议 是TCP/IP的核心,也是网络层中的重要协议。
ARP(Address Resolution Protocol地址解析协议) 用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。
传输层协议
传输层主要使用TCP(传输控制协议)和UDP(用户数据协议),其中TCP提供可靠的面向连接的服务,而UDP提供不可靠的无连接服务。
TCP协议使用三次握手机制来建立一条连接:握手的第一个报文为 SYN包;第二个报文为SYN/ACK包,表明它应答第一个SYN包,同时继续握手的过程;第三个报文仅仅是一个应答,表示为ACK包。
UDP报文由于没有可靠性保证、顺序保证和流量控制字段等,因此可靠性较差。当然,正因为UDP协议的控制选项较少,使其具有数据传输过程中延迟小、数据传输效率高的优点,所以适用于对可靠性要求不高的应用程序,或者可以保障可靠性的应用程序,如DNS、TFTP、SNMP 等。
基于UDP的通信很难在传输层建立起安全机制。同网络层安全机制相比,传输层安全机制的主要优点是它提供基于进程对进程的(而不是主机对主机的)安全服务。这一成就如果再加上应用级的安全服务,就可以大大提升安全性了。
应用层协议
应用层有很多日常传输数据时使用的耳熟能详的协议,比如HTTP、HTTPS、FTP、SMTP、Telent、 DNS、POP3 等,这些协议在实际应用中要用到应用程序代理。
由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤書到企业内部网络系统。代理服务对于应用层以下的数据透明。应用层代理服务器用于支持代理的应用层协议,如HTTP、 HTTPS、FTP、Telnet等。
安全封装协议
针对各层协议的安全隐患而采取的安全措施:
- IPSec
IPSec是Internet Protocol Security的缩写,是为IPv4和IPv6协议提供基于加密安全的协议,它使用AH (认证头)和ESP (封装安全载荷)协议来实现其安全,使用ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商。
IPSec安全协议工作在网络层,运行在它上面的所有网络通道都是加密的。IPSec 安全服务包括访问控制、数据源认证、无连接数据完整性、抗重播、数据机密性和有限的通信流量机密性。 - SSL协议
安全套接层( Seurity Socket Layer, SSL) 协议是用来保护网络传输信息的,它工作在传输层之上、应用层之下,其底层是基于传输层可靠的流传输协议(如TCP)。
SSL采用TCP作为传输协议保证数据的可靠传送和接收。SSL工作在Socket层上,因此独立于更高层应用,可为更高层协议(如Telnet、FTP和HTTP)提供安全服务。
SSL是通过加密传输来确保数据的机密性,通过信息验证码( Message Authentication Code, MAC) 机制来保护信息的完整性,通过数字证书来对发送者和接收者的身份进行认证。 - S-HTTP
安全超文本传输协议( Secure HyperText Transfer Protocol, S-HTTP) 是EIT公司结合HTTP而设计的一种消息安全通信协议。S-HTTP 协议处于应用层,它是HTTP协议的扩展,仅适用于HTTP连接。S-HTTP 可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等。S-HTTP提供了完整且灵活的加密算法及相关参数。 - S/MIME
S/MIME的全称是安全多用途网际邮件扩充协议(Secure Multipurpose Internet MailExtensions, RFC 2311)。
SMIME对安全方面的功能也进行了扩展,可以把MIME的实体(比如加密信息和数字签名等)封装成安全对象。它定义了增强的安全服务,例如具有接收方确认签收的功能,这样就可以确保接收者不能否认已经收到过的邮件。S/MIME增加了新的MIME数据类型,用于提供数据保密、完整性保护、认证和鉴定服务等。
MIME消息可以包含文本、图像、声音、视频及其他应用程序的特定数据,采用单向散列算法(如SHA-1、SHA-2、SHA-3、MD5等)和公钥机制的加密体系。S/MIME的证书采用X.509标准格式。S/MIME的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书均由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系是树状结构的。另外,S/MIME将信件内容加密签名后作为特殊的附件传送。
无线网络安全
无线局域网(Wireless Local Area Network, WLAN) 是相当便利的数据传输系统,它利用电磁波作为传输介质,在一定范围内取代物理线缆所构成的网络。
安全问题
WLAN中存在的安全威胁因素主要是窃听、截取或者修改传输数据、拒绝服务、计算机病毒等。
无线局域网安全协议
- WEP (有线等效保密)
有线等效保密(Wired Equivalent Privacy, WEP) 是美国电气和电子工程师协会制定的IEEE 802.11标准的一部分。它使用共享密钥串流加密技术进行加密,并使用循环校验以确保文件的正确性。
密钥长度不是影响WEP安全性的主要因素,破解较长的密钥需要拦截较多的包。WEP还有其他的弱点,包括安全数据雷同的可能性和改造的封包,这此风险无法用长一点的密钥来避免。
WEP是用IV+WEP密码的方式来保护明文的,属于弱加密方式,不能全面保证无线网络数据传输的安全。 - WPA(Wi-Fi网络安全接入)
WPA 是从密码强度和用户认证两方面入手(Protected和Access)来强化无线网络安全的。它采用两种认证方式:共享密钥认证和IEEE 802.1x认证。共享密钥认证适用于小的企业网、家庭网络以及一些公共热点地区,没有认证服务器(RADIUS(远程用户拨号认证系统)服务器),也叫做PSK(Pre-Shared Key,预先共享密钥)模式;而802.1x认证适用于大型网络,其中设置了专门的认证服务器。
WPA采用IEEE 802.1x和密钥完整性协议(TKIP)实现无线局域网的访问控制、密钥管理和数据加密。采用TKIP可以确保通过密钥混合达到每个包的TKIP密钥都不同的目的,再通过短时间内频繁更新主密钥,可以大幅减少非法用户窃取数据包的机会。同时WPA也增强了加密数据的整体性,不再采用线性算法对数据帧进行校验。
同样,WPA也有不足的地方。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。它加强了生成加密密钥的算法,使得窃密攻击者即使收集到包信息并对其进行解析也几乎无法计算出通用密钥,使数据在无线网络中传播的安全性得到一定的保证。然而,WPA所使用的RC4算法还是存在一定的安全隐患,有可能被破解。
同时,802.1x本身也存在不足。它对于合法的EAPOL_Start报文AP(无线接入点)都会进行处理。类似前面小节讲到的TCP连接时三次握手阶段的SYN请求,攻击者只要发送大量EAPOL_Start报文就可以消耗AP的资源,这属于DoS攻击。 - WPA2
WPA2支持更高的安全加密标准AES,实现了IEEE 802.11i的强制性元素,RC4被AES取代。
AES (高级加密标准)是美国国家标准技术研究所(NIST)取代DES的新一代的加密标准。NIST对AES候选算法的基本要求是:对称分组密码体制;密钥长度支持128、192、256位;明文分组长度为128位;算法应易于各种硬件和软件实现,使安全性大大提高。
WPA2实现了EAP的支持,并且有一个更安全的认证系统以及使用802.1x的能力。上述这些措施与AES、EAP-TLS结合在一起处理密钥分配时,会形成一个强大的加密体系。 - WAPI(无线局域网鉴别和保密基础结构)
无线局域网鉴别和保密基础结构( WLAN Authentication and Privacy Infrastructure,WAPI)是中国针对IEEE802.11协议中的安全问题而提出的拥有自主知识产权的WLAN安全解决方案。
WAPI由无线局域网鉴别基础结构( WLAN Authentication Infrastructure, WAI)和无线局域网保密基础结构( WLAN Privacy Infrastructure, WPI) 组成。其中,WAI采用基于椭圆曲线的公钥证书体制,无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别。而WPI采用国家商用密码管理委员会办公室提供的对称分组算法SMS4进行加解密,实现了保密通信。
WAI的原理
类似于802.1x,WAI采用的三元结构和对等鉴别访问控制方法也是一种基于端口认证方法。
当鉴别器的受控端口处于未鉴别状态时,鉴别器系统拒绝提供服务,鉴别器实体利用非受控端口和鉴别请求者通信。受控与非受控端口可以是连接到同一物理端口的两个逻辑端口,所有通过物理端口的数据都可以到达受控端口和非受控端口,并根据鉴别状态决定数据的实际流向。
WPI的原理
WPI的封装过程为:
利用完整性校验密钥与数据分组序号(PN),通过校验算法对完整性校验数据进行计算,得到完整性校验码(MIC);再利用加密密钥和数据分组序号(PN),通过工作在OFB模式的加密算法对MSDU数据及MIC进行加密,得到MSDU数据以及MIC密文;然后封装后组成帧发送。
WPI的解封装过程为:
判断数据分组序号(PN)是否有效,若无效,则丢弃该数据。
利用解密密钥与数据分组序号(PN),通过工作在OFB模式的解密算法对分组中的MSDU数据及MIC密文进行解密,恢复出MSDU数据以及MIC明文。
利用完整性校验密钥与数据分组序号(PN),通过工作在CBC-MAC模式的校验算法对完整性校验数据进行本地计算,若计算得到的值与分组中的完整性校验码MIC不同,则丢弃该数据。
解封装后将MSDU明文进行重组处理并递交至上层。
识别网络安全风险
外部因素:威胁性
内部因素:脆弱性
威胁
1.应用系统和软件安全漏洞
2.安全策略
3.后门和木马程序
4.黑客
5.安全意识淡薄
6.用户网络内部工作人员的不良行为引起的安全问题
脆弱性
- 操作系统的脆弱性
1.动态链接
2.创建进程
3.空口令和RPC
4.超级用户 - 计算机系统本身的脆弱性
- 电磁泄漏
- 数据的可访问性
- 通信系统和通信协议的弱点
- 数据库系统的脆弱性
- 网络存储介质的脆弱
原文地址:https://www.cnblogs.com/KamanFuture/p/12005767.html