第七章 网络安全

安全包括哪些方面 

数据存储安全

应用程序安全

操作系统安全

网络安全

物理安全

用户安全教育

网络安全面临的问题 

计算机网络上的通信面临以下的四种威胁：

(1) 截获——从网络上窃听他人的通信内容。

(2) 中断——有意中断他人在网络上的通信。

(3) 篡改——故意篡改网络上传送的报文。

(4) 伪造——伪造信息在网络上传送。

截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。

cain tools 能截获本网段的用户名和密码。能篡改域名解析的结果，使用户上假网站。用的是ARP欺骗

参考资料   http://www.7edown.com/downpage.asp?id=48087

Cain4.9(32位、64位通用)汉化版，这是一个可以crack屏保、PWL密码、共享密码、缓存口令、远程共享口令、SMB口令、支持VNC口令解码、Cisco Type-7口令解码、Base64口令解码、 7.0/2000口令解码、Remote Desktop口令解码、Access Database口令解码、Cisco PIX Firewall口令解码、Cisco MD5解码、NTLM Session Security口令解码、IKE Aggressive Mode Pre-Shared Keys口令解码、Dialup口令解码、远程桌面口令解码等综合工具，还可以远程crack，可以挂字典以及暴力crack，其sniffer功能极其强大，几乎可以明文捕获一切帐号口令，包括FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSKERB5-PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等。

肉鸡：受控制的主机。 通过控制肉鸡向某网站发动群体式攻击，是网站瘫痪，这叫做分布式攻击（DDoS） 对分布式攻击目前没有什么方法防范，只能用高带宽防范

木马程序 

1.查看会话 netstat -n 是否有可疑会话

2.运行msconfig 服务 隐藏微软服务

3.安装杀毒软件

恶意程序(rogue program) 

(1) 计算机病毒——会"传染"其他程序的程序，"传染"是通过修改其他程序来把自身或其变种复制进去完成的。

(2) 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(消耗系统资源)

(3) 特洛伊木马——一种程序，它执行的功能超出所声称的功能。

(4) 逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。

加密技术 

对称加密 加密秘钥和解密秘钥相同  （使用DES加密技术）

优点： 效率高

缺点： 秘钥不适合在网上传输 秘钥维护 麻烦

加密算法

加密秘钥

非对称加密 加密秘钥和解密秘钥是不同  （使用RAS加密技术）

密钥对 公钥和私钥

公钥加密私钥解密----加密通信

私钥加密公钥解密----签名通信

非对称加密细节

数字签名 防止抵赖 能够检查签名之后内容是否被更改

数字签名必须保证以下三点：

(1) 报文鉴别——接收者能够核实发送者对报文的签名；

(2) 报文的完整性——发送者事后不能抵赖对报文的签名；

(3) 不可否认——接收者不能伪造对报文的签名。

现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。

证书颁发机构作用 为企业和用户颁发数字证书 确认这些企业和个人的身份

发布证书吊销列表

企业和个人信任证书颁发机构

WindowsServer2003 CA 
WindowsXP1 zhang [email protected] 
WindowsXP2 wang [email protected]

SSL                                    在应用层加密通信

SSL 是安全套接层 (Secure Socket Layer)，可对万维网客户与服务器之间传送的数据进行加密和鉴别。 SSL 在双方的联络阶段协商将使用的加密算法和密钥，以及客户与服务器之间的鉴别。 在联络阶段完成之后，所有传送的数据都使用在联络阶段商定的会话密钥。 SSL 不仅被所有常用的浏览器和万维网服务器所支持，而且也是运输层安全协议 TLS (Transport Layer Security)的基础。

SSL 提供以下三个功能 

(1) SSL 服务器鉴别 允许用户证实服务器的身份。具有 SSL 功能的浏览器维持一个表，上面有一些可信赖的认证中心 CA (Certificate Authority)和它们的公钥。

(2) 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密，在接收方解密。

(3) SSL 客户鉴别 允许服务器证实客户的身份。

Linux 生成SSL证书 供 nginx使用参考。http://blog.163.com/023_dns/blog/static/11872736620129195124247/

在Internet上使用的两个安全协议

imaps tcp-993

pop3s tcp-995

smtps tcp-465

https  tcp-443

IPSec                使用IPSec实现网络层加密通信

IPsec 中最主要的协议

鉴别首部 AH (Authentication Header)： AH鉴别源点和检查数据完整性，但不能保密。

封装安全有效载荷 ESP (Encapsulation Security Payload)：ESP 比 AH 复杂得多，它鉴别源点、检查数据完整性和提供保密。

数据链路层安全

数据链路层身份验证 PPP 身份验证

ADSL 数据链路层安全

防火墙 
网络层防火墙 基于数据包 源地址 目标地址 协议和端口 控制流量 
应用层防火墙 数据包 源地址 目标地址 协议 端口 用户名 时间段 内容 防病毒进入内网

防火墙网络拓扑 
三像外围网 
背靠背防火墙 
单一网卡 
边缘防火墙