計算機網絡:網絡安全
7.1、網絡安全概述
1、安全包括哪些方面
- 數據存儲安全
- 應用程序安全
- 操作系統安全
- 網絡安全
- 物理安全
- 用戶安全教育
2、網絡安全面臨的問題
1)截獲——從網絡上竊聽他人的通信內容。
2)中斷——有意中斷他人在網絡上的通信。
3)篡改——故意篡改網絡上傳送的報文。
4)偽造——偽造信息在網絡上的傳送。
截獲信息的攻擊稱為被動攻擊;
更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊;
也就是1)屬於被動攻擊,而2)3)4)屬於主動攻擊。
DNS (域名)劫持、ARP 欺騙,釣魚網站、SYN 攻擊
軟件:cain,末日帝國
DDOS 一般指分布式拒絕服務攻擊
Distributed denial of service attack
分布式拒絕服務攻擊可以使很多的計算機在同一時間遭受到攻擊,使攻擊的目標無法正常使用,分布式拒絕服務攻擊已經出現了很多次,導致很多的大型網站都出現了無法進行操作的情況,這樣不僅僅會影響用戶的正常使用,同時造成的經濟損失也是非常巨大的。
分布式拒絕服務攻擊方式在進行攻擊的時候,可以對源IP地址進行偽造,這樣就使得這種攻擊在發生的時候隱蔽性是非常好的,同時要對攻擊進行檢測也是非常困難的,因此這種攻擊方式也成為了非常難以防范的攻擊。
3、計算機面臨的威脅——惡意程序(rogue program)
1)計算機病毒(應用程序):會 ”傳染“ 其他程序的程序,”傳染“ 是通過修改其他程序來把自身或其變種復制進去完成的。
2)計算機蠕蟲(應用程序):通過網絡的通信功能將自身從一個節點發送到另一個節點並啟動運行的程序。會一點點的消耗計算機的 CPU、內存,最后不得不重啟,重啟之后又開始一點點消耗資源。
3)特洛伊木馬:一種程序,執行的功能超出所聲稱的功能。盜號發送郵件、遠程控制、偷取數據……
4)邏輯炸彈:一種當運行環境滿足某種特定條件時執行其他特殊功能的程序。
如何識別木馬程序:
- 通過 netstat -n 查看可疑會話
- 通過 msconfig 隱藏微軟服務,查看后來安裝的可疑服務
- 安裝殺毒軟件
7.2、兩類加密技術
7.2.1、對稱加密
所謂常規秘鑰密碼體制,即加密秘鑰和解密秘鑰相同,這種加密系統又稱為對稱秘鑰系統。
- 優點:效率高
- 缺點:秘鑰不適合在網絡上傳輸,秘鑰維護麻煩
我們通過加密算法來加密秘鑰,也就是通過數據加密標准 DES 來進行加密。
數據加密標准 DES(對稱加密)
數據加密標准 DES 屬於常規密鑰密碼體制,是一種分組密碼。
在加密前,先對整個明文進行分組。每一個組長為 64 位。
然后對每一個 64 位二進制數據進行加密處理,產生一組 64 位密文數據。
最后將各組密文串接起來,即得出整個的密文。
使用的密鑰為 64 位(實際秘鑰長度為 56 位,有 8 位用於奇偶校驗)。
DES 的保密性
DES 的保密性取決於對密鑰的保密,而算法是公開的。
盡管人們在破譯 DES 方面取得了許多進展,但至今仍未能找到比窮舉搜索密鑰更有效的方法。
DES 是世界上第一個公認的實用密碼算法標准。
- 56 位密鑰破解需要 3.5 或 21 分鍾
- 128 位密鑰破解需要 5.4 * 1018 年
7.2.2、非對稱加密
公鑰密碼提示使用不同的加密密鑰與解密秘鑰,是一種“由已知加密密鑰推導出解密秘鑰在計算上是不可行的“的密碼體制。
公鑰密碼體制的產生主要是因為兩個方面的原因:
- 由於常規密鑰密碼體制的密鑰分配問題,也就是維護起來困難
- 對數字簽名的需求
現有最著名的公鑰密碼體制是 RSA 體制,它基於數論中大數分解問題的體制,由美國三位科學家於 1976 年提出並在 1978 年正式發表。
公鑰和私鑰
加密秘鑰和解密秘鑰不同,秘鑰對,公鑰和私鑰
公鑰加密私鑰解密,私鑰加密公鑰解密,必須成對使用!
- 優點:秘鑰維護簡單,只要私鑰不泄露,公鑰不怕丟
- 缺點:效率低
那么如何實現效率高而且維護簡單?
這就是非對稱加密的細節,其實也是非對稱加密和對稱加密的結合:用[對稱加密]加密數據,用[公鑰加密]對稱加密的秘鑰
7.3、數字簽名(又稱公鑰數字簽名)
數字簽名存在的目的:鑒別源頭,防止抵賴,能夠檢查簽名之后內容是否被更改。
用到的技術:非對稱密鑰加密技術、報文摘要技術 MD(Message Digest)
以甲方和乙方公司使用數字簽名技術在網上簽訂合同開始講述:
這里存在兩個問題:
- 如何證明(合同,公鑰,簽名)沒有被一起修改過?
- 如果甲方公司的公鑰和私鑰都是自己制作的,萬一甲方公司抵賴呢?
這里就需要第三方的介入,也就是證書頒發機構(CA, Certificate Authority)即頒發數字證書的機構。
證書頒發機構的作用:
- 為企業和用戶頒發數字證書,確認這些企業和用戶的身份
- 發布證書吊銷列表
- 企業和個人信任證書頒發機構
如果企業的數字證書丟失,那么企業就需要在 CA 上進行證書掛失,將該證書放到一個證書吊銷列表上,供企業查看。
企業的數字證書申請需要 Money,就跟申請域名一樣。
1)當乙方拿到信息之后,並不着急驗證信息是否被修改,而是先用 CA 的公鑰去解密甲方帶有 CA 數字簽名的公鑰(CA 的數字簽名是用 CA 的私鑰加密的,只有 CA 的公鑰才能解密),也就是驗證甲方的公鑰是否合法,此外還要在證書吊銷列表上檢查該證書是否已被吊銷!
這個時候乙方公司是不信任甲方,而是信任 CA 這個證書頒發機構。
2)然后乙方再用甲方的公鑰去解密甲方的簽名獲取摘要和進行過同樣擔單向散列的摘要進行對比。
數字簽名用小紅花標記,數據加密用一把鎖來標記
數字簽名用發件人的私鑰加密,加密數據用收件人的公鑰加密
7.4、Internet 上使用的安全協議
7.4.1、安全套接字 SSL
-
SSL (Secure Sockets Layer,安全套接字協議),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網絡通信提供安全、鑒別以及數據完整性的一種安全協議。
-
TLS 與 SSL 在傳輸層與應用層之間對網絡連接進行加密。
-
SSL 在雙方的聯絡階段協商將使用的加密算法和密鑰,以及客戶與服務器之間的鑒別。
-
在聯絡階段完成之后,所有傳送的數據都使用在聯絡階段商定的會話密鑰。
-
SSL 不僅被所有常用的瀏覽器和萬維網服務器所支持,而且也是運輸層安全協議 TLS (Transport Layer Security)的基礎。
SSL 的位置:
SSL 提供以下三個功能:
1)加密 SSL 會話:客戶和服務器交互的所有數據都在發送方加密,在接收方解密;
2)SSL 服務器鑒別:允許用戶證實服務器的身份。具有 SSL 功能的瀏覽器維持一個表,上面有一些可信賴的認證中心 CA(Certificate Authority)和它們的公鑰;
3)SSL 客戶鑒別:允許服務器證實客戶的身份;
HTTPS (Hyper Text Transfer Protocol over SecureSocket Layer),是以安全為目標的 HTTP 通道,在 HTTP 的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性 。HTTPS 在 HTTP 的基礎下加入 SSL 層,HTTPS 的安全基礎是 SSL,因此加密的詳細內容就需要 SSL。
Web 服務器使用了安全套接字 SSL 之后和客戶機通信的過程:
Web 服務器和客戶機進行通信,服務器會向客戶機發送帶有 CA 數字簽名的公鑰,客戶機會生成對稱加密的密鑰,用來加密傳輸的數據,然后再用服務器發來的公鑰加密對稱加密的密鑰,將加密的密鑰發送給服務器, 服務器和客戶機之間的通信就是這個是用公鑰加密了的密鑰進行通信。
訪問網站出現安全警告的原因:
- 你不信任該證書
- 該證書過期或沒有申請證書
- 沒有訪問證書綁定的域名, 訪問 IP 地址或沒有使用 HTTPS 協議訪問
收發電子郵件使用安全套接字之后:
| 應用層協議 | 傳輸層協議 + 端口 |
|---|---|
| IMAPS | TCP + 993 |
| POP3S | TCP + 995 |
| SMTPS | TCP + 465 |
| HTTPS | TCP + 443 |
7.4.2、網絡層安全 IPSec
數據加密和數字簽名屬於應用層安全,要有應用程序的支持才可以。
打個比方,有張三,李四兩個人正在用電話通信,張三和李四用事先商量好的密文進行通信,即使我們截獲了通信的內容,沒有秘鑰解密也無法正確解讀信息,這就是【應用層安全的數據加密】。
同樣還是張三李四兩個人通信,他們也都是正常說話,只不過他們通信的時候需要對暗號,暗號對了才能正確找到接頭人,而且發送方發出數據之前,數據已經被事前商量好的規則(共享密鑰對)加密了,接收方也要按照特定的規則解密,這個加密解密的過程不需要張三李四的參與,對他們來說透明的,這就是要說的【網絡層安全 IPSec】
例如:
張三:“天王蓋地虎”
李四:“寶塔鎮河妖”
暗號正確,可以通信
張三正常說話
發送方使用共享密鑰對對數據進行加密
網絡傳輸……
接收方使用共享密鑰對對數據進行解密
李四讀取張三說話的內容
這里暗號只是形象的說明,實際的暗號(共享密鑰)需要雙方協商成一致的,並且可以動態改變。
這個加密解密的過程由網卡參與完成,IPSec 是點到點(端到端)的加密與解密。
IPSec 中最主要的協議
- 鑒別首部 AH(Authentication Header):AH 鑒別源點和檢查數據完整性,但不能保密。也就是能進行數字簽名,但不能進行數據加密。
- 封裝安全有效載荷 ESP(Encapsulation Security Payload):ESP 比 AH 復雜得多,它鑒別源點、檢查數據完整性和提供保密。既能進行數字簽名,又能進行數據加密。
1、鑒別首部協議 AH
- 在使用鑒別首部協議 AH 時,把 AH 首部插在原數據報數據部分的前面,同時把 IP 首部中的協議字段置為 51。
- 在傳輸過程中,中間的路由器都不查看 AH 首部。
- 當數據包到達終點時,目的主機才處理 AH 字段,以鑒別源點和檢查數據報的完整性。
2、封裝安全有效載荷 ESP
- 使用 ESP 時,IP 數據報首部的協議字段置為 50。
- 當 IP 首部檢查到協議字段是 50 時,就知道在 IP 首部后面緊接着的是 ESP 首部,同時在原 IP 數據報后面增加了兩個字段,即 ESP 尾部和 ESP 數據(存放數據鑒別的結果)。
安全關聯 SA(Security Association )
在使用 AH 或 ESP 之前,先要從源主機到目的主機建立一條網絡層的邏輯連接。此邏輯連接叫做安全關聯 SA。
IPSec 就把傳統的因特網無連接的網絡層轉換為具有邏輯連接的層。
SA(安全關聯)是構成 IPSec 的基礎,是兩個通信實體協商(利用 IKE 協議)建立起來的一種協定,它決定了用來保護數據分組安全協議(AH 協議或者 ESP 協議)、轉碼方式、密鑰以及密鑰的有效存在時間,傳輸多少字節后跟換密鑰等。
7.5、數據鏈路層安全
在采用鏈路加密的網絡中,每條通信鏈路上的加密是獨立實現的。
通常對每條鏈路使用不同的加密密鑰。
相鄰結點之間具有相同的密鑰,因而密鑰管理易於實現。
鏈路加密對用戶來說是透明的,因為加密的功能是由通信子網提供的。
由於報文是以明文形式在各結點內加密的,所以結點本身必須是安全的。
所有的中間結點(包括可能經過的路由)未必都是安全的。因此必須采取有效措施。
鏈路加密的最大缺點是在中間結點暴露了信息的內容。
在網絡互連的情況下,僅采用鏈路加密是不能實現通信安全的,一般使用端到端(IPSec)的加密和解密,這樣報文的安全不會因中間結點的不可靠而受影響。
7.6、防火牆(Firewall)
- 防火牆是由軟件、硬件構成的系統,是一種特殊編程的路由器,用來在兩個網絡之間設置訪問控制策略。
- 訪問控制策略是由使用防火牆的單位自行制訂的,為的是可以最適合本單位的需要。
- 防火牆的網絡稱為“可信賴的網絡(trusted network)”,而將外部的因特網稱為“不可信賴的網絡(untrusted network)”。
- 防火牆可用來解決內聯網和外聯網的安全問題。
防火牆在互連網絡中的位置:
防火牆的功能:阻止 和 允許
- “阻止” 就是阻止某種類型的通信量通過防火牆(從外部網絡到內部網絡,或反過來);
- “允許” 的功能與 “阻止” 恰好相反;
防火牆必須能夠識別通信量的各種類型。不過在大多數情況下防火牆的主要功能是 “阻止”。
防火牆技術一般分為兩類:
-
網絡級防火牆——用來防止整個網絡出現外來非法的入侵。屬於這類的有分組過濾和授權服務器。
- 分組過濾檢查所有流入本網絡的信息,然后拒絕不符合事先制訂好的一套規則的數據。
- 授權服務器是檢查用戶的登錄是否合法。
-
應用級防火牆——從應用程序來進行接入控制。通常使用應用網關或代理服務器來區分各種應用。
- 例如:可以只允許訪問 Web 網站的應用通過,而阻止 FTP 應用通過。
網絡層防火牆:基於數據包 源地址 目的地址 協議和端口 控制流量
應用層防火牆:數據包 源地址 目的地址 協議和端口 控制流量 用戶名 時間段 數據包內容 防病毒進入內網
防火牆網絡拓撲結構:
- 邊緣防火牆
- 三像外圍網
DMZ 介紹
- 兩個防火牆之間的空間被稱為 DMZ。與 Internet 相比,DMZ 可以提供更高的安全性,但是其安全性比內部網絡低。
- DMZ 是英文 “demilitarized zone” 的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。
- 它是為了解決安裝防火牆后外部網絡的訪問用戶不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區。
- 該緩沖區位於企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。
- 另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡。因為這種網絡部署,比起一般的防火牆方案,對來自外網的攻擊者來說又多了一道關卡。
- 背靠背防火牆
- 單一網卡
