《網絡空間安全導論》第三章自學筆記
Chapter.3 網絡安全基礎
3.1 網絡安全及管理概述
計算機網絡的廣泛應用,促進了我們社會的發展,因此管理網絡並保障網絡安全也成為了網絡空間安全的首要問題。
-
網絡安全的概念
網絡安全研究領域涉及很多,但凡涉及網絡信息的保密性、完整性、可用性、真實性、可控性、可審查性的技術和理論,就與網絡安全有相關聯之處。-
而網絡安全包括了網絡硬件資源和信息資源的安全性:
- 網絡硬件資源:包括了通信線路、通信設備(路由機、交換機等等)、主機等。
- 網絡信息資源:包括維持網絡服務運行的系統軟件和應用軟件,以及在網絡中存儲和傳輸的用戶信息數據等
-
-
網絡管理的概念
網絡管理是指監督、組織和控制網絡通信服務,以及信息處理所必需的各種活動的總稱。-
對網絡管理的分類(從網絡管理范疇):
- 對網絡設備的管理(針對交換機、路由器等主干網絡進行管理。)
- 對接入的內部計算機、服務器等進行的管理。
- 對行為的管理(針對用戶使用網絡的行為進行管理。)
- 對網絡設備硬件資產進行管理。
-
-
安全網絡的特征
- 可靠性 :網絡信息系統能夠在規定條件下和規定時間內完成規定功能的特性。
- 可用性 :網絡信息可被授權實體訪問並按需求使用的特性。
- 保密性 :網絡信息不被泄露給非授權的用戶、實體或過程,或者供其利用的特性。
- 完整性 :網絡信息未經授權不能進行改變的特性,即網絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。
- 可控性 :對信息的傳播及內容具有控制能力。
- 可審查性 :出現安全問題時提供的依據和手段。
-
常見的網絡拓撲
-
總線形拓撲結構
總線形拓撲結構是將所有的網絡工作站或網絡設備連接在同一物理介質上,這時每個設備直接連接在通常所說的主干電纜上。- 安全缺陷 :
(1).故障診斷困難
(2).故障隔離困難
(3).終端必須是智能的
- 安全缺陷 :
-
星形拓朴結構
星型拓撲結構由中央節點和通過點到點鏈路連接到中央節點的各站點組成。- 安全缺陷 :
(1).對電纜的需求大且安裝困難
(2).擴展困難
(3).對中央節點的依賴性太大
(4).容易出現“瓶頸”現象
- 安全缺陷 :
-
環形拓撲結構
環形拓撲結構的網絡由一些中繼器和連接中繼器的點到點鏈路組成一個閉合環。- 安全缺陷 :
(1).節點的故障將會引起全網的故障
(2).故障診斷困難
(3).不易重新配置網絡
(4).影響訪問協議
- 安全缺陷 :
-
樹形拓撲結構
樹形拓撲結構是從總線形拓撲演變而來的,其形狀像一棵倒置的樹。樹形拓撲通常采用同軸電纜作為傳輸介質,且使用寬帶傳輸技術。- 安全缺陷 :
對根節點的依賴性太大,如果根節點發生故障,則全網不能正常工作。
- 安全缺陷 :
-
3.2 網絡安全基礎
-
OSI七層模型及安全體系結構
七層模型的組成
OSI參考模型由下至上分別為物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。 -
OSI協議的運行原理
簡單來說,在發送端,從高層到低層進行數據封裝操作,每一層都在上層數據的基礎上加人本層的數據頭,然后再傳遞給下一層處理。因此,這個過程是數據逐層向下的封裝過程,俗稱“打包”過程。
在接收端,對數據的操作與上述過程相反,數據單元在每一層被去掉頭部,根據需要傳送給上一層來處理,直到應用層解析后被用戶看到內容。這是一個從低層到高層的解封裝過程,俗稱“拆包”過程。 -
OSI安全體系結構
OSI安全體系結構是與OSI七層相對應的。- 物理層:設置連接密碼。
- 數據鏈路層:設置PPP驗證、交換機端口優先級、MAC地址安全、BPDU守衛、快速端口等。
- 網絡層:設置路由協議驗證、擴展訪問列表、防火牆等。
- 傳輸層:設置FTP密碼、傳輸密鑰等。
- 會話層&表示層:公鑰密碼、私鑰密碼應該在這兩層進行設置。
- 應用層:設置NBAR、應用層防火牆等。
-
OSI安全體系結構中定義了五類相關的安全服務:
- 認證(鑒別)服務:提供通信中對等實體和數據來源的認證(鑒別)。
訪向控制服務:用於防止未授權用戶非法使用系統資源,包括用戶身份認證和用戶權限確認。 - 數據保密性服務:為防止網絡各系統之間交換的數據被截獲或被非法存取而泄密,提供機密保護。同時,對有可能通過觀察信息流就能推導出信息的情況進行防范。
- 數據完整性服務:用於防止非法實體對交換數據的修改、插入、刪除以及在數據交換過程中的數據丟失。
- 抗否認性服務(也叫不可否認性服務):用於防止發送方在發送數據后否認發送和接收方在收到數據后否認收到或偽造數據的行為。
- 認證(鑒別)服務:提供通信中對等實體和數據來源的認證(鑒別)。
-
TCP/IP協議及安全
TCP/IP( Transmission Control Protocol/Internet Protocol,傳輸控制協議/因特網互聯協議)是Internet的基本協議,由OSI七層模型中的網絡層IP協議和傳輸層TCP協議組成。TCP/IP定義了電子設備如何連入因特網,以及數據如何在它們之間傳輸的標准。-
網絡層協議
IP協議 是TCP/IP的核心,也是網絡層中的重要協議。
ARP(Address Resolution Protocol地址解析協議) 用於將計算機的網絡地址(IP地址32位)轉化為物理地址(MAC地址48位)。 -
傳輸層協議
傳輸層主要使用TCP(傳輸控制協議)和UDP(用戶數據協議),其中TCP提供可靠的面向連接的服務,而UDP提供不可靠的無連接服務。 -
應用層協議
應用層有很多日常傳輸數據時使用的耳熟能詳的協議,比如HTTP、HTTPS、FTP、SMTP、Telent、 DNS、POP3 等,這些協議在實際應用中要用到應用程序代理。
由於外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷書到企業內部網絡系統。代理服務對於應用層以下的數據透明。應用層代理服務器用於支持代理的應用層協議,如HTTP、 HTTPS、FTP、Telnet等。 -
安全封裝協議
針對各層協議的安全隱患而采取的安全措施: -
IPSec
IPSec是Internet Protocol Security的縮寫,是為IPv4和IPv6協議提供基於加密安全的協議,它使用AH (認證頭)和ESP (封裝安全載荷)協議來實現其安全,使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及安全協商。
IPSec安全協議工作在網絡層,運行在它上面的所有網絡通道都是加密的。IPSec 安全服務包括訪問控制、數據源認證、無連接數據完整性、抗重播、數據機密性和有限的通信流量機密性。 -
SSL協議
安全套接層( Seurity Socket Layer, SSL) 協議是用來保護網絡傳輸信息的,它工作在傳輸層之上、應用層之下,其底層是基於傳輸層可靠的流傳輸協議(如TCP)。
SSL采用TCP作為傳輸協議保證數據的可靠傳送和接收。SSL工作在Socket層上,因此獨立於更高層應用,可為更高層協議(如Telnet、FTP和HTTP)提供安全服務。
SSL是通過加密傳輸來確保數據的機密性,通過信息驗證碼( Message Authentication Code, MAC) 機制來保護信息的完整性,通過數字證書來對發送者和接收者的身份進行認證。 -
S-HTTP
安全超文本傳輸協議( Secure HyperText Transfer Protocol, S-HTTP) 是EIT公司結合HTTP而設計的一種消息安全通信協議。S-HTTP 協議處於應用層,它是HTTP協議的擴展,僅適用於HTTP連接。S-HTTP 可提供通信保密、身份識別、可信賴的信息傳輸服務及數字簽名等。S-HTTP提供了完整且靈活的加密算法及相關參數。 -
S/MIME
S/MIME的全稱是安全多用途網際郵件擴充協議(Secure Multipurpose Internet MailExtensions, RFC 2311)。
SMIME對安全方面的功能也進行了擴展,可以把MIME的實體(比如加密信息和數字簽名等)封裝成安全對象。它定義了增強的安全服務,例如具有接收方確認簽收的功能,這樣就可以確保接收者不能否認已經收到過的郵件。S/MIME增加了新的MIME數據類型,用於提供數據保密、完整性保護、認證和鑒定服務等。
MIME消息可以包含文本、圖像、聲音、視頻及其他應用程序的特定數據,采用單向散列算法(如SHA-1、SHA-2、SHA-3、MD5等)和公鑰機制的加密體系。S/MIME的證書采用X.509標准格式。S/MIME的認證機制依賴於層次結構的證書認證機構,所有下一級的組織和個人的證書均由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系是樹狀結構的。另外,S/MIME將信件內容加密簽名后作為特殊的附件傳送。
-
-
無線網絡安全
無線局域網(Wireless Local Area Network, WLAN) 是相當便利的數據傳輸系統,它利用電磁波作為傳輸介質,在一定范圍內取代物理線纜所構成的網絡。 -
安全問題
WLAN中存在的安全威脅因素主要是竊聽、截取或者修改傳輸數據、拒絕服務、計算機病毒等。 -
無線局域網安全協議
- WEP (有線等效保密)
有線等效保密(Wired Equivalent Privacy, WEP) 是美國電氣和電子工程師協會制定的IEEE 802.11標准的一部分。它使用共享密鑰串流加密技術進行加密,並使用循環校驗以確保文件的正確性。
密鑰長度不是影響WEP安全性的主要因素,破解較長的密鑰需要攔截較多的包。WEP還有其他的弱點,包括安全數據雷同的可能性和改造的封包,這此風險無法用長一點的密鑰來避免。
WEP是用IV+WEP密碼的方式來保護明文的,屬於弱加密方式,不能全面保證無線網絡數據傳輸的安全。 - WPA(Wi-Fi網絡安全接入)
WPA 是從密碼強度和用戶認證兩方面入手(Protected和Access)來強化無線網絡安全的。它采用兩種認證方式:共享密鑰認證和IEEE 802.1x認證。共享密鑰認證適用於小的企業網、家庭網絡以及一些公共熱點地區,沒有認證服務器(RADIUS(遠程用戶撥號認證系統)服務器),也叫做PSK(Pre-Shared Key,預先共享密鑰)模式;而802.1x認證適用於大型網絡,其中設置了專門的認證服務器。
WPA采用IEEE 802.1x和密鑰完整性協議(TKIP)實現無線局域網的訪問控制、密鑰管理和數據加密。采用TKIP可以確保通過密鑰混合達到每個包的TKIP密鑰都不同的目的,再通過短時間內頻繁更新主密鑰,可以大幅減少非法用戶竊取數據包的機會。同時WPA也增強了加密數據的整體性,不再采用線性算法對數據幀進行校驗。
同樣,WPA也有不足的地方。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。它加強了生成加密密鑰的算法,使得竊密攻擊者即使收集到包信息並對其進行解析也幾乎無法計算出通用密鑰,使數據在無線網絡中傳播的安全性得到一定的保證。然而,WPA所使用的RC4算法還是存在一定的安全隱患,有可能被破解。
同時,802.1x本身也存在不足。它對於合法的EAPOL_Start報文AP(無線接入點)都會進行處理。類似前面小節講到的TCP連接時三次握手階段的SYN請求,攻擊者只要發送大量EAPOL_Start報文就可以消耗AP的資源,這屬於DoS攻擊。 - WPA2
WPA2支持更高的安全加密標准AES,實現了IEEE 802.11i的強制性元素,RC4被AES取代。
AES (高級加密標准)是美國國家標准技術研究所(NIST)取代DES的新一代的加密標准。NIST對AES候選算法的基本要求是:對稱分組密碼體制;密鑰長度支持128、192、256位;明文分組長度為128位;算法應易於各種硬件和軟件實現,使安全性大大提高。
WPA2實現了EAP的支持,並且有一個更安全的認證系統以及使用802.1x的能力。上述這些措施與AES、EAP-TLS結合在一起處理密鑰分配時,會形成一個強大的加密體系。 - WAPI(無線局域網鑒別和保密基礎結構)
無線局域網鑒別和保密基礎結構( WLAN Authentication and Privacy Infrastructure,WAPI)是中國針對IEEE802.11協議中的安全問題而提出的擁有自主知識產權的WLAN安全解決方案。
WAPI由無線局域網鑒別基礎結構( WLAN Authentication Infrastructure, WAI)和無線局域網保密基礎結構( WLAN Privacy Infrastructure, WPI) 組成。其中,WAI采用基於橢圓曲線的公鑰證書體制,無線客戶端STA和接入點AP通過鑒別服務器AS進行雙向身份鑒別。而WPI采用國家商用密碼管理委員會辦公室提供的對稱分組算法SMS4進行加解密,實現了保密通信。
WAI的原理
類似於802.1x,WAI采用的三元結構和對等鑒別訪問控制方法也是一種基於端口認證方法。
當鑒別器的受控端口處於未鑒別狀態時,鑒別器系統拒絕提供服務,鑒別器實體利用非受控端口和鑒別請求者通信。受控與非受控端口可以是連接到同一物理端口的兩個邏輯端口,所有通過物理端口的數據都可以到達受控端口和非受控端口,並根據鑒別狀態決定數據的實際流向。
- WEP (有線等效保密)
WPI的原理
WPI的封裝過程為:
利用完整性校驗密鑰與數據分組序號(PN),通過校驗算法對完整性校驗數據進行計算,得到完整性校驗碼(MIC);再利用加密密鑰和數據分組序號(PN),通過工作在OFB模式的加密算法對MSDU數據及MIC進行加密,得到MSDU數據以及MIC密文;然后封裝后組成幀發送。
WPI的解封裝過程為:
判斷數據分組序號(PN)是否有效,若無效,則丟棄該數據。
利用解密密鑰與數據分組序號(PN),通過工作在OFB模式的解密算法對分組中的MSDU數據及MIC密文進行解密,恢復出MSDU數據以及MIC明文。
利用完整性校驗密鑰與數據分組序號(PN),通過工作在CBC-MAC模式的校驗算法對完整性校驗數據進行本地計算,若計算得到的值與分組中的完整性校驗碼MIC不同,則丟棄該數據。
解封裝后將MSDU明文進行重組處理並遞交至上層。
-
識別網絡安全風險
外部因素:威脅性
內部因素:脆弱性-
威脅
1.應用系統和軟件安全漏洞
2.安全策略
3.后門和木馬程序
4.黑客
5.安全意識淡薄
6.用戶網絡內部工作人員的不良行為引起的安全問題 -
脆弱性
操作系統的脆弱性
1.動態鏈接
2.創建進程
3.空口令和RPC
4.超級用戶- 計算機系統本身的脆弱性
電磁泄漏
數據的可訪問性
通信系統和通信協議的弱點
數據庫系統的脆弱性
網絡存儲介質的脆弱
- 計算機系統本身的脆弱性
-