網(wǎng)絡(luò)安全1課件

1、網(wǎng)絡(luò)與信息安全最后一課：期末復(fù)習(xí)潘愛(ài)民，北京大學(xué)計(jì)算機(jī)研究所/InfoSecCourse我們的課程內(nèi)容覆蓋密碼學(xué)基礎(chǔ)安全基礎(chǔ)網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用層安全許多內(nèi)容也沒(méi)有深入介紹我們沒(méi)有覆蓋各個(gè)安全方向上的一些研究成果一些新興的安全領(lǐng)域復(fù)習(xí)：信息安全概述信息安全的基本需求保密性完整性可用性發(fā)展：COMSEC-COMPUSEC-INFOSEC-IA信息保障保護(hù)（Protect）檢測(cè)（Detect）反應(yīng)（React）恢復(fù)（Restore）保護(hù)Protect檢測(cè)Detect恢復(fù)Restore反應(yīng)ReactIA復(fù)習(xí)：信息安全概述信息安全法規(guī)規(guī)范信息內(nèi)容規(guī)范網(wǎng)上行為我國(guó)立法情況國(guó)家大法的基本精神指導(dǎo)數(shù)字領(lǐng)域?qū)?/p>

2、于計(jì)算機(jī)犯罪的新增條款國(guó)家條例、商用密碼管理?xiàng)l例急需完善配套信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則TCSEC-ITSEC-CC我國(guó)的標(biāo)準(zhǔn)化工作，亟待進(jìn)一步完善和提高復(fù)習(xí)：密碼學(xué)基礎(chǔ)(一)對(duì)稱(chēng)加密算法密碼算法設(shè)計(jì)指導(dǎo)原則現(xiàn)代密碼算法Feistel結(jié)構(gòu)DES算法針對(duì)DES的密碼分析分組密碼算法的四種用法其他幾種典型的現(xiàn)代密碼算法AES算法隨機(jī)數(shù)產(chǎn)生器復(fù)習(xí)：信息安全基礎(chǔ)(一)關(guān)于認(rèn)證協(xié)議一個(gè)簡(jiǎn)單的認(rèn)證協(xié)議，介紹常見(jiàn)的攻擊手段和對(duì)策中間人攻擊重放攻擊字典攻擊認(rèn)證協(xié)議中的常見(jiàn)技術(shù)時(shí)間戳Challenge/ResponseWindows平臺(tái)的認(rèn)證協(xié)議LanMan口令加密方案NTLMUNIX的crypt

3、()算法HTTP認(rèn)證協(xié)議Basic AuthenticationDigest Access Authentication復(fù)習(xí)：信息安全基礎(chǔ)(二)Kerberos協(xié)議Kerberos協(xié)議基本思想基本的概念：principal, KDC, ticket, credentialKerberos 基本模型TGS，跨realm認(rèn)證Kerberos中ticket的flag通過(guò)這些flags, Kerberos可以適用于實(shí)用的場(chǎng)合Kerberos實(shí)現(xiàn)MIT Release，獨(dú)立的軟件包一組工具：kadmin, kinit, klist, kpasswd支持kerberos的應(yīng)用程序Win2k Kerbero

4、s集成在操作系統(tǒng)之中復(fù)習(xí)：信息安全基礎(chǔ)(四)PKI： Public Key InfrastructurePKI的基本服務(wù)認(rèn)證身份完整性：數(shù)字簽名，MAC和HMAC保密性：用公鑰分發(fā)隨機(jī)密鑰，用隨機(jī)密鑰加密數(shù)據(jù)不可否認(rèn)：發(fā)送方和接收方的不可否認(rèn)PKI中的證書(shū)證書(shū)格式X.509CA層次結(jié)構(gòu)證書(shū)發(fā)放機(jī)制證書(shū)驗(yàn)證機(jī)制證書(shū)注銷(xiāo)機(jī)制復(fù)習(xí)：信息安全基礎(chǔ)(五)SSL/TLS協(xié)議，協(xié)議棧分為兩層底層：TLS記錄協(xié)議上層：TLS握手協(xié)議、TLS密碼變化協(xié)議、TLS警告協(xié)議TLS記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上它提供連接安全性，有兩個(gè)特點(diǎn)保密性，使用了對(duì)稱(chēng)加密算法完整性，使用HMAC算法用來(lái)封裝高層的協(xié)

5、議TLS握手協(xié)議，完整過(guò)程需要13個(gè)消息，最少6個(gè)消息客戶(hù)和服務(wù)器之間相互認(rèn)證，利用證書(shū)協(xié)商加密算法和密鑰四個(gè)階段：hello，服務(wù)器認(rèn)證，客戶(hù)認(rèn)證，結(jié)束針對(duì)SSL/TLS的攻擊TLS在Web應(yīng)用中一種雙向認(rèn)證模型單向TLS認(rèn)證+客戶(hù)提供“用戶(hù)名+口令”復(fù)習(xí)：信息安全基礎(chǔ)(六)訪問(wèn)控制模型：Reference Monitor訪問(wèn)控制策略訪問(wèn)矩陣基于規(guī)則的訪問(wèn)控制基于身份的訪問(wèn)控制基于角色的訪問(wèn)控制一般化的訪問(wèn)控制機(jī)制復(fù)習(xí)：網(wǎng)絡(luò)安全(二)網(wǎng)絡(luò)監(jiān)聽(tīng)共享式網(wǎng)絡(luò)、以太網(wǎng)卡的混雜模式監(jiān)聽(tīng)原理UNIX：Packet socket一個(gè)通用的接口庫(kù)libpcapWindows平臺(tái)，通過(guò)增加驅(qū)動(dòng)程序或者網(wǎng)絡(luò)組件

6、抓包WinPcap：通用的抓包工具抓包的性能考慮：從內(nèi)核到用戶(hù)態(tài)的數(shù)據(jù)傳遞相關(guān)的技術(shù)如何檢查處于混雜模式的節(jié)點(diǎn)在交換式網(wǎng)絡(luò)上監(jiān)聽(tīng)數(shù)據(jù)包發(fā)送數(shù)據(jù)包LibnetWinPcap復(fù)習(xí)：網(wǎng)絡(luò)安全(三)P2DR安全模型網(wǎng)絡(luò)安全定義：Pt Dt + RtIDS(Intrusion Detection System)入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)過(guò)程信息收集模式分析入侵檢測(cè)系統(tǒng)分類(lèi)基于主機(jī)、網(wǎng)絡(luò)、內(nèi)核、應(yīng)用入侵檢測(cè)系統(tǒng)用到的一些技術(shù)異常檢測(cè)誤用檢測(cè)實(shí)用的IDS: snort入侵檢測(cè)系統(tǒng)的研究和發(fā)展神經(jīng)網(wǎng)絡(luò)在IDS中的研究與應(yīng)用STAT：用有限狀態(tài)機(jī)來(lái)表示入侵過(guò)程復(fù)習(xí)：網(wǎng)絡(luò)安全(五)欺騙IP欺騙假冒他人的IP地址發(fā)送信息郵

7、件欺騙假冒他人的email地址發(fā)送信息Web欺騙服務(wù)器端欺騙，使用類(lèi)似的域名改寫(xiě)頁(yè)面Web會(huì)話(huà)劫持TCP會(huì)話(huà)劫持積極攻擊，接管會(huì)話(huà)拒絕服務(wù)技術(shù)和原理都非常簡(jiǎn)單，并且已經(jīng)工具化難以防范典型的DoS：SYN Flood、Smurf復(fù)習(xí)：網(wǎng)絡(luò)安全(六)緩沖區(qū)溢出原理?xiàng)Ｒ绯?stack overflow)堆溢出(heap overflow)Windows平臺(tái)的Buffer overflows編寫(xiě)Windows平臺(tái)下的(遠(yuǎn)程)shellcode難點(diǎn)：如何調(diào)用系統(tǒng)API函數(shù)Shellcode如何獲得執(zhí)行權(quán)Linux平臺(tái)的Buffer overflows編寫(xiě)Linux平臺(tái)下的shellcode發(fā)掘程序的bu

8、ffer overflows漏洞：猜測(cè)返回地址緩沖區(qū)溢出的典型例子緩沖區(qū)溢出的對(duì)策復(fù)習(xí)：網(wǎng)絡(luò)安全(七)后門(mén)后門(mén)是指攻擊者再次進(jìn)入網(wǎng)絡(luò)或者系統(tǒng)而不被發(fā)現(xiàn)的通道后門(mén)技術(shù)是系統(tǒng)相關(guān)的UNIX/LINUX下的后門(mén)Windows下的后門(mén)隱藏痕跡了解Linux的日志文件了解Windows的日志文件復(fù)習(xí)：Windows系統(tǒng)安全Windows安全結(jié)構(gòu)包括Windows環(huán)境下許多與安全有關(guān)的概念LSA(Local Security Authority)對(duì)象訪問(wèn)模型：檢查ACL(ACEs)表WinLogon ModelWindows的網(wǎng)絡(luò)結(jié)構(gòu)NETBIOS over TCP/IPWindows各個(gè)操作系統(tǒng)安全性以

9、及攻防技術(shù)和相應(yīng)的策略一次針對(duì)Windows 2000的入侵過(guò)程發(fā)現(xiàn)目標(biāo)、掃描漏洞滲透：拿到administrator口令安裝后門(mén)復(fù)習(xí)：Linux系統(tǒng)安全Linux系統(tǒng)介紹Linux內(nèi)核：系統(tǒng)調(diào)用機(jī)制，內(nèi)存管理，模塊機(jī)制Linux文件系統(tǒng)：VFS、ext2Linux文件系統(tǒng)安全管理機(jī)制，SUID程序Linux用戶(hù)管理PAM (Pluggable Authentication Modules)Linux的網(wǎng)絡(luò)結(jié)構(gòu)BSD socket, INET socket, 協(xié)議棧, 網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)Linux網(wǎng)絡(luò)配置內(nèi)核防火墻Linux攻防技術(shù)口令破解數(shù)據(jù)驅(qū)動(dòng)攻擊一次針對(duì)Linux的入侵過(guò)程利用了rpc.sta

10、td緩沖區(qū)溢出漏洞復(fù)習(xí)：Web安全性和email安全性Web安全性Web認(rèn)證：TLS，以及HTTP 1.1支持的兩種認(rèn)證機(jī)制Web會(huì)話(huà)Cookie技術(shù)Web服務(wù)器端安全性權(quán)限管理，授權(quán)機(jī)制Web Server LogWeb客戶(hù)端安全性ActiveX control電子郵件S/MIME：簽名和加密，利用PKIPGP(Pretty Good Privacy)PGP消息的處理PGP密鑰的管理，以個(gè)人為中心的信任模型復(fù)習(xí)提綱第一講，安全概述不考第二、三講，密碼學(xué)部分不專(zhuān)門(mén)考第四講認(rèn)證協(xié)議基本知識(shí)，要掌握Windows認(rèn)證方案不考HTTP認(rèn)證協(xié)議不考第五講Kerberos協(xié)議基本知識(shí)，要求掌握具體的消息

11、內(nèi)容，不要背，理解即可Flags不考Kerberos實(shí)現(xiàn)不考，最好知道一點(diǎn)第六講IPSec基本結(jié)構(gòu)要求掌握，包括協(xié)議結(jié)構(gòu)和SA的概念I(lǐng)PSec密鑰管理部分不考PKI：X.509證書(shū)(不要背，要理解)，CA層次結(jié)構(gòu)，證書(shū)的驗(yàn)證過(guò)程復(fù)習(xí)提綱(續(xù))第七講TLS協(xié)議棧要清楚，記錄協(xié)議的結(jié)構(gòu)圖要看得懂握手協(xié)議的過(guò)程要理解，不用背其他內(nèi)容不作要求訪問(wèn)控制機(jī)制知道幾個(gè)概念：Reference Monitor模型、訪問(wèn)矩陣、ACL、基于角色的訪問(wèn)控制策略第八講防火墻的基本知識(shí)，包括分類(lèi)包過(guò)濾防火墻的基本知識(shí)，包括包過(guò)濾防火墻的概念性設(shè)置與Linux的ipchains有關(guān)的內(nèi)容不考應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)不考四種配置方案要理解，不用背第九講網(wǎng)絡(luò)監(jiān)聽(tīng)和IDS不考復(fù)習(xí)提綱(續(xù))第十二講只要求理解棧溢出的概念模型其他不作要求第十三講要求理解Windows系統(tǒng)中與安全有關(guān)的一些概念用戶(hù)、組、SID、SD、ACL對(duì)象訪問(wèn)模型和文件系統(tǒng)訪問(wèn)模型其他內(nèi)容不作要求第十四講要求掌握Linux的用戶(hù)管理機(jī)制、以及文件訪問(wèn)控制機(jī)制、和模塊機(jī)制其他內(nèi)容不作要求第十五講Web安全性，只要求掌握Server Log信息和cookie的基本思想郵件安全性，不作要求病毒的基本知識(shí)題型基本概念題比如，網(wǎng)絡(luò)監(jiān)聽(tīng)需要什么樣的環(huán)境和條件簡(jiǎn)答題比如，說(shuō)明ISAKMP兩階段協(xié)商的優(yōu)缺點(diǎn)論述題比如，如果讓你設(shè)計(jì)一個(gè)安全的電子郵件系統(tǒng)，又要