網(wǎng)絡(luò)信息安全認(rèn)證課件

網(wǎng)絡(luò)信息安全認(rèn)證嘉為教育網(wǎng)絡(luò)信息安全認(rèn)證嘉為教育1第一部分信息安全的基礎(chǔ)知識(shí)網(wǎng)絡(luò)信息安全講座一、什么是信息安全第一部分信息安全的基礎(chǔ)知識(shí)網(wǎng)絡(luò)信息安全講座一、什么是信2網(wǎng)絡(luò)安全背景與Internet相關(guān)的安全事件頻繁出現(xiàn)安全問(wèn)題遍及流行的軟件如Navigator和IE，以及復(fù)雜的電子商務(wù)服務(wù)器；黑客攻擊及計(jì)算機(jī)病毒愈來(lái)愈多

Internet已經(jīng)成為商務(wù)活動(dòng)、通訊及協(xié)作的重要平臺(tái)Internet最初被設(shè)計(jì)為開(kāi)放式網(wǎng)絡(luò)開(kāi)放式網(wǎng)絡(luò)（OpenNetwork）：允許自由訪問(wèn)的一組服務(wù)器和計(jì)算機(jī)；從一個(gè)安全的角度看，Internet是天生不安全的，TCP/IP協(xié)議沒(méi)有內(nèi)置保護(hù)信息的能力；然而現(xiàn)在，商業(yè)團(tuán)體和個(gè)人開(kāi)始需要Internet應(yīng)用安全的原則，以保護(hù)敏感的數(shù)據(jù)。

網(wǎng)絡(luò)安全背景與Internet相關(guān)的安全事件頻繁出現(xiàn)3什么是安全？安全的定義：信息安全的定義：為了防止未經(jīng)授權(quán)就對(duì)知識(shí)、事實(shí)、數(shù)據(jù)或能力進(jìn)行實(shí)用、濫用、修改或拒絕使用而采取的措施。信息安全的組成：信息安全是一個(gè)綜合的解決方案，包括物理安全、通信安全、輻射安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全等。信息安全專家的工作：安全專家的工作就是在開(kāi)放式的網(wǎng)絡(luò)環(huán)境中，確保識(shí)別并消除信息安全的威脅和缺陷。什么是安全？安全的定義：4安全是一個(gè)過(guò)程而不是指產(chǎn)品不能只依賴于一種類型的安全為組織的信息提供保護(hù)，也不能只依賴于一種產(chǎn)品提供我們的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)所需要的所有安全性。因?yàn)榘踩运w的范圍非常廣闊，包括：防病毒軟件；訪問(wèn)控制；防火墻；智能卡；生物統(tǒng)計(jì)學(xué)；入侵檢測(cè)；策略管理；脆弱點(diǎn)掃描；加密；物理安全機(jī)制。安全是一個(gè)過(guò)程而不是指產(chǎn)品不能只依賴于一種類型的安全為組織的5百分百的安全神話絕對(duì)的安全：只有與網(wǎng)絡(luò)無(wú)連接并且被關(guān)閉的鎖在一個(gè)安全的地方（鑰匙被扔掉）的計(jì)算機(jī)，才是真正唯一安全的計(jì)算機(jī)。只要有連通性，就存在安全風(fēng)險(xiǎn)。相對(duì)的安全：可以達(dá)到的某種安全水平是：使得幾乎所有最熟練的和最堅(jiān)定的黑客不能登錄你的系統(tǒng)，使黑客對(duì)你的公司的損害最小化。安全的平衡：一個(gè)關(guān)鍵的安全原則是使用有效的但是并不會(huì)給那些想要真正獲取信息的合法用戶增加負(fù)擔(dān)的方案。百分百的安全神話絕對(duì)的安全：6第一部分信息安全的基礎(chǔ)知識(shí)網(wǎng)絡(luò)信息安全講座二、常見(jiàn)的攻擊類型我們可以將常見(jiàn)的攻擊類型分為四大類：針對(duì)用戶的攻擊、針對(duì)應(yīng)用程序的攻擊、針對(duì)計(jì)算機(jī)的攻擊和針對(duì)網(wǎng)絡(luò)的攻擊。

第一部分信息安全的基礎(chǔ)知識(shí)網(wǎng)絡(luò)信息安全講座二、常見(jiàn)的攻7第一類：針對(duì)用戶的攻擊1、前門攻擊密碼猜測(cè)在這個(gè)類型的攻擊中，一個(gè)黑客通過(guò)猜測(cè)正確的密碼，偽裝成一個(gè)合法的用戶進(jìn)入系統(tǒng)，因?yàn)橐粋€(gè)黑客擁有一個(gè)合法用戶的所有信息，他（她）就能夠很簡(jiǎn)單地從系統(tǒng)的“前門”正當(dāng)?shù)剡M(jìn)入。2、暴力和字典攻擊暴力攻擊暴力攻擊類似于前門攻擊，一個(gè)黑客試圖使用計(jì)算機(jī)和信息的結(jié)合去破解一個(gè)密碼它使用120個(gè)工作站，兩個(gè)超級(jí)計(jì)算機(jī)利用從三個(gè)主要的研究中心獲得的信息，花掉八天的時(shí)間去破解加密算法。字典攻擊字典攻擊通過(guò)僅僅使用某種具體的密碼來(lái)縮小嘗試的范圍，強(qiáng)壯的密碼通過(guò)結(jié)合大小寫(xiě)字母、數(shù)字、通配符來(lái)?yè)魯∽值涔簟ab2-1：使用LC4破解Windows系統(tǒng)口令Lab2-2：OfficePasswordRecovery&WinZipPasswordRecovery第一類：針對(duì)用戶的攻擊1、前門攻擊8第一類：針對(duì)用戶的攻擊3、病毒計(jì)算機(jī)病毒是一個(gè)被設(shè)計(jì)用來(lái)破壞網(wǎng)絡(luò)設(shè)備的惡意程序，病毒分為以下幾類：引導(dǎo)扇區(qū)/主引導(dǎo)記錄（MBR）：感染軟盤(pán)或硬盤(pán)的特定部分；文件感染：病毒附著在合法程序上，運(yùn)行程序?qū)⒓せ畈《荆缓?腳本：通常在E-Mail附件中，利用Office應(yīng)用程序與操作系統(tǒng)之間的信任關(guān)系。4、社會(huì)工程和非直接攻擊社交工程是使用計(jì)謀和假情報(bào)去獲得密碼和其他敏感信息打電話請(qǐng)求密碼一個(gè)黑客冒充一個(gè)系統(tǒng)經(jīng)理去打電話給一個(gè)公司，在解釋了他的帳號(hào)被意外鎖定了后，他說(shuō)服公司的某位職員根據(jù)他的指示修改了管理員權(quán)限，然后黑客所需要做的就是登錄那臺(tái)主機(jī)偽造E-mail黑客利用假的E-mail來(lái)進(jìn)行社交工程。為了獲得密碼了其它敏感信息黑客發(fā)送那些看上去來(lái)自合法用戶的E-mail，因?yàn)橛脩艚?jīng)常認(rèn)為任何一個(gè)E-mail必須來(lái)自一個(gè)合法的用戶。

Lab2-3：發(fā)送偽造的E-Mail消息第一類：針對(duì)用戶的攻擊3、病毒9第二類：針對(duì)應(yīng)用程序的攻擊5、緩沖區(qū)溢出目前最流行的一種應(yīng)用程序類攻擊就是緩沖區(qū)溢出。當(dāng)目標(biāo)操作系統(tǒng)收到了超過(guò)它設(shè)計(jì)時(shí)在某一時(shí)間所能接收到的信息量時(shí)發(fā)生緩沖區(qū)溢出。這種多余數(shù)據(jù)將使程序的緩存溢出，然后覆蓋了實(shí)際程序數(shù)據(jù)，這種修改的結(jié)果是在系統(tǒng)上產(chǎn)生了一個(gè)后門。6、郵件中繼目前互連網(wǎng)上的郵件服務(wù)器所受攻擊有兩類：一類就是中繼利用(Relay)，你的機(jī)器不僅成為發(fā)送垃圾郵件的幫兇，也會(huì)使你的網(wǎng)絡(luò)國(guó)際流量激增，同時(shí)將可能被網(wǎng)上的很多郵件服務(wù)器所拒絕。另一類攻擊稱為垃圾郵件(Spam)，即人們常說(shuō)的郵件炸彈，是指在很短時(shí)間內(nèi)服務(wù)器可能接收大量無(wú)用的郵件，從而使郵件服務(wù)器不堪負(fù)載而出現(xiàn)癱瘓。Lab2-4：通過(guò)郵件中繼發(fā)送E-Mail消息7、網(wǎng)頁(yè)涂改是一種針對(duì)Web服務(wù)器的網(wǎng)頁(yè)內(nèi)容進(jìn)行非法篡改，以表達(dá)不同的觀點(diǎn)或社會(huì)現(xiàn)象。這種攻擊通常損害的是網(wǎng)站的聲譽(yù)。第二類：針對(duì)應(yīng)用程序的攻擊5、緩沖區(qū)溢出10第三類：針對(duì)計(jì)算機(jī)的攻擊8、物理攻擊許多公司和組織應(yīng)用了復(fù)雜的安全軟件，卻因?yàn)橹鳈C(jī)沒(méi)有加強(qiáng)物理安全而破壞了整體的系統(tǒng)安全。通常，攻擊者會(huì)通過(guò)物理進(jìn)入你的系統(tǒng)等非Internet手段來(lái)開(kāi)啟Internet的安全漏洞。Lab2-5：操作一個(gè)對(duì)Windows2000Server的物理攻擊

9、特洛伊木馬和RootKits任何已經(jīng)被修改成包含非法文件的文件叫做“特洛伊程序”。特洛伊程序通常包含能打開(kāi)端口進(jìn)入RootShell或具有管理權(quán)限的命令行文件，他們可以隱藏自己的表現(xiàn)（無(wú)窗口），而將敏感信息發(fā)回黑客并上載程序以進(jìn)一步攻擊系統(tǒng)及其安全。Lab2-6：遭受NetBus特洛伊木馬感染第三類：針對(duì)計(jì)算機(jī)的攻擊8、物理攻擊11第三類：針對(duì)計(jì)算機(jī)的攻擊10、系統(tǒng)Bug和后門

一個(gè)Bug是一個(gè)程序中的錯(cuò)誤，它產(chǎn)生一個(gè)不注意的通道，黑客經(jīng)常了解這些問(wèn)題并充分利用它們。一個(gè)后門是一個(gè)在操作系統(tǒng)上或程序上未被記錄的通道。程序設(shè)計(jì)員有時(shí)有意識(shí)地在操作系統(tǒng)或程序上設(shè)置后門以便他們迅速地對(duì)產(chǎn)品進(jìn)行支持。11、Internet蠕蟲(chóng)

Internet蠕蟲(chóng)是一種拒絕服務(wù)病毒，最近流行的紅色代碼也是類似的一種蠕蟲(chóng)病毒，其版本2發(fā)作會(huì)自動(dòng)開(kāi)啟600個(gè)線程來(lái)對(duì)外掃描并傳播，并會(huì)安裝木馬，它是利用微軟WindowsIIS服務(wù)器的一個(gè)安全漏洞進(jìn)行攻擊和傳播，已危害全世界數(shù)十萬(wàn)臺(tái)主機(jī)。蠕蟲(chóng)病毒消耗完系統(tǒng)的物理CPU和內(nèi)存資源而導(dǎo)致系統(tǒng)緩慢甚至崩潰，而沒(méi)有其他的破壞。第三類：針對(duì)計(jì)算機(jī)的攻擊10、系統(tǒng)Bug和后門12第四類：針對(duì)網(wǎng)絡(luò)的攻擊12、拒絕服務(wù)攻擊在一個(gè)拒絕服務(wù)攻擊中，一個(gè)黑客阻止合法用戶獲得服務(wù)。這些服務(wù)可以是網(wǎng)絡(luò)連接，或者任何一個(gè)系統(tǒng)提供的服務(wù)。分布式拒絕服務(wù)攻擊DDOS

是指幾個(gè)遠(yuǎn)程系統(tǒng)一起工作攻擊一個(gè)遠(yuǎn)程主機(jī)，通常通過(guò)大量流量導(dǎo)致主機(jī)超過(guò)負(fù)載而崩潰。DDOS通過(guò)將遠(yuǎn)程主機(jī)的網(wǎng)絡(luò)管道（T1或T3）使用欺騙性的流量充滿，而使得沒(méi)有其他人可以訪問(wèn)該服務(wù)。13、哄騙哄騙和偽裝都是偷竊身份的形式，它是一臺(tái)計(jì)算機(jī)模仿另一臺(tái)機(jī)器的能力。特定的例子包括IP哄騙，ARP哄騙，路由器哄騙和DNS哄騙等。在IPv4中，所有服務(wù)器都假定發(fā)送信息的計(jì)算機(jī)具有合法的IP地址，由于TCP/IP沒(méi)有內(nèi)置的驗(yàn)證功能，如果你的安全完全依賴于TCP/IP標(biāo)識(shí)，則有可能造成IP哄騙。第四類：針對(duì)網(wǎng)絡(luò)的攻擊12、拒絕服務(wù)攻擊13第四類：針對(duì)網(wǎng)絡(luò)的攻擊14、信息泄漏幾乎所有的網(wǎng)絡(luò)后臺(tái)運(yùn)行程序在默認(rèn)設(shè)置的情況下都泄漏了很多的信息，在連接過(guò)程中，每臺(tái)計(jì)算機(jī)為了在服務(wù)器和Internet之間建立一個(gè)連接，必須提供具有潛在敏感性的信息。組織結(jié)構(gòu)必須決定如何最少化提供給公眾的信息，哪些信息是必要的，哪些信息是不必要的。Lab2-7：通過(guò)Telnet連接Exchange服務(wù)器的SMTP、POP3等服務(wù)15、劫持和中間人攻擊中間人攻擊是黑客企圖對(duì)一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送到另一臺(tái)主機(jī)的包進(jìn)行操作的攻擊。黑客在物理位置上位于兩個(gè)被攻擊的合法主機(jī)之間。最常見(jiàn)的包括：嗅探包：以獲得用戶名和密碼信息，任何以明文方式傳送的信息都有可能被嗅探；包捕獲和修改：捕獲包修改后重新再發(fā)送；包植入：插入包到數(shù)據(jù)流；連接劫持：黑客接管兩臺(tái)通信主機(jī)中的一臺(tái)，通常針對(duì)TCP會(huì)話。但非常難于實(shí)現(xiàn)。Lab2-8：網(wǎng)絡(luò)包嗅探outlookExpress郵件賬號(hào)口令第四類：針對(duì)網(wǎng)絡(luò)的攻擊14、信息泄漏14第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座三、加密技術(shù)第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座三、加密15加密系統(tǒng)加密把容易讀取的源文件變成加密文本，能夠讀取這種加密文本的方法是獲得密鑰（即把原來(lái)的源文件加密成加密文本的一串字符）加密技術(shù)通常分為三類：對(duì)稱加密：使用一個(gè)字符串（密鑰）去加密數(shù)據(jù)，同樣的密鑰用于加密和解密。非對(duì)稱加密：使用一對(duì)密鑰來(lái)加密數(shù)據(jù)。這對(duì)密鑰相關(guān)有關(guān)聯(lián)，盡管分析公鑰和獲得私鑰是很困難的（幾乎是不可能的），這對(duì)密鑰一個(gè)用于加密，一個(gè)用于解密，反之亦然。非對(duì)稱加密的另外一個(gè)名字是公鑰加密。HASH加密：更嚴(yán)格的說(shuō)它是一種算法，使用一個(gè)叫HASH函數(shù)的數(shù)學(xué)方程式去加密數(shù)據(jù)。理論上HASH函數(shù)把信息進(jìn)行混雜，使得它不可能恢復(fù)原狀。這種形式的加密將產(chǎn)生一個(gè)HASH值，這個(gè)值帶有某種信息，并且具有一個(gè)長(zhǎng)度固定的表示形式。加密系統(tǒng)加密把容易讀取的源文件變成加密文本，能夠讀取這種加密16加密能做什么？數(shù)據(jù)保密性：是使用加密最常見(jiàn)的原因；數(shù)據(jù)完整性：數(shù)據(jù)保密對(duì)數(shù)據(jù)安全是不足夠的，數(shù)據(jù)仍有可能在傳輸時(shí)被修改，依賴于Hash函數(shù)可以驗(yàn)證數(shù)據(jù)是否被修改；驗(yàn)證：數(shù)字證書(shū)提供了一種驗(yàn)證服務(wù)，幫助證明信息的發(fā)送者就是宣稱的其本人；不可否定性：數(shù)字證書(shū)允許用戶證明信息交換的實(shí)際發(fā)生，特別適用于財(cái)務(wù)組織的電子交易。加密能做什么？數(shù)據(jù)保密性：是使用加密最常見(jiàn)的原因；數(shù)據(jù)完整17對(duì)稱密鑰加密系統(tǒng)在對(duì)稱加密或叫單密鑰加密中，只有一個(gè)密鑰用來(lái)加密和解密信息。對(duì)稱加密的好處就是快速并且強(qiáng)壯。對(duì)稱加密的缺點(diǎn)是有關(guān)密鑰的傳播，所有的接收者和查看者都必須持有相同的密鑰，因此所有的用戶必須尋求一種安全的方法來(lái)發(fā)送和接收密鑰。對(duì)稱密鑰加密系統(tǒng)在對(duì)稱加密或叫單密鑰加密中，只有一個(gè)密鑰用18非對(duì)稱密鑰加密系統(tǒng)非對(duì)稱加密在加密的過(guò)程中使用一對(duì)密鑰，一對(duì)密鑰中一個(gè)用于加密，另一個(gè)用來(lái)解密。這對(duì)密鑰中一個(gè)密鑰用來(lái)公用，另一個(gè)作為私有的密鑰：用來(lái)向外公布的叫做公鑰，另一半需要安全保護(hù)的是私鑰。非對(duì)稱加密的一個(gè)缺點(diǎn)就是加密的速度非常慢，因?yàn)樾枰獜?qiáng)烈的數(shù)學(xué)運(yùn)算程序。非對(duì)稱加密的另一個(gè)名字叫公鑰加密。非對(duì)稱密鑰加密系統(tǒng)非對(duì)稱加密在加密的過(guò)程中使用一對(duì)密鑰，一19非對(duì)稱密鑰加密系統(tǒng)盡管私鑰和公鑰都有與數(shù)學(xué)相關(guān)的，但從公鑰中確定私鑰的值是非常困難的并且也是非常耗時(shí)的。在互聯(lián)網(wǎng)上通信，非對(duì)稱加密的密鑰管理是容易的因?yàn)楣€可以任意的傳播，私鑰必須在用戶手中小心保護(hù)。非對(duì)稱密鑰加密系統(tǒng)盡管私鑰和公鑰都有與數(shù)學(xué)相關(guān)的，但從公鑰20非對(duì)稱密鑰對(duì)的用法用于加密的密鑰對(duì)用公鑰加密用私鑰解密用私鑰簽名用公鑰驗(yàn)證用于簽名的密鑰對(duì)非對(duì)稱密鑰對(duì)的用法用于加密的密鑰對(duì)用公鑰加密用私鑰解密用私鑰21Hash加密和數(shù)字簽名HASH加密把一些不同長(zhǎng)度的信息轉(zhuǎn)化成雜亂的128位的編碼里，叫做HASH值。HASH加密用于不想對(duì)信息解密或讀取。使用這種方法解密在理論上是不可能的，是通過(guò)比較兩上實(shí)體的值是否一樣而不用告之其它信息。Hash加密和數(shù)字簽名HASH加密把一些不同長(zhǎng)度的信息轉(zhuǎn)化22加密系統(tǒng)算法的強(qiáng)度加密技術(shù)的強(qiáng)度受三個(gè)主要因素影響：算法強(qiáng)度、密鑰的保密性、密鑰的長(zhǎng)度。算法強(qiáng)度：是指如果不嘗試所有可能的密鑰的組合將不能算術(shù)地反轉(zhuǎn)信息的能力。密鑰的保密性：算法不需要保密，但密鑰必須進(jìn)行保密。密鑰的長(zhǎng)度：密鑰越長(zhǎng)，數(shù)據(jù)的安全性越高。美國(guó)政府把使用超過(guò)40位的密鑰的加密規(guī)定為強(qiáng)加密，這種加密出口相關(guān)的法律已經(jīng)獲得通過(guò)。美國(guó)國(guó)內(nèi)公司想要出口使用強(qiáng)加密的產(chǎn)品，首先要獲得美國(guó)國(guó)務(wù)院的許可。加密系統(tǒng)算法的強(qiáng)度加密技術(shù)的強(qiáng)度受三個(gè)主要因素影響：算法強(qiáng)23常用對(duì)稱加密算法常用對(duì)稱加密算法24常用對(duì)稱加密算法常用對(duì)稱加密算法25常用不對(duì)稱加密算法和Hash算法常用不對(duì)稱加密算法和Hash算法26第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座三、加密技術(shù)數(shù)字證書(shū)與CA認(rèn)證及其應(yīng)用

第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座三、加密27何為數(shù)字證書(shū)？數(shù)字證書(shū)又稱為數(shù)字標(biāo)識(shí)（DigitalCertificate，DigitalID）。它提供了一種在Internet上身份驗(yàn)證的方式，是用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機(jī)駕照或日常生活中的身份證相似。在網(wǎng)上進(jìn)行電子商務(wù)活動(dòng)時(shí)，交易雙方需要使用數(shù)字證書(shū)來(lái)表明自己的身份，并使用數(shù)字證書(shū)來(lái)進(jìn)行有關(guān)的交易操作。通俗地講，數(shù)字證書(shū)就是個(gè)人或單位在Internet的身份證。數(shù)字證書(shū)主要包括三方面的內(nèi)容：證書(shū)所有者的信息、證書(shū)所有者的公開(kāi)密鑰和證書(shū)頒發(fā)機(jī)構(gòu)的簽名。一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書(shū)包含以下一些內(nèi)容：證書(shū)的版本信息；證書(shū)的序列號(hào)，每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào)；證書(shū)所使用的簽名算法；證書(shū)的發(fā)行機(jī)構(gòu)名稱（命名規(guī)則一般采用X.500格式）及其用私鑰的簽名；證書(shū)的有效期；證書(shū)使用者的名稱及其公鑰的信息。何為數(shù)字證書(shū)？數(shù)字證書(shū)又稱為數(shù)字標(biāo)識(shí)（DigitalCer28數(shù)字證書(shū)的用途在使用數(shù)字證書(shū)的過(guò)程中應(yīng)用公開(kāi)密鑰加密技術(shù)，建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，它能夠保證：信息除發(fā)送方和接受方外不被其他人竊??；信息在傳輸過(guò)程中不被篡改；接收方能夠通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)發(fā)送方的身份；發(fā)送方對(duì)于自己發(fā)送的信息不能抵賴。隨著Internet的普及、各種電子商務(wù)活動(dòng)和電子政務(wù)活動(dòng)的飛速發(fā)展，數(shù)字證書(shū)開(kāi)始廣泛地應(yīng)用到各個(gè)領(lǐng)域之中，目前主要包括：發(fā)送安全電子郵件、訪問(wèn)安全站點(diǎn)、網(wǎng)上招標(biāo)投標(biāo)網(wǎng)上簽約、網(wǎng)上訂購(gòu)、安全網(wǎng)上公文傳送網(wǎng)上繳費(fèi)、網(wǎng)上繳稅、網(wǎng)上炒股、網(wǎng)上購(gòu)物和網(wǎng)上報(bào)關(guān)等。數(shù)字證書(shū)的用途在使用數(shù)字證書(shū)的過(guò)程中應(yīng)用公開(kāi)密鑰加密技術(shù)，建29數(shù)字證書(shū)的頒發(fā)數(shù)字證書(shū)是由認(rèn)證中心頒發(fā)的。認(rèn)證中心是一家能向用戶簽發(fā)數(shù)字證書(shū)以確認(rèn)用戶身份的管理機(jī)構(gòu)。為了防止數(shù)字憑證的偽造，認(rèn)證中心的公共密鑰必須是可靠的，認(rèn)證中心必須公布其公共密鑰或由更高級(jí)別的認(rèn)證中心提供一個(gè)電子憑證來(lái)證明其公共密鑰的有效性，后一種方法導(dǎo)致了多級(jí)別認(rèn)證中心的出現(xiàn)。數(shù)字證書(shū)頒發(fā)過(guò)程如下：用戶首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心；認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來(lái)；然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書(shū)，該證書(shū)內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息；用戶就可以使用自己的數(shù)字證書(shū)進(jìn)行相關(guān)的各種活動(dòng)。數(shù)字證書(shū)的頒發(fā)數(shù)字證書(shū)是由認(rèn)證中心頒發(fā)的。30CA認(rèn)證中心(CertificateAuthority)職責(zé)接受用戶的請(qǐng)求(由RA負(fù)責(zé)對(duì)用戶的身份信息進(jìn)行驗(yàn)證)用自己的私鑰簽發(fā)證書(shū)提供證書(shū)查詢接受證書(shū)注銷請(qǐng)求提供證書(shū)注銷表各個(gè)組件和功能示意圖健壯的數(shù)據(jù)

庫(kù)系統(tǒng)無(wú)縫的目錄接口CA硬件管理和運(yùn)

行平臺(tái)安全的審計(jì)密鑰PKICA認(rèn)證中心(CertificateAuthority)職31CA信任關(guān)系當(dāng)一個(gè)安全個(gè)體看到另一個(gè)安全個(gè)體出示的證書(shū)時(shí)，他是否信任此證書(shū)？信任難以度量，總是與風(fēng)險(xiǎn)聯(lián)系在一起可信CA如果一個(gè)個(gè)體假設(shè)CA能夠建立并維持一個(gè)準(zhǔn)確的“個(gè)體-公鑰屬性”之間的綁定，則他可以信任該CA，該CA為可信CA信任模型基于層次結(jié)構(gòu)的信任模型以用戶為中心的信任模型CA信任關(guān)系當(dāng)一個(gè)安全個(gè)體看到另一個(gè)安全個(gè)體出示的證書(shū)時(shí)，他32CA層次結(jié)構(gòu)對(duì)于一個(gè)運(yùn)行CA的大型權(quán)威機(jī)構(gòu)而言，簽發(fā)證書(shū)的工作不能僅僅由一個(gè)CA來(lái)完成它可以建立一個(gè)CA層次結(jié)構(gòu)根CA中間CA根CA具有一個(gè)自簽名的證書(shū)根CA依次對(duì)它下面的CA進(jìn)行簽名層次結(jié)構(gòu)中葉子節(jié)點(diǎn)上的CA用于對(duì)安全個(gè)體進(jìn)行簽名對(duì)于個(gè)體而言，它需要信任根CA，中間的CA可以不必關(guān)心(透明的)；同時(shí)它的證書(shū)是由底層的CA簽發(fā)的CA層次結(jié)構(gòu)對(duì)于一個(gè)運(yùn)行CA的大型權(quán)威機(jī)構(gòu)而言，簽發(fā)證書(shū)的工33以用戶為中心的信任模型對(duì)于每一個(gè)用戶而言，應(yīng)該建立各種信任關(guān)系，這種信任關(guān)系可以被擴(kuò)展例子：用戶的瀏覽器配置以用戶為中心的信任模型對(duì)于每一個(gè)用戶而言，應(yīng)該建立各種信任關(guān)34PKI中密鑰和證書(shū)的管理密鑰/證書(shū)生命周期管理的各個(gè)階段：初始化階段頒發(fā)階段取消階段證書(shū)過(guò)期證書(shū)撤銷

密鑰產(chǎn)生證書(shū)簽發(fā)Bob密鑰使用Bob證書(shū)檢驗(yàn)密鑰過(guò)期密鑰更新PKI中密鑰和證書(shū)的管理密鑰/證書(shū)生命周期管理的各個(gè)階段：35PKI:初始化階段在終端實(shí)體能夠使用PKI支持的服務(wù)之前，它們必須初始化以進(jìn)入PKI。初始化由以下幾步組成：終端實(shí)體注冊(cè)；密鑰對(duì)產(chǎn)生；證書(shū)創(chuàng)建和密鑰/證書(shū)分發(fā)；證書(shū)分發(fā)；密鑰備份。8.證書(shū)響應(yīng)7.證書(shū)請(qǐng)求4.注冊(cè)建立請(qǐng)求5.注冊(cè)建立結(jié)果6.注冊(cè)結(jié)果3.注冊(cè)表格提交2.注冊(cè)表格應(yīng)答終端實(shí)體RACA1.注冊(cè)表格請(qǐng)求PKI:初始化階段在終端實(shí)體能夠使用PKI支持的服務(wù)之前，36PKI:頒發(fā)階段一旦私鑰和公鑰證書(shū)已經(jīng)產(chǎn)生并適當(dāng)?shù)胤职l(fā)，密鑰/證書(shū)生命周期管理的頒發(fā)階段即開(kāi)始。這個(gè)階段包括：證書(shū)檢索——遠(yuǎn)程資料庫(kù)的證書(shū)檢索。證書(shū)驗(yàn)證——確定一個(gè)證書(shū)的有效性（包括證書(shū)路徑的驗(yàn)證）。密鑰恢復(fù)——當(dāng)不能正常訪問(wèn)密鑰資料時(shí)，從CA或信任第三方處恢復(fù)。密鑰更新——當(dāng)一個(gè)合法的密鑰對(duì)將過(guò)期時(shí)，進(jìn)行新的公/私鑰的自動(dòng)產(chǎn)生和相應(yīng)證書(shū)的頒發(fā)。PKI:頒發(fā)階段一旦私鑰和公鑰證書(shū)已經(jīng)產(chǎn)生并適當(dāng)?shù)胤职l(fā)，37PKI:撤消階段密鑰/證書(shū)生命周期管理以取消階段來(lái)結(jié)束。此階段包括如下內(nèi)容：證書(shū)過(guò)期——證書(shū)生命周期的自然結(jié)束。證書(shū)撤銷——宣布一個(gè)合法證書(shū)（及其相關(guān)私有密鑰）不再有效。密鑰歷史——維持一個(gè)有關(guān)密鑰資料的記錄（一般是關(guān)于終端實(shí)體的），以便被過(guò)期的密鑰資料所加密的數(shù)據(jù)能夠被解密。密鑰檔案——出于對(duì)密鑰歷史恢復(fù)、審計(jì)和解決爭(zhēng)議的考慮所進(jìn)行的密鑰資料的安全第三方儲(chǔ)存。PKI:撤消階段密鑰/證書(shū)生命周期管理以取消階段來(lái)結(jié)束。38S/MIME電子郵件加密發(fā)送方和接收方在發(fā)送E-mail信息之前要得到對(duì)方的公鑰。發(fā)送方產(chǎn)生一個(gè)隨機(jī)的會(huì)話密鑰，用于加密E-mail信息和附件。這個(gè)密鑰是根據(jù)時(shí)間的不同以及文件的大小和日期而隨機(jī)產(chǎn)生的。算法通過(guò)使用DES，TripleDES，AES，RC5等等。發(fā)送者然后把這個(gè)會(huì)話密鑰和信息進(jìn)行一次單向加密得到一個(gè)HASH值。這個(gè)值用來(lái)保證數(shù)據(jù)的完整性因?yàn)樗趥鬏數(shù)倪^(guò)程中不會(huì)被改變。在這步通常使用MD2，MD4，MD5或SHA。MD5用于SSL，而S/MIME默認(rèn)使用SHA。發(fā)送者用自己的私鑰對(duì)這個(gè)HASH值加密。通過(guò)使用發(fā)送者自己的私鑰加密，接收者可以確定信息確實(shí)是從這個(gè)發(fā)送者發(fā)過(guò)來(lái)的。加密后的HASH值我們稱作信息摘要。發(fā)送者然后用在第二步產(chǎn)生的會(huì)話密鑰對(duì)E-mail信息和所有的附件加密。這種加密提供了數(shù)據(jù)的保密性。發(fā)送者用接收者的公鑰對(duì)這個(gè)會(huì)話密鑰加密，來(lái)確保信息只能被接收者用其自己的私鑰解密。這步提供了認(rèn)證。然后把加密后的信息和數(shù)字摘要發(fā)送給接收方。解密的過(guò)程正好以相反的順序執(zhí)行。S/MIME電子郵件加密發(fā)送方和接收方在發(fā)送E-mail信39基于SSL的Web服務(wù)器加密SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù)，因此防止了竊聽(tīng)，破壞和信息偽造。SSL允許兩個(gè)應(yīng)用程序通過(guò)使用數(shù)字證書(shū)認(rèn)證后在網(wǎng)絡(luò)中進(jìn)行通信，它還使用加密及信息摘要來(lái)保證數(shù)據(jù)的可靠性。SSL是整附在傳輸層協(xié)議之上的。所有的瀏覽器都支持SSL，所以應(yīng)用程序在使用它時(shí)不需要特殊的代碼。BrowsereWebServer1240bitor128bit?3456基于SSL的Web服務(wù)器加密SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上40第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座四、身份認(rèn)證技術(shù)第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座四、身份41安全系統(tǒng)的認(rèn)證邏輯結(jié)構(gòu)認(rèn)證技術(shù)是信息安全理論與技術(shù)的一個(gè)重要方面。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡，如圖所示，用戶在訪問(wèn)安全系統(tǒng)之前，首先經(jīng)過(guò)身份認(rèn)證系統(tǒng)識(shí)別身份，然后訪問(wèn)監(jiān)控器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫(kù)決定用戶是否能夠訪問(wèn)某個(gè)資源。授權(quán)數(shù)據(jù)庫(kù)由安全管理員按照需要進(jìn)行配置。訪問(wèn)控制和審計(jì)系統(tǒng)都要依賴于身份認(rèn)證系統(tǒng)的提供的“信息”――用戶的身份。黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。安全系統(tǒng)的認(rèn)證邏輯結(jié)構(gòu)認(rèn)證技術(shù)是信息安全理論與技術(shù)的一個(gè)重42身份認(rèn)證的方法用戶或系統(tǒng)能夠通過(guò)四種方法來(lái)證明他們的身份：Whatyouknow？基于口令的認(rèn)證方式是最常用的一種技術(shù)，但它存在嚴(yán)重的安全問(wèn)題。它是一種單因素的認(rèn)證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充。Whatyouhave？更加精密的認(rèn)證系統(tǒng)，要求不僅要有通行卡而且要有密碼認(rèn)證。如：智能卡和數(shù)字證書(shū)的使用。智能卡具有硬件加密功能，有較高的安全性。每個(gè)用戶持有一張智能卡，智能卡存儲(chǔ)用戶個(gè)性化的秘密信息，同時(shí)在驗(yàn)證服務(wù)器中也存放該秘密信息。進(jìn)行認(rèn)證時(shí)，用戶輸入PIN（個(gè)人身份識(shí)別碼），智能卡認(rèn)證PIN，成功后，即可讀出智能卡中的秘密信息，進(jìn)而利用該秘密信息與主機(jī)之間進(jìn)行認(rèn)證。身份認(rèn)證的方法用戶或系統(tǒng)能夠通過(guò)四種方法來(lái)證明他們的身份：43身份認(rèn)證的方法用戶或系統(tǒng)能夠通過(guò)四種方法來(lái)證明他們的身份：Whoyouare？這種認(rèn)證方式以人體惟一的、可靠的、穩(wěn)定的生物特征（如指紋、虹膜、臉部、掌紋等）為依據(jù)，采用計(jì)算機(jī)的強(qiáng)大功能和網(wǎng)絡(luò)技術(shù)進(jìn)行圖像處理和模式識(shí)別。該技術(shù)具有很好的安全性、可靠性和有效性，與傳統(tǒng)的身份確認(rèn)手段相比，無(wú)疑產(chǎn)生了質(zhì)的飛躍。近幾年來(lái)，全球的生物識(shí)別技術(shù)已從研究階段轉(zhuǎn)向應(yīng)用階段，對(duì)該技術(shù)的研究和應(yīng)用如火如荼，前景十分廣闊。Whereyouare？最弱的身份驗(yàn)證形式，根據(jù)你的位置來(lái)決定你的身份。如Unix中的rlogin和rsh程序通過(guò)源IP地址來(lái)驗(yàn)證一個(gè)用戶，主機(jī)或執(zhí)行過(guò)程；反向DNS查詢防止域名哄騙等。身份認(rèn)證的方法用戶或系統(tǒng)能夠通過(guò)四種方法來(lái)證明他們的身份：44常見(jiàn)的身份認(rèn)證技術(shù)口令鑒別協(xié)議（PAP）簡(jiǎn)單“用戶ID-口令”，認(rèn)證信息以明文方式傳輸口令是靜態(tài)的，也就是說(shuō)在一定時(shí)間內(nèi)是不變的，而且可重復(fù)使用，口令極易被網(wǎng)上嗅探劫持一次性口令鑒別技術(shù)（OTP）用戶和機(jī)器之間必須共知一條通行短語(yǔ)，而這通行短語(yǔ)對(duì)外界是完全保密的。和靜態(tài)口令不同的是，這個(gè)通行短語(yǔ)并不在網(wǎng)絡(luò)上進(jìn)行傳輸，所以黑客通過(guò)網(wǎng)絡(luò)竊聽(tīng)是不可能的。每次的口令是三個(gè)按一定算法計(jì)算（Hash計(jì)算）得到的結(jié)果，這三個(gè)因子分別是種子（seed）、迭代值（iteration）和通行短語(yǔ)。種子：決定于用戶，一般在一臺(tái)機(jī)器上，一個(gè)種子對(duì)應(yīng)于一個(gè)用戶，也就是說(shuō)，種子在一個(gè)系統(tǒng)中應(yīng)具有唯一性，這不是秘密的而是公開(kāi)的。迭代值：迭代值是不斷變化的，而種子和通行短語(yǔ)是相對(duì)不變的，所以迭代值的作用就是使口令發(fā)生變化。通行短語(yǔ)：通行短語(yǔ)是保密的，而種子和迭代值是公開(kāi)的，這樣就決定了口令的機(jī)密性。當(dāng)用戶登錄時(shí)，系統(tǒng)會(huì)向用戶提出挑戰(zhàn)，包括種子和迭代值，然后用戶用得到的種子和迭代值再加上自己知道的通行短語(yǔ)計(jì)算出一個(gè)答復(fù)，并傳送給系統(tǒng)，因?yàn)橄到y(tǒng)也知道這個(gè)通行短語(yǔ)，所以系統(tǒng)可以驗(yàn)證答復(fù)是否正確。常見(jiàn)的身份認(rèn)證技術(shù)口令鑒別協(xié)議（PAP）45常見(jiàn)的身份認(rèn)證技術(shù)Kerberos認(rèn)證技術(shù)Kerberos是由美國(guó)麻省理工學(xué)院提出的基于可信賴的第三方的認(rèn)證系統(tǒng)。Kerberos提供了一種在開(kāi)放式網(wǎng)絡(luò)環(huán)境下進(jìn)行身份認(rèn)證的方法,它使網(wǎng)絡(luò)上的用戶可以相互證明自己的身份。Kerberos是一種被證明為非常安全的雙向身份認(rèn)證技術(shù)，其身份認(rèn)證強(qiáng)調(diào)了客戶機(jī)對(duì)服務(wù)器的認(rèn)證，而別的身份認(rèn)證技術(shù)往往只解決了服務(wù)器對(duì)客戶機(jī)的認(rèn)證。Kerberos有效地防止了來(lái)自服務(wù)器端身份冒領(lǐng)的欺騙。Kerberos密鑰分配中心KDC（即Kerberos服務(wù)器）由認(rèn)證服務(wù)器AS和許可證頒發(fā)服務(wù)器TGS構(gòu)成Kerberos的認(rèn)證過(guò)程如圖所示常見(jiàn)的身份認(rèn)證技術(shù)Kerberos認(rèn)證技術(shù)46常見(jiàn)的身份認(rèn)證技術(shù)公鑰認(rèn)證體系（PKI）在認(rèn)證機(jī)制中通信雙方出于安全方面的考慮，可能均需要對(duì)方對(duì)某種信息的數(shù)字簽名，而驗(yàn)證簽名則需要相應(yīng)的公鑰。另外，公鑰雖然不適宜于對(duì)大量信息進(jìn)行加密，但使用公鑰對(duì)會(huì)話密鑰或主密鑰進(jìn)行加密卻是常用的。因此，用戶公鑰是否正確在信息認(rèn)證中也是一個(gè)重要問(wèn)題。一種方法是將所有用戶公鑰存儲(chǔ)于一個(gè)公鑰服務(wù)器中，每個(gè)用戶均可通過(guò)公鑰服務(wù)器查詢到其他用戶的公鑰X.509是定義目錄服務(wù)建議X.500系列的一部分，其核心是建立存放每個(gè)用戶的公鑰證書(shū)的目錄庫(kù)。用戶公鑰證書(shū)由可信賴的CA創(chuàng)建，并由CA或用戶存放于目錄中若A想獲得B的公鑰，A先在目錄中查找IDB，利用CA的公鑰和hash算法驗(yàn)證B的公鑰證書(shū)的完整性，從而判斷公鑰的是否正確顯然X.509是一種基于證書(shū)的公鑰認(rèn)證機(jī)制，這種機(jī)制的實(shí)現(xiàn)必須要有可信賴的CA的參與常見(jiàn)的身份認(rèn)證技術(shù)公鑰認(rèn)證體系（PKI）47第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座五、防火墻技術(shù)第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座五、防火48防火墻簡(jiǎn)介防火墻的定義防火墻指的是位于可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）和不可信網(wǎng)絡(luò)（如Internet）之間并對(duì)經(jīng)過(guò)其間的網(wǎng)絡(luò)流量進(jìn)行檢查的一臺(tái)或多臺(tái)計(jì)算機(jī)。防火墻具有如下特性：所有的通信都經(jīng)過(guò)防火墻；防火墻只放行經(jīng)過(guò)授權(quán)的流量；防火墻能經(jīng)受得起對(duì)其本身的攻擊。防火墻的優(yōu)勢(shì)和弱點(diǎn)防火墻的優(yōu)勢(shì)：實(shí)施一個(gè)公司的整體安全策略創(chuàng)建一個(gè)阻塞點(diǎn)（網(wǎng)絡(luò)邊界）記錄Internet活動(dòng)限制網(wǎng)絡(luò)暴露防火墻的弱點(diǎn)：防火墻不能防范經(jīng)過(guò)授權(quán)的東西。防火墻只能按對(duì)其配置的規(guī)則進(jìn)行有效的工作；防火墻對(duì)社交工程類型的攻擊或一個(gè)授權(quán)的用戶利用合法訪問(wèn)進(jìn)行的惡意攻擊不起作用；防火墻不能修復(fù)脆弱的管理措施或設(shè)計(jì)有問(wèn)題的安全策略；防火墻不能阻止那些不經(jīng)過(guò)它的攻擊。防火墻簡(jiǎn)介防火墻的定義49防火墻的硬件與操作系統(tǒng)運(yùn)行于通用操作系統(tǒng)上的防火墻一些防火墻運(yùn)行于通用操作系統(tǒng)如WindowsNT/2000、Linux/Unix上，它們通過(guò)修改系統(tǒng)的內(nèi)核和TCP/IP協(xié)議棧來(lái)檢測(cè)流量。要想獲得較高的安全性，就必須對(duì)操作系統(tǒng)進(jìn)行加固、修補(bǔ)和維護(hù)。此類防火墻如：運(yùn)行于Linux/Unix、WindowsNT/2000平臺(tái)上的CheckPointFirewall-1，Symantec企業(yè)防火墻，MicrosoftISA2004等。硬件防火墻硬件防火墻集成了操作系統(tǒng)和防火墻的功能，形成了一個(gè)整體牢固、功能專一的設(shè)備。這種防火墻也提供了功能完善的管理接口。硬件防火墻在使用時(shí)不需要做很多主機(jī)加固的工作，不用再費(fèi)心于重新配置和修補(bǔ)通用操作系統(tǒng)，而可以集中注意力構(gòu)思防火墻規(guī)則，減少了操作和維護(hù)的成本。此類防火墻如：CiscoPIX、Netscreen、SonicWall，以及運(yùn)行于NokiaIPSO平臺(tái)上的CheckPointFirewall-1。防火墻的硬件與操作系統(tǒng)運(yùn)行于通用操作系統(tǒng)上的防火墻50第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座五、防火墻技術(shù)防火墻管理的TCP/IP基礎(chǔ)第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座五、防火51TCP/IP安全簡(jiǎn)介如果你是一個(gè)網(wǎng)絡(luò)管理員或安全管理員，你需要對(duì)OSI(OpenSystemInterconnectReferenceModel,開(kāi)放式系統(tǒng)互聯(lián)參考模型)參考模型非常熟悉。TCP/IP堆棧包括四層。為了更好的理解TCP/IP，請(qǐng)與OSI模型進(jìn)行比較。TCP/IP安全簡(jiǎn)介如果你是一個(gè)網(wǎng)絡(luò)管理員或安全管理員，你需52TCP/IP物理層及其安全物理層由傳輸在纜線上的電子信號(hào)組成。物理層上的安全保護(hù)措施不多。如果一個(gè)潛在的黑客可以訪問(wèn)物理介質(zhì)，如搭線竊聽(tīng)和sniffer，他將可以復(fù)制所有傳送的信息。唯一有效的保護(hù)是使用加密，流量添充等。TCP/IP物理層及其安全物理層由傳輸在纜線上的電子信號(hào)組成53TCP/IP網(wǎng)絡(luò)層及其安全I(xiàn)nternet協(xié)議(IP)：IP報(bào)頭中包含一些信息和控制字段，以及32位的源IP地址和32位的目的IP地址。這個(gè)字段包括一些信息，如IP的版本號(hào)，長(zhǎng)度，服務(wù)類型和其它配置等。黑客經(jīng)常利用一種叫做IP欺騙的技術(shù)，把源IP地址替換成一個(gè)錯(cuò)誤的IP地址。接收主機(jī)不能判斷源IP地址是不正確的，并且上層協(xié)議必須執(zhí)行一些檢查來(lái)防止這種欺騙Lab6-1：安裝網(wǎng)絡(luò)包捕獲軟件，捕獲包信息，分析IP報(bào)頭TCP/IP網(wǎng)絡(luò)層及其安全I(xiàn)nternet協(xié)議(IP)：54TCP/IP網(wǎng)絡(luò)層及其安全I(xiàn)nternet控制信息協(xié)議（ICMP）：Internet控制信息協(xié)議（ICMP）報(bào)文由接收端或者中間網(wǎng)絡(luò)設(shè)備發(fā)回給發(fā)送端，用來(lái)在TCP/IP包發(fā)送出錯(cuò)時(shí)給出回應(yīng)。ICMP消息類型ICMP消息包含三個(gè)字段：Type、Code和Checksum，Type和Code字段決定了ICMP消息的類型。0——響應(yīng)回復(fù)：Ping命令發(fā)回的包；3——目標(biāo)不可達(dá)：由Router發(fā)回。Code0：網(wǎng)絡(luò)不可達(dá)；Code1：主機(jī)不可達(dá)；Code2：協(xié)議不可達(dá)；Code3：端口不可達(dá)。8——響應(yīng)請(qǐng)求：由Ping命令發(fā)出；阻止ICMP消息近來(lái)的攻擊方法包括TribalfloodNetwork（TFN）系列的程序利用ICMP消耗帶寬來(lái)有效地摧毀站點(diǎn)。到今天，微軟的站點(diǎn)對(duì)于ping并不做出響應(yīng)，因?yàn)槲④浺呀?jīng)過(guò)濾了所有的ICMP請(qǐng)求。一些公司現(xiàn)在也在他們的防火墻上過(guò)濾了ICMP流量。Lab6-2：通過(guò)網(wǎng)絡(luò)包捕獲軟件，捕獲ICMP包，分析ICMP報(bào)頭TCP/IP網(wǎng)絡(luò)層及其安全I(xiàn)nternet控制信息協(xié)議（IC55TCP/IP傳輸層及其安全傳輸控制協(xié)議（TCP）TCP是一個(gè)面向連接的協(xié)議：對(duì)于兩臺(tái)計(jì)算機(jī)的通信，它們必須通過(guò)握手過(guò)程來(lái)進(jìn)行信息交換。TCP包頭TCP包頭的標(biāo)記區(qū)建立和中斷一個(gè)基本的TCP連接。有三個(gè)標(biāo)記來(lái)完成這些過(guò)程：

SYN：同步序列號(hào)；FIN：發(fā)送端沒(méi)有更多的數(shù)據(jù)要傳輸?shù)男盘?hào)；ACK：識(shí)別數(shù)據(jù)包中的確認(rèn)信息。建立一個(gè)TCP連接：SYN和ACK經(jīng)過(guò)三次握手。中止一個(gè)TCP連接：FIN和ACK結(jié)束一個(gè)TCP連接的四個(gè)基本步驟。攻擊TCPSYN溢出是TCP的最常見(jiàn)威脅，黑客能夠建立多個(gè)TCP半連接，當(dāng)服務(wù)器忙于創(chuàng)建一個(gè)端口時(shí)，黑客留給服務(wù)器一個(gè)連接，然后又去建立另一個(gè)連接并也留給服務(wù)器。這樣建立了幾千個(gè)連接，直到目標(biāo)服務(wù)器打開(kāi)了幾百個(gè)或上千個(gè)半連接。因此，服務(wù)器的性能受到嚴(yán)重限制，或服務(wù)器實(shí)際已經(jīng)崩潰。防火墻必須配置為能夠偵測(cè)這種攻擊。Lab6-3：通過(guò)網(wǎng)絡(luò)包捕獲軟件，捕獲TCP包，分析TCP報(bào)頭TCP/IP傳輸層及其安全傳輸控制協(xié)議（TCP）56TCP/IP傳輸層及其安全用戶數(shù)據(jù)報(bào)協(xié)議（UDP）UDP是一個(gè)非面向連接的協(xié)議。它經(jīng)常用做廣播類型的協(xié)議，如音頻和視頻數(shù)據(jù)流。UDP很少有安全上的隱患。因?yàn)橹鳈C(jī)發(fā)出一個(gè)UDP信息并不期望收到一個(gè)回復(fù)，在這種數(shù)據(jù)報(bào)文里面嵌入一個(gè)惡意的活動(dòng)是很困難的。Lab6-4：通過(guò)網(wǎng)絡(luò)包捕獲軟件，捕獲UDP包，分析UDP報(bào)頭TCP/IP傳輸層及其安全用戶數(shù)據(jù)報(bào)協(xié)議（UDP）57TCP/IP應(yīng)用層及其安全文件傳輸協(xié)議（FTP）FTP用兩個(gè)端口通信：利用TCP21端口來(lái)控制連接的建立，控制連接端口在整個(gè)FTP會(huì)話中保持開(kāi)放。FTP服務(wù)器可能不需要對(duì)客戶端進(jìn)行認(rèn)證：當(dāng)需要認(rèn)證時(shí)，所有的用戶名和密碼都是以明文傳輸?shù)?。同樣使用的技術(shù)包括FTP服務(wù)器上的日志文件，黑客添滿硬盤(pán)，使日志文件沒(méi)有空間再記錄其它事件，這樣黑客企圖進(jìn)入操作系統(tǒng)或其它服務(wù)而不被日志文件所檢查到。因此，推薦將FTP根目錄與操作系統(tǒng)和日志文件分別放在不同的分區(qū)上。超文本傳輸協(xié)議（HTTP）HTTP有兩種明顯的安全問(wèn)題：客戶端瀏覽應(yīng)用程序和HTTP服務(wù)器外部應(yīng)用程序。對(duì)用Web用戶的一個(gè)安全問(wèn)題是下載有破壞性的ActiveX控件或JAVAapplets。這些程序在用戶的計(jì)算機(jī)上執(zhí)行并含有某種類別的代碼，包括病毒或特洛伊木馬。為了擴(kuò)大和擴(kuò)展Web服務(wù)器的功能，一些擴(kuò)展的應(yīng)用程序可以加入到HTTP服務(wù)器中。這些擴(kuò)展的應(yīng)用程序包括JAVA，CGI，AST等等。這些程序都有一些安全漏洞，一旦Web服務(wù)器開(kāi)始執(zhí)行代碼，那么它有可能遭到破壞。對(duì)于這種破壞的保護(hù)方法是留意最新的安全補(bǔ)丁，下載并安裝這些補(bǔ)丁。

TCP/IP應(yīng)用層及其安全文件傳輸協(xié)議（FTP）58TCP/IP應(yīng)用層及其安全TelnetTelnet是以明文的方式發(fā)送所有的用戶名和密碼的。有經(jīng)驗(yàn)的黑客可以劫持一個(gè)Telnet會(huì)話。因此，它不應(yīng)該應(yīng)用到互聯(lián)網(wǎng)上。你還應(yīng)該在防火墻上過(guò)濾掉所有的Telnet流量。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）SNMP允許管理員檢查狀態(tài)并且有時(shí)修改SNMP節(jié)點(diǎn)的配置。它使用兩個(gè)組件，即SNMP管理者和SNMP節(jié)點(diǎn)。SNMP通過(guò)UDP的161和162端口傳遞所有的信息。SNMP所提供的唯一認(rèn)證就是communityname。如果一個(gè)黑客危及到communityname，他將能夠查詢和修改網(wǎng)絡(luò)上所有使用SNMP的節(jié)點(diǎn)。另一個(gè)安全問(wèn)題是所有的信息都是以明文傳輸?shù)?。SNMP是在你公司私有的網(wǎng)絡(luò)中可用的網(wǎng)絡(luò)管理解決方案，但是所有的SNMP流量要在防火墻上過(guò)濾掉。TCP/IP應(yīng)用層及其安全Telnet59TCP/IP應(yīng)用層及其安全域名系統(tǒng)（DNS）DNS使用UDP53端口解析DNS請(qǐng)求，但是在執(zhí)行區(qū)域傳輸時(shí)使用TCP53端口。區(qū)域傳輸是以下面兩種情況完成的：一個(gè)客戶端利用nslookup命令向DNS服務(wù)器請(qǐng)求進(jìn)行區(qū)域傳輸；當(dāng)一個(gè)從屬域名服務(wù)器向主服務(wù)器請(qǐng)求得到一個(gè)區(qū)域文件；針對(duì)DNS常見(jiàn)的兩種攻擊是：DNS中毒：黑客注入錯(cuò)誤的數(shù)據(jù)到區(qū)域傳輸中，其結(jié)果使得其產(chǎn)生錯(cuò)誤的映射。獲得非法的區(qū)域傳輸：黑客可以攻擊一個(gè)DNS服務(wù)器并得到它的區(qū)域文件。這種攻擊的結(jié)果是黑客可以知道這個(gè)區(qū)域中所有系統(tǒng)的IP地址和計(jì)算機(jī)名字。Lab6-5：通過(guò)Whois、Nslookup查詢域名DNS中的記錄TCP/IP應(yīng)用層及其安全域名系統(tǒng)（DNS）60使用地址轉(zhuǎn)換隱藏私有地址網(wǎng)絡(luò)地址轉(zhuǎn)換使用地址轉(zhuǎn)換隱藏私有地址網(wǎng)絡(luò)地址轉(zhuǎn)換61使用地址轉(zhuǎn)換隱藏私有地址端口地址轉(zhuǎn)換使用地址轉(zhuǎn)換隱藏私有地址端口地址轉(zhuǎn)換62使用過(guò)濾路由器的訪問(wèn)控制列表保護(hù)網(wǎng)絡(luò)使用過(guò)濾路由器的訪問(wèn)控制列表保護(hù)網(wǎng)絡(luò)63第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座五、防火墻技術(shù)防火墻的體系結(jié)構(gòu)第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座五、防火64包過(guò)濾防火墻包過(guò)濾防火墻檢查每一個(gè)通過(guò)的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。包過(guò)濾規(guī)則路的樣本：包過(guò)濾的優(yōu)點(diǎn)是：不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。包過(guò)濾最大的缺點(diǎn)就是：不能分辨哪些是“好”包哪些是“壞”包，對(duì)包哄騙沒(méi)有防范能力；不支持更多的其他驗(yàn)證，如用戶認(rèn)證；創(chuàng)建這些規(guī)則非常消耗時(shí)間。Lab6-6：安裝MicrosoftISAServer2004規(guī)則協(xié)議類型源地址目的地址源端口目的端口措施1TCP/2455>102322允許2TCP任意54>102380允許3TCP任意50>102325允許4UDP任意52>102353允許5UDP任意53>102353允許6任意任意任意任意任意禁止包過(guò)濾防火墻包過(guò)濾防火墻檢查每一個(gè)通過(guò)的網(wǎng)絡(luò)包，或者丟棄，或65應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來(lái)自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問(wèn)內(nèi)部網(wǎng)的任何一部分。應(yīng)用級(jí)網(wǎng)關(guān)可以作為一些應(yīng)用程序如電子郵件、FTP、Telnet、WWW等的中介。使用應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)點(diǎn)有：指定對(duì)連接的控制。通過(guò)限制某些協(xié)議的傳出請(qǐng)求，來(lái)減少網(wǎng)絡(luò)中不必要的服務(wù)。大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時(shí)間。使用應(yīng)用級(jí)網(wǎng)關(guān)的缺點(diǎn)有：必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應(yīng)用程序。一些應(yīng)用程序可能根本不支持代理連接。Lab6-7：安裝MicrosoftISAServer2004，配置應(yīng)用服務(wù)發(fā)布規(guī)則應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間66包過(guò)濾防火墻與應(yīng)用級(jí)網(wǎng)關(guān)圖示包過(guò)濾防火墻與應(yīng)用級(jí)網(wǎng)關(guān)圖示67電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)型防火墻的運(yùn)行方式與應(yīng)用級(jí)網(wǎng)關(guān)型防火墻很相似，但是它有一個(gè)典型的特征，它更多的是面向非交互式的應(yīng)用程序。在用戶通過(guò)了最初的身份驗(yàn)證之后，電路級(jí)網(wǎng)關(guān)型防火墻就允許用戶穿過(guò)網(wǎng)關(guān)來(lái)訪問(wèn)服務(wù)器了，在此過(guò)程中，電路級(jí)網(wǎng)關(guān)型防火墻只是簡(jiǎn)單的中轉(zhuǎn)用戶和服務(wù)器之間的連接而已。電路級(jí)網(wǎng)關(guān)型防火墻的典型應(yīng)用例子就是代理服務(wù)器和SOCKS服務(wù)器。電路級(jí)網(wǎng)關(guān)通常提供一個(gè)重要的安全功能：網(wǎng)絡(luò)地址轉(zhuǎn)移（NAT），將所有公司內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址。電路級(jí)網(wǎng)關(guān)的優(yōu)缺點(diǎn)：電路級(jí)網(wǎng)關(guān)的主要優(yōu)點(diǎn)就是提供NAT，在使用內(nèi)部網(wǎng)絡(luò)地址機(jī)制時(shí)為網(wǎng)絡(luò)管理員實(shí)現(xiàn)安全提供了很大的靈活性。電路級(jí)網(wǎng)關(guān)一個(gè)主要的缺點(diǎn)是需要修改應(yīng)用程序和執(zhí)行程序，并不是所有的應(yīng)用程序都被編寫(xiě)成可與電路級(jí)代理一起工作的。電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)型防火墻的運(yùn)行方式與應(yīng)用級(jí)網(wǎng)關(guān)型防火墻很68狀態(tài)包檢測(cè)型防火墻狀態(tài)包檢測(cè)型防火墻是使用了一種SPI引擎的方式來(lái)工作的。它是前三種防火墻的一個(gè)折中。狀態(tài)包檢測(cè)型防火墻的運(yùn)行方式是：1.檢查數(shù)據(jù)包SYN位并作出判斷是否是正在進(jìn)行連接的，如果是，對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行檢查，否則檢查數(shù)據(jù)包是否符合連接規(guī)則，如果符合規(guī)則，則對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行檢查，如果不符合就進(jìn)行阻隔。2.數(shù)據(jù)包通過(guò)內(nèi)容檢查，如果不符合就阻隔，符合則進(jìn)行策略集對(duì)數(shù)據(jù)包內(nèi)容檢查，如果策略集檢查通過(guò)，則數(shù)據(jù)送往目的地址并更新對(duì)話列表，進(jìn)行日值記錄，如果不通過(guò)，則進(jìn)行阻隔。狀態(tài)包檢測(cè)型防火墻狀態(tài)包檢測(cè)型防火墻是使用了一種SPI引擎的69防火墻的配置方案雙宿主機(jī)網(wǎng)關(guān)（DualHomedGateway）防火墻的配置方案雙宿主機(jī)網(wǎng)關(guān)（DualHomedGate70防火墻的配置方案屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostGateway）防火墻的配置方案屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostG71防火墻的配置方案屏蔽子網(wǎng)（ScreenedSubnet）防火墻的配置方案屏蔽子網(wǎng)（ScreenedSubnet）72第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座六、VPN技術(shù)為什么需要VPN？第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座六、VP73企業(yè)聯(lián)網(wǎng)的需求企業(yè)聯(lián)網(wǎng)的需求74為什么不選擇加密的鏈路為什么不選擇加密的鏈路75VPN能帶來(lái)奇跡嗎？VPN能帶來(lái)奇跡嗎？76第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座六、VPN技術(shù)VPN技術(shù)詳解第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座六、VP77提綱提綱78VPN簡(jiǎn)介VPN簡(jiǎn)介79VPN的典型應(yīng)用VPN的典型應(yīng)用80VPN的安全性VPN的安全性81已有的VPN解決方案基于IPSec的VPN解決方案基于第二層的VPN解決方案已有的VPN解決方案基于IPSec的VPN解決方案82基于IPSec的VPN解決方案基于IPSec的VPN解決方案83基于第二層的VPN解決方案基于第二層的VPN解決方案84Point-to-PointTunnelingProtocol第二層隧道協(xié)議提供PPTP客戶機(jī)和PPTP服務(wù)器之間的加密通信Point-to-PointProtocol(PPP)協(xié)議的擴(kuò)展允許封裝多種協(xié)議：TCP/IP、IPX等使用RSA公司的RC4加密方法，但不進(jìn)行隧道驗(yàn)證用戶需要在客戶端配置PPTPInternetRemotePPTPClientISPRemoteAccessSwitchPPTPRASServerCorporateNetworkPoint-to-PointTunnelingProto85Layer2TunnelingProtocol(L2TP)第二層隧道協(xié)議結(jié)合并擴(kuò)展了PPTP和L2F(Ciscosupportedprotocol)對(duì)隧道進(jìn)行驗(yàn)證，但對(duì)傳輸中的數(shù)據(jù)不加密沒(méi)有包括數(shù)據(jù)包的驗(yàn)證、數(shù)據(jù)完整性和密鑰管理InternetRemoteL2TPClientISPL2TPConcentratorL2TPServerCorporateNetworkLayer2TunnelingProtocol(L286VPN的工作原理IPSecInternet密鑰交換解析建立VPN通道的四種方式一個(gè)完整的VPN工作原理圖VPN的工作原理IPSec87IPSec的基本概念I(lǐng)PSec的基本概念88安全關(guān)聯(lián)安全關(guān)聯(lián)89IPSec框架的組成IPSec框架的組成90認(rèn)證頭部AH認(rèn)證頭部AH91傳輸模式下的AH認(rèn)證工作原理傳輸模式下的AH認(rèn)證工作原理92通道模式下的AH認(rèn)證工作原理通道模式下的AH認(rèn)證工作原理93負(fù)載安全封裝（ESP）負(fù)載安全封裝（ESP）94傳輸模式下的ESP工作原理傳輸模式下的ESP工作原理95通道模式下的ESP工作原理通道模式下的ESP工作原理96組合IPSec協(xié)議組合IPSec協(xié)議97為什么還要AH協(xié)議？為什么還要AH協(xié)議？98Internet密鑰交換協(xié)議概要Internet密鑰交換協(xié)議概要99ISAKMP/Oakley階段一工作原理ISAKMP/Oakley階段一工作原理100ISAKMP/Oakley階段二工作原理ISAKMP/Oakley階段二工作原理101VPN通道的建立方式Host對(duì)HostHost對(duì)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)對(duì)VPN網(wǎng)關(guān)RemoteUser對(duì)VPN網(wǎng)關(guān)VPN通道的建立方式Host對(duì)Host102Host對(duì)HostHost對(duì)Host103Host對(duì)VPN網(wǎng)關(guān)Host對(duì)VPN網(wǎng)關(guān)104VPN網(wǎng)關(guān)對(duì)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)對(duì)VPN網(wǎng)關(guān)105RemoteUser對(duì)VPN網(wǎng)關(guān)RemoteUser對(duì)VPN網(wǎng)關(guān)106VPN工作原理圖VPN工作原理圖107VPN的具體應(yīng)用用VPN連接分支機(jī)構(gòu)用VPN連接業(yè)務(wù)伙伴用VPN連接遠(yuǎn)程用戶VPN的具體應(yīng)用用VPN連接分支機(jī)構(gòu)108用VPN連接分支機(jī)構(gòu)用VPN連接分支機(jī)構(gòu)109用VPN連接業(yè)務(wù)伙伴用VPN連接業(yè)務(wù)伙伴110用VPN連接遠(yuǎn)程用戶用VPN連接遠(yuǎn)程用戶111Client/ServerVPNsInternetLANclientsDatabaseServerLANclientswithsensitivedataClient/ServerVPN保護(hù)較為敏感的內(nèi)部通信防止內(nèi)部的攻擊Client/ServerVPNsInternetLAN112一個(gè)企業(yè)級(jí)VPN的組成CorporateNetworkPKIorRADIUSBusinessPartnerBranchOfficeRemoteWorkerVPNGatewayVPNGatewayVPNApplianceVPNClientVPNApplianceDatabaseServerVPNClient一個(gè)企業(yè)級(jí)VPN的組成CorporateNetworkP113VPN設(shè)備容易被攻擊

例如：denialofservice

（DOS）需要在防火墻上開(kāi)通VPN流量的通道VPN流量的安全性得不到保證VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同種類的VPN/Firewall結(jié)構(gòu)VPN設(shè)備容易被攻擊例如：denialofserv114VPNdeviceisvulnerabletoattackeg.denialofserviceTwoconnectionstothefirewallforeverycommunicationrequestBypassessecuritypolicyDenialofserviceVPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet只有VPN/firewall集成的解決方案才能實(shí)現(xiàn)完全的訪問(wèn)控制和全局一致的安全策略不同種類的VPN/Firewall結(jié)構(gòu)VPNdeviceisvulnerabletoat115第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座七、入侵檢測(cè)系統(tǒng)第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座七、入侵116為什么需要IDS關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來(lái)自防火墻外部入侵很容易入侵教程隨處可見(jiàn)各種工具唾手可得為什么需要IDS關(guān)于防火墻117網(wǎng)絡(luò)安全工具的特點(diǎn)優(yōu)點(diǎn)局限性防火墻可簡(jiǎn)化網(wǎng)絡(luò)管理，產(chǎn)品成熟無(wú)法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全狀態(tài)誤報(bào)警，緩慢攻擊，新的攻擊模式Scanner簡(jiǎn)單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問(wèn)題并不能真正掃描漏洞VPN保護(hù)公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個(gè)漏洞防病毒針對(duì)文件與郵件，產(chǎn)品成熟功能單一網(wǎng)絡(luò)安全工具的特點(diǎn)優(yōu)點(diǎn)局限性防火墻可簡(jiǎn)化網(wǎng)絡(luò)管理，產(chǎn)品成熟無(wú)118入侵檢測(cè)的定義對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)IDS:IntrusionDetectionSystem入侵檢測(cè)的定義對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻119IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件（1）信息收集（2）信息分析（3）結(jié)果處理IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件120信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、121信息收集的來(lái)源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息收集的來(lái)源系統(tǒng)或網(wǎng)絡(luò)的日志文件122系統(tǒng)或網(wǎng)絡(luò)的日志文件攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID改變、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容顯然，對(duì)用戶活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等系統(tǒng)或網(wǎng)絡(luò)的日志文件攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，123系統(tǒng)目錄和文件的異常變化網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)入侵者經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件系統(tǒng)目錄和文件的異常變化網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)124信息分析模式匹配統(tǒng)計(jì)分析完整性分析，往往用于事后分析信息分析模式匹配125模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來(lái)講，一種攻擊模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用126統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）測(cè)量屬性的平均值和偏差將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備127完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓倪@經(jīng)常包括文件和目錄的內(nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?28入侵檢測(cè)性能關(guān)鍵參數(shù)誤報(bào)(falsepositive)：如果系統(tǒng)錯(cuò)誤地將異?；顒?dòng)定義為入侵漏報(bào)(falsenegative)：如果系統(tǒng)未能檢測(cè)出真正的入侵行為入侵檢測(cè)性能關(guān)鍵參數(shù)誤報(bào)(falsepositive)：如129入侵檢測(cè)的分類（1）按照分析方法（檢測(cè)方法）異常檢測(cè)模型（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵誤用檢測(cè)模型（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵入侵檢測(cè)的分類（1）按照分析方法（檢測(cè)方法）130異常檢測(cè)特點(diǎn)異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源異常檢測(cè)特點(diǎn)異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的131誤用檢測(cè)模型如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會(huì)發(fā)生誤報(bào)；如果沒(méi)有特征能與某種新的攻擊行為匹配，則系統(tǒng)會(huì)發(fā)生漏報(bào)特點(diǎn)：采用特征匹配，濫用模式能明顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得濫用檢測(cè)無(wú)能為力誤用檢測(cè)模型如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會(huì)發(fā)生誤132入侵檢測(cè)的分類（2）按照數(shù)據(jù)來(lái)源：基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行混合型入侵檢測(cè)的分類（2）按照數(shù)據(jù)來(lái)源：133黑客入侵的過(guò)程和階段Phase3:Attack/ControlResources·

Passwordattacks·

Privilegegrabbing·

TrojanHorse·

Vandalism·

AuditTrailTampering·

AdminChanges·

TheftInternetNetworkIDSHostIDSPhase2:PenetratePerimeter·

App.Attack·

Spoofing·

Protocolexploits

DenialofService·Phase1:Discover&Map·

Scanning&probingAutomated黑客入侵的過(guò)程和階段Phase3:Attack/Contr134InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHost-based入侵檢測(cè)HackerHost-basedIDSHost-basedIDSInternetDesktopsWebServersTel135Internet基于主機(jī)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容：

系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDSInternet基于主機(jī)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1客戶136在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù)主機(jī)資源消耗少提供對(duì)網(wǎng)絡(luò)通用的保護(hù)如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)基于網(wǎng)絡(luò)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù)基于網(wǎng)絡(luò)137InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNetwork-based入侵檢測(cè)Network-basedIDSNetwork-basedIDSNetwork-basedIDSInternetDesktopsWebServersTel138InternetNIDS基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容：

包頭信息+有效數(shù)據(jù)部分InternetNIDS基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)139兩類IDS監(jiān)測(cè)軟件網(wǎng)絡(luò)IDS偵測(cè)速度快隱蔽性好視野更寬較少的監(jiān)測(cè)器占資源少主機(jī)IDS視野集中易于用戶自定義保護(hù)更加周密對(duì)網(wǎng)絡(luò)流量不敏感兩類IDS監(jiān)測(cè)軟件網(wǎng)絡(luò)IDS主機(jī)IDS140制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶：入侵檢測(cè)系統(tǒng)用戶可以分為網(wǎng)絡(luò)安全專家或管理員、系統(tǒng)管理員、安全調(diào)查員。這三類人員對(duì)系統(tǒng)的使用目的、方式和熟悉程度不同，必須區(qū)別對(duì)待操作運(yùn)行環(huán)境：入侵檢測(cè)系統(tǒng)提供的信息形式依賴其運(yùn)行環(huán)境系統(tǒng)目標(biāo)：為用戶提供關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的系統(tǒng)，需要部分地提供主動(dòng)響應(yīng)機(jī)制規(guī)則或法令的需求：在某些軍事環(huán)境里，允許采取主動(dòng)防御甚至攻擊技術(shù)來(lái)對(duì)付入侵行為制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶：入侵檢測(cè)系統(tǒng)用戶可以分為網(wǎng)141響應(yīng)策略彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap響應(yīng)策略彈出窗口報(bào)警142IDS現(xiàn)狀基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)采集、分析的數(shù)據(jù)不全面入侵檢測(cè)由各個(gè)檢測(cè)引擎獨(dú)立完成，中心管理控制平臺(tái)并不具備檢測(cè)入侵的功能，缺乏綜合分析在響應(yīng)上，除了日志和告警，檢測(cè)引擎只能通過(guò)發(fā)送RST包切斷網(wǎng)絡(luò)連接，或向攻擊源發(fā)送目標(biāo)不可達(dá)信息來(lái)實(shí)現(xiàn)安全控制IDS現(xiàn)狀基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)采集、分析的數(shù)據(jù)不143NIDS的部署：共享媒介HUBIDSSensorMonitoredServersConsoleNIDS的部署：共享媒介HUBIDSSensorMonit144NIDS的部署：交換環(huán)境SwitchIDSSensorMonitoredServersConsole通過(guò)端口鏡像實(shí)現(xiàn)（SPAN/PortMonitor）NIDS的部署：交換環(huán)境SwitchIDSSensorMo145IDS的產(chǎn)品免費(fèi)SnortSHADOW/ISSEC/CID/IDS的產(chǎn)品免費(fèi)146IDS的產(chǎn)品商業(yè)軟件CyberCopMonitor,NAIDragonSensor,EnterasyseTrustIDS,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,IIDS的產(chǎn)品商業(yè)軟件147第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座八、無(wú)線局域網(wǎng)絡(luò)的應(yīng)用與安全無(wú)線局域網(wǎng)簡(jiǎn)介

第二部分信息安全的實(shí)際解決方案網(wǎng)絡(luò)信息安全講座八、無(wú)線148無(wú)線局域網(wǎng)(WLAN)什么是無(wú)線局域網(wǎng)？無(wú)線局域網(wǎng)是固定局域網(wǎng)的一種延伸。沒(méi)有線纜限制的網(wǎng)絡(luò)連接。對(duì)用戶來(lái)說(shuō)是完全透明的，與有線局域網(wǎng)一樣。AccessPointAirinterfaceWLANCard無(wú)線局域網(wǎng)(WLAN)什么是無(wú)線局域網(wǎng)？AccessPoi149無(wú)線局域網(wǎng)的傳輸媒體紅外線系統(tǒng)紅外線局域網(wǎng)采用小于1微米波長(zhǎng)的紅外線作為傳輸媒體，有較強(qiáng)的方向性，使用不受無(wú)線電管理部門的限制。紅外信號(hào)要求視距傳輸，并且竊聽(tīng)困難，對(duì)鄰近區(qū)域的類似系統(tǒng)也不會(huì)產(chǎn)生干擾。在實(shí)際應(yīng)用中，由于紅外線具有很高的背景噪聲，受日光、環(huán)境照明等影響較大。無(wú)線電波采用無(wú)線電波作為無(wú)線局域網(wǎng)的傳輸介質(zhì)是目前應(yīng)用最多的，這主要是因?yàn)闊o(wú)線電波的覆蓋范圍較廣，應(yīng)用較廣泛，具有很強(qiáng)的抗干擾抗噪聲能力、抗衰落能力。另一方面無(wú)線局域使用的頻段主要是S頻段（2.4GHz～2.4835GHz），這個(gè)頻段也叫ISM（IndustryScienceMedical）即工業(yè)科學(xué)醫(yī)療頻段，該頻段在美國(guó)不受美國(guó)聯(lián)邦通信委員會(huì)的限制。無(wú)線局域網(wǎng)的傳輸媒體紅外線系統(tǒng)150WLAN標(biāo)準(zhǔn)協(xié)議目前國(guó)際上有三大標(biāo)準(zhǔn)家族美國(guó)IEEE802.11家族歐洲ETSI高性能局域網(wǎng)HIPERLAN系列日本ARIB移動(dòng)多媒體接入通信MMAC其它類似標(biāo)準(zhǔn)：美國(guó)HomeRF共享無(wú)線接入?yún)f(xié)議SWAP2003年1月，由于Intel等公司的退出，該組織已經(jīng)解散IEEE802.11系列標(biāo)準(zhǔn)是WLAN的主流標(biāo)準(zhǔn)！WLAN標(biāo)準(zhǔn)協(xié)議目前國(guó)際上有三大標(biāo)準(zhǔn)家族151IrDA協(xié)議最常見(jiàn)的無(wú)線網(wǎng)絡(luò)應(yīng)用就是紅外線傳輸，目前幾乎所有筆記型計(jì)算機(jī)都已經(jīng)將紅外線網(wǎng)絡(luò)(IrDA，InfraredDataAssociation)作為標(biāo)準(zhǔn)配備。目前紅外線傳輸大致有三種模式：直接式紅外線連接(DB/IR)直接式紅外線連接模式下利用紅外線傳輸資料時(shí)，二個(gè)互通的點(diǎn)(可以是二部計(jì)算機(jī))必須是在相互可看見(jiàn)的同一在線(LineofSight)，而且不能有任何阻隔散射式紅外線連接(DF/IR)散射式紅外線連接模式下則不需是LineofSight，但必須是在同一個(gè)封閉的空間內(nèi)全向性紅外線(Omini/IR)全向性紅外線則是利用一個(gè)紅外線的基地臺(tái)，這個(gè)基地臺(tái)(BaseStation，BS)是全向性的，而工作站上的紅外線則是定向性的發(fā)射器指向此基地臺(tái)IrDA協(xié)議最常見(jiàn)的無(wú)線網(wǎng)絡(luò)應(yīng)用就是紅外線傳輸，目前幾乎所有152IEEE802.11WLAN系列物理層標(biāo)準(zhǔn)標(biāo)準(zhǔn)

內(nèi)

容

狀態(tài)

802.11IR

紅外線傳輸

1997年標(biāo)準(zhǔn)化

802.11FHSS2.4GHz頻段跳頻擴(kuò)頻

1997年標(biāo)準(zhǔn)化

802.11DSSS2.4GHz頻段直接序列擴(kuò)頻（Barker碼）

1997年標(biāo)準(zhǔn)化

802.11b高速率擴(kuò)展

2.4GHz頻段直接序列擴(kuò)頻(Barker碼,CCK)，PBCC(可選)1999年標(biāo)準(zhǔn)化802.11a高速率擴(kuò)展

5GHz頻段OFDM1999年標(biāo)準(zhǔn)化

802.11g進(jìn)一步高速率擴(kuò)展2.4GHz頻段OFDM,PBCC(可選)2003年標(biāo)準(zhǔn)化

802.11d管制域更新。定義物理層需求(信道化、跳頻模式等)和其它需求，以便802.11WLAN能在當(dāng)前標(biāo)準(zhǔn)不支持的新管理區(qū)域(國(guó)家)工作

2001年標(biāo)準(zhǔn)化

802.11h802.11a頻譜和發(fā)射功率管理(主要用于歐洲)正在標(biāo)準(zhǔn)化

IEEE802.11WLAN系列物理層標(biāo)準(zhǔn)標(biāo)準(zhǔn)內(nèi)153IEEE802.11WLAN系列(續(xù))主要的物理層技術(shù)標(biāo)準(zhǔn)比較802.11802.11b802.11g802.11a可用頻譜帶寬83.5MHz83.5MHz83.5MHz125MHz在中國(guó)的工作頻率2.400-2.4835GHz2.400-2.4835GHz2.400-2.4835GHz5.725-5.85GHz互不重疊的信道數(shù)3335,13-24(US)調(diào)制方法FHSS,DSSSCCKCCK,OFDMOFDM每個(gè)信道的最大數(shù)據(jù)速率(Mbps)1,21,2,5.5,111,2,5.5,6,9,11,12,18,

24,36,48,546,9,12,18,

24,36,48,54最大UDP吞吐量

(1500byte)1.7Mbps7.1Mbps19.5Mbps30.7Mbps最大TCP/IP吞吐量(1500byte)1.6Mbps5.9Mbps14.4Mbps24.0MbpsIEEE802.11WLAN系列(續(xù))主要的物理層技術(shù)154藍(lán)牙(Bluetooth)標(biāo)準(zhǔn)Bluetooth的發(fā)展計(jì)劃中，是將其定位為低成本、低功率、涵蓋范圍小的跳頻(FrequencyHopping)RF系統(tǒng)，其設(shè)計(jì)適用于連結(jié)計(jì)算機(jī)與計(jì)算機(jī)、計(jì)算機(jī)與周邊以及計(jì)算機(jī)與其它行動(dòng)數(shù)據(jù)裝置(如行動(dòng)電話、呼叫器、PDA等)。由于BluetoothModule可以輕易植入任何電子產(chǎn)品，因此使用者通過(guò)任何Bluetooth裝置與這些產(chǎn)品溝通，例如：BluetoothtoCableModem、BluetoothtoxDSL、BluetoothtoCellPhone等等。Bluetooth的頻寬目前可達(dá)1Mbps。藍(lán)牙(Bluetooth)標(biāo)準(zhǔn)Bluetooth的發(fā)展計(jì)劃155家庭網(wǎng)絡(luò)的HomeRF標(biāo)準(zhǔn)HomeRF是建構(gòu)在ShareWirelessAccessprotocol(SWAP)的技術(shù)上