網(wǎng)絡(luò )安全

計算機網(wǎng)絡(luò )上的通信面臨的威脅

• 截獲——從網(wǎng)絡(luò )上竊聽(tīng)他人的通信內容。(被動(dòng)攻擊)(例如cain軟件)
• 中斷——有意中斷他人在網(wǎng)絡(luò )上的通信。(主動(dòng)攻擊)
• 篡改——故意篡改網(wǎng)絡(luò )上發(fā)送的報文。(主動(dòng)攻擊)(例如cain軟件)
• 偽造——偽造信息在網(wǎng)絡(luò )上傳送。(主動(dòng)攻擊)

截取信息的攻擊稱(chēng)為被動(dòng)攻擊，而更改信息和拒絕用戶(hù)使用資源的攻擊稱(chēng)為主動(dòng)攻擊

例如，cain軟件能夠截獲和篡改本網(wǎng)段的的報文。它是在通過(guò)ARP協(xié)議尋找網(wǎng)關(guān)地址(想上網(wǎng))的時(shí)候，用ARP欺騙，把本電腦的地址發(fā)給那個(gè)，此時(shí)，網(wǎng)段內的所有的計算機的報文都會(huì )發(fā)給cain，這樣訪(fǎng)問(wèn)外網(wǎng)的時(shí)候，都是通過(guò)cain訪(fǎng)問(wèn)的(訪(fǎng)問(wèn)cain提供的假，cain去訪(fǎng)問(wèn)真的，再把信息轉給，這是一種DNS劫持)，既能篡改DNS解析結果，還能獲取密碼。同樣的道理，局域網(wǎng)管理員可以在網(wǎng)關(guān)設置監視端口，獲得本網(wǎng)段的所有信息。

• 中斷——拒絕服務(wù)式攻擊
  舉例：DoS拒絕服務(wù)式攻擊，通過(guò)在網(wǎng)絡(luò )上擁擠一些沒(méi)用的數據包來(lái)組斷網(wǎng)絡(luò )。一般會(huì )占用下載通道ADSL而不是上傳通道UDP，因為下載的帶寬要大得多。
  DDoS分布式攻擊，可以在網(wǎng)絡(luò )上找很多有漏洞的網(wǎng)站(肉雞)，給指定的服務(wù)器發(fā)流量來(lái)使網(wǎng)絡(luò )擁擠吃掉帶寬，對于這種方式?jīng)]有什么好辦法。

DDos攻擊

• 篡改——修改解析的結果
  類(lèi)似于釣魚(yú)網(wǎng)站，當用戶(hù)想出入建設銀行的，解析錯誤導致用戶(hù)訪(fǎng)問(wèn)了錯誤的網(wǎng)站，當用戶(hù)輸入賬號密碼的話(huà)就會(huì )導致信息泄漏。
• 偽造——偽裝成其它的IP地址
  趁其它關(guān)機時(shí)，把IP地址偽裝成該的IP地址，從而獲取信息。

計算機面臨的威脅——惡意程序(rogue program)

• 計算機病毒——會(huì )“傳染”其它程序，“傳染”是通過(guò)修改其它程序來(lái)把自身或其變種復制進(jìn)去完成的。(熊貓燒香)
• 計算機蠕蟲(chóng)——通過(guò)網(wǎng)絡(luò )的通信功能將自身從一個(gè)結點(diǎn)發(fā)送到另一個(gè)結點(diǎn)并啟動(dòng)運行的程序。(消耗CPU資源)
• 特洛伊木馬——一種程序，它執行的功能超過(guò)所聲稱(chēng)的功能。(和(1)(2)的區別是會(huì )和外界通信)
• 邏輯炸彈——一種當運行環(huán)境滿(mǎn)足某種特定條件時(shí)執行其它特殊功能的程序。

木馬程序的識別

查看會(huì )話(huà)netstat -n看看是否有可疑的會(huì )話(huà)；運行msconfig服務(wù)，把隱藏微軟服務(wù)掉，看看剩下的有哪些刻意；殺毒軟件。

加密技術(shù)

廣泛應用于應用層加密。

對稱(chēng)加密

加密密鑰和解密密鑰是同一個(gè)。缺點(diǎn)：密鑰不適合在網(wǎng)上傳；密鑰是一對一的，如果有很多相互通信，有很多密鑰需要維護；優(yōu)點(diǎn)：效率高。加密包括加密算法和加密密鑰。

數據加密標準DES

• 它屬于常規密鑰密碼體制，是一種分組密碼。在加密前，先對整個(gè)銘文進(jìn)行分組，每一個(gè)租場(chǎng)為64位，然后對每一個(gè)64位二進(jìn)制數據進(jìn)行加密處理，產(chǎn)生一組64位密文數據。最后將各組密文串接起來(lái)，即得出整個(gè)密文。使用的密鑰是64位(實(shí)際密鑰長(cháng)度為56位，有8位數用來(lái)奇偶校驗)。
• DES的保密性
  僅取決于對密鑰的保密，而算法本身是公開(kāi)的。盡管人在破譯DES上有很多進(jìn)展，但是至今沒(méi)有找到比窮舉搜索密鑰更有效的方法。
  DES是世界上第一個(gè)公認的使用密碼算法標準，它曾對密碼學(xué)的發(fā)展做出了重大貢獻。
  目前較為嚴重的問(wèn)題是DES的密鑰的長(cháng)度。
  現在已經(jīng)設計出來(lái)搜索DES密鑰的專(zhuān)用芯片。
  DES算法公開(kāi)，所以破解取決于密鑰長(cháng)度，56位密碼破解需要3.5-21min；128位密鑰破解需要5.4*10^18年。

非對稱(chēng)加密

• 加密密鑰和解密密鑰是不同的，有一對密鑰對，公鑰和私鑰。
  要么公鑰加密私鑰解密；要么私鑰加密公鑰解密。
• 優(yōu)點(diǎn)：給出私鑰和公鑰其中一個(gè)無(wú)法算出另一個(gè)。
• 缺點(diǎn)：效率低。
• 非對稱(chēng)加密實(shí)現細節：
  設A是非對稱(chēng)加密機制；B為對稱(chēng)加密機制；A1要給A2傳一組數據，很大，如果直接用非對稱(chēng)加密花的時(shí)間很長(cháng)；為了加快速度，用對稱(chēng)加密手段B來(lái)加密這個(gè)數據得到加密后數據B’和密鑰B給A1，速度很快；然后A1對密鑰B進(jìn)行非對稱(chēng)加密得到公鑰A1’；A1把密鑰A1’和數據B’發(fā)給A2；A2運用私鑰解密A1’獲得密鑰B，再用密鑰B解密這個(gè)數據，最終得到想要的結果。
  通過(guò)這種對數據采用對稱(chēng)加密，對對稱(chēng)加密的密鑰進(jìn)行非對稱(chēng)加密的方式能實(shí)現快速加密。

數字簽名

防止抵賴(lài)，能夠檢查簽名后的內容有沒(méi)有被更改過(guò)。

ssl/' target='_blank'>證書(shū)頒發(fā)機構CA

來(lái)驗證公鑰是否是證書(shū)頒發(fā)機構認證過(guò)。為企業(yè)和用戶(hù)頒發(fā)數字證書(shū)，確認這些企業(yè)和個(gè)人的身份；如果證書(shū)丟失，它要發(fā)布證書(shū)吊銷(xiāo)列表；企業(yè)和個(gè)人是信任證書(shū)頒發(fā)機構的。

Internet上使用的安全協(xié)議

安全套接字(Secure Sockets Layer)

• 的位置
  是在應用層和傳輸層之間進(jìn)行加密。好處是應用層和傳輸層都不需要來(lái)加密。不需要應用程序(應用層)來(lái)支持，但是需要在服務(wù)器配置證書(shū)。
  例如，不使用加密使用的是http://wap.friendlycc.com.cn/ 注意，http://wap.friendlycc.com.cn/

• 的配置(加密的實(shí)現)(http://wap.friendlycc.com.cn/ 客戶(hù)端有一個(gè)瀏覽器IE，想要訪(fǎng)問(wèn)服務(wù)器端的網(wǎng)站web；
  瀏覽器IE要訪(fǎng)問(wèn)網(wǎng)站web，此時(shí)網(wǎng)站web會(huì )把他的公鑰給瀏覽器IE；
  瀏覽器IE通過(guò)校驗CA證書(shū)確保網(wǎng)站web的公鑰是可靠的；
  瀏覽器IE會(huì )產(chǎn)生一個(gè)對稱(chēng)密鑰；
  瀏覽器IE拿著(zhù)網(wǎng)站web的公鑰對它的對稱(chēng)密鑰進(jìn)行加密，發(fā)給網(wǎng)站web；
  網(wǎng)站web用它的私鑰進(jìn)行解密，就得到了瀏覽器IE的對稱(chēng)密鑰；
  所以說(shuō)，本質(zhì)上是用對稱(chēng)密鑰對數據進(jìn)行加密的，公鑰和私鑰是用來(lái)對這個(gè)對稱(chēng)密鑰進(jìn)行加密的。這也是為什么http://wap.friendlycc.com.cn/
• 另外一些協(xié)議使用的安全套接字時(shí)對應的TCP端口
  imaps tcp-993
  pop3s tcp-995
  smtps tcp-465
  https tcp-443
• 提供的三個(gè)功能
  ->服務(wù)器鑒別：允許用戶(hù)證實(shí)服務(wù)器的身份；具有功能的瀏覽器維持一個(gè)表，上面有一些可信賴(lài)的認證中心CA(Certificate Authority)和它們的公鑰。
  ->加密的會(huì )話(huà)：客戶(hù)和服務(wù)器交互的所有數據都在發(fā)送方加密，在接收方解密。
  ->客戶(hù)鑒別：允許服務(wù)器證實(shí)客戶(hù)的身份。

網(wǎng)絡(luò )層安全IPSec

網(wǎng)絡(luò )層安全是底層安全，不需要應用程序支持，也不需要配置證書(shū)，對用戶(hù)是透明的(感覺(jué)不到)。

• 安全關(guān)聯(lián)SA(Security Association)
  在使用AH或ESP之前，先要從源到目的建立一條網(wǎng)絡(luò )層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián)SA。
  IPsec就把傳統的Internet無(wú)連接的網(wǎng)絡(luò )層轉換為具有邏輯連接的層。
  SA是構成IPSec的基礎，是兩個(gè)通信實(shí)體經(jīng)過(guò)協(xié)商(利用IKE協(xié)議)建立起來(lái)的一種協(xié)定，它決定了用來(lái)保護數據分組安全的安全協(xié)議(AH協(xié)議(只簽名：只關(guān)心發(fā)送方的身份而不關(guān)心數據是否被竊取)或ESP協(xié)議(既簽名又對數據加密))，轉碼方式，密鑰及密鑰的生存周期等。
• IPsec中最主要的2個(gè)協(xié)議

1. 鑒別首部AH(Authentication Header):AH鑒別源點(diǎn)和檢查數據完整性，但不能保密。
   在使用AH時(shí)，把AH首部插在原數據報數據部分的簽名，同時(shí)把IP首部中的協(xié)議字段設置為51.
   在傳輸過(guò)程中，中間的路由器都不查看AH首部。當數據報到達終點(diǎn)時(shí)，目的才會(huì )處理AH字段，以鑒別源點(diǎn)和檢查數據報的完整性。

1. 封裝安全有效載荷ESP(Encapsulation Security Payload):ESP比AH復雜的多，它鑒別源點(diǎn)，檢查數據完整性和提供保密。
   使用ESP時(shí)，IP數據報首部的協(xié)議字段設置為50.當IP首部檢查到協(xié)議字段是50時(shí)，就知道在IP首部后面緊跟著(zhù)ESP首部，同時(shí)在原IP數據報后面增加了2個(gè)字段，即ESP尾部和ESP數據。

數據鏈路層安全(鏈路加密與端到端加密)

PPP 身份驗證ADSL

防火墻(firewall)

防火墻的功能

(1)阻止：阻止某種類(lèi)型的通信量通過(guò)防火墻(從外部網(wǎng)絡(luò )到內部網(wǎng)絡(luò )，或反過(guò)來(lái))。(2)允許：允許某種類(lèi)型的通信量通過(guò)防火墻(從外部網(wǎng)絡(luò )到內部網(wǎng)絡(luò )，或反過(guò)來(lái))。防火墻必須能夠識別通信量的各種類(lèi)型。一般是阻止功能。

防火墻的結構

• 邊緣防火墻

• 三向外圍網(wǎng)

DMZ是公司內部的服務(wù)器。內網(wǎng)可以訪(fǎng)問(wèn)外網(wǎng)，外網(wǎng)不能訪(fǎng)問(wèn)內網(wǎng)，只能訪(fǎng)問(wèn)服務(wù)器DMZ。

• 背靠背防火墻

• 單一網(wǎng)卡防火墻

文章來(lái)源：https://news.cndns.com/article/13808

相關(guān)推薦

【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)，上云必備，火爆開(kāi)搶>>點(diǎn)擊查看詳情<<

【全球云-高性能限量搶】高性能云主機好用能省，高性能高配置高儲存，輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<

【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<