网络安全基础
一,概论
本章就网络安全的基本知识作了简要介绍,重点讨论了黑客攻击的步骤以及如何抵御攻击,监听的过程,以及认证、加密、安全协议和防火墙技术。相信通过本章的学习,会增强网络安全意识,更好地享受网络带给我们的利益。
二,1 网络安全的定义
国际标准化组织(1SO)发布了IS07498标准,将安全定义为能将数据与资源的易受攻击 性降到最低限度的一种措施。
表21-1列出了网络中易受攻击的部分。
表21-1:网络资源与潜在威胁
||网络资源||潜在威胁||
本地资源 |
病毒与一些可以破坏本地系统的活动 |
||
络资源网 |
IP欺骗、系统窥视、未经授权的信息获取 |
||
服务器资源 |
未经授权的访问,包括恶意的(通过后门)或以金钱为目的的(例如非法转帐)访问。大多数情况下,服务器资源是黑客攻击的首要目标。 |
||
数据库信息资源 |
未经授权的关于交易机密、客户数据及其他信息的获取。 |
安全威胁
现在已经清楚了安全的定义以及需要保护的网络资源,下一步就需要识别安全威肋的类型。
2 安全威胁的分类
安全威胁的分类
1. 偶然性威胁
2. 有目的的威胁
黑客的分类
1. 偶然攻击者
2. 顽固攻击者
3 攻击类型
欺骗(假面)攻击
中间人攻击
拒绝服务攻击
内部攻击
蛮力攻击
天窗攻击
重放攻击
特洛伊木马攻击
社会工程攻击
注意:以上各种黑客攻击的具体手段在CIW网络安全专家中将会全面学习.
4 黑客攻击过程
一、信息收集
黑客通常需要包括计算机类型、其操作系统的版本、公司信息以及一些物理信息等多类信息
1. 计算机类型与其操作系统的配置
2. 其他网络组成部分
二、对系统安全弱点的探测和分析
黑客在收集到其攻击目标的网络信息后,就开始探测系统的每一台主机,以寻找系统的安全弱点,黑客可能采用以下方式自动扫描网络上的主机:
· 利用一些自编的程序探测网络接口,从而从系统的薄弱漏洞进入系统。
·利用公开的工具
三、实施攻击
· 最简单的是进入系统进行浏览和破坏,并在离开时消除其进入的痕迹,从而在以后可以再次安全进入系统.
·黑客可能在目标系统中放置”特洛伊木马”程序,从而窥探系统的活动并获得黑客感兴趣的其它信息。
1、系统默认
2、系统漏洞与网络入侵
四、控制系统
1、消灭证据
2、获得额外的帐户
5 击退攻击
击退试图非法控制计算机系统的尝试的主要安全服务如下: 服务 描述 授权 根据表述证实身份 访问控制 限制不同用户以不同级别访问文件与目录 数据保护 通过加密技术,使数据被窃听后无法识别 数据集成 保证数据在传输过程中的完整性(不被篡改) 防止抵赖 防止网络交易的双方否认发生过的交易
6 重要的安全组织
几个与安全有关的组织提供有关安全威胁和可能出现形式的信息。其中最着名的包括:
u Computer Emergency Response Team(CERT)
u NationalInstituteofStandardandTechnol的ComputerSecurityResourceClearinghouse(CSRC)
u U.S.Department of Energy(DOE)的Computer IncidentAdvisoryCapability(CAIC)
注意:如果你怀疑你的系统遭受了攻击,可以将这些现象报告给上述组织,请求他们的帮助。
7 审计过程
确定一个网络对抗刺探、入侵和控制的能力的唯一方法是进行一次彻底的实时的监听过程,这个过程也就是审计。审计的3个重要步骤如下:
一、状态分析
1、物理安全
2、服务调查
二、风险分析
1、 确定风险的范围。
2、 调查风险的影响结果。
三、威胁分析
注意:我们为了保护我们的网络不被破坏,我们可以用入侵监测软件来实时监测。
8 保护服务器
通过如下手段可以保护我们的服务器尽量免受攻击:
· 改变你的系统的默认配置。
·检查给予用户与组织的许可。
·训练用户使用认证、加密和口令。
·开始自动记录。
·设立一个活动的底限。
·结合操作系统与Internet服务器策略。
·改变系统的拓扑结构。
·设立书面策略。确定可以接受的活动。
尽管这个列表并不全面,但它包含了安全性分析的必要步骤。
9 认证和加密
认证的概念及方法
认证是指核实某人身份的过程。
可以采取二种方法获取授权:
1. 某些人所拥有的
2. 用所知道的进行认证
3. 用人的特征进行认证
认证类型
为了进行认证,认证服务器必须能够产生并授权认证,有以下几种数字证书类别:
· CA证书
·服务器证书
·个人证书
·软件出版商认证
加密
加密是指对数据进行编码使其看起来毫无意义 ,同时仍保持其可恢复的形式,是保护企业机密的基本方法。
加密方法有很多,但是基本的加密种类只有对称加密、非对称加密和单向加密3种。
对称加密
在对称加密方法中,用于加密和解密的密钥是相同的,接收者和发送者使用相同的密钥-一个秘密密钥。如图7-1所示
注意:想象一下,在这种加密方法中,如果密钥被他人获取,结果将会怎样?(加密内容被破解!)
非对称密钥加密(公开密钥加密)
非对称密钥加密在加密的过程中使用相互关联的一对密钥,一个叫做公钥,一个叫做私钥。图7-2示出了非对称加密的例子。
注意:与对称加密不同的是,在这种加密方法中,公共密钥被用来在网上公开传递,但是如果没有私钥,信息窃取者仍然无法破解信息。
单向加密(Hash encryption)
单向加密包括一个含有哈希(hash)函数的哈希表。这种加密方式用于e-mail程序和SSL对话。
注意:任何优秀的加密解决方案都是以上3种加密技术的综合应用,使用单一的技术来保障网络安全是冒险的。
10 网络协议和加密
文件级的加密只是Internet加密的一个方面。网络级协议和加密算法通过提供机密性、完整性以及认证以确定网络层的一个安全通道。
1. VPN
2 Kerberos
注意:它的缺点是通信易受到破坏。
3. 口令发生器和一次性口令(OTPs)
4. 加密套接字协议层(SSL,Secure Sockets Layer)
SSL协议允许在公用网上秘密地交换数据,这样就可以避免信息被窃听、被篡改或信息丢失,可以用透明交换对称密钥和非对称密钥,进行通信的双方无需预先建立联系。
注意:目前大多数的浏览器都支持SSL
11 防火墙技术
随着Internet的发展,网络已经成为人们生活中不可缺少的一部分,网络安全问题也被提上日程。
概念及特点
防火墙系统是在自有网络和不安全网络之间设置一个安全屏障。
作用
防火墙可以起到以下作用:保证保证网络尽可能的不被破坏。
防火墙系统的局限性
防火墙的所有作用在于监视OSI第2层与第7层之间网络的活动状况。它们不能防止内部应用软件:
所携带的数据,也不能保护网络免受病毒或其它方式(协议哄骗)的袭击。
防火墙对于内部计算机系统未授权的物理袭击,也不能提供安全的保证。
基于信息包过滤器的防火墙
包过滤器:工作在OSI的数据链路层、网络层以及传输层,可以引导路由器过滤基于以下内容的IP数据包:
· 源IP地址
· 目的IP地址
· TCP/UDP源端口
· TCP/UDP目的端口
线路中继器和应用网关防火墙
12 代理服务器
一、线路中继器
一旦线路中继器服务器接收到第一个客户信息包,它就按照客户的实际需求建立起通向目的地的线路,只要允许,该服务器将内部网络客户的每个TCP/UDP信息包的有效负载数据拷贝至其Internet的目的地。
二、应用网关
应用网关执行与线路中继器同样的功能,只是工作于应用层。它取代线路中继器,在网络安全方正前进了一步。
13 防火墙系统的体系结构
网络对外现的安全水平依赖于所用不着的防火墙系统的体系结构。一般将防火墙系统的体系结构分为以下几种:
一、分组过滤防火墙:
这种防火墙相对来说比较简单,适用于内部网络或规模较小的机构或部门,对于要求不高的场合,选用这种防火墙可以说是一种既经济又有效的解决方案。如图所示
二、单归宿防御主机:
防御性主机是一种处于内部网络与潜在的可疑网络之间(Internet 、连接商业团体、大学等)的计算机系统,如图所示
www.neptnet.com_students_c_ciw_foundations_inschool_ciwfd02032_jiaoan25_image_4.jpg
三、双归宿防御主机:
具有多个网络接口控制的计算机系统,广泛用于两个或更多LAN的系统中,或用在计算机的网桥或路由器系统中,如图所示
www.neptnet.com_students_c_ciw_foundations_inschool_ciwfd02032_jiaoan25_image_5.jpg
注意:单归宿防御主机和多归宿防御主机的区别主要在于后者使用2块以上的网卡,从而形成了一种物理上的隔离。
四、屏蔽子网防火墙(DMZ):
这种类型的防火墙在防火墙系统中是最安全的一种,由两个包过滤路由器和一个防御主机组成。如图所示
www.neptnet.com_students_c_ciw_foundations_inschool_ciwfd02032_jiaoan25_image_6.jpg