网络安全终极预测
网络安全终极预测——LHL
授课:郑康锋
填空题、选择题必背(红色历年考过的)
1.信息安全保障的PDRR模型的内涵:保护、检测、响应、恢复。
2.攻击类型:阻断、截取、篡改、伪造
3.网络信息安全服务:机密性、完整性、可用性、可审性。
4.被动攻击:传输报文泄露、通信流量分析。
5.SQL注入基本流程:寻找注入点、信息采集、权限判断、攻击系统
6.DNS查询有两种:递归查询(客户机和服务器之间)、迭代查询(服务器之间)。
7.因特网的域名系统被设计成一个联机分布式数据库系统,并且采用分层树状结构的命名方法。
8.网络扫描分为以下三个步骤:发现目标主机或网络、进一步搜集目标信息(端口扫描、服务识别、操作系统探测)、漏洞检测。
9.端口扫描技术分类:全连接扫描、半连接扫描、秘密扫描
(1)全连接扫描技术:TCP connect()扫描
(2)半连接扫描技术:TCP SYN扫描
(3)秘密扫描:是一种不被审计工具所检测的端口扫描技术,有TCP FIN、TCP ACK、TCP NULL和TCP XMAS扫描、TCP分段扫描。其中TCP ACK扫描无法获得目标主机端口开放情况。
(4)端口扫描某服务器,若发现53号端口开放,则该服务器可能开放的服务是DNS;若发现23号端口开放,则该服务器可能开放的服务是Telnet;若发现21号端口开放,则该服务器可能开放的服务是FTP。
10.服务器检测到Dos攻击,若攻击数据包里面源IP和目的IP相同,则该Dos攻击可能为Land攻击;若服务器接收到大量的ICMP-Echo-Reply响应包,则该Dos攻击可能为Smurf攻击;若服务器上面出现大量的TCP半连接,则该Dos攻击可能为SYN Flood攻击
11.防火墙访问控制包括三个要素:主体、客体、控制策略。
12.防火墙安全策略的指定规范:最小特权原则、最小泄漏原则、多级安全策略。
13.两种访问控制模型:自主访问控制模型DAC、强制访问控制模型MAC
14.自主访问控制模型DAC一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息。
15.强制访问控制模型MAC中考虑到偏序关系,主体对客体的访问主要有四种方式:向下读、向上读、向下写、向上写。
16.MAC模型中的几种主要模型有:Lattice模型、BLP模型、Biba模型。
(1)Lattice模型适合需要对信息资源进行明显分类的系统
(2)Bell-LaPadula(BLP)模型无上读、无下写,强调信息的机密性而忽略了信息完整性。
(3)Biba模型禁止向上写,没有向下读。
17.MAC对访问主体和客体标识两个安全标记:具有偏序关系的安全等级标记、非等级分类标记。
18.防火墙功能:内容过滤,用户认证,VPN,应用程序代理,访问控制,IDS与报警,NAT,日志
19.防火墙分类
(1)从形态上分类:软件防火墙、硬件防火墙
(2)从实现技术分类:包过滤防火墙、应用网关防火墙、代理防火墙、状态检测防火墙、电路级网关
(3)从部署位置分类:主机防火墙、网络防火墙
20.防火墙访问控制方法(复方用心):服务控制、方向控制、用户控制、行为控制
21.包过滤防火墙针对以下信息判断:基本信息(协议ip端口等)、协议具体信息、数据流向和接口信息。
22.状态检测防火墙是在动态包过滤防火墙基础上加上状态检测机制形成的。
23.网络地址翻译(NAT)目的:解决IP地址空间不足问题、向外界隐藏内部网结构
24.NAT方式:M-1多个内部网地址翻译到1个IP地址、1-1简单的地址翻译、M-N多个内部网地址翻译到N个IP地址池。
25.地址翻译NAT类型:静态NAT(内部网络每个主机都永久映射成外部合法的地址)、NAT池(外部网络定义了一系列合法地址,采用动态分配的方式映射到内部网络)、端口NAT(PNAT)(内部地址映射到外部网络的一个IP地址的不同端口上)
26.防火墙的三种体系结构:双重宿主主机体系、屏蔽主机体系结构、屏蔽子网体系结构
27.防火墙体系架构中屏蔽子网体系架构相对来说是入侵者最难攻破的。该体系架构中的主要组成部分:外部路由器、堡垒主机、内部路由器。其中堡垒主机是整个架构的核心。
28.入侵检测的分类
(1)根据原始数据的来源:基于主机、基于网络
(2)根据检测原理:异常入侵检测、误用入侵检测
(3)根据体系结构:集中式、等级式、协作式
(4)根据工作方式分类:离线检测、在线检测
29.基于主机系统结构(HIDS)检测的目标:主机系统、系统本地用户
30.基于网络系统结构(NIDS)依据以下内容检测入侵:网络流量、协议分析、单台或多台主机的审计数据。
31.常用入侵检测模型:Dennning模型
(1)CIDF:事件产生器、事件分析器、响应单元、事件数据库。
(2)Denning模型:主体、对象、审计记录、活动档案、异常记录、活动规则。
32.基于异常的入侵检测的检测原理是:正常行为的特征轮廓、检测系统运行情况、是否偏离预设门限。其常用检测算法是统计分析。
33.基于误用入侵检测的原理:根据已知系统或软件的漏洞来检测入侵行为。常用的检测算法有专家系统,模型推理,状态转换分析,完整性分析。
34.端到端数据通路存在泄露的地方:拨入段链路上、ISP接入设备上、在因特网上、在安全网关上、在企业内部网上。
35.VPN中公用网络包括:IP网络、帧中继网络和ATM网络。
36.VPN组成:VPN服务器、VPN连接、VPN客户机
37.VPN的实现要求:支持数据分组的透明传输、支持安全功能、提供服务质量保证
38.隧道技术实际是一种数据封装,将一种协议X封装在另外一种协议Y中,从而实现协议X对公用传输网络(采用协议Y)的透明性。隧道协议的组成:乘客协议、封装协议、运载协议
39.根据网络类型的差异,可以将VPN分为Client-LAN、LAN-LAN
40.VPN的定义:依靠ISP或其它NSP在公用网络基础设施之上构建的专用的数据通信网络。特点:封闭的用户群,安全性高,服务质量有保证。VPN功能:数据机密性保护、数据完整性保护、数据源身份认证、重放攻击保护
41.PPTP和L2TP协议都是数据链路层安全协议,其中PPTP协议要求互联网必须为IP网络。L2TP协议体系主要由LAC和LNS构成。
42.IPSec协议(IP层安全协议)
(1)解决的问题:数据源身份认证、数据完整性、数据保密、重放攻击保护、自动的密钥管理和安全关联管理(比一般vpn多出来的)
(2)体系结构:AH和ESP协议
(3)AH协议只有认证功能;ESP协议有认证和加密功能(AH:认证头、ESP:封装安全有效载荷);安全关联SA:规定协议的安全参数
43.记住两种模式:传输模式和隧道模式
44.安全关联SA里面有:密钥数值,序列号,IPsec实施类型等参数。
45.IKE(互联网密钥交换)
(1)阶段一交换实现模式:身份保护模式(主模式)、野蛮模式。
(2)主模式:提供了身份保护机制,经过三个步骤,共交换了六条消息。
三个步骤分别是:策略协商交换、DH共享值及nonce交换、身份验证交换
(3)野蛮模式:分为三个步骤,但只交换三条消息,头一条消息协商策略,交换DH公开值必需的辅助数据以及身份信息;第二条消息认证响应方;第三条消息认证发起方,并为发起方提供在场的证据。
三个步骤:策略协商和Diffie-Hellman公开值交换、响应方身份验证和Diffie-Hellman公开值交换、发起方身份验证
(4)主模式和野蛮模式都允许4种不同的验证方法:预共享密钥、DSS数字签名、RSA数字签名、交换加密
(5)阶段二使用快速模式,分为三个步骤,交换三条消息。步骤:发起快速模式、响应快速模式、确认快速模式
(6)IKE协议的作用是:在通信双方之间通过协商建立SA
(7)IKE密钥交换第一阶段的目的是:在通信双方之间建立一对ISAKMP SA,进而建立一条安全的通信信道。
(8)第二阶段的目的是:在通信双方之间建立IPSec SA
46.SSL的目标:提供保密性和完整性(身份认证)
47.SSL特性:互操作性、可扩展性、相对效率
48.SSL协议体系
(1)底层:SSL记录协议
(2)上层:SSL握手协议、SSL密码变化协议、SSL警告协议、http
49.SSL数据封装过程:分块、压缩、计算MAC、加密、增加SSL记录头
50.PGP为电子邮件、文件存储应用提供了认证和保密性服务
51.PGP功能:数字签名、消息加密、压缩、邮件兼容性、数据分段
52.邮件数据处理顺序:签名、压缩、加密
53.压缩在签名之后的目的是:便于使用多种压缩算法
54.加密在压缩之后的目的是:减少消息的冗余量,使得加密强度更大,密码分析难度变大
55.PGB使用四种类型的密钥:一次性会话传统密钥、公钥、私钥、基于口令短语的传统密钥
56.私钥环是被用户口令加密的,存储属于本节点的公钥/私钥对
57.公钥环:存储本节点所知道的其他用户的公钥
大题必背(红色考过)
1.请说出ARP欺骗的原理和ARP欺骗的每个步骤。
(1)ARP是地址解析协议,用于将ip地址解析成mac地址。
(2)ARP欺骗是利用修改主机上的ARP缓存表以达到嗅探的目的,是一种中间人攻击。
(3)主机C要对主机A和主机B进行ARP欺骗,要向主机A和主机B分别发送ARP响应包,告诉它们IP地址为IPA的主机的MAC地址为MACC,ip地址为IPB的主机的MAC地址为MACC,这样主机A和主机B的ARP缓存表上就会有IPA-MACC和IPB-MACC的记录,它们之间发送的消息都会发送给主机C。
(4)攻击者可以拦截目标设备和网关之间的所有数据流量。根据攻击者的意图,他们可以选择透明地转发数据(使受害者不知情),或者修改数据。
(5)不过ARP缓存表会动态更新,主机C在监听过程中需要不断发送ARP响应包。
2.简要说说全连接扫描(TCP connect)
TCP connect扫描完成整个TCP连接过程,利用connect()系统调用,对目标计算机的每个端口进行连接。如果端口处于侦听状态,那么connect()就能成功;否则,该端口是不能用的,即没有提供服务。
优点:快速,不用权限可以打开多个套接字,加速扫描
缺点:不隐蔽,防火墙容易过滤
3.简要说说半连接扫描(TCP SYN扫描)
向目标特定端口发送一个SYN报文,根据目标主机返回的数据包,只要辨别报文中是含有SYN+ACK标志还是RST标志,就能够知道目标的相应端口是处于监听还是关闭状态。
优点:快速、效率高;隐蔽,一般不会再目标计算机留下记录。
缺点:需要root权限构造SYN包
4.简要说说秘密扫描,并列举几个秘密扫描
秘密扫描技术是一种不被审计工具所检测的端口扫描技术
现有的秘密扫描技术有TCP FIN,TCP ACK,TCP NULL,TCP XMAS,TCP分段扫描。其中TCP ACK扫描无法获得目标主机端口开放情况。
(1)TCP FIN:SYN不够秘密,会被防火墙、包过滤器监视;但是FIN可能会没有任何麻烦的通过,因为他不在三次握手中。原理:关闭的端口会用适当的RST来回复FIN数据包,打开的端口会忽略对FIN数据包的回应。
(2)TCP ACK:TCP ACK扫描利用的是标志位ACK,但不是用于确定目标打开了哪些端口,用于检测防火墙。
(3)TCP NULL和TCP XMAS扫描:是FIN扫描的两个变种。NULL扫描向目标发送一个所有标志位都置为0的报文,而XMAS扫描则向目标发送一个URG/PSH/FIN报文,如果目标的相应端口是关闭的话,应该会收到一个RST数据包,否则就不会收到来自目标的任何回应。
缺点:通常适用于UNIX/Linux目标主机;需要root权限
优点:隐蔽性好
(4)TCP分段扫描:并不直接发送TCP探测数据包,而是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包,从而包过滤器很难探测到。
优点:隐蔽性好,可穿越防火墙
缺点:可能被丢弃;某些程序处理小数据包会发生异常
5.Teardrop是什么类型的攻击,详细描述攻击的原理(TCP)
DDOS攻击。
(1)MTU是最大的传输单元,大的数据包再传输时需要分段,Teardrop就是根据分割重组之间的漏洞向目标机器发送损坏的IP包,如重叠的包或者过大的载荷包,通过TCP/IP协议栈中分片重组代码中的bug来瘫痪各种不同的操作系统。
(2)这样,接收方重组时数据包长度过大甚至为负数,造成溢出。
6.简要说说ping of Death(ICMP)攻击
早期的操作系统在处理ICMP数据包时只分配了64kb的缓冲区来存放收到的数据包,攻击者可以在ICMP数据包之后附加非常多的冗余信息,使得数据包大小超过65535字节,这样接收方获取数据包时会发生栈溢出,导致系统崩溃。
7.简要说说LAND攻击
攻击者发送一个构造好的SYN数据包,该包的起始地址和接收地址都是目标机器的IP地址,这样目标机器接收到该数据包,会向自身发送一个SYN ACK数据包,接着再向自身发送ACK数据包并创建一个空连接,目标主机每收到这样一个SYN数据包都会创建这样一个空连接,且保留,直到超时。
8.简要说说SYN Flood攻击
(1)每个机器都需要为半连接分配一定的资源,这种半连接的数量是有限制的。
(2)攻击者利用TCP协议的三次握手过程,打开大量的半连接。(不可达)
(3)接收方产生大量的半连接,不能再接受新的TCP连接。(速度差)
(4)难以跟踪,因为源地址往往不可信,而且不在线。
9.简要说说Smurf攻击
(1)攻击者向广播地址发送ICMP Echo请求,并且将请求源地址设为目标主机的地址
(2)广播地址所在网络的所有主机会相应ICMP请求,向目标主机发送ICMP Echo-Reply应答。目标主机被这些应答淹没。
10.简要说说HTTP洪水
用HTTP GET FLOOD反复请求服务器上的资源文件,大量消耗服务器上的资源,导致服务器崩溃。不仅仅针对web服务,还可以因为HTTP请求造成大量数据库查询,造成数据库停止响应,系统负载升高,服务器宕机。
11.简要说说CC攻击
攻击者操控某些主机不停发送大量数据包给对方服务器,服务器资源耗尽、宕机崩溃。
特点:真实度高;检测困难;防御困难
如何检测CC攻击:一般遭受CC攻击时,Web服务器会出现80端口对外关闭的DDoS攻击现象;在命令行中输入netstat-an,若查看80端口大量雷同的连接记录,则基本判定被CC攻击了
12.请说说DNS欺骗原理与过程
DNS是域名解析协议,用于将域名解析成IP地址。
原理:(1)DNS只使用序列号来进行有效性鉴别,有序列号攻击的风险。
(2)DNS从协议上看,响应消息可以随意的附加信息,攻击者可以附加任何无关的信息,对信息的完整性造成威胁。
(3)DNS有缓存机制,当客户端或者服务端收到某个域名和IP地址的对应信息是,会放入缓存中,下次直接使用,也有攻击的风险。
步骤:(1)拦截DNS查询
攻击发起:攻击者监听网络流量,寻找DNS查询请求。
拦截查询:攻击者可能通过中间人攻击或对DNS服务器的直接访问来拦截对特定域名的查询。
(2)发送伪造的DNS响应
伪造响应:攻击者构造一个伪造的DNS响应数据包。
篡改内容:在这个伪造的响应中,攻击者将目标域名的IP地址指向一个恶意IP,而不是合法IP。
(3)缓存投毒
欺骗DNS服务器:如果攻击者发送的伪造响应到达了DNS服务器/用户,目标可能会将这个错误的信息缓存起来。
影响用户:之后,当其他用户查询相同的域名时,DNS服务器会返回这个错误的IP地址,导致用户被重定向到恶意网站。
13.防火墙的定义和满足的条件
(1)防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合。
(2)它满足以下条件:所有进出被保护网络的通信必须通过防火墙;所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权;防火墙自身应对渗透免疫
14.说说包过滤防火墙的相关规则和优缺点
(1)包过滤防火墙对接收的每个数据包进行审查,以便确定其是否与某一条包过滤规则匹配,进而做允许、拒绝
(2)包过滤规则:过滤规则基于可以提供给针对基本信息(协议IP转发过程的包头信息, ip, 端口等)、协议具体信息、数据流向和接口信息进行判断进行判断。
(3)分为静态包过滤与动态包过滤两类。动态包过滤: 对外出数据包的身份做一个标记,对相同连接的进入的数据包也被允许通过,也就是说,它捕获了一个“连接”,而不是单个数据包头中的信息。
(4)优点: a.逻辑简单、成本低;b.对网络性能影响小,有较强的透明性;c.易于匹配大多数网络层、传输层数据包;d.它的工作与应用层无关,无需改动应用层。(速记:成本、性能、向下、向上)
(5)缺点:配置需要对IP、TCP、UDP、ICMP等协议有相当深入的理解;据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不能得到充分满足;由于数据包的地址及端口号都在数据包的头部,不能彻底防止IP地址欺骗;允许外部客户和内部主机的直接连接;不提供用户鉴别机制。
15.说说应用网关防火墙的相关规则和优缺点
(1)代理防火墙/应用网关在应用层处理信息:应用代理可以对数据包的数据区进行分析,并以此判断数据是否允许通过。
(2)流程:对用户的身份进行验证。若为合法用户,则把请求转发给真正的内网主机,同时监控用户的操作,拒绝不合法的访问。当内部网络向外部网络申请服务时,代理服务器的工作过程刚好相反,执行数据包监控,再转发给外网主机。
(3)优点:不允许内外网主机的直接连接, 隐藏内部IP, 日志更详细
(4)缺点:效率低, 需要针对每一种协议单独设置, 对用户不透明
16.说说状态检测防火墙的相关规则和优缺点
(1)概念:状态检测防火墙是在动态包过滤防火墙基础上,增加状态检测机制而形成的,具有连接的跟踪能力。
(2)状态检测可以结合前后数据包里的数据信息(IP报头+TCP报头+数据)进行综合分析决定是否允许该包通过。
(3)以TCP协议为例:状态检测机制关注的主要问题不再仅是SYN和ACK标志位,或者是来源端口和目标端口,还包括了序号、窗口大小等其它TCP协议信息。
(4)优点:具备动态包过滤的所有优点,同时具有更高的安全性。
(5)缺点:仅限于网络层与传输层, 无法抵抗应用层的攻击;性能比动态包过滤稍差,因为检测更多内容。
17.双重宿主主机体系有几个部分组成,详细描述各个部分的功能
(1)双重宿主主机体系是一台主机(双重宿主主机)拥有两个网络接口,一个连接到外部网络(如互联网),另一个连接到内部网络(如企业内部网)。
(2)它位于内部网络和外部网络之间,充当与这些接口相连的网络之间的路由器,能够从一个网络接收IP数据包并将之发往另一网络。
(3)双重宿主主机的防火墙体系结构禁止内网直接发送功能,完全阻止了内外网络之间的IP通信
(4)双重宿主主机的特性:安全至关重要(唯一通道),其用户口令控制安全是关键;必须支持很多用户的访问(中转站),其性能非常重要
(5)缺点:双重宿主主机是隔开内外网络的唯一屏障,一旦它被入侵,内部网络便向入侵者敞开大门
18.屏蔽主机体系结构有几个部分组成,详细描述各个部分的功能
(1)组成:屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。其中一般防火墙就是简单的包过滤路由器。
(2)经典结构:包过滤路由器+堡垒主机
(3)包过滤路由器: 在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。
堡垒主机:配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁,它需要拥有高等级的安全
(4)配置规则:允许内部主机为了某些服务请求与外部网上的主机建立直接连接(即允许那些经过过滤的服务)。不允许所有来自外部主机的直接连接,而是需要经过堡垒主机。
(5)优点:安全性更高,双重保护;实现了网络层安全(包过滤)和应用层安全(代理服务),不允许外界主机直接连接
(6)缺点:过滤路由器能否正确配置是安全与否的关键。如果路由器被损害,堡垒主机将被穿过。
19.屏蔽子网体系结构防火墙有几个部分组成,详细描述各个部分的功能
(1)由外部路由器、周边网络、堡垒主机、内部路由器、内部网络组成
(2)外部路由器:保护周边网络和内部网络不受外部网络的侵犯
周边网络:作为一个防护层、可以运行一些信息系统,在其上可放置一些信息服务器,它们是牺牲主机,可能会受到攻击。在受到侵犯时仍能消除对内部网络的监听。
堡垒主机:位于周边网络,是整个防御系统的核心;可被认为是应用层网关,可以运行各种代理服务程序;出站服务不一定要求经过堡垒主机,但所有入站服务都要经过堡垒主机。
内部路由器:保护内部网络不受周边网络和外部网络的侵犯,执行大部分的过滤工作。
内部网络:重要的数据所在,存放机密数据。
(3)优点:需要攻破3个不同的设备才能进入内部网络;只对外通告非军事区,保证内部网络不可见;内部网络用户通过堡垒主机或代理服务器访问外部网络。
20.基于主机系统结构?优缺点?
(1)检测的目标:主要是主机系统和系统本地用户。
(2)检测原理:是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。
(3)优点: 审计内容全面,视野集中,适用于加密及交换环境。
(4)缺点: 影响服务器性能,依赖审计数据或系统日志的准确性和完整性,不能监控网络上的情况。
21.基于网络系统结构?优缺点?
(1)根据网络流量、协议分析、单台或多台主机的审计数据检测入侵。
(2)优点:服务器平台独立性,配置简单,监视多种攻击
(3)缺点:不能检测不同网段的网络包,难以应付需要大量计算的复杂攻击,难以处理加密对话,协同工作能力弱
22.基于异常的IDS的定义?检测原理?优缺点?
(1)定义:任何正常用户的行为都有一定的规律,而入侵会导致用户或者系统行为的异常。首先要总结出正常的用户行为轮廓,当用户行为严重偏离正常行为时则认为是入侵
(2)原理:首先总结正常行为的轮廓;检测系统目前的行为;查看是否超出预先定义的门限
(3)优点:能检测出未知的行为;能检测出冒用账号的行为;具有自适应和自学习的能力;不需要系统先验知识
(4)缺点:漏报率低,误报率相对较高;计算量大,耗用系统资源;统计点的选取和参考库的建立比较难
23.snort使用哪种检测技术?检测技术的原理是什么?什么优缺点?
误用检测技术
(1)原理:首先要对入侵行为的特征、环境、次序、完成事件的关系进行描述,通过某种方式预先定义入侵行为,然后监视系统,符合预先定义的入侵行为则认为是入侵。
(2)优点:算法简单,开销小,准确率高,效率高。
缺点:只能检测出预先定义的行为,无法检测出新类型的攻击方式的威胁
建立模式库困难:模式库需要更新,依赖于硬件平台,操作系统和系统中运行的应用软件。
专家系统(if-then)、模型推理(结合攻击脚本)、完整性分析
24.IPSecVPN中AH协议的功能,AH协议有哪两种模式?分析这两种模式的差异
(1)功能:身份认证、数据完整性校验、重放攻击保护
(2)模式:传输模式、隧道模式
(3)差异:传输模式在原来的IP头和载荷之间加入AH头;隧道模式在原IP和载荷之前加入AH头,再在AH头之前加一个新IP头
25.IPSec VPN中ESP协议的功能,AH协议有哪两种模式?分析这两种模式的差异
(1)ESP功能:身份认证、加密数据、数据完整性校验、重放攻击保护
(2)模式:传输模式、隧道模式
(3)差异:传输模式在载荷和IP头之间加入esp头,载荷之后加入esp尾,在esp尾加入esp认证;隧道模式在IP头之前加入esp头,载荷之后加入esp尾,在esp尾之后加入esp认证,在最前面加入新IP头
26.AH和ESP总结
(1)相同点:AH和ESP都可以在隧道模式和传输模式下运作;隧道模式都会多一个新IP头
(2)不同点
加密功能:AH不提供加密功能,只提供数据完整性和源认证。ESP提供数据加密服务,保证数据保密性,同时也提供数据完整性和源认证。
协议头部:AH包含一个特定的AH头,用于存储认证信息。ESP包含一个ESP头和一个可选的ESP尾部,用于支持加密和可选的认证。
27.简要说明传输模式和隧道模式的区别
传输模式:主机——主机:更适合端到端加密,只保护数据包的有效载荷部分,而不保护IP头信息。
隧道模式:网关——网关:适用于VPN等场景,保护整个数据包,包括IP头部和有效载荷,更适合于网关间的加密通信。
区别:传输模式主要用于保护端到端的通信,而隧道模式则用于保护通过不安全网络传输的整个IP数据包。隧道模式提供了更高级别的安全性,因为它隐藏了原始IP数据包的所有信息
28.只有ESP而没有AH不行
ESP的认证数据包括ESP头、负载、ESP尾,但是不包括IP头。而AH的认证包括IP头部、AH头部,以及AH封装的整个payload。因此为了对IP头进行完整性保护,而且需要数据加密,那么同时使用AH和ESP将是必要的。
29.安全关联SA是什么?
SA是两个IPSec通信实体之间经协商建立起来的一种共同协定,它规定了通信双方使用哪种IPSec协议保护数据安全、应用的算法标识、加密和验证的密钥取值以及密钥的生存周期等安全属性值。
30.SSL有哪些主要协议?详细描述SSL数据封装的过程
(1)下层:SSL记录协议;高层:SSL握手协议、SSL密码变化协议、SSL警告协议
(2)数据封装:分片:把数据进行分片,一般214字节,也可以更小;压缩:无损压缩;计算MAC:计算消息鉴别码;加密:采用CBC加密
31.SSL全称及其功能?
(1)全称:SSL安全套接字层
(2)功能:为TCP协议提出一个可靠的端到端服务为两个通讯个体之间提供保密性和完整性(身份认证)
32.SSL连接与会话的概念?区别?
(1)一个连接是一个提供一种合适类型服务的传输。
(2)SSL连接是点对点的关系:连接是暂时的,每一个连接于一个会话对应。
(3)一个SSL会话是在客户与服务器之间的一个关联。表示一组共享的安全参数和状态信息。
(4)会话由SSL握手协议创建,定义了一组可供多个连接共享的加密安全参数。节约交互资源,方便后续建立SSL连接。
区别:
(1)持久性:会话可以跨越多个连接,即使单个连接关闭了,会话仍然可以存在。而连接是暂时的,通常在数据传输完成后关闭。
(2)作用范围:连接是实际的数据传输通道,负责在两端实体之间传输加密的数据流。会话是一个安全参数的集合,它定义了如何进行加密和身份验证,但本身不传输数据。
(3)性能优化:会话的概念允许多个连接复用相同的安全参数,从而减少了握手次数,提高了性能。SSL会话会协商出一个会话密钥,每一次SSL连接使用会话密钥一个生成的连接密钥。
33.SSL握手协议整体流程
(1)交换Hello消息,对于算法、交换随机值等协商一致
(2)交换必要的密码参数,以便双方得到统一的预主密钥
(3)交换证书和相应的密码信息,以便进行身份认证
(4)产生主密钥
(5)把安全参数提供给TLS记录层
(6)检验双方是否已经获得同样的安全参数
34.SSL密码变化协议的内容
(1)协议只包含一条消息,一个字节1:这条唯一的消息只包含一个字节的数据。在SSL/TLS的上下文中,这个字节的值被设定为1。这个值用于标识该消息是Change Cipher Spec消息。
(2)用途:切换状态,把密码参数设置为当前状态;在握手协议中,当安全参数协商一致后,发送此消息。
(3)当SSL握手过程即将完成时,客户端和服务器都会发送一个“Change Cipher Spec”消息。这个消息是一个简单的信号,表示接下来的通信将使用新协商的加密参数(如加密算法、密钥、MAC算法等)进行。
35.SSL警告协议的内容
(1)协议数据包含两个字节:第一个字节为level,分别为warning(1)和fatal(2)两种情况;第二个字节为情况说明
(2)当发生Fatal警报时,相关的会话标识符被标记为无效。这意味着尽管其他连接(如同一客户端与服务器间的其他会话)可能继续运作,但是因为出现严重错误的那个会话的标识符变得无效,这个特定会话不能被用来快速恢复或建立新的连接。
36.说说PGP身份认证过程,简单描述处理顺序
(1)发送者创建报文, 使用SHA-1生成报文的160位散列码
(2)用发送者的私有密钥,用RSA算法对散列码签名,并置在报文前面。注意: RSA指签名散列码
(3)接收者使用发送者的公开密钥,用RSA恢复散列码
(4)接收者计算报文的散列码,与解密得到的进行比较,如果两者匹配,则报文通过鉴别
(5)签名也可以使用DSS/SHA-1来生成,PGP也支持分离的数字签名
37.PGP邮件加密的处理过程
(1)发送者生成报文和128为会话密钥随机数
(2)采用CAST-128(或IDEA或3DES)对报文加密
(3)用接收者的公钥RSA加密会话密钥
(4)接收者先用私钥解密, 获得会话密钥, 再解密报文
对称加密算法和公钥加密算法的结合可以缩短加密时间,用公钥算法解决了会话密钥的单向分发问题。每个消息都有自己的一次性密钥,进一步增加了保密的强度。
38.PGP认证和加密都需要的过程
两种服务(身份认证和邮件加密)都需要时,发送者先用自己的私钥签名散列值,然后用会话密钥加密消息,再用接收者的公钥加密会话密钥。
这里公钥加密采用RSA;对称加密采用CAST-128(或IDEA或3DES), 所以用128比特密钥。
39.压缩为什么要放在加密之前?签名后压缩的原因
(1)顺序:签名、压缩、加密
(2)压缩对邮件传输或存储都有节省空间的好处。
(3)压缩在加密前:不需要为检验签名而保留压缩版本的消息;为了检验而再做压缩不能保证一致性,压缩算法的不同实现版本可能会产生不同的结果。
(4)压缩后再加密的原因:压缩后的消息其冗余小,增加密码分析的难度。若先加密,则压缩难以见效。
40.发送方和接收方如何处理数据
发送方:
(1)签名:从私钥环中得到私钥,利用userid作为索引;PGP提示输入口令短语,恢复私钥;构造签名部分
(2)加密:PGP产生一个会话密钥,并加密消息;PGP用接收者userid从公钥环中获取其公钥;构造消息的会话密钥部分
发送方userid获取公私钥
接收方:
(1)解密消息:PGP用消息的会话密钥部分中的KeyID作为索引,从私钥环中获取私钥
PGP提示输入口令短语,恢复私钥
PGP恢复会话密钥,并解密消息
(2)验证消息:PGP用消息的签名部分中的KeyID作为索引,从公钥环中获取发送者的公钥
PGP恢复被传输过来的消息摘要
PGP对于接收到的消息作摘要,并与上一步的结果作比较
情景扩展题
1.社工攻击原理
社工模型:**(1)确定攻击对象(2)收集信息(3)攻击准备(4)建立信任关系(5)利用信任关系(6)维护对象情绪**
防御:(1)人员安全工程:保护个人资料不外泄;时刻提高警惕;保持理性思维;不要随意丢弃废物
(2)网络钓鱼防御:钓鱼网站检测与防御:基于黑、白名单的钓鱼网站检测;基于网站特征的启发式钓鱼网站检测
钓鱼邮件检测:基于邮件特征的启发式检测
设计题:电信诈骗、移动互联网
安全问题:隐私泄露、钓鱼网站、骚扰电话短信、病毒、诈骗
物联网安全问题:物理设备安全、数据安全、隐私安全、通信安全、病毒
2.移动互联网已经成为当前人们应用最广泛的网络形态之一,移动互联网的安全问题也是大家关注的重点,大量的相关安全案件也说明其是攻击的重要目标,请尝试分析下述问题并给出答案:
- 请列举当前移动互联网存在的主要安全问题(不少于3种);
当前移动互联网存在的主要安全问题:
(1)个人隐私泄露;(2)钓鱼网站;(3)骚扰电话、短信、垃圾邮件;(4)互联网病毒的传播;(5)集成度高的移动智能终端设备受攻击后难以恢复等等。
- 请列举你了解的移动互联网的安全措施和技术(不少于3种);
移动互联网的安全措施和技术:
(1)国家实施网络安全法,普及网络安全知识,净化网络环境;
(2)杀毒软件对恶意软件的检测、垃圾邮件过滤功能、骚扰电话短信过滤功能;
(3)移动互联网文件访问控制,应用隐私权限白名单;
(4)移动签名服务、移动身份认证技术等等;
- 说出你针对当前问题的解决方案。
(1)首先从大的方面讲,国家和相关网络公司要投资建立专业的、系统的、相对安全的移动互联网体系,净化网络环境,提高网民的安全度;
(2)落实到个人,目前大多数的病毒传播以及网络攻击是由于个人网络安全意识匮乏,所以鼓励网民了解网络诈骗攻击的手段、提高网络保护意识、做好个人安全防护,可以很大程度解决当前移动互联网的安全问题;
(3)对于移动互联网,主要要解决移动设备的安全,比如设置好移动设备密码、传输加密、敏感操作进行身份认证、软件系统及时更新、启用白名单、支持远程禁用设备等等。
3.防火墙能实现哪些安全任务?
集中化的安全管理,强化安全策略:由于Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
网络日志及使用统计:因为防火墙是所有进出信息必须通路,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录,对网络存取访问进行和统计
保护那些易受攻击的服务:防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
增强的保密:用来封锁有关网点系统的DNS信息。因此,网点系统名字和IP地址都不要提供给Internet。
实施安全策略:防火墙是一个安全策略的检查站,控制对特殊站点的访问。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
(1)利用所给资源:外部路由器,内部路由器,参数网络,堡垒主机设计一个防火墙并回答相关问题。
要求:将各资源连接构成防火墙。指出次防火墙属于防火墙体系结构中哪一种。说明防火墙各结构的主要作用
A:防火墙的设计思想就是在内部、外部两个网络之间建立一个具有安全控制机制的安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,来实现对内部网服务和访问的安全审计和控制。需要指出的是,防火墙虽然可以在一定程度上保护内部网的安全,但内部网还应有其他的安全保护措施,这是防火墙所不能代替的。
B:属于防火墙体系结构中的屏蔽子网防火墙。
C:两个分组过滤路由器,一个位于周边网与内部的网络之间,另一个位于周边网与外部网络之间。
通过屏蔽子网防火墙访问内部网络要受到路由器过滤规则的保护。堡垒主机、信息服务器、调制解调器组以及其他公用服务器放在子网中。屏蔽子网中的主机是内部网和Internet都能访问唯一系统,他支持网络层和应用层安全功能。
(2)防火墙的设计者和管理人员要致力于保护堡垒主机的安全,请说明在设计堡垒主机通常应遵循怎样的原则。
①最简化原则:堡垒主机越简单,堡垒主机本身的安全越有保证。因为堡垒主机提供的任何服务都可能出现软件缺陷或配置错误,而且缺陷或错误都可能导致安全问题。因此,堡垒主机尽可能少些服务,它应当在完成其作用的前提下,提供它能提供的最小特权的最少的服务。
②预防原则:尽管用户尽了最大努力确保堡垒主机的安全,侵入仍可能发生。但只有预先考虑最坏的情况,并提出对策,才能可能避免它。万一堡垒主机受到侵袭,用户又不愿看到侵袭导致整个防火墙受到损害,可以通过不再让内部的机器信任堡垒主机来防止侵袭蔓延。
(3)在设计和建造防火墙时,通常采取多种变化和组合,如果要在防火墙配置中使用多堡垒主机,是否可行?为什么?
可行的,这样的做的理由是:如果一台堡垒主机失败了,服务可由另一台提供。
(4)如果将堡垒主机与内部路由器合并,将会出现怎样的结果?
将堡垒主机与内部路由器合并将损害网络的安全性。将这二者合并,其实已经从根本上改变了防火墙的结构。
5.某市拟建立一个电子政务网络,需要连接本市各级政府机关(市、区、县等)及企事业单位,提供数据、语音、视频传输和交换的统一的网络平台,纳入电子政务平台的各单位既有横向(是本级政府的组成部门)的数据交互,又有纵向的行业部门的信息交互。从安全角度考虑,你认为该网络的设计应注意哪些问题?你的解决方案?
物理安全、网络平台、系统的安全、应用的安全、管理的安全、黑客的攻击、不满的内部人员、病毒的攻击
最常见的网络安全问题还是处于网络内部并且是内部底层。内网底层的安全常常被忽略,这就是现在的企业为什么花了钱买了安全设备但是内网的卡、慢、掉线依然存在的原因。最后一句话,想要内网安全,从内网底层做起!
建立完整的信息安全保障体系。该体系应包括:物理安全、网络安全、系统安全、应用安全、数据安全、灾难备份和恢复等
6.某投资人士用Modem拨号上网,通过金融机构的网上银行系统,进行证券、基金和理财产品的网上交易,并需要用电子邮件与朋友交流投资策略。该用户面临的安全威胁主要有:
(1)计算机硬件设备的安全;(2)计算机病毒;(3)网络蠕虫;(4)恶意攻击;(5)木马程序;(6)网站恶意代码;(7)操作系统和应用软件漏洞;(8)电子邮件安全。试据此给出该用户的网络安全解决方案。
7.某局域网如下图,其中1号设备是路由器,4号设备是交换机,5和6号设备是DMZ区服务器,7、8和9号设备是个人计算机。
请回答下列问题:
(1)2和3号设备中,哪个设备是防火墙?哪个设备是交换机?
(2)3套个人防火墙软件最适合安装在哪3个设备上?(只能选3个设备)
(3)5套防病毒软件应该安装在哪5个设备上?(只能选5个设备)
8.某电子商务企业的网络拓扑结构如题图所示,试分析该系统可能存在的典型的网络安全威胁。
9.在内部网络与外部网络之间设计了一个屏蔽子网体系结构的防火墙,要求:
(1)在下面给出的防火墙结构图的括号中标注组件名称,并补充缺失的连线。
(2)简述防火墙结构图中各组件的基本功能。
10.某大型企业欲建立自己的局域网,对外进行Web发布和电子商务:电子商务和数据库服务要求安全等级高。另外,企业总部是企业的核心,在进入企业总部的时候要求进行身份认证。试分析该网络安全的解决方案。
(1)服务器配置:分成外部服务器和内部一级、二级服务器,将内部服务器设置高安全系数,外部服务器仅作为网站的外围措施的存放进行进行简单设置。之后把一级服务器与外部服务器连接实现存储重要数据。
(2)二级服务器作为企业内部使用,与一级服务器进行通讯,在确定无误后由一级服务器存入二级。
(3)分部服务器、总部服务器搭建VPN进行安全连接。
(4)环境配置:在网络的边界上应用防火墙,内外网设置相应的域间策略,在防火墙上启用web认证技术、VPN技术。另外,web站点要应用web防篡改技术,加web防篡改设备。数据库要应用防SQL注入等入侵。另外,在网络中加防毒墙。
