📚安全策略和攻击🍋

🐇安全协议

• 定义：安全协议（security protocol），又称作密码协议（cryptographic protocol）、加密协议（encryption protocol），是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。
  • 虽然密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法。
  • 安全协议是网络安全的一个重要组成部分，我们需要通过安全协议进行实体之间的认证、在实体之间安全地分配密钥或其它各种秘密、确认发送和接收的消息的非否认性等。
• 典型安全协议
  • 网络层安全（IPsec）
  • 传输层安全（SSL/TLS）
  • 应用层安全（SSH、S/MIME、PGP、HTTPS）

🐇IPsee

• 定义：IPsec (Internet Protocol Security)，是IETF制定的为保证在Internet上传送的数据，进行分组加密和认证从而保护IP协议的网络传输协议族（一些相互关联的协议的集合）。

• 目标：是在IPV4和IPV6环境为网络层流量提供灵活的安全服务。

• 注意：IPSec不是具体指哪个协议，而是一个开放的协议族。

• 主要组成部分

  • 认证头(AH)协议：报文验证头协议，主要功能有数据源验证、数据完整性校验和防报文重放功能；
  • 封装安全载荷(ESP)协议：是报文安全封装协议，将需要保护的用户数据进行加密后再封装到IP包中，保证数据的完整性、真实性和私有性；
  • 安全关联(SA)协议：提供算法和数据包，提供AH、ESP操作所需的参数。SA由IKE(Internet Key Exchange)建立和维护。
    

• 解释域：IPsec策略的适用范围

• 传输模式
  

• 隧道模式
  

• IPSee安全服务

  • 数据机密性：IPSec发送方在通过网络传输包前对包进行加密。
  • 数据完整性：IPSec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。
  • 数据源认证：IPSec接收方对IPSec包的源地址进行认证。这项服务基于数据完整性服务。
  • 反重放(Anti-Replay)：IPSec接收方可检测并拒绝接收过时或重复的报文。

• 缺点

  • 增加网络复杂性
  • 性能影响
  • 兼容性
  • 难以穿越防火墙

🐇SSL

• 定义：SSL(Secure Sockets Layer), 安全套接字层，为Netscape所研发。
• 目标：SSL协议位于TCP/IP协议与各种应用层协议如FTP、telnet等之间，为客户端和服务器之间建立安全的TCP连接，提供双向安全认证和数据机密性、完整性。
• 优点：协议本身和应用层协议相互独立。
• SSL后继者：TLS (Transport Layer Security)
  • TLS，即传输层安全性协议。
  • TLS的框架与SSL基本相同，但其在OSI模型的应用层和TCP/IP模型的传输层上运行，与高层的应用层协议相互独立无耦合。
• SSL握手协议：握手协议是客户机和服务器用SSL连接通信时用的第一个子协议。该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。
• 加密机制：SSL通信主要采用加密套件来保障安全，主要由四个部分组成：
  • 密钥交换：用于决定客户端与服务器之间在握手的过程中如何认证。SSL通常使用非对称加密算法来生成会话密钥，常用算法包括RSA、Diffie-Hellman等；
  • 加密算法：主要是对传输的数据进行加密传输。常用算法有DES 64, AES 128/256等；
  • 消息认证码(MAC)：为了防止握手消息本身被窜改。重用算法包括HMAC、CMAC等，而MD5和SHA也可以用于生成MAC。
  • 伪随机数函数：生成会话密钥，初始化向量（IV）

🐇SSH

• 定义：SSH (Secure Shell)，是一种加密的远程登录协议，用于安全地在网络上执行命令、访问远程主机以及进行文件传输。SSH使用公钥加密和对称加密技术，确保通信的保密性和完整性，并提供身份验证机制，防止未经授权的访问。
  

🐇S/MIME协议

• 定义：S/MIME (Secure/Multipurpose Internet Mail Extensions)，是一种用于电子邮件通信的安全协议，旨在提供加密、签名和数字证书功能，确保邮件内容的机密性、完整性和发件人的身份认证。S/MIME在传输层之上工作，为电子邮件提供了端到端的安全性。
• 安全服务
  • 身份验证
  • 邮件完整性
  • 防发送方抵赖（使用数字签名）
  • 增强电子邮件的隐私和数据安全（使用加密）
• 工作原理
  • 密钥生成和配对：发送者和接收者各自生成一对密钥：公钥和私钥。公钥用于加密和验证，可以自由共享；私钥用于解密和签名，必须保持机密。
  • 数字签名：发送者使用其私钥对邮件内容进行数字签名。接收者可以使用发送者的公钥解密数字签名，还可验证签名的一致性和完整性。
  • 加密：发送者可以使用接收者的公钥对邮件内容进行加密。只有拥有相应私钥的接收者才能解密和查看邮件内容
  • 证书获取：数字证书包含公钥和证书持有者的身份信息。

🐇公钥基础设施PKI

• 应用
  
  
  

🐇PGP

• 定义：PGP (Pretty Good Privacy)，是一种用于电子邮件通信的加密和数字签名协议，旨在提供数据的机密性、完整性和发件人的身份认证。PGP使用对称加密、非对称加密和数字签名等技术，使得用户可以在通信过程中保护隐私和确保数据安全。
• S/MIME与PGP的区别
  • 公钥可信度：S/MIME标准中，用户必须从受信任的证书颁发机构申请数字证书；而PGP不提供强制创建信任的策略。
  • 加密保护的范围：PGP是为了解决纯文本消息的安全问题，而S/MIME不仅保护文本消息，更旨在保护各种附件/数据文件。
  • 集中化管理：S/MIME被认为优于PGP，因为支持通过X.509证书服务器进行集中式密钥管理。
  • 兼容性和易用性：S/MIME具备更广泛的行业支持，S/MIME的易用性也优于PGP，PGP需要下载额外的插件才能运行，S/MIME无需使用其他插件。

🐇HTTPS

• HTTP，超文本传输协议，是一个基于请求与响应、无状态的应用层的协议，常基于TCP/IP协议传输数据。HTTP是互联网上应用最为广泛的一种网络协议。
• HTTPS，超文本安全传输协议（Hyper Text Transfer Protocol over Secure Socket Layer），是以SSL/TLS建立安全通道，加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性。

🐇防火墙

• 定义：防火墙（Firewall）是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术，起到内部网与Internet之间的一道防御屏障。
• 功能：及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。
  
• 基本特征 ：
  • 内外部网络之间的一切网络数据流都必须经过防火墙
  • 只有符合安全策略的数据流的数据才能通过防火墙
  • 防火墙本身就应该具备非常强的抗攻击和免疫力
  • 应用层防火墙应该具备更精细的防护能力
  • 数据库防火墙应该具备针对数据库恶意攻击的阻断能力
• 防火墙抵御的是外部的攻击，并不能对内部的病毒（如ARP病毒）或攻击起作用。
• 防火墙由于处于网络边界的特殊位置，因而被设计集成了非常多的安全防护功能和网络连接管理功能。基本功能：
  • 监控并限制访问
    • 针对网络入侵的不安因素，防火墙通过采取控制进出内、外网络数据包的方法，实时监控网络上数据包的状态，并加以分析和处理，及时发现存在的异常行为。
    • 采用两种基本策略:即“黑名单”策略和“白名单”策略。“黑名单”策略指除了规则禁止的访问，其他都是允许的。“白名单”策略指除了规则允许的访问，其他都是禁止的。
  • 控制协议和服务
    • 针对网络入侵的不安因素，防火墙对相关协议和服务进行控制使得只有授权的协议和服务才可以通过防火墙，从而大大降低了因某种服务和协议漏洞而引起不安全因素的可能性。如允许https协议利用TCP端口80进入网络，而其他协议和端口将被拒绝。
  • 网络地址转换（NAT)
    • 防火墙拥有灵活的地址转换NAT (Network Address Transfer)能力。地址转换用于使用保留IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换，能有效地隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，使用保留IP地址就可以正常访问公众网，有效地解决了全局IP地址不足的问题。
  • 负载均衡
    • 某些高级防火墙可以进行流量的负载均衡，将流量分散到多个服务器上，提高系统的性能和可靠性。
  • 虚拟专用网(VPN)
    • 虚拟专用网被定义为通过一个公共网络( lnternet)建立的一个临时的和安全的连接，是一条穿过混乱的公用网络的安全与稳定的隧道，它是对企业内部网的扩展。
    • 作为网络特殊位置的防火墙应具有VPN的功能，以简化网络的配置与管理。
  • 日志记录与审计
    • 因为防火墙是所有进出信息必须通路，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录，对网络存取访问进行和统计。
    • 这样网络管理人员通过对统计结果的分析，掌握网络运行状态，进而更加有效地管理整个网络。
• 按照防火墙的实现方式可将防火墙分为下列几种：
  • 包过滤防火墙：包过滤防火墙比较简单，但缺乏灵活性。而且包过滤防火墙每个包通过时都需要进行策略检查，一旦策略过多会导致性能的急剧下降。
  • 代理型防火墙：安全性高，但开发成本也很高，如果每个应用都开发一个代理服务的话是很难做到的。所以代理型防火墙需要针对某些业务应用，不适合很丰富的业务。
  • 状态检测防火墙：属于高级通信过滤，在状态检测防火墙中，会维护着一个会话表项，通过Session表项就能判断连接是否合法访问，现在主流的防火墙产品多为状态检测防火墙。

🐇防毒墙

• 定义：以病毒扫描为首要目的的代理服务器，防止已知的网络病毒攻击，是一种用有效的防病毒手段，配合防火墙效果更好。
• 主要功能
  • 检测传输的计算机病毒
  • 阻断计算机病毒
  • 检测大部分常用的压缩文件中的计算机病毒
• 与防火墙的区别
  • 防毒墙：专注病毒过滤，阻断病毒传输，工作协议层为ISO 2-7 层，分析数据包中的传输数据内容，运用病毒分析技术处理病毒体，具有防火墙访问控制功能模块。
  • 传统防火墙：专注访问控制，控制非法授权访问，工作协议层为ISO 2-4 层，分析数据包中源IP目的IP，对比规则控制访问方向，不具有病毒过滤功能。
    

🐇安全审计

• 定义：网络安全审计是按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审计和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程，也是审查评估系统安全风险并采取相应措施的一个过程，实际就是记录与审查用户操作计算机及网络系统活动的过程。
• 主要内容
  • 政策和程序评估：检查组织的安全政策和程序，以确保它们是最新的，符合最佳实践，并且被适当地实施和遵守。
  • 系统和服务评估：检查系统和服务的配置，包括防火墙、服务器、网络设备等，以确定是否存在任何可能被利用的漏洞。
  • 访问控制评估：检查访问控制策略和实践，以确保只有授权的用户和设备可以访问敏感信息和关键服务。
  • 数据保护评估：检查数据保护措施，包括加密、备份、数据丢失预防等，以确保数据的安全和可用性。
  • 应急响应计划评估：评估组织的应急响应计划和能力，以确定组织是否能够有效地应对安全事件。
  • 安全培训和意识评估：评估员工的安全培训和意识，因为人为错误是造成安全事件的一个常见原因。
• 员工的行为审计，以便及时阻断员工的不当操作，尽量规避数据安全事件和违规上网行为。
  • 上网行为审计：对终端一切上网行为进行审计，可以记录员工运行了哪些应用程序，访问了什么网站， 是否有在办公期间闲聊，打游戏，刷视频等行为，滥用公司流量，浪费公司网络资源，影响正常业务开展，损害公司利益。通过审计全面了解员工的一切操作，从而规范员工的上网行为，提高办公效率。
  • 文件操作审计：终端用户利用U盘、蓝牙、便携式设备、红外等移动存储设备拷贝/传输文件；利用电子邮件、聊天软件、网页等程序外发文件；使用打印机打印文件等对文件操作的行为被追踪记录下来，快速还原数据外泄事件全过程。

🐇入侵检测

• 入侵：违背访问目标的安全策略的行为，超出目标的安全策略范围
• 入侵检测：通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。
• 入侵检测系统（IDS）：具有入侵检测功能的系统。
• 入侵检测的作用：
  • 发现受保护系统中的入侵行为或异常行为
  • 检验安全保护措施的有效性
  • 分析受保护系统所面临的威胁
  • 有利于阻止安全事件扩大，及时报警触发网络安全应急响应
  • 可以为网络安全策略的制定提供重要指导
  • 报警信息可用作网络犯罪取证。
• 入侵检测技术
  • 基于误用的入侵检测技术：
    • 又称基于特征的入侵检测方法：是指根据已知的入侵模式检测入侵行为。
    • 入侵检测过程：实际上就是模式匹配的过程
  • 基于异常的入侵检测技术：
    • 是指通过计算机或网络资源统计分析，建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象。
• 入侵检测系统分类
  • 基于主机的入侵检测系统(HIDS)：通过分析主机的信息来检测入侵行为。
  • 基于网络的入侵检测系统(NIDS)：扫描网络通信数据包，即通过获取网络通信中的数据包，对这些数据包进行攻击特征扫描或异常建模来发现入侵行为。能够检测：
    • 同步风暴(SYN Flood)
    • 分布式拒绝服务攻击(DDoS)
    • 网络扫描
    • 缓冲区溢出
    • 协议攻击
    • 流量异常
    • 非法网络访问
  • 分布式入侵检测系统(DIDS)：从多台主机、多个网段采集检测数据，或者收集单个 IDS 的报警信息，根据收集到的信息进行综合分析，以发现入侵行为。
• 开源入侵检测系统：Snort、Suricata、Bro/Zeek、OSSEC

🐇VPN

• 虚拟专用网络(VPN)是一种通过公用网络(例如Internet)连接专用网络(例如办公 室网络)的方法。
• VPN主要特点：安全保障；服务质量保障；可扩充性和灵活性；可管理性

🐇网络物理隔离

• 定义：既能满足内外网信息及数据交换需求，又能防止网络安全事件出现的安全技术。
• 基本原理：避免两台计算机之间直接的信息交换以及物理上的连通，以阻断两台计算机之间的直接在线网络攻击
• 隔离的目的：阻断网络攻击活动，避免敏感数据向外泄露，保障不同网络安全域之间进行信息及数据交换。
• 网络物理隔离安全风险：网络非法外联；U盘摆渡攻击；网络物理隔离产品安全隐患；针对物理隔离的攻击新方法
• 隔离的目的：阻断网络攻击活动，避免敏感数据向外泄露，保障不同网络安全域之间进行信息及数据交换。
• 网络隔离机制与实现技术：专用计算机上网；外网代理服务；内外网线路切换器；单硬盘内外分区；双硬盘；信息摆渡技术

🐇安全网关

• 网关定义：网关是一种连接不同网络、协议或通信系统之间的设备或程序
• 安全网关定义：安全网关是一种特殊类型的网关，它在连接不同网络的同时，还提供了额外的安全功能。
• 功能：可能包括防火墙、入侵检测、病毒扫描、VPN、内容过滤和数据泄露防护等
• 目的：防止Internet或外网不安全因素蔓延到自己企业或组织的内部网。
• 安全网关支持两种网络接入模式，分别是网桥模式和网关模式
  • 网桥模式：如果采用网桥模式，通常情况下应该部署在企业接入设备（防火墙或者路由器）的后面。安全网关的两个网口（内网口和外网口）连接的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP地址，不需要改变网络拓扑以及其它配置，透明接入网络。
  • 网关模式：网关模式下有ADSL拨号、静态路由、DHCP client端三种外网接入类型。如果安全网关采用网关模式，通常情况下应该部署在企业网络出口处，做为宽带网络接入设备，保护整个内部网络。
• 特点及优势
  • 将病毒拦截在企业网络之外，不让病毒进入内部网络。
  • 专用的硬件设备，不会占用服务器或桌面PC机的资源。
  • 管理简便，只需要对安全网关设备进行管理就行。
  • 升级方便，能够及时地、自动地更新最新的病毒特征库，每天数次病毒特征库升级减少对企业网络带宽造成影响。

🐇UTM

• 定义：UTM（United Threat Management）意为统一威胁管理，是由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
• 为什么需要UTM？
  • 随着网络安全威胁的不断演化，恶意行为日益复杂，包括自动化蠕虫、后门木马、分布式拒绝服务等，使传统安全措施难以应对
  • 单一产品难以满足多重威胁防护需求，导致安全漏洞频现。