2024软考网络工程师笔记 - 第8章.网络安全

文章目录

- 网络安全基础
- - 1️⃣网络安全威胁类型
  - 2️⃣网络攻击类型
  - 3️⃣安全目标与技术
- 🕑现代加密技术
- - 1️⃣私钥密码/对称密码体制
  - 2️⃣对称加密算法总结
  - 3️⃣公钥密码/非对称密码
  - 4️⃣混合密码
  - 5️⃣国产加密算法 - SM 系列
  - 6️⃣认证
  - 7️⃣基于公钥的认证
- 🕒Hash 哈希算法
- - 1️⃣哈希算法 Hash
  - 2️⃣HASH 应用
  - - 🔴文件完整性校验
    - 🟠账号密码存储
    - 🟡用户身份认证
- 🕓数字签名
- - 1️⃣数字签名
  - 2️⃣数字签名与验证过程
- 🕔数字证书与CA
- - 1️⃣数字证书
  - 2️⃣数字证书类比
  - 3️⃣PKI体系结构
  - 4️⃣证书链
- 🕕IPSec原理
- - 1️⃣虚拟专用网基础
  - 2️⃣虚拟专网解决方案
  - 3️⃣二层隧道协议
  - 4️⃣PPP认证方式：PAP和CHAP
  - 5️⃣IPSec基础
  - 6️⃣IPSec原理
  - 7️⃣IPSec两种封装模式
- 🕖SSL与HTTPS
- - 1️⃣SSL安全套接层
  - 2️⃣HTTPS和S-HTTP
  - 3️⃣PGP
  - 4️⃣Kerberos和PKI
  - 5️⃣其他应用层安全协议
- 🕗防火墙与入侵检测
- - 1️⃣防火墙
  - 2️⃣防火墙区域划分
  - 3️⃣入侵检测
  - 4️⃣入侵检测系统的数据源
  - 5️⃣华为交换机端口镜像配置
  - 6️⃣入侵检测分类
  - 7️⃣入侵防御系统IPS
  - 8️⃣入侵防御系统IPSvs入侵检测系统IDS
- 🕘计算机病毒与防护
- - 1️⃣计算机病毒基础
  - 2️⃣病毒命名规则
- 🕙章节总结
- 🕙章节总结

网络安全基础

1️⃣网络安全威胁类型

(1)窃听：例如搭线窃听、安装通信监视器和读取网上的信息等。
(2)假冒：当一个实体假扮成另一个实体进行网络活动时就发生了假冒。
(3)重放：重复发送一份报文或报文的一部分，以便产生一个被授权效果。（随机数、时间截）
(4)流量分析：对网上信息流观察和分析推断出网上传输的有用信息。
(5)数据完整性破坏：有意或无意地修改或破坏信息系统，或者在非授权和不能监测的方式下对数据进行修改。
(6)拒绝服务DoS:当一个授权实体不能获得应有的对网络资源的访问。SYN-Flooding
(7)资源的非授权使用：即与所定义的安全策略不一致的使用。
(8)陷门和特洛伊木马：通过替换系统合法程序，或者在合法程序里插入恶意代码。
(9)病毒：随着人们对计算机系统和网络依赖程度的增加，计算机病毒已经构成了对计算机系统和网络的严重威胁。
(10)诽谤：利用计算机信息系统的广泛互连性和匿名性散布错误的消息，以达到坻毁某个对象的形象和知名度的目的。

2️⃣网络攻击类型

被动攻击：典型代表嗅探、监听和流量分析，最难被检测，重点是预防，主要手段是加密。
主动攻击：假冒、重放、欺骗、消息篡改和拒绝服务等，重点是检测而不是预防，手段有防火墙、IDS等技术
物理临近攻击：防止外人乱进机房。
内部人员攻击：内鬼渗透，国共抗战，内部瓦解。
分发攻击：软件开发出来未安装之前，被篡改。（疫苗运输恒温不合格）

3️⃣安全目标与技术

安全目标
- 访问控制
- 认证：身份认证、消息认证
- 完整性：确保接收到的信息与发送的信息一致
- 审计：不可抵赖
- 保密：确保敏感信息不被泄露
基本安全技术：数据加密、数字签名、身份认证、防火墙、入侵检测、内容检查。

🕑现代加密技术

1️⃣私钥密码/对称密码体制

密码分为私钥和公钥密码两种，而介于私钥和公钥之间的密码称为混合密码。
私钥密码又称对称密码，该体制的特点是加密和解密使用相同的密钥。消息的收发双方必须事先通过安全渠道交换密钥。
- 优点：加解密速度快、密文紧凑、使用长密钥时的难破解。
- 缺点：密钥分配问题、密钥管理问题、无法认证源。
常见的对称密钥加密算法如下：DES、3DES、AES、RC4/5、IDEA。

2️⃣对称加密算法总结

3️⃣公钥密码/非对称密码

公钥密码又称为非对称加密，就是对数据加密和解密的密钥是不同的。
- 优点：密钥分发方便、密钥保管量少、支持数字签名。
- 缺点：加密速度慢（计算量大，不适合加密大数据）、数据膨胀率高。
每个实体有两个密钥：公钥公开，私钥自己保存。
- 公钥加密，私钥解密，可实现保密通信
- 私钥加密，公钥解密，可实现数字签名
常见的非对称加密算法如下：
- RSA:512位（或1024位）密钥，计算量极大，难破解。
- Elgamal、ECC(椭圆曲线算法)、背包算法、Rabin、DH等。

4️⃣混合密码

混合密码：发送方用对称密钥加密需要发送的消息，再用接收方的公钥加密对称密钥，然后一起发送给接收方；接收方先用自己的私钥解密得到对称密钥，然后用对称密钥解密得到明文。

5️⃣国产加密算法 - SM 系列

《中华人民共和国密码法》密码分为核心密码、普通密码和商用密码，实行分类管理。
- 核心密码、普通密码用于保护国家秘密信息，属于国家秘密，由密码管理部门依法实行严格统一管理。
- 商用密码用于保护不属于国家秘密的信息，公民、法人可用。
国产密码算法：是指由国家密码研究相关机构自主研发，具有相关知识产权的商用密码算法，目前已经公布的国产密码算法如下：

6️⃣认证

认证分为实体认证和消息认证
实体认证：识别通信双方的身份，防止假冒，可以使用数字签名RSA
消息认证：验证消息在传送或存储过程中有没有被篡改，通常使用报文摘要方法MD5
基于共享密钥的认证：通信双方有一个共享的密钥，依赖双方都信任的密钥分发中心KDC

7️⃣基于公钥的认证

通信双方都用对方的公钥加密，用各自的私钥解密。

🕒Hash 哈希算法

1️⃣哈希算法 Hash

HASH函数，又称为杂凑函数、散列函数，它能够将任意长度的信息转换成固定长度的哈希值（数字摘要)，并且任意不同消息或文件所生成的哈希值是不一样的。
h表示hash函数，则h满足下列条件：
- (1)h的输入可以是任意长度的消息或文件M。
- (2) h的输出的长度是固定的。
- (3)给定h和M,计算h(M)是容易的。
- (4)给定h的描述，找两个不同的消息M1和M2,使得h(M1)=h(M2)是计算上不可行的。
哈希函数特性：不可逆性（单向）、无碰撞性、雪崩效应。
常见的Hash算法有：
- (1)MD5算法：以512位数据块为单位来处理输入，产生128位的信息摘要。常用于文件校验。
- (2)SHA算法：以512位数据块为单位来处理输入，产生160位的哈希值，具有比MD5更强的安全性。
- (3)SM3国产算法：消息分组长度为512比特，输出256位摘要。

2️⃣HASH 应用

🔴文件完整性校验

🟠账号密码存储

🟡用户身份认证

增加一个随机数R做哈希 MAC=Hash(密码+R)
需要双方预先知道这个R
MAC:消除中间人攻击，源认证+完整性校验

🕓数字签名

1️⃣数字签名

签名方用自己的私钥进行签名，对方收到后，用签名方的公钥进行验证。
数字签名算法（公钥加密算法） :RSA 、Rabin、ELGamal签名体制和DSS标准。
数据签名是用于确认发送者身份和消息完整性的一个加密消息摘要，具有如下特点：
- (1)数字签名是可信的。
- (2)数字签名不可伪造。
- (3)数字签名不能重新使用。
- (4)签名文件是不能改变的。
- (5)数字签名不能抵赖。
- (6)接收者能够核实发送者身份。

2️⃣数字签名与验证过程

🕔数字证书与CA

1️⃣数字证书

2️⃣数字证书类比

3️⃣PKI体系结构

1、用户/终端实体：指将要向认证中心申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。
2、注册机构RA:负责受理用户申请证书，对申请人的合法性进行认证，并决定是批准或拒绝证书申请。注册机构并不给用户签发证书，而只是对用户进行资格审查。较小的机构，可以由CA兼任RA的工作。
3、证书颁发机构CA:负责给用户颁发、管理和撤销证书。
4、证书发布系统：负责证书发放，如可以通过用户自已或是通过目录服务。
CRL库：证书吊销列表，存放过期或者无效证书。

4️⃣证书链

如果用户数量很多，通常由多个CA,每个CA为一部分用户发行和签署证书。
如果有两个CA,X1和X2,假设用户A从CA机构X1获得了证书，用户B从X2获得证书，如果两个证书发放机构X1和X2彼此间安全交换了公钥，彼此信任，那么他们的证书可以形成证书链。
- A通过一个证书链来获取B的公钥，证书链表示为：X1《X2》X2《B》
- B也能通过相反的证书链来获取A的公开密钥：X2《X1》X1《A》

🕕IPSec原理

1️⃣虚拟专用网基础

虚拟专用网(Virtual Private Network)
- 一种建立在公网上的，由某一组织或某一群用户专用的通信网络
- 二层：L2TP和PPTP(基于PPP)
- 三层：IPSec和GRE
- 四层 :SSL/TLS
实现虚拟专用网关键技术
- 隧道技术(Tuneling)
- 加解密技术(Encryption&Decryption)
- 密钥管理技术(Key Management)
- 身份认证技术（Authentication)

2️⃣虚拟专网解决方案

3️⃣二层隧道协议

二层隧道协议有PPTP和L2TP,都基于PPP协议，但PPTP只支持TCP/IP体系，网络层必须是IP协议，
而L2TP可以运行在IP协议上，也可以在X.25、帧中继或ATM网络上使用。
PPP协议包含链路控制协议LCP和网络控制协议NCP。
PPP协议可以在点对点链路上传输多种上层协议的数据包，有校验位。

4️⃣PPP认证方式：PAP和CHAP

PAP:两次握手验证协议，口令以明文传送，被验证方首先发起请求。
CHAP:三次握手，认证过程不传送认证口令，传送HMAC散列值。

5️⃣IPSec基础

PSec(IP Security)是IETF定义的一组协议，用于增强IP网络的安全性。
IPSec协议集提供如下安全服务：
- 数据完整性(Data Integrity)
- 认证（Autentication)
- 保密性（Confidentiality)
- 应用透明安全性（Application-transparent Security )

6️⃣IPSec原理

PSec功能分为三类：认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)。
认证头(AH):提供数据完整性和数据源认证，但不提供数据保密服务，实现算法有MD5、SHA。
封装安全负荷(ESP):提供数据加密功能，加密算法有DES、3DES、AES等。
Internet密钥交换协议(IKE）:用于生成和分发在ESP和AH中使用的密钥。

7️⃣IPSec两种封装模式

🕖SSL与HTTPS

1️⃣SSL安全套接层

安全套接层(Secure Socket Layer,SSL)是Netscape于1994年开发的传输层安全协议，用于实现Web安全通信。
1999年，IETF基于SSL3.0版本，制定了传输层安全标准TLS(Transport Layer Security)。
SSL/TLS在Web安全通信中被称为HTTPS=HTTP+SSL/TLS。
SSL包含记录协议、警告协议和握手协议，其中握手协议用于协商参数。

2️⃣HTTPS和S-HTTP

HTTPS=HTTP+SSL/TLS，端口TCP 443。
S-HTTP安全的超文本传输协议(Security HTTP）,端口TCP 80。
S-HTTP语法与HTTP一样，而报文头有所区别，进行了加密。

3️⃣PGP

P(Pretty Good Privacy)是一个完整的电子邮件安全软件包，PGP提供数据加密和数字签名两种服务。采用RSA公钥证书进行身份验证，使用IDEA进行数据加密，使用MD5进行数据完整性验证。
P应用广泛的原因：
- 支持多平台(Windows,Linux,MacOS)上免费使用，得到许多厂商支持。
- 基于比较安全的算法(RSA,IDEA,MD5)。
- 即可以加密文件和电子邮件，也可以用于个人通信，应用集成PGP

4️⃣Kerberos和PKI

Kerberos是用于进行身份认证的安全协议，支持AAA:认证、授权和审计。

5️⃣其他应用层安全协议

S/MIME(Security/Multipurpose Internet Mail Extensions)提供电子邮件安全服务。
SET(Secure Electronic Transation)安全的电子交易，用于保障电子商务安全。

🕗防火墙与入侵检测

1️⃣防火墙

防火墙可以实现内部网络信任网络与外部不可信任网络(Internet)之间或是内部网络不同区域隔离
防火墙技术与分类：包过滤、状态化防火墙、应用层网关、应用层检测 DPI。

2️⃣防火墙区域划分

根据网络的安全信任程度和需要保护的对象，人为划分若干安全区域，包括：
- 本地区域(Local):防火墙本身。
- 信任区域(Trust):内部安全网络，如内部文件服务器、数据库服务器。
- 非信任区域（Untrust）：外部网络，比如互联网。
- 军事缓冲区域(DMZ):内部网络和外部网络之间的网络，常放置公共服务设备，向外提供信息服务。
受信任程度：Local >Trust>DMZ>Untrust
Inbound：低安全级别 → 高安全级别，比如Untrust → Trust
Outbound：高安全级别 → 低安全级别，比如DMZ→ Untrust

3️⃣入侵检测

入侵检测IDS是防火墙之后的第二道安全屏障。
- 美国国防部提出公共入侵检测系统架构。

4️⃣入侵检测系统的数据源

操作系统审计记录/操作系统日志。
网络数据：核心交换机端口镜像，服务器接入交换机端口镜像。

5️⃣华为交换机端口镜像配置

将交换机网口GigabitEthernet1/0/2的流量镜像到部署Snort的网口GigabitEthernet1/0/1上。
- system-view //进入系统模式
- [HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 //定义索引号为1的观察端口g1/0/1
- [HUAWEI] interface gigabitethernet 1/0/2 //进入流量采集接口
- [HUAWEI-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound //将 91/0/2λ 方向的流量镜像到 lg1/0/1

6️⃣入侵检测分类

按信息来源分：HIDS、NIDS、DIDS(主机/网络/分布式)。
按响应方式分：实时检测和非实时检测。
按数据分析技术和处理方式分：异常检测、误用检测和混合检测。
- 异常检测：建立并不断更新和维护系统正常行为的轮廓，定义报警阈值，超过阈值则报警。
- - 能够检测从未出现的攻击，但误报率高。
- 误用检测：对已知的入侵行为特征进行提取，形成入侵模式库，匹配则进行报警。
- - 已知入侵检测准确率高，对于未知入侵检测准确率低，高度依赖特征库。
  - 检测技术：专家系统和模式匹配。

7️⃣入侵防御系统IPS

定义：入侵防御系统是一种抢先的网络安全检测和防御系统，能检测出攻击并积极响应。
- IPS不仅具有入侵检测系统检测攻击行为的能力，而且具有拦截攻击并阻断攻击的功能。
- IPS不是IDS和防火墙功能的简单组合，IPS在攻击响应上采取的是主动的全面深层次的防御。

8️⃣入侵防御系统IPSvs入侵检测系统IDS

部署位置不同：IPS一般串行部署，IDS一般旁路部署。
入侵响应能力不同：IPS能检测入侵，并能主动防御，IDS只能检测记录日志，发出警报。

🕘计算机病毒与防护

1️⃣计算机病毒基础

病毒：指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序使其含有该病毒程序的一个拷贝。
病毒四个阶段：
- 潜伏阶段（震网病毒）
- 繁殖阶段（勒索病毒)
- 触发阶段（震网病毒）
- 执行阶段

2️⃣病毒命名规则

病毒名称一般格式 <病毒前缀>.<病毒名>.<病毒后缀>

🕙章节总结

网络攻击分类：主动和被动。
加密技术：
- 对称： DES、3 DES、 IDEA、 AES、 RO4
- 非对称：RSA
哈希：验证数据完整性，防止非法篡改。掌握：MD5、SHA。

数字签名原理与特点。
数字证书：CA用自己私钥签名，证明主体的公钥，证书链。
密钥管理：PKI和Kerberos。
虚拟专用网：概念和实现原理，PPP,LCP和NCP,PAP和CHAP。

病毒：蠕虫病毒-前缀为worm宏病毒-前缀为macro,感染 excel或word。
IDS:收集信息并进行分析，发现违反安全策略的行为或攻击。
被动监听，一般旁挂部署IPS是主动安全设备，一般串行部署。
- 异常检测：既能对已知的攻击进行检测，也能检测未出现过的攻击，缺点是误报较多。
  02418)]

🕙章节总结

网络攻击分类：主动和被动。
加密技术：
- 对称： DES、3 DES、 IDEA、 AES、 RO4
- 非对称：RSA
哈希：验证数据完整性，防止非法篡改。掌握：MD5、SHA。

[外链图片转存中…(img-Vm6UVZ9n-1729084702418)]

数字签名原理与特点。
数字证书：CA用自己私钥签名，证明主体的公钥，证书链。
密钥管理：PKI和Kerberos。
虚拟专用网：概念和实现原理，PPP,LCP和NCP,PAP和CHAP。

[外链图片转存中…(img-AXG4REns-1729084702418)]

病毒：蠕虫病毒-前缀为worm宏病毒-前缀为macro,感染 excel或word。
IDS:收集信息并进行分析，发现违反安全策略的行为或攻击。
被动监听，一般旁挂部署IPS是主动安全设备，一般串行部署。
- 异常检测：既能对已知的攻击进行检测，也能检测未出现过的攻击，缺点是误报较多。
- 误用检测：对已知入侵行为检测准确率高，漏检率低，缺点是未知入侵检测准确率低。