攻防包括攻击和防御两部分。
攻击
安全威胁
信息系统的安全威胁来自于:
- 物理环境:对系统所用设备的威胁,如:自然灾害,电源故障,数据库故障,设备被盗等造成数据丢失或者信息泄露
- 通信链路:传输线路上安装窃听装置或者对通信链路进行干扰
- 网络系统:由于因特网的开放性、国际性、无安全管理性,对内部网络形成严重的安全威胁
- 操作系统:操作系统本身的后门或者安全缺陷,如木马和陷阱门
- 应用系统:网络服务或者用户业务系统安全的威胁,包括应用系统自身漏洞
- 管理:人员管理和各种安全管理制度
常见的:
- 信息泄露:信息被泄露或透露给某个非授权的实体。
- 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。
- 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。
- 非法使用:某一资源被某个非授权人,或以非授权的方式使用。
- 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。
- 业务流分析:通过对系统进行长期监听、利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从而发现有价值的信息和规律。
- 假冒:通过欺骗通信系统达到非法用户冒充合法用户,或特权小的用户冒充特权大的用户的目的。这个是黑客的主要攻击行为。
- 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利和特权。
- 授权侵犯:被授权以某一目的使用木椅系统或资源的某个人,却将此权限用于其它非授权的目的。
- 特洛伊木马:软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全。
- 陷阱门:在某个系统或某个部件中设置机关,使得当提供特定的输入数据时,允许违反安全策略。
- 抵赖:来自用户的攻击。
- 重放:所截获的某次合法的通信数据备份,处于非法目的而被重新发送。
- 计算机病毒:分为破坏功能的病毒和植入攻击能力的病毒。
- 人员不慎:一个授权的人为了利益或粗心而授权给一个非授权人。
- 媒体废弃:信息从废弃的磁盘或打印过的存储介质中获取。
- 物理侵入:侵入者通过绕过物理控制而获得对系统的访问。
- 窃取:重要的安全物品被盗。
- 业务欺骗:某一伪系统欺骗合法用户或系统资源地放弃敏感的信息
SNMP
SNMP,Simple Network Management Protocol,简单网络管理协议。SNMP是在UDP协议之上的异步请求/响应协议。UDP相比于TCP少很多的字段,SNMP的基本功能包括监视网络性能、检测分析网络差错和配置网络,只需将监回测到的问题发送到网络答管理工作站。
安全威胁分为三类:
- 必须提供防护的主要威胁:修改信息,假冒
- 必须提供防护的次要威胁:修改报文流、消息泄露
- 不必提供防护的威胁:拒绝服务、通信分析
具体来说,SNMPv3把对网络协议的安全威胁分为主要的和次要的两类,标准规定安全模块必须对这些威胁提供防护:
- 两种主要威胁:
- Modification of Information:修改信息,某些未经授权的实体改变进来的SNMP报文,企图实施未经授权的管理操作,或提供虚假的管理对象;
- Masquerade:假冒,未经授权的用户冒充授权用户的标识,企图实施管理操作。
- 两种次要威胁:
- Message Stream Modification:修改报文流,由于SNMP协议通常是基于无连接的传输服务,重新排序报文流、延迟或重放报文的威胁都可能出现。这种威胁的危害性在于通过报文流的修改可能实施非法的管理操作
- Disclosure:消息泄露,SNMP引擎之间交换的信息可能被偷听,对这种威胁的防护应采取局部的策略。
- 不必防护:
- Denial of Service:拒绝服务,因为在很多情况下拒绝服务和网络失效是无法区别的,所以可以由网络管理协议来处理,安全子系统不必采取措施
- Traffic Analysis:通信分析,即由第三者分析管理实体之间的通信规律,从而获取需要的信息。由于通常都是由少数管理站来管理整个网络的,所以管理系统的通信模式是可预见的,防护通信分析就没有多大作用。
计算机病毒
- 特性:传染性、非授权性、潜伏性和破坏性
- 组成:传染模块、触发模块、破坏模块、主控模块
- 检测和清除:特征码检测、校验和检测、行为检测、启发式扫描、虚拟机
熊猫烧香是一种感染型的蠕虫病毒,它能感染系统中的exe、com、pif、src、html和asp等文件,还能终止大量的反病毒软件进程,并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失,被感染的用户系统中所有.exe文件全部被改成熊猫举着三根香的模样。脚本病毒出现在网页中,木马病毒分为潜入受害者计算机的木马病毒程序和远方遥控主程序,宏病毒感染Office文件。
分类
一种分类:
- 主动攻击:IP地址欺骗、数据篡改、假冒身份、拒绝服务、重放攻击、散播病毒、主观抵赖
- 被动攻击:流量分析、网络监听、非法登录、信息截取
Land、Ping of Death和Teardrop攻击均是利用TCP/IP的漏洞所发起的攻击。
流量分析
流量分析攻击是通过持续检测现有网络中的流量变化或变化趋势,而得到相应信息的一种被动攻击方式。
Replay Attacks
重放攻击,又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。Kerberos系统采用的是时间戳方案来防止重放攻击,服务器可以根据时间戳来判断是否为重放包,以此防止重放攻击。
ARP攻击
Address Resolution Protocol,地址解析协议,一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,利用广播消息的方法负责将某个目标IP地址解析成对应的MAC地址。即,完成网络地址向物理地址的转换。
ARP攻击是针对以太网ARP的一种攻击技术,可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。ARP攻击造成网络无法跨网段通信的原因是:伪造网关ARP报文使得数据包无法发送到网关。
SQL Injection
SQL注入攻击是指用户通过提交一段数据库查询代码,根据程序返回的结果,获得攻击者想要的数据。通过对数据库查询代码和返回结果的分析而实现的。
DDoS
Distributed Denial of Service,简称DDoS,分布式拒绝服务攻击,是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或一个攻击者控制位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
Land
Land攻击是指攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低系统性能。
Ping of Death
Ping of Death攻击是攻击者向被攻击者发送一个超过65536字节的数据包ping包,由于接收者无法处理这么大的ping包而造成被攻击者系统崩溃、挂机或重启。
Teardrop
Teardrop攻击就是利用IP包的分段/重组技术在系统实现中的一个错误,即在组装IP包时只检查每段数据是否过长,而没有检查包中有效数据的长度是否过小,当数据包中有效数据长度为负值时,系统会分配一个巨大的存储空间,这样的分配会导致系统资源大量消耗,直至重新启动。
防御
分类
一种分类:
- 主动防御
- 被动防御
网页防篡改技术
包括时间轮询技术、核心内嵌技术、事件触发技术、文件过滤驱动技术等。
网页防篡改即对网站文件、目录进行保护,拦截黑客的篡改操作,达到防止网页被篡改的目的,主要有以下三种方式:
- 外挂轮询技术:用一个网页读取并检测程序,再用轮询的方式读取要监测的网页,将该网页和真实网页相比较后判断网页内容的完整性,如果发现网页被篡改,则对于被篡改的网页进行报警和恢复。但是这种网页防篡改技术明显的缺点是:当网页规模很大时,算法运行起来非常耗时且困难,且对于特定的网页,每两次检查的时间间隔很长,不法分子完全有机会进行篡改,对网页造成严重影响。
- 核心内嵌技术:在WEB服务器软件里内嵌篡改检测模块,在每个网页流出时都检查网页的完整性,如果网页被篡改,则进行实时访问阻断,对于被篡改的网页进行报警和恢复。这种网页防篡改技术的优点是:每个网页在流出时都进行检查,因此有可能被篡改的网页完全没有可能被读者发现;但是该方式也有缺点,由于在网页流出时要进行检测,因此网页在流出时会延迟一定的时间。
- 事件触发技术:利用(操作系统中的)驱动程序接口或文件系统,在网页文件修改时检查其合法性,对于非法操作——即篡改的网页进行报警和恢复。优点是预防成本非常低;缺点:WEB服务器的结构非常复杂,不法分子常常不会选择从正面进攻,他们会从WEB服务器的薄弱处或者不易发现和检测的地方进行攻击,并且还不断会有新的漏洞被发现,因此上面的防御策略是不能做到万无一失的。此外,被篡改的网页一旦混进WEB服务器,就再也没有机会对其进行安全检查。
入侵检测与防护
入侵检测与防护的技术主要有两种:
- IDS:lntrusion Detection System,入侵检测系统,注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹缘,并发出报警。绝大多数IDS系统部是被动的。
- IPS:Intrusion Prevention System,入侵防护系统,IPS则倾向于提供主动防护,注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过…个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,樽通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
IDS
Intrusion Detection System,入侵检测系统,注重的是网络安全状况的监督,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
IDS由4个模块组成:事件产生器、事件分析器、事件数据库和响应单元。
事件分析器负责接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其分析方法有三种:
- 模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为;
- 统计分析:首先给系统对象(如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为;
- 数据完整性分析:主要关注文件或系统对象的属性是否被修改,往往用于事后的审计分析。
具体来说,入侵检测系统的主要功能有:
- 监测并分析用户和系统的活动;
- 核查系统配置和漏洞;
- 评估系统关键资源和数据文件的完整性;
- 识别已知的攻击行为;
- 统计分析异常行为;
- 操作系统日志管理,并识别违反安全策略的用户活动。
数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。
蜜罐
蜜罐技术是一种主动防御技术,是一个诱捕攻击者的陷阱。
防火墙
防火墙是一种较早使用、实用性很强的网络安全防御技术,它阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,是一种静态安全技术。在策略中涉及的网络访问行为可以实施有效管理,而策略之外的网络访问行为则无法控制。防火墙的安全策略由安全规则表示。
VPN
Virtual Private Network,虚拟专用网络,是在公网中建立专用的、安全的数据通信通道。利用不安全的公共网络如Internet等作为传输媒介,通过一系列的安全技术处理,实现类似专用网络的安全性能,保证重要信息的安全传输的一种网络技术。
依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的、安全的数据通信通道的技术。VPN可以认为是加密和认证技术在网络传输中的应用。
VPN网络连接由客户机、传输介质和服务器三部分组成,VPN的连接不是采用物理的传输介质,而是使用称之为隧道
的技术作为传输介质,这个隧道是建立在公共网络或专用网络基础之上的。
常见的隧道技术包括:
- PPTP:Point-to Point Tunneling Protocol,点对点隧道协议;
- L2TP:Layer 2 Tunneling Protocol,第2层隧道协议;
- IPSec:IP安全协议。
优点:
- 网络通信安全:采用安全隧道等技术提供安全的端到端的连接服务,位于VPN两端的用户在Internet上通信时,其所传输的信息都是经过RSA不对称加密算法加密处理的,密钥通过Diffie-Hellman算法计算得出的,可以充分地保证数据通信的安全
- 扩展方便:
- 管理方便:
- 节约成本:
VPN原理
- 安全隧道技术:把传输的信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包中送入网络中,像普通数据包一样进行传输。经过这样的处理,只有源端和目标端的用户对加密封装的信息能进行提取和处理,而对于其他用户而言,这些信息只是无意义的垃圾
- 用户认证技术:在连接开始之前先确认用户的身份,然后系统根据用户的身份进行相应的授权和资源访问控制
- 访问控制技术:由VPN服务的提供者与最终网络信息资源的提供者共同协商确定用户对资源的访问权限,以此实现基于用户的访问控制,实现对信息资源的保护
VPN系统的结构图
安全隧道代理和管理中心组成安全传输平面(Secure Transmission Plane,STP),实现在Internet上安全传输和相应的系统管理功能。用户认证管理中心和密钥分配中心组成公共功能平面(Common Function Plane,CFP),它是安全传输平面的辅助平面,主要向用户代理提供相对独立的用户身份认证与管理、密钥的分配与管理功能。
建立VPN通信时,VPN用户代理向安全隧道代理请求建立安全隧道,安全隧道代理接受后,在管理中心的控制和管理下在Internet上建立安全隧道,然后向用户提供透明的网络传输。VPN用户代理包括安全隧道终端功能、用户认证功能和访问控制功能三个部分,它们共同向上层应用提供完整的VPN服务。
(1)安全传输平面:实现在Internet上安全传输和相应的系统管理功能,由安全隧道代理和管理中心共同完成的。
① 安全隧道代理:可以在管理中心的控制下将多段点到点的安全通路连
接成一条端到端的安全隧道。它是VPN的主体,其主要作用有:
- 建立与释放安全隧道:按照用户代理的请求,在用户代理与安全隧道代理之间建立点到点的安全通道,并在这个安全通道中进行用户身份验证和服务等级协商等交互。在安全通道中进行初始化过程,可以充分保护用户身份验证等重要信息的安全。然后在管理中心的控制下建立发送端到接收端之间由若干点到点的安全通道依次连接而成的端到端的安全隧道。在信息传输结束之后,由通信双方中的任一方代理提出释放隧道连接请求,就可以中断安全隧道连接。
- 用户身份的验证:在建立安全隧道的初始化过程中,安全隧道代理要求用户代理提交用户认证管理中心提供的证书,通过验证该证书可以确认用户代理的身份。必要时还可以由用户代理对安全隧道代理进行反向认证以进一步提高系统的安全性。
- 服务等级的协商:用户身份验证通过之后,安全隧道代理与用户代理进行服务等级的协商,根据其要求与VPN系统当时的实际情况确定提供的服务等级并报告至管理中心。
- 信息的透明传输:安全隧道建立之后,安全隧道代理负责通信双方之间信息的传输,并根据商定的服务参数进行相应的控制,对其上的应用提供透明的VPN传输服务。
- 控制与管理安全隧道:在维持安全隧道连接期间,安全隧道代理还要按照管理中心的管理命令对已经建立好的安全隧道进行网络性能及服务等级等有关的管理与调整。
② VPN管理中心:是整个VPN的核心部分,它与安全隧道代理直接联系,负责协调安全传输平面上的各安全隧道代理之间的工作。具体功能包括:
- 安全隧道的管理与控制:确定最佳路由,并向该路由上包含的所有安全隧道代理发出命令,建立安全隧道连接。隧道建立以后,管理中心继续监视各隧道连接的工作状态,对出错的安全隧道,管理中心负责重新选择路由并将该连接更换到新的路由。在通信过程中,还可以根据需要向相应安全隧道上的代理发送管理命令,以优化网络性能、调整服务等级等。
- 网络性能的监视与管理:管理中心不断监视各安全隧道代理的工作状态,收集各种VPN性能参数,并根据收集到的数据完成VPN性能优化、故障排除等功能。同时,管理中心还负责完成对各种VPN事件进行日志记录、用户计费、追踪审计、故障报告等常用的网络管理功能。
(2)公共功能平面:是安全传输平面的辅助平面,向VPN用户代理提供相对独立的用户身份认证与管理、密钥的分配与管理功能,分别由用户认证管理中心和VPN密钥分配中心完成:
- 认证管理中心:提供用户身份认证和用户管理。用户认证就是以第三者身份客观地向VPN用户代理和安全隧道代理中的一方或双方提供用户身份的认证,以便他们能够相互确认对方的身份。用户管理是指与用户身份认证功能直接相关的用户管理部分,即对各用户(包括用户代理、安全隧道代理及认证管理中心等)的信用程度和认证情况进行日志记录,并可在VPN与建立安全隧道双方进行服务等级的协商时参考。管理是面向服务的,而与用户权限、访问控制等方面有关的用户管理功能则不在此列。
- 密钥分配中心:向需要进行身份验证和信息加密的双方提供密钥的分配、回收与管理功能。在VPN系统里,用户代理、安全隧道代理、认证管理中心等都是密钥分配中心的用户。