三级信息安全我过了呜呜呜呜,虽然只是良好,但终于有胆子发当时做的笔记了QVQVQ
信息安全的发展大致经历了三个阶段,通信保密阶段、计算机安全阶段、信息安全保障阶段
stat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条
DDoS攻击防御方法:
Table做比较,并加以过滤。只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
- 异常流量的清洗过滤:通过DDOS硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。
- 分布式集群防御:这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址(负载均衡),并且每个节点能承受不低于10G的DDOS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
- 高防智能DNS解析:高智能DNS解析系统与DDOS防御系统的完美结合,为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能,随时可将瘫痪的服务器IP智能更换成正常服务器IP,为企业的网络保持一个永不宕机的服务状态。
会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户,因此需要保证会话标识不被泄漏。
1、 目标用户需要先登录站点;
2、 登录成功后,该用户会得到站点提供的一个会话标识SessionID;
3、 攻击者通过某种攻击手段捕获Session ID;
4、 攻击者通过捕获到的Session ID访问站点即可获得目标用户合法会话。
攻击者获取SessionID的方式有多种:
1、 暴力破解:尝试各种Session ID,直到破解为止;
2、 预测:如果Session ID使用非随机的方式产生,那么就有可能计算出来;
3、 窃取:使用网络嗅探,XSS攻击等方法获得。
对于PHP来说,其内部Session的实现机制虽然不是很安全,但是关于生成Session ID的环节还是比较安全的,这个随机的Session ID往往是极其复杂的并且难于被预测出来,所以,对于第一、第二种攻击方式基本上是不太可能成功的。
对于第三种方式大多使用网络数据通讯层进行攻击获取,可以使用SSL进行防御。
在应用层上也可以做出相应的防御措施:
目前有三种广泛使用的在Web环境中维护会话(传递Session ID)的方法:URL参数,隐藏域和Cookie。其中每一种都各有利弊,Cookie已经被证明是三种方法中最方便最安全的。从安全的观点,如果不是全部也是绝大多数针对基于Cookie的会话管理机制的攻击对于URL或是隐藏域机制同样适用,但是反过来却不一定,这就让Cookie成为从安全考虑的最佳选择。
入侵者入侵后往往会进行清理脚印和留后门等工作,最常使用的后门创建工具就是rootkit。不要被名字所迷惑,这个所谓的“rootkit”可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器,后门等程序。同时,程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序,这样的话,程序员在试图通过这些命令查询系统状况的时候,就无法通过这些假的系统程序发觉入侵者的行踪。
在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上,
系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。
入侵者通过:设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。
设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。
系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件,那些程序就会给黑客最高权限。
Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行,他们就可以获得最高权限。
具体可能通过以下方法给予远程用户以最高访问权限: “.rhost” 文件, ssh认证密钥, bind shell, 木马服务程序。
“.rhosts” 文件。一旦 "+ +"被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。
ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码。
Bind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。
Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell,或者通过ssh守护进程提供访问途径。
在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据,这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。
为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", “du”, “fsck”。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂,他会把一些文件放入引导块里。
为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话,它就不会出现在进程表里了。
针对数据信道包括存储过程和Web应用程序输入参数
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,蠕虫病毒一般是通过1434端口漏洞传播。
比如近几年危害很大的"尼姆亚"病毒就是蠕虫病毒的一种,2007年1月流行的"熊猫烧香"以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
网站挂马、诱骗下载、网站钓鱼、社会工程
Flood攻击。在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。如果在检查中发现该数据包不合法,例如该数据包所指向的目的端口在本机并未开放,则主机操作系统协议栈会回应RST包告诉对方此端口不存在。通常状态检测防火墙所做的事情与此类似,只不过防火墙只拦截非法的数据包,而不主动回应。
对比主机以及防火墙在接收到ACK报文和SYN报文时所做动作的复杂程度,显然ACK报文带来的负载要小得多。所以在实际环境中,只有当攻击程序每秒钟发送ACK报文的速率达到一定的程度,才能使主机和防火墙的负载有大的变化。当发包速率很大的时候,主机操作系统将耗费大量的精力接收报文、判断状态,同时要主动回应RST报文,正常的数据包就可能无法得到及时的处理。这时候客户端(以IE为例)的表现就是访问页面反应很慢,丢包率较高。但是状态检测的防火墙通过判断ACK报文的状态是否合法,借助其强大的硬件能力可以较为有效的过滤攻击报文。当然如果攻击流量非常大(特别是千兆线路上,我们曾经观察到200~300Mbps左右的ACK
Flood),由于需要维护很大的连接状态表同时要检查数量巨大的ACK报文的状态,防火墙也会不堪重负导致全网瘫痪。
为了捕获网络接口收到的数据帧,网络嗅探工具会将网络接口设置为混杂模式,可实现对网络上传输的数据包的捕获和分析
基于软件技术的软件安全保护技术有:注册信息验证技术、软件防篡改技术、代码混淆技术、软件水印技术、软件加壳技术、反调试反跟踪技术
客户端安全防护、通信信道安全防护、服务器端安全防护
数据库安全防护分为三个阶段:
事前检查、事中监控、事后审计
监听器安全特性分析、用户名和密码渗透、漏洞分析,主要对象是数据库身份验证和服务监听系统
基于代码的白盒测试技术,它能提供充分的代码覆盖,通过分析数据处理逻辑和程序的控制流关系,从而分析软件代码的潜在安全缺陷。
程序理解和模糊测试的软件动态安全测试技术
根据程序是否运行,测试可以分为静态测试和动态测试。
两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。
zone"的缩写,中文名称为"隔离区",也称"非军事化区"。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
入侵检测系统(IDS)是防火墙的补充解决方案,可以防止网络基础设施(路由器、交换机和网络带宽)和服务器(操作系统和应用层)受到拒绝服务(DoS) 袭击。由于问题比较复杂,先进的IDS解决方案一般都包含两个组件:用于保护网络的IDS(NIDS)和用于保护服务器及其上运行的应用的主机IDS
(HIDS)。NIDS(Network Intrusion System):网络入侵系统,主要用于监测Hacker或Cracker通过网络进行的入侵行为,其主要包括时间探测器和控制台俩部分。
(1)按入侵检测的手段、IDS的入侵检测模型可分为基于网络和基于主机两种。
(2)按入侵检测的技术基础可分为两类:一种基于标志的入侵检测(signature-based),另一种是基于异常情况的入侵检测(anomaly-based)。
(3) 按输入入侵检测系统的数据的来源来分,可以分为三类:
-
基于主机的入侵检测系统:其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵;
-
基于网络的入侵检测系统:其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵;
-
采用上述两种数据来源的分布式入侵检测系统:它能够同时分析来源于系统的审计日志和来源于网络的信息流,这种系统一般由多个部件组成。
(4)按入侵检测所采用的技术方法又可将其细分为下面四种方法:
一是基于用户行为概率统计模型的入侵检测方法:
这种入侵检测方法是在对用户历史行为建模或在早期的证据或模型的基础上,实时检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时,立即保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为,生成每个用户的历史行为记录库,当用户改变他们的行为习惯时,这种异常就会被检测出来。
二是基于神经网络的入侵检测方法:
这种方法是利用神经网络技术来进行入侵检测。这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出是否有入侵行为的判断。但该方法还不成熟,目前还没有出现较为完善的产品。
三是基于专家系统的入侵检测技术:
该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统,由此专家系统自动进行对所涉及的入侵行为进行分析。该系统可以随着经验的积累而不断自我学习,并进行规则的扩充和修正。
四是基于模型推理的入侵检测技术:
该技术根据入侵者在进行入侵时所执行的某些行为程序的特征,建立一种入侵行为模型,根据这种行为模型所代表的入侵行为特征来判断用户执行的操作是否是属于入侵行为。当然这种方法也是建立在对当前已知的入侵行为程序的基础之上的,对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。
system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection
System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems)
作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。
入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。
入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。
入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。
蜜网(honeynet)是一个网路系统,而并非某台单一主机,这一网路系统是隐藏在防火墙后面的,所有进出的资料都受到监控、捕获及控制。这些被捕获的资料可以对我们研究分析入侵者们使用的工具、方法及动机。可以模拟各种不同的系统及设备,如Windows NT/2000、Linux、Solaris、Router、Switch等。honeynet包含一个或多个honey pot,这种honey
pot是专门用来吸引别人进行攻击的陷阱。Honeynet Projuct是一个公益研究组织,专门研究网络安全和信息共享技术,努力提高honeynet的诱骗程度。
pot之外,蜜网(honeynet)还包括一些真正的应用程序和硬件设备,这样看起来honeynet更像一个一般的网络,也更容易引起入侵者的注意。由于honeynet并不会对任何授权用户进行服务,因此,任何试图联系主机的行为都被视为非法,而任何从主机对外开放的通讯都被视为合法,因此,在honeynet中进行网络可疑信息分析要比一般网络容易得多,在一般网络中,要在众多信息中仔细挑选出那些可疑信息,工作量太大了。为了能够吸引攻击,honeynet中的网络应用程序命名基本都是什么"财务"、"人力资源"之类的。
虽然honeynet看起来是个网络,但是实际上honeynet在一个服务器上。
低交互蜜罐只会让攻击者非常有限地访问操作系统。“低交互”意味着,对手无法在任何深度上与您的诱饵系统进行交互,因为它是一个更加静态的环境。低交互蜜罐通常会模仿少量的互联网协议和网络服务,足以欺骗攻击者,而不是更多。通常,大多数企业都会模拟TCP和IP等协议,这使得攻击者可以认为他们正在连接到真实系统而不是蜜罐环境。
低交互蜜罐易于部署,不允许访问真正的root shell,也不使用大量资源进行维护。但是,低交互蜜罐可能不够有效,因为它只是机器的基本模拟。它可能不会欺骗攻击者参与攻击,而且它肯定不足以捕获复杂的威胁,如零日攻击。
高交互蜜罐是欺骗技术中规模的另一端。攻击者不是简单地模拟某些协议或服务,而是提供真实的攻击系统,使得他们猜测他们被转移或观察的可能性大大降低。由于系统仅作为诱饵出现,因此发现的任何流量都是恶意存在的,因此可以轻松发现威胁并跟踪和跟踪攻击者的行为。通过使用高交互蜜罐,研究人员可以了解攻击者用于升级权限的工具,或者他们为尝试发现敏感数据而进行的横向移动。
利用当今最先进的动态欺骗方法,高交互蜜罐可以适应每个事件,使攻击者更不可能意识到他们正在使用诱饵。如果您的供应商团队或内部团队有一个幕后工作的研究部门,以发现新的和新兴的网络威胁,这可以是一个很好的工具,让他们学习有关最新战术和趋势的相关信息。
当然,高交互蜜罐的最大缺点是在开始时构建诱饵系统所需的时间和精力,然后长期保持对其的监控,以降低贵公司的风险。对于许多人来说,中等交互蜜罐策略是最佳平衡,与创建完整的物理或虚拟化系统以转移攻击者相比,提供的风险更小,但具有更多功能。这些仍然不适用于零日攻击等复杂威胁,但可能针对寻找特定漏洞的攻击者。例如,中型交互蜜罐可能会模拟Microsoft IIS
Web服务器,并具有足够复杂的功能来吸引研究人员需要更多信息的特定攻击。
aslr是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。
randomization)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。据研究表明ASLR可以有效的降低缓冲区溢出攻击的成功率,如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。
在学术研究上,已经有不少工作对其进行改进。比如进行运行时动态细粒度的随机化(参见论文 Remix: On-demand Live Randomization)。
DEP(数据执行保护)
可帮助防止数据页当作代码执行,从而有效分离数据与代码。通常情况下,不执行默认堆和堆栈中的代码。硬件实施 DEP 检测从这些位置运行的代码,并在发现执行情况时引发异常。软件实施 DEP 可帮助阻止恶意代码利用 Windows 中的异常处理机制进行破坏。
硬件DEP 是某些 DEP 兼容处理器的功能,可以防止在已标记为数据存储区的内存区域中的代码执行。 此功能也称为非执行和执行保护。 Windows XP SP2 还包括软件实施 DEP,其目的在于减少利用 Windows 中的例外处理机制的情况。
与防病毒程序不同,硬件和软件实施 DEP 技术的目的并不是防止在计算机上安装有害程序。 而是监视您的已安装程序,帮助确定它们是否正在安全地使用系统内存空间。 为监视您的程序,硬件实施 DEP 将跟踪已指定为"不可执行"的内存区域。 如果已将内存指定为"不可执行",但是某个程序试图通过内存执行代码,Windows 将关闭该程序以防止恶意代码。
无论代码是不是恶意,都会执行此操作。从而使代码内存空间存放可执行的代码,数据内存空间只存储数据,数据空间中如果有任何代码都视作数据,不给予代码执行权限。
Stack protection技术是一项缓冲区溢出的检测防护技术,使用该技术的编译器针对函数调用和返回时添加保护和检查功能的代码,在函数被调用时,在缓冲区和函数返回地址增加一个32位的随机数security_cookie,在函数返回时,调用检查函数security_cookie的值是否有变化
注册信息验证技术、软件篡改技术、代码混淆技术、软件水印技术、软件加壳技术、反调试反跟踪技术
支持相互认证,客户端和服务端均可对对方进行身份认证。是一种应用对称秘钥体制进行秘钥管理的系统。
主要用于计算机网络的身份甄别,其特点是用户只需要输入一次身份验证信息就可以凭借此次验证获得的票据访问多个服务,即SSO(Single Sign On 单点登录)。
由于协议中的消息无法穿透防火墙,导致Kerberos协议往往用于一个组织的内部。
TACACS(终端访问控制器访问控制系统)对于Unix网络来说是一个比较老的认证协议,它允许远程访问服务器传送用户登陆密码给认证服务器,认证服务器决定该用户是否可以登陆系统。TACACS是一个加密协议,因此它的安全性不及之后的TACACS+和远程身份验证拨入用户服务协议。TACACS之后推出的版本是XTACACS。这两个协议均在RFC(请求注解)(是一系列以编号排定的文件。文件收集了有关互联网相关信息,以及UNIX和互联网社区的软件文件。可以理解是一个标准化的文档。)中进行了说明。
TACACS+其实是一个全新的协议。TACACS+和RADIUS在现有网络里已经取代了早期的协议。TACACS+应用传输控制协议(TCP),而RADIUS使用用户数据报协议(UDP)。一些管理员推荐使用TACACS+协议,因为TCP更可靠些。RADIUS从用户角度结合了认证和授权,而TACACS+分离了这两个操作。
C/S结构的协议,他的客户端最初就是NAS服务器,任何运行RADIUS客户端的计算机都可以成为RADIUS客户端,认证机制灵活,可采用PAP、CHAP或者Unix登录认证多种方式,应用于ADSL上网、虚拟拨号用户等。使用用户数据报协议UDP。
RADIUS是使用AAA协议的接入服务器。 它是获 取对网络和网络服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件:
一 个协议带有使用用户数据协议的帧格式(UDP)/IP
而客户端在拨号接入服务器驻留并 且可以被分配在网络过程中,服务器在一台中央计算机典型地运行 在用户站点。Cisco合并RADIUS客户端到Cisco IOS软件版本 11.1以上和其他设备软件里。
网络接入服务器(NAS)运 行作为RADIUS的客户端。客户端负责通过用户信息对指定的 RADIUS服务器,然后操作在返回的回应。 RADIUS服务器负责 对收到用户连接请求,验证用户,然后返回所有配置信息必要为客 户端提供服务到用户。RADIUS服务器能作为代理客户端到其 他认证服务器
多级安全策略模型,易敏感度划分资源的安全级别,实质上是一种强制访问控制。
一、简单安全规则:主体只能从下读,而不能向上读。
二、星规则:主体只能向上写,而不能向下写。
两条规则保证了信息的单向流动(信息只能往高安全属性的方向流动),MAC就是通过信息的单向流动来防止信息的扩散,抵御特洛伊木马对系统的攻击。
Security传输层安全)协议,是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密,用于保障网络数据传输安全,利用数据加密技术,确保数据在网络传输过程中不会被截取及窃听。SSL协议已成为全球化标准,所有主要的浏览器和WEB服务器程序都支持SSL协议,可通过安装SSL证书激活SSL协议。
SSL 证书就是遵守 SSL协议的服务器数字证书,由受信任的证书颁发机构(CA机构),验证服务器身份后颁发,部署在服务器上,具有网站身份验证和加密传输双重功能。
SSL协议提供的服务主要有:
1.认证用户和服务器,确保数据发送到正确的客户机和服务器;
2.加密数据以防止数据中途被窃取;
3.维护数据的完整性,确保数据在传输过程中不被改变。
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:
SSL记录协议(SSL RecordProtocol):建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL握手协议(SSL HandshakeProtocol):建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议实际上是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。
在SSL协议中,所有的传输数据都被封装在记录中。记录是由记录头和记录数据(长度不为0)组成的。所有的SSL通信都使用SSL记录层,记录协议封装上层的握手协议、报警协议、修改密文协议。SSL记录协议包括记录头和记录数据格式的规定。
SSL记录协议定义了要传输数据的格式,它位于一些可靠的传输协议之上(如TCP),用于各种更高层协议的封装。主要完成分组和组合、压缩和解压缩,以及消息认证和加密等。
Security)协议产生于IPv6的制定之中,用于提供IP层的安全性。介于第三层隧道协议。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定,但由于其中存在一些未解决的问题,从1997年开始IETF又开展了新一轮的IPSec的制定工作,截至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来IETF又会进行下一轮IPSec的修订工作。
· 认证机制使IP通信的数据接收方能够确认数据发送方的真实身份,以及数据在传输过程中是否遭篡改。
· 加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。
IPSec主要功能为加密和认证,为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE(Internet Key Exchange,Internet 密钥交换)三个协议规定***。为了介绍这三个协议,需要先引人一个非常重要的术语SA(Security
Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个"连接"。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。要实现AH和ESP,都必须提供对SA的支持。通信双方如果要用IPSec建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接,可以由AH或ESP提供。当给定了一个SA,就确定了IPSec要执行的处理,如加密,认证等。SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。ESP协议基于IPSec的数据通信提供了安全加密、身份认证和数据完整性鉴别*
IKE创建在ISAKMP协议定义的框架上,沿用了Oakley协议的密钥交换模式和SKEME协议的共享密钥和密钥组成技术.IKE使用俩阶段协商安全参数.第一阶段交换IKE,主要通过俩种模式实现,第二阶段利用第一阶段建立的安全关联来创建其他协议的安全关联,用于IPSec协议时,创建SA
IPSec的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种:丢弃或转发。IPSec通过查询SPD(Security Po1icy
Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外,还有一种,即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,也可以拒绝某个内部站点对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性、真实性、完整性,通过Internet进行安全的通信才成为可能。IPSec既可以只对IP数据包进行加密,或只进行认证,也可以同时实施二者。但无论是进行加密还是进行认证,IPSec都有两种工作模式,一种是隧道模式,另一种是传输模式。
Internet 密钥交换协议(IKE)用于在两个通信实体协商和建立安全相关,交换密钥。安全相关(Security Association)是 IPSec 中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证,且这些通信实体都能支持相同的加密算法,成功地交换了会话密钥,可以开始利用 IPSec 进行安全通信。IPSec
协议本身没有提供在通信实体间建立安全相关的方法,利用 IKE 建立安全相关。IKE 定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法
SKEME:提供了IKE交换密钥的算法,方式;即,通过DH进行密钥交换和管理的方式,个人开发的
ISAKMP:它是一个框架,在该框架以内,它定义了每一次交换的包结构,每次需要几个包交换,主模式6个包交换和主动模式3个包交换,它由美国国家安全处开发,在配置IPSEC VPN的时候,只能设置它,前两个协议不能被设置。
ISAKMP没有定义任何密钥交换协议的细节,也没有定义任何具体的加密算法、密钥生成技术或者认证机制。这个通用的框架是与密钥交换独立的,可以被不同的密钥交换协议使用。
ISAKMP报文可以利用UDP或者TCP,端口都是500,一般情况下常用UDP协议。
ISAKMP双方交换的内容称为载荷(payload),ISAKMP目前定义了13种载荷,一个载荷就像积木中的一个"小方块",这些载荷按照某种规则"叠放"在一起,然后在最前面添加上ISAKMP头部,这样就组成了一个ISAKMP报文,这些报文按照一定的模式进行交换,从而完成SA的协商、修改和删除等功能。
在配置IPSEC VPN的时候,只能设置它,前两个协议不能被设置,
IKE是以上三个筐架协议的混合体。IP SEC强是因为他IKE强。
IKE为IPSec通信双方提供密钥材料,这个材料用于生成加密密钥和验证密钥。另外,IKE也为IPSec协议AH ESP协商SA。
IKE中有4种身份认证方式:
(1) 基于数字签名(Digital Signature),利用数字证书来表示身份,利用数字签名算法计算出一个签名来验证身份。
(2) 基于公开密钥(Public Key Encryption),利用对方的公开密钥加密身份,通过检查对方发来的该HASH值作认证。
(4) 基于预共享字符串(Pre?Shared Key),双方事先通过某种方式商定好一个双方共享的字符串。
IKE目前定义了4种模式:主模式、积极模式、快速模式和新组模式。前面3个用于协商SA,最后一个用于协商Diffie Hellman算法所用的组。主模式和积极模式用于第一阶段;快速模式用于第二阶段;新组模式用于在第一个阶段后协商新的组。
主模式:LAN to LAN 六个包交换,在认证的时候是加密的,
1、2个包:策略和转换集的协商。第一阶段的加密和HASH的策略,包括对方的IP地址。对第阶段策略的协商,发起者把它所有的策略发给接收者让它选择协商(发起者可以设很多个策略),
3、4个包:进行DH(DH算出的公共值和两边产生的随机数)的交换,这两外包很大,MTU小可能在这个地方出错。
5、6个包:彼此进行认证,HASH被加密过,对方解密才能进行认证。
远程拔号VPN:激进模式,3个包,减少对PC的压力,在认证的时候是不加密的
在第二阶段中(快速模式):会对第一阶段的信息再做一次认证
快速模式:当IP SEC参数设的不一致,它会在快速模式的第1、2个包报错,会出现不可接受信息。以及感兴趣流(ACL定义内容)也要匹配。ACL两边要对应一致。
快速模式的1、2、3个包的作用是再进行双方的认证,协商IP sec SA的策略,建立IP sec的安全关联,周期性的更新IP sec的SA,默认一小时一次,ISAKMP默认是一天更新一次,协商双方的感兴趣流,如果有PFS,就会进行新一轮的DH交换,过程与第一阶段的DH交换基本一样。
OCSP是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个"有效"、"过期"或"未知"的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期,这样他们就可以在更新以前的一段时间内继续访问服务器。
在线证书状态协议(OCSP)使得应用程序可以测定所需要检验证书的(撤消)状态。OCSP。一个OCSP客户端发布一个状态查询给一个OCSP响应器并且侦听当前证书直到响应器提供了一个响应。这个协议描述了在应用程序检查证书状态和服务器提供状态之间所需要交换的数据’
加密算法能抵抗明文攻击才认为是安全的
密码分析学有四种典型的密码攻击,唯密文攻击、已知密文攻击、选择密文攻击,其中唯密文攻击最容易防范,选择密文攻击最难防范
对称算法/对称密钥体制
有时又叫传统密码算法,就是加密秘钥能够从解密秘钥中推算出来,反过来也成立。
在大多数对称算法中,加/解密秘钥相同
(1)分组算法(分组密码),常见分组密码算法:DES、IDEA、AES,
(2)序列算法(序列密码、流密码),公开的序列密码算法主要有RC4、SEAL等
对称密码设计的主要思想:
扩散和混淆,扩散将明文及秘钥的影响尽可能迅速散布到较多个输出的密文中。混淆其目的在于使作用于明文的秘钥和密文之间的关系复杂化,是明文和密文之间、密文和秘钥之间的统计相关特性及消化,从而使统计分析攻击不能奏效。包括词法转换、控制流转换、数据转换.用以达到扩散和混淆目的的方法是乘积迭代
对称密码的选择明文分析方法
传统对称密码加密时所使用的俩个技巧时:代换和置换
最早的代换密码是Caesar密码
DES密码结构基于Feistel网络的结构,分组大小为64位
AES算法在整体结构上采用的是代换–置换SP网络组成的圈函数,多圈迭代
SHA所产生的摘要长度为160位,信息摘要算法MD5的摘要长度为128位
RSA算法选取的模至少有1024位,椭圆曲线密码,选取的参数p的规模不少于160位
消息空间、密文空间、密钥空间、加密算法、解密算法
人工密钥分发、基于中心的密钥分发、基于认证的密钥分发
TCM可信密码模块的英文全称为“Trusted Cryptography Module”,TCM是可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。
可信计算平台(trusted computing platform)概念由国家密码管理局提出,其是构建在计算系统中,用于实现可信计算功能的支撑系统。
可信计算密码支撑平台(cryptographic support platform for trusted computing)是可信计算平台的重要组成部分,包括密码算法、密钥管理、证书管理、密码协议、密码服务等内容,为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。其产品形态主要表现为可信密码模块和可信密码服务模块。
为了支持中国可信计算的研究和应用,中国国家密码管理局于2006年组织制定了《可信计算平台密码技术方案》,它体现三个原则:(1)以国内密码算法为基础;(2)结合国内安全需求与产业市场;(3)借鉴国际先进的可信计算技术框架与技术理念并自主创新。《可信计算平台密码技术方案》是构建中国可信计算技术规范体系的基础。《可信计算密码支撑平台功能与接口规范》[4]以《可信计算平台密码技术方案》为指导,描述了可信计算密码支撑平台的功能原理与要求,并定义了可信计算密码支撑平台为应用层提供服务的接口规范。用以指导中国相关可信计算产品开发和应用。
中国可信计算标准包括可信计算芯片标准、可信计算软件标准、可信计算主板平台标准、可信计算网络标准
可信计算芯片标准的特点主要体现在动态度量和对信息的安全保障方面。
而可信密码模块标准TCM主要体现在密码算法上的自主化上,采用了国产加密算法。
可信密码模块信息(TCMModuleInfo):可信密码模块型号用于标识可信密码模块的类型。包括三个子项分别是:可信密码模块生产商(TCMVender)、可信密码模块型号(TCMModel)、可信密码模块版本(TCMVersion)。其中后两项TCMModel、TCMVersion为生产商自定义信息。
PKI 采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信 息,以在Internet网上验证用户的身份。PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传 输。
因 此,从大的方面来说,所有提供公钥加密和数字签名服务的系统,都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一 个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传
输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
一 个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI的内部运作机制。在一个典型、完整和有效的PKI系统
中,除证书的创建和发布,特别是证书的撤销,一个可用的PKI产品还必须提供相应的密钥管理服务,包括密钥的备份、恢复和更新等。没有一个好的密钥管理系统,将极大影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。在一个企业中,PKI系统必须有能力为一个用户管理多对密钥和证书;能够提供安 全策略编辑和管理工具,如密钥周期和密钥用途等。
PKI发展的一个重要方面就是标准化问题,它也是建立互操作性的基础。目前,PKI标准化主要有两个方面:一是RSA公司的公钥加密标准PKCS(Public Key Cryptography Standards),它定义了许多基本PKI部件,包括数字签名和证书请求格式等;二是由Internet工程任务组IETF(Internet Engineering Task
Force)和PKI工作组PKIX(Public Key Infrastructure Working Group)所定义的一组具有互操作性的公钥基础设施协议。在今后很长的一段时间内,PKCS和PKIX将会并存,大部分的PKI产品为保持兼容性,也将会对这两种标准进行支持。
一个典型的PKI系统包括***PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用***等。
PKI信任模型类型有:单级CA信任模型、严格层次结构模型、分布式(网状)信任模型结构、web模型、桥CA信任模型、用户为中心的信任模型
端口测试(服务发现)、渗透测试、内部安全测试
首先要对数据库系统本身进行安全加固,如打上补丁、关闭特权账号等等。其次是对数据库的贴身防护:
(1)事前对数据库进行扫描评估,漏洞检查
(2)事中对数据库进行入侵防护和访问控制
(3)事后对数据库的审计。
接下来是对数据库的身份认证,以及数据加密、流量控制、容灾备份。最后是对应用的安全防护,保证来自应用的访问可以安全访问数据库。
用户权限是由俩个要素组成的,数据库对象和操作类型
数据库软件执行三种类型的完整性服务:
语义、参照、实体完整性
数据库事务处理四大特性
原子性 一致性 分离性 持久性
数据库的渗透测试,主要包括3个方面,监听器安全特性分析、用户名和密码渗透、漏洞分析
新创建数据库用户三种权限
RESOURCE:能创建基本表和视图,不能创建模式和新用户
CONNECT:只能登陆数据库
Unix/Linux系统中,服务是通过inted进程或启动脚本来启动
UNIX文件系统安全基于I结点中3段关键信息:UID(文件拥有者)、GID:(文件所在分组)、模式(文件的权限设置)
Winlogon调用GINA DLL并监视安全认证序列,所调用的DLL将提供一个交互式的界面为用户登录提供认证
Wireshark嗅探的前十个数据包时ISAKMP协议的数据包
用户代码需要请求操作系统提供服务时,通常采用系统调用的方法
指令寄存器eip始终存放着返回地址
现代CPU俩种运行模式
用户模式(非特权模式)、内核模式(特权模式)
方便用户使用计算机资源所建立的用户和计算机之间的联系,包括作业级接口和程序级接口。
在linux或者unix操作系统中在系统引导的时候会开启很多服务,这些服务就叫做守护进程。为了增加灵活性,root可以选择系统开启的模式,这些模式叫做运行级别,每一种运行级别以一定的方式配置系统。 守护进程是脱离于终端并且在后台运行的进程。守护进程脱离于终端是为了避免进程在执行过程中的信息在任何终端上显示并且进程也不会被任何终端所产生的终端信息所打断。
守护进程,也就是通常说的Daemon进程,是Linux中的后台服务进程。它是一个生存期较长的进程,通常独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件。守护进程常常在系统引导装入时启动,在系统关闭时终止。Linux系统有很多守护进程,大多数服务都是通过守护进程实现的,同时,守护进程还能完成许多系统任务,例如,作业规划进程crond、打印进程lqd等(这里的结尾字母d就是Daemon的意思)。
由于在Linux中,每一个系统与用户进行交流的界面称为终端,每一个从此终端开始运行的进程都会依附于这个终端,这个终端就称为这些进程的控制终端,当控制终端被关闭时,相应的进程都会自动关闭。但是守护进程却能够突破这种限制,它从被执行开始运转,直到整个系统关闭时才退出。如果想让某个进程不因为用户或终端或其他地变化而受到影响,那么就必须把这个进程变成一个守护进程。
进程和CPU通信是通过中断信号完成的
NAT(网络地址翻译技术)
静态NAT、NAT池和端口地址转换PAT
由大量NOP空指令0x90填充组成的指令序列
在标准模型中,将CPU模式从用户模式转到内核模式的唯一方法是触发一个特殊的硬件自陷。
中断:一些外部硬件引发的,如I/O或者时钟
异常:如除数为零,访问非法的或者不属于该进程的内存
用户使用的端口一般介于之间
网络21端口对应FTP服务,23端口TELNET服务,25端口对应SMTP服务,80端口对应HTTP协议
ACK标志位说明确认序列号有效,PSH标志位表示请求接收端主机尽快将数据包交付给应用层,FIN标志位用于释放TCP链接,SYN标志位说明建立一个同步连接。其中TCP的半连接扫描也称为TCP SYN扫描
