1、安全网络架构和保护网络组件
(1)网络基本概念
- 协议
决定系统如何在网络中通信的规则标准集
对等层之间通信要遵守一定的规则,如通信内容,通信方式,这个规则叫做协议 - 分层
将网络互联任务、协议和服务分为不同的层
每一层都有自己的职责,每一层都有特定的功能,并且由那一层内工作的服务和协议来实现
每一层都有一个特殊接口,允许与其他三层交互(与上层接口通信,与下层接口通信,与目标包地址接口中的相同层通信) - 封装与解封在(互逆的过程)
(2)OSI模型(开放系统互联参考模型)
- 应用层,7层
Novell公司开发的应用层协议,与用户最为接近的地方,提供文件传输、消息交换、终端会话,以及执行应用程序的网络请求
应用层协议示例:
简单邮件传输协议SMTP、超文本传输协议HTTP、行式打印机后台程序LPD、文件传输协议FTP、Telnet、普通文件传输协议TFTP、SNMP、RIP(底层用UDP)、BGP(底层用TCP)、SIP(会话初始协议) - 表示层,6层
接收应用层协议的信息,转换为所有遵循OSI模型的计算机都能理解的格式
表示层关心数据的格式和语法,处理数据压缩和加密
典型的格式有:ASCII、JPEG、MPEG等 - 会话层,5层
当两个程序需要通信或传送数据时,就可能需要在两者之间建立一个会话。它负责在两个程序之间建立连接
会话工作分3个阶段:
数据建立、数据传输、连接释放
会话层工作的部分协议有结构化查询语言SQL、NetBIOS、远程过程调用RPC、密码身份验证协议PAP、点对点隧道协议PPTP(底层用TCP1723端口)、L2TP(底层用UDP1701端口) - 传输层,4层
会话层和传输层的功能非常相似,都是建立某种用于通信的会话或虚拟连接
它们之间的差异是会话层工作的协议建立应用程序之间的连接,传输层工作的协议建立计算机系统之间的连接(端口)
传输层工作协议:
TCP、用户数据报协议UDP、安全套接字层SSL、序列包交换SPX传输层数据单位为段(TCP段segment,UDP为数据报 datagram) - 网络层,3层
主要职责在数据包首部中插入信息,以便将数据正确地编址和路由,并且将数据实际路由至正确地目的地
常见的协议:网络协议IP、ICMP、RIP、OSPF、BGP、IGMP等
网络层数据单位为数据包(包/分组 packet) - 数据链路层,2层
负责将数据包转换成局域网和广域网技术的二进制格式,以便沿线路正确地传送
常见协议:点对点协议PPP、ATM、L2TP、FDDI、ARP、RARP、SLTP、以太网IEEE802.3、令牌环IEEE802.5、无线以太网
数据链路层数据单位为帧(frame) - 物理层,1层
将位转换为用于传送的电压,这一层控制同步、数据传送速率、线路噪声与介质访问
数据单位为比特(bit) - 数据在每一层的叫法
上层(应用层,表示层,会话层):message信息、data数据
传输层:segment段、datagram数据报
网络层:packet数据包、分组
数据链路层:frame帧
物理层:bit比特,8个bit组成一个字节 - 不适用于OSI模型的协议
并非所有的协议都适用OSI模型的分层,这些特殊的设备从来没打算与互联网有任何的交互,这些设备往往缺乏强大的安全功能用于保护可用性、完整性、机密性,然而随着万物互联,这些孤立的设备存在非常大的安全隐患。
例如,2015年12月,攻击者对数据采集与监视控制系统SCADA的攻击切断了乌克兰超过8000个家庭电源。这被认为是首次由于网络攻击导致的系统性电力中断事件。SCADA系统的核心协议是DNP3协议。分布式网络协议3(DNP3):
设计用于SCADA系统通信协议,它不像IP协议,不包括路由功能,SCADA通信通常是一种扁平的层次结构,传感器和执行器直接连接到远程终端单元RTU,RTU汇总数据传送到SCADA管理单元。
控制器区域网络总线:
另一个多层协议,一个运行在全球大部分汽车上的多层协议,几乎没有任何的安全功能。控制器区域网络总线(CAN bus)是一个设计允许微控制器和其他嵌入设备在共享总线上通信的协议。随着汽车开始通过WiFi和蜂窝数据网络连接,意味着设计中存在一个没有考虑新的攻击因素的不设防系统。
(3)TCP/IP模型
- 传输层
TCP:可靠的面向连接的协议,三次握手
UDP:非面向连接的协议
套接字:IP地址和端口号的组合
端口(16位):知名端口 1-1023,已注册端口 1024-49151,随机端口/动态端口/临时端口 49152-65535 - 互联网层
IPv4与IPv6分别为32位和128位地址
ICMP用于确定网络和特定链路的运行状况
路由协议:
路由协议分为动态路由协议和静态路由协议,动态路由协议能够发现路线并构建一个自己的路由表,而静态路由协议需要管理员手段配置路由表。
单独网络称为自治系统AS
距离向量:RIP、IGRP
链路状态(建立网络的拓扑数据库):OSPF
路由器连接不同的AS所使用的外部路由协议,通常称为外部网关协议BGP - 通用应用层协议
特定应用或服务的协议 - 多层协议
封装:[以太网[IPsec[IP[TCP[SSL[HTTP]]]]]] - 域名服务,DNS
- 威胁:
DNS中毒:DNS欺骗Spoofing(Pharming),部署流氓DNS服务器或者改变HOSTS文件域名劫持:域名服务器上的某条记录被篡改,一旦要查询这条记录,得到的就是错误的结果。 - DNS安全:
DNSsec,加强DNS身份验证机制。
开发DNSsec,技术的目的之一是通过对数据进行“数字签名”保障数据的完整性。
- 威胁:
(4)融合协议
- 专有协议与标准协议结合,使用现有的TCP/IP网络基础设施来托管特殊服务或专有服务,不需要独立部署备用网络硬件,可显著降低成本。
- 示例:
MPLS:多协议的含义是指MPLS不但可以支持多种网络层层面的协议,还可以兼容第二层的多种数据链路层技术。
ISCSI:基于IP网络的存储标准。
VoIP:语言信号经过数字化,压缩转换成IP包,然后在IP网络中进行传输。
SDN:软件定义网络,将网络设备上的控制权分离出来,由集中的控制器管理,无需依赖底层的网络设备(路由器、交换机、防火墙),屏蔽了来自底层网络设备的差异。网络虚拟化,允许数据传输路径、通信决策树和流量控制在SDN控制层中虚拟化,而不是基于每个设备的硬件。可以从集中位置编程,灵活,基于开发标准。独立于供应商,允许组织根据需要混合和匹配硬件,而不会被某个供应商锁定。
CDN:内容分发网络,在多个数据中心部署资源服务的集合,以便提供托管内容的低延时、高性能和高可用性。一个经策略性部署的整体系统,包括分布式存储、负载均衡、网络请求的重定向和内容管理四个要件。
(5)无线网络
- 保护无线接入点AP
AP,防rogue AP(未经企业许可而私自接入企业网络中的无线路由器 WiFi AP) - 802.11,IEEE无线局域网标准
802.11 a:最高达54Mbps速率,5G频率范围
802.11 b:最高达11Mbps速率,2.4G
802.11 n:QoS
802.11 g:20–54Mbps,2.4G频段,兼容802.11b
802.11 i:IEEE在2004年出台了一个称为IEEE802.11i(或称为WAP2)的标准,应对802.11标准所带的安全问题。为什么使用编号2?仓促推出的WPA标准是WEP所需要的元素的重用,但是比802.11标准所使用的方法提供多的多的安全和保护。攻击者可以利用WEP的弱点,使用两个非常强大的程序AirSnort和WEPCrack就能轻松解密WEP。WAP能够轮流应用加密密钥,有助于阻止这些类型的攻击。相较于WPA,完整的802.11i(WPA2)的一个很大优势是可以使用AES实验法与CBC-MAC计算器模式(CCM)的加密保护。 - SSID
服务集标识,通常认为就是无线网络的名称,有两种类型的SSID(BSSID,ESSID),SSID可以将一个无线局域网分成几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才能进入相应的子网络,防止未授权的用户进入本网络. - WAP
无线应用协议;
基于WML无线标记语言,基于XML;
WAP自己具有会话和传输协议,以及无线传输层安全(WTLS)的传输层安全协议;
匿名身份验证,无线设备和服务器彼此不进行身份验证;
服务器身份验证,服务器对无线设备进行身份验证。
客户端与服务器双向身份验证,无线设备和服务器之间双向进行身份验证。 - 保护WLAN安全
需要无线设备证明拥有密钥;
WEP协议:采用RC4加密(不安全),IV初始向量 size 24bit,容易攻破;
WPA:TKIP,负责处理无线安全问题的加密部分,已解决WEP保护的网络中遇到的问题。IV初始向量 seze 128bit,比WEP更安全;
WPA2:CCMP替代TKIP,比WPA更安全;
802.1x:IEEE 802.1x是IEEE制定的关于用户接入网络的认证标准。802.1x协议在用户/设备接入网络之前进行验证,运行于网络中的MAC层。是一个基于端口的网络访问控制,它确保用户只有通过正确的身份验证后才能建立一个完整的网络连接。同身份验证架构和一个动态分发加密密钥的方法由三部分组成:请求者(无线设备)、身份验证者(AP)、身份验证服务器(RADIUS)。使用EAP认证。 - 无线攻击
战争散步/战争驾驶 war walking/war driving
战争粉记 war chalking
重放攻击
IV初始向量
恶意接入点(rogue AP)
邪恶双胞胎:使用相同的SSID,可导致中间人攻击
(6)保护网络设备
- NAC网络访问控制
通过严格遵守和实施安全策略来控制对网络的访问
802.1x提供了一种简单的NAC形式 - 安全设备
- 防火墙(通过风险评估,确定防火墙部署位置、数量和具体策略)
- 包过滤防火墙(第一代),工作在网络层,难以防范对上层协议的攻击
- 应用代理防火墙(第二代),工作在应用层,监视应用协议,并以自身的名义转发,通信双方没有直接的路由电路级网关防火墙,工作在会话层,包过滤和应用代理的混合体
- 状态检测防火墙(第三代),工作在网络层、传输层、应用层,维护一个状态表以跟踪记录每个通信通道,跟踪UDP和TCP的包
- 动态包过滤防火墙(第四代),ACL是动态的,连接结束后销毁
- 内核代理防火墙(第五代),评估数据包,防火墙会建立动态的、定制的TCP/IP协议栈
- 下一代防火墙(NGFW),改进现有防火墙静态策略的局限性,引入外部动态数据资源,开发一个程序保证在恰当的时间采用恰当的规则到达恰当的位置
- 防火墙体系结构:双宿防火墙,被屏蔽主机,被屏蔽子网(形成DMZ,安全性高)
- UTM统一威胁管理
- NGFW下一代防火墙
- SIME安全事件管理
- 防火墙(通过风险评估,确定防火墙部署位置、数量和具体策略)
- 端点安全
终端设备负责其自身的安全性
终端设备上部署主机防火墙、防病毒软件、AAA服务、垃圾邮件过滤、IDS/IPS等服务的适当组合 - 网络互联设备
中继器和集线器:工作在物理层,功能是接收并放大信号,将信号发送到所有端口,多个设备连接在同一个网段中增加了冲突和争用
网桥和交换机:数据链路层设备,交换机集成了网桥和集线器的技术,通过VLAN(逻辑网络分段)减少冲突,提高网络安全性,交换机收到数据的物理地址信息,如果找到目的端口直接转发给目的端口,无法确定端口则发送给所有端口
路由器:网络层设备,决定数据包从来源端到目的端所经过的路由路径
网关:应用层设备,连接不同类型的网络,执行协议和格式的翻译
(7)布线、无线、拓扑、通信、传输介质
- 传输类型
模拟VS数字:
模拟信号,即信号的波幅、频率、相位是连续变化的,传输速率低
数字信号,即信号时不连续的脉冲,不易失真,传输速率高
异步VS同步:
同步依靠时钟
异步依靠标志位
宽带与基带:
将数字或模拟信号直接加到电缆中进行传输,信号不经过调制,使用电缆的整个信道,以太网属于基带网络
将多路不同的信号通过调制到不同的“载波”频率上加载到电缆上,即整个电缆的带宽被划分到不同的信道,如同时支持话音、图像和数据传输,有线电视就是基于宽带的网络 - 传输介质
概念:
数据吞吐率是经过压缩和编码之后的实际通过线缆的数据量,带宽可以视为管道,数据吞吐率则是通过管道的实际数据量
同轴电缆:
同轴电缆有个铜芯,外面围绕着品彼此和底线
同轴电缆更抗电磁干扰
50欧姆电缆用户传送数字信号
75欧姆电缆用户传送数字信号和模拟信号
同轴电缆能利用基带方法和带宽方法
双绞线:
屏蔽双绞线STP,非屏蔽双绞线UTP
双绞线具有缠绕的铜线,缠绕是为了避免无线电频率干扰(串扰)
双绞线存在信号的衰减
UTP是最不安全的网络互联线缆
光纤:
安全性最高,可以通过检测光的衰减,判断是否遭到窃听
多模光纤:中短距离
单模光纤:长距离
布线问题:
噪声、衰减、串扰、线缆的阻燃率 - 网络拓扑
环形拓扑、总线型拓扑、星型拓扑、网状型拓扑 - 无线通信技术
- 卫星通信:
单向网络,如数字电视
卫星连接网络,双向传输 - 移动通信:
模拟服务FDMA
仅提供语音服务基本电话服务
900MHZ- 2G:
1800MHZ
TDMA
呼叫者ID和语言邮件
电路交换
仅文本 - 3G:
2GHZ
CDMA
2Mbps(3.5G – 10Mbps)
会议呼叫和低质量视频
图形和格式化文本
数据包交换 - 4G:
40GHZ和60GHZ
OFDM
远程呈现和高清视频
完整统一消息
本地IPv6
100Mbps
SIM卡
- 蓝牙,Bluetooth:
- 802.15
个人域网(PAN)
针对蓝牙的攻击:
bluejacking(蓝劫),不破坏机密性、完整性和可用性,向别的蓝牙设备发送骚扰信息
bluesnarfing(蓝牙窃用),在没有通知手机用户已连接设备的情况下,可以秘密访问存储在启用了蓝牙的手机中的数据
bluebugging,黑客完全掌控了设备
- 802.15
射频识别,读卡器与标签之间进行非接触式的数据通信,需要关注隐私问题- NFC:近场通信,使用了NFC技术的设备(如移动电话),可以在彼此靠近时进行数据交换,通信距离为10厘米以内,运行频率13.56MHZ
- 卫星通信:
- 局域网技术
- 局域网实现类型:
- 以太网
由IEEE802.3标准定义
物理上星型逻辑上总线
使用广播域和冲突域,广播域是计算机节点的集合,所有节点都接收第二层广播帧。冲突域指同一时间抢夺或竞争相同的共享通信介质的一组计算机。
采用CSMA/CD介质访问控制技术
同轴电缆、双绞线、光纤 - 令牌环
IEEE802.5标准
逻辑环,通常物理星型连接
每个节点都要再生信号
负载带宽可预测,4Mbps或16Mbps - FDDI
基于IEEE802.4的ANSI标准
双方向旋转环提供容错
传输速率100Mbps
远距离高速运行,因为可用作主干
CDDI工作在UTP上
- 以太网
- 介质访问技术:
- 令牌传递
令牌环和FDDI技术采用
拥有令牌计算机具有通信的权利 - CSMA
CSMA/CD,带有冲突检测的载波监听多路访问,在以太网使用
CSMA/CA,带有冲突避免的载波监听多路访问,在无线网络中使用,如802.11 - 轮训
主要用于大型机系统环境中
- 令牌传递
- 传输方法:
- 单播、广播、组播、任播
- 局域网协议:
- 地址解析协议(ARP),完成IP和MAC地址的解析,安全问题包括ARP表中毒
- 动态主机配置协议(DHCP),RARP–>BOOTP–>DHCP
- Internet控制消息协议,ICMP
- 局域网实现类型:
2、安全通信与网络攻击
(1)网络与协议安全机制
- 安全通信协议
IPsec、Kerberos、SSH、SSL/TLS - 身份认证协议
- 密码身份验证协议,PAP
使用明文格式发送用户名和密码(不安全)
PAP认证过程非常简单,二次握手机制
被认证方为发起方,可以做无限次的尝试(暴力破解)
只在链路建立的阶段进行PAP验证,一旦链路建立成功将不再进行验证检测
目前在PPPOE拨号环境中用的比较常见 - 挑战握手身份验证协议,CHAP
挑战-应答机制
进行身份验证
CHAP用于3次握手
传输哈希值进行验证
在链路建立初始化时这样做,也可以在链路建立后任何时间重复验证
CHAP通过增量改变标识和“challenge-value”的值抗重放攻击 - 可扩展身份验证协议,EAP
是一个身份验证框架
EAP-MD5,基于散列值进行弱身份验证,单向验证,服务器端验证客户端
EAP-TLS,使用数字证书进行身份验证,双向验证,服务器端和客户端都需要数字证书(注意:EAP-TTLS和PEAP只需要服务器端需要证书,客户端不需要证书)
PEAP,使用了TLS
EAP-TTLS,扩展了TLS功能
- 密码身份验证协议,PAP
(2)语言通信安全
- VoIP
语言并不是通过电信运营商的传统电话网络(语言网络)进行传输,而是将语言转化为IP数据包,基于IP网络传输的技术,H.323网关(ITU-T建议包括大量多媒体通信服务,H.323是处理视频、试试音频和数据包传输),SIP网关
语言网络和数据网络隔离 - 社会工程攻击语言通信
- PBX欺骗与滥用
(3)多媒体合作
- 远程会议
需要评估安全影响 - 即时通信(最大风险,信息泄露)
感染恶意代码,隐私保护
(4)邮件安全
- SMTP
- 客户端
POP3
IMAP - S/MIME
使用公钥加密及数字签名 - PGP
使用对称加密和非对称加密
(5)远程访问安全
- 远程访问是组织常用的运维方式,也是保障在灾难中得以恢复的重要手段,并可减少运维成本
- 远程访问是移动办公、出差等情况所选用的一种访问手段
- 风险
非授权访问、病毒和恶意代码引入等 - 安全措施
采用VPN技术进行网络安全接入
数据加密传输,即使使用了VPN技术
采取强身份验证措施
关键设备本地管理,而非远程管理
限制远程访问的管理员数量到最小化 - AAA服务(验证、授权、问责/审计)
RADIUS,远程用户拨号认证系统使用UDP协议
TACACS,终端访问控制器访问控制系统,使用UDP协议
TACACS+,双因素密码认证(允许使用动态密码),使用TCP协议
Diameter - 身份认证方法
call-back(回拨),在回拨中,主机系统先断开呼叫者的连接,然后拨打远程终端的授权电话号码以重新建立连接 - 专用线路
安全,价格贵 - 远程访问安全
(6)VPN
- 协议
- 点到点隧道协议,PPTP:工作在第五层(会话层),为第二层服务,点对点连接,为客户/服务器连接而设计,把PPP帧封装进行隧道传输,使用MPPE加密
- L2F:由cisco在L2TP之前创建,与PPTP合并形成L2TP,提供相互的身份验证,没有加密
- L2TP:L2F和PPTP的混合,两台计算机之间点对点连接,为了提高安全与IPsec结合,L2TP仅定义了控制消息的加密传输方式,并不对隧道中传输中的数据加密
- IPsec:能够同时处理多个连接,提供安全的身份验证和加密,工作在网络层,两种模式(隧道模式 tunnel 和传输模式 transport),AH/ESP/ISAKMP/IKE等重要协议。
传输模式:是IPSec的默认模式,又称端到端(End-to-End)模式,运行在两个端主机上,保护上层协议报文。传输模式是两个主机之间建立IPSec虚拟安全通道,传输模式没有改变原IP,只是在原IP和数据之间插入了一个IPSec头部,对IP数据包的有效数据负载进行加密和认证。
隧道模式:协议用来封装IP数据报文,对整个IP数据包加密和认证,运行在网关或者主机上。隧道模式是对整个数据包封装加密保护,添加一个新的IP头部,隐藏内部主机和服务器的IP地址,IP信息也没有暴露,这样使数据传输更加安全。隧道模式一般用在站点和站点之间建立连接安全通道,两个站点下面的私有IP可以利用安全隧道通信。
AH:鉴别头,AH机制为通信提供完整性保护;
ESP:封装安全载荷,ESP机制为通信提供机密性和完整性保护;
ESP和AH机制都能为通信提供抗重放Anti-replay攻击;
IKE:网络密钥交换协议,实现安全协议的自动安全参数协商,IKE协商的安全参数包括加密与鉴别算法、加密与鉴别密钥、通信的保护模式(隧道或传输模式 )、密钥的生存周期等;
SA:IKE将安全参数构成的集合称为SA,还负责这些安全参数的更新,单向、安全关联,存储VPN参数;
两个数据库:安全策略数据库SPD,安全关联数据库SAD;
ISAKMP:安全连接即秘钥交换协商框架。 - SSL/TLS:提供应用层安全,工作在传输层,TLS1.0是SSL3.0的后续,也被称为SSL3.1,易于实施和维护(IPSEC VPN实现在网络层,比较复杂,TLS VPN实现在传输层,实现简单灵活;相对安全,IPSEC VPN传输效率更高,TLS VPN效率更低)
- MPLS:多协议标签交换MPLS将企业分布在不同地点的办事处即设备,通过安全可靠、高效率的虚拟专用网络连接起来,实现语言、数据、视频传输或其他重要网络应用,兼具服务品质(Qos)保证。MPLS VPN依靠转发表和分组的标签来创建一个安全的VPN,而不是依靠封装和加密技术
- VPN使用隧道协议确保数据在传输中的机密性与完整性
(7)虚拟化
- 主机虚拟化
Hypervisor、Guest OS、提高资源利用率 - 安全问题
隔离、虚拟机逃逸漏洞 - 云计算
虚拟化+SOA架构 - 网络虚拟化
SDN
(8)网络地址转换(NAT)
- NAT不仅解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机,通常在路由器、防火墙上实施
- 静态映射
特定的内部IP地址被固定映射到特定的外部IP - 动态映射
系统维护映射数据库 - 端口映射
PAT端口地址转换
- 静态映射
(9)多种安全控制特征
- 透明性
- 验证完整性
- 传输错误检测
(10)安全边界
- 任意两个具有不同安全需求的区域、子网或环境的交界线
- 逻辑环境和物理环境
- 明确定义安全边界,为具体的环境提供最具成本效益的保护
(11)防止或减轻网络攻击
- 拒绝服务攻击(DOS)分布式拒绝服务(DDOS)
- 利用tcp协议攻击
SYN Flood:攻击过程原理,tcp三次握手受到攻击 - 利用icmp协议攻击
ping of death:发送畸形icmp包(>64k)
Smurf:发送海量广播包导致死机(Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答echo请求ping数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞) - 利用UDP协议攻击
fraggle:发送海量udp的echo包
teardrop:UDP包重组时重叠导致死机 - 应对方法
流量牵引、清洗、回传黑洞(流量被抛弃)
下水道路由(sinkhole):流量被牵引到某个点再做进一步分析,应对DDOS攻击的方法
- 利用tcp协议攻击
- 窃听(Eavsdropping)
- 假冒(lmpersonation)、伪装(Masquerading)
- ARP欺骗
- DNS中毒
- 移动电话安全
电话具有摄像头和存储敏感信息
身份验证,可能存在伪基站
收集克隆