《网络攻防相关概念.ppt》由会员分享,可在线阅读,更多相关《网络攻防相关概念.ppt(56页珍藏版)》请在三一办公上搜索。
1、第二章 网络攻防相关概念,2.1 OSI安全体系结构,1983年国际标准化组织ISO,开放式系统互连的参考模型OSI/RM定义了计算机网络功能的七层1989年,ISO7498-2标准颁布,确立了OSI参考模型的信息安全体系结构不着眼于解决某一特定安全问题,而是提供一组公共的安全概念和术语,用来描述和讨论安全问题和解决方案,对构建具体网络环境的信息安全构架有重要的指导意义。,2.1 OSI安全体系结构,OSI安全体系结构是安全服务与相关安全机制的一般性描述,说明了安全服务怎样映射到网络的层次结构中去,并且简单讨论了它们在其中的合适位置主要包括三部分内容:安全服务、安全机制和安全管理 核心内容包括
2、五大类安全服务以及提供这些服务所需要的八个特定的安全机制和五个普遍安全机制,2.1 OSI安全体系结构,2.1.1 五类安全服务,鉴别服务 提供对等实体的身份鉴别和数据起源鉴别,使得当某层使用低层提供的服务时,确信与之打交道的对等实体正是它所需要的实体。数据起源鉴别必须与实体鉴别等其他服务相结合才能保证当前通信过程的源真实性。鉴别可以是单向的也可以是双向的,可以带有效期检验也可以不带。这种服务能够提供各种不同程度的保护。,2.1.1 五类安全服务,访问控制服务对OSI协议的可访问资源提供保护,按照访问控制策略进行访问,防止非授权的访问。这些资源可以是经OSI协议访问到的OSI资源或非OSI资源
3、。这种保护服务可应用于对资源的各种不同类型的访问(例如 使用通信资源;读、写或删除信息资源;处理资源的执行)或应用于对一种资源的所有访问。访问控制服务包括策略和授权两部分,策略部分决定了访问控制的规则,实施部分则据此进行授权。,2.1.1 五类安全服务,数据保密性服务对用户数据提供针对非授权泄漏的保护,保护对象为面向连接或者无连接的或者特定字段及通信业务流。数据保密性服务包括:连接保密:为一次连接上的全部用户数据保证其机密性;无连接保密:为单个无连接的SDU(服务数据单元)中的全部用户数据保证其机密性选择字段保密:为那些被选择的字段保证其机密性,这些字段或处于某个连接的用户数据中,或为单个无连
4、接的SDU中的字段。业务流保密:使得通过观察通信业务流而不可能推断出其中的机密信息,2.1.1 五类安全服务,数据完整性服务提供数据完整性保护,防止通过违反安全策略的方式进行非法修改(包括篡改、重排序、删除和假冒)可恢复的连接完整性:为连接上的所有用户数据保证完整性,并检测整个服务数据单元序列中的数据遭到的任何篡改、插入、删除或重演(同时试图补救恢复)不可恢复的连接完整性:与上相同,只是不作补救恢复选择字段的连接完整性无连接完整性:当由某层提供时,对发出请求的上层实体提供完整性保证。另外,在一定程度上也能提供对重演的检测。选择字段无连接完整性:为单位无连接的SDU中的被选字段保证完整性,所取形
5、式为确定被选字段是否遭受了篡改。,2.1.1 五类安全服务,抗抵赖性服务抗抵赖服务为数据的接收者提供数据来源的证据,对通信双方进行特定通信过程的不可否认性验证。抗抵赖性服务包括:有数据原发证明的抗抵赖:为数据的接收者提供数据来源的证据。这将使发送者谎称未发送过这些数据或否认它的内容的企图不能得逞。有交付证明的抗抵赖:为数据的发送者提供数据交付证据。这将使得接收者事后谎称未收到过这些数据或否认它的内容不能得逞。,数据加密,加密技术加密密钥:加密和解密过程中使用的一串数字加密算法:作用于密钥和明文(或密文)的一个数学函数密文:明文和密钥结合,经过加密算法运算的结果在同一种加密算法下,密钥的位数越长
6、,安全性越好,加密技术分类,秘密密钥加密技术(常规密钥加密技术、对称密钥加密技术)公开密钥加密技术(非对称密钥加密技术),秘密密钥加密技术,用户需保存的密钥数,秘密密钥加密技术的特点,算法简单、速度快,被加密的数据块长度可以很大密钥在加密方和解密方之间传递和分发必须通过安全通道进行,公开密钥加密技术,用户需保存的密钥数,公开密钥加密技术的特点,算法复杂、速度慢,被加密的数据块长度不宜太大公钥在加密方和解密方之间传递和分发不必通过安全通道进行,著名的加密算法,秘密密钥加密算法数据加密标准(data encryption Standard,DES)公开密钥加密算法RSA(RSA是发明者Rivest
7、、Shamir和Adleman名字首字母的组合),秘密密钥加密技术和公开密钥加密技术的结合,数字签名,1.数字签名的基本方法计算需要签名信息的消息摘要利用公开密钥加密算法和用户的私钥对消息摘要签名2.为什么不对信息直接签名?公钥加密算法复杂、加密速度慢,不适合处理大数据块信息消息摘要技术能将一个大数据块映射到一个小信息块,消息摘要,1.消息摘要是利用单向散列函数对要签名的数据进行运算生成2.利用单向散列函数对数据块进行运算不是一种加密机制,它仅能提取数据块的某些关键信息3.著名的消息摘要算法MD5SHA-1,单向散列函数的主要特性,能处理任意大小的信息,生成的消息摘要数据块长度总是具有固定的大
8、小。对同一个源数据反复执行该函数得到的消息摘要相同,生成的消息摘要是不可预见的,产生的消息摘要的大小与原始数据信息块的大小没有任何联系。原始数据信息的一个微小变化都会对新产生的消息摘要产生很大的影响,具有不可逆性,没有办法通过生成的消息摘要重新生成原始数据信息。,完整的数字签名过程,数据加密和数字签名的区别,1.数据加密的作用保证信息的机密性2.数字签名的作用保证信息的完整性保证信息的真实性保证信息的不可否认性,2.1.2 安全服务提供的安全机制,特定的安全机制 加密加密机制既能为数据提供机密性,也能为通信业务流信息提供机密性,并且还可成为其它的安全机制中的一部分或起补充作用。加密算法可以是可
9、逆的,也可以是不可逆的。可逆加密算法有两大类:对称加密/私钥加密:对于这种加密,知道了加密密钥也就意味着知道了解密密钥,反之亦然;非对称加密/公开密钥:对于这种加密,知道了加密密钥并不意味着也知道解密密钥,反之亦然。这种系统的这样两个密钥有时称之为“公钥”与“私钥”。除了某些不可逆加密算法的情况外,加密机制的存在便意味着要使用密钥管理机制。,2.1.2 安全服务提供的安全机制,数字签名数字签名是附加在数据单元上的一些数据(密码校验值),或是对数据单元所做的密码变换,这种数据或变换允许数据单元的接收者确认数据单元来源和数据单元的完整性,并保护数据,防止被他人伪造。这种机制确定两个过程:对数据单元
10、签名和验证签过名的数据单元。第一过程使用签名者私有信息作为私钥。第二个过程所有的规程与信息是公之于众的,但不能够从它们推断出该签名者的私有信息。签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。,2.1.2 安全服务提供的安全机制,访问控制根据实体的身份来确定其访问权限,按照事先约定的规则决定主体对客体的访问是否合法。如果某个实体试图使用非授权的资源,或者以不正当方式使用授权资源,那么访问控制功能将拒绝这一企图,另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件。其基础包括访问授权信息、鉴别信息、访问权限、安全标记、访问请求事件以及方式。,2.1.2 安全
11、服务提供的安全机制,数据完整性数据完整性有两个方面:单个数据单元或字段的完整性以及数据单元流或字段流的完整性。一般来说,用来提供这两种类型完整性服务的机制是不相同的,尽管没有第一类完整性服务,第二类服务是无法提供的。对数据单元主要采用数字签名技术。认证交换通过信息的交换来提供对等实体的认证,包括口令鉴别、密码技术、时间戳和同步时钟、二/三次握手、不可否认机制、实体特征或所有权鉴别。如果认证实体时得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。,2.1.2 安全服务提供的安全机制,业务流填充在应用连接空闲时,持续发送伪随机序列,使攻击者不
12、知道哪些是有用信息,从而抵抗业务流量分析攻击。这种机制只有在业务流填充受到机密服务保护时才是有效的。路由选择控制路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继。,2.1.2 安全服务提供的安全机制,公证有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证
13、。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信,可以提供对通信数据的完整性、源和宿以及事件特性的第三方保证和公平仲裁。通信过程中使用的签名、加密和完整性机制应与公证机制兼容。,2.1.2 安全服务提供的安全机制,普遍安全机制 可信功能度机制用来度量扩充其他安全机制的范围或建立这些安全机制的有效性,必须使用可信功能度。任何功能度,只要它是直接提供安全机制,或提供对安全机制的访问,都应该是可信的。安全标记机制安全标记是与某一资源(可以是数据单元)密切相联的标记,为该资源命名或指定安全属
14、性(这种标记或约束可以是明显的,也可以是隐含的)。包含数据项的资源可能具有与这些数据相关联的安全标记,如表明数据敏感性级别的标记,安全标记通常必须和数据一起传送。安全标记既可能与被传送的数据相连,也可能是隐含的信息。,2.1.2 安全服务提供的安全机制,事件检测机制与安全有关的事件检测包括对安全明显的检测,也可以包括对“正常”事件的检测,例如一次成功的访问(或注册)。与安全有关的事件的检测可由OSI内部含有安全机制的实体来做。安全审计跟踪机制安全审计跟踪提供了一种不可忽视的安全机制,它的潜在价值在于经事后的安全审计得以检测和调查安全的漏洞。安全审计就是对系统的记录与行为进行独立的品评考查,目的
15、是测试系统的控制是否恰当,保证与既定策略和操作堆积的协调一致,有助于作出损害评估,以及对在控制、策略与规程中指明的改变作出评价.安全审计要求在安全审计跟踪中记录有关安全的信息,分析和报告从安全审计跟踪中得来的信息。,2.1.2 安全服务提供的安全机制,安全恢复安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作是应用一组规则的结果。这种恢复动作可能有三种:立即的:可能造成操作的立即放弃,如断开暂时的:可能使一个实体暂时无效长期的:可能是把一个实体记入“黑名单”,或改变密钥。,2.1.3 安全服务和特定安全机制的关系,2.1.3 安全服务和特定安全机制的关系,2.1.4 OSI安
16、全体系的管理,OSI安全管理涉及与OSI有关的安全管理以及OSI管理的安全两个方面。与OSI有关的安全管理活动有三类系统安全管理安全服务管理安全机制管理另外,还必须考虑到OSI管理本身的安全。,2.1.4 OSI安全体系的管理,系统安全管理系统安全管理涉及总的OSI环境方面管理。属于这一类安全管理的典型活动有:总体安全策略的管理,包括一致性的修改与维护;与其它OSI管理功能的相互作用;与安全服务管理和安全机制管理的交互作用;事件处理管理,包括远程报告违反系统安全的明显企图,对触发事件报告的阈值进行修改;安全审计管理,包括选择被记录和被远程收集的事件,授予或取消对所选事件进行审计跟踪日志记录的能
17、力,审计记录的远程收集,准备安全审计报告;安全恢复管理,包括维护用来对安全事故做出反应的规则,远程报告对系统安全的明显违规,安全管理者的交互。,2.1.4 OSI安全体系的管理,安全服务管理安全服务管理涉及特定安全服务的管理。在管理一种特定安全服务时可能的典型活动包括:为服务指派安全保护的目标;制定与维护选择规则(存在可选择情况时),选取安全服务所需的特定的安全机制;协商需要取得管理员同意的可用的安全机制;通过适当的安全机制管理功能调用特定的安全机制;与其它的安全服务管理功能和安全机制管理功能进行交互。,2.1.4 OSI安全体系的管理,安全机制管理密钥管理:主要功能是间歇性地产生与所要求的安
18、全级别相应的密钥;根据访问控制策略,对于每个密钥决定哪个实体可拥有密钥的拷贝;用可靠办法使密钥对开放系统中的实体是可用的,或将这些密钥分配给它们。加密管理:主要功能是与密钥管理的交互作用;建立密码参数;密码同步。数字签名管理:主要功能是与密钥管理的交互作用;建立密码参数与密码算法;在通信实体与可能有的第三方之间使用协议。访问控制管理:主要功能是安全属性(包括口令)的分配;对访问控制表或访问权力表进行修改;在通信实体与其他提供访问控制服务的实体之间使用协议。数据完整性管理:主要功能是与密钥管理的交互作用;建立密码参数与密码算法;在通信的实体间使用协议。鉴别管理:主要功能是将说明信息、口令或密钥分
19、配给要求执行鉴别的实体;在通信的实体与其他提供鉴别服务的实体之间使用协议。通信业务流填充管理:主要功能是维护通信业务流填充的规则,如预定的数据率;制定随机数据率;指定报文特性,如长度;按时间改变这些规定。路由控制管理:主要功能是确定按特定准则被认为是安全可靠或可信任的链路或子网。公证管理:主要功能是分配有关公证的信息;在公证方与通信的实体之间使用协议;与公证方进行交互。,2.1.4 OSI安全体系的管理,OSI管理的安全所有OSI管理功能的安全以及OSI管理信息的通信安全是OSI安全的重要部分。这一类安全管理将对上面所列的OSI安全服务与机制进行适当的选取,以确保OSI管理协议和信息获得足够的
20、保护。,2.2 网络脆弱性分析,网络安全威胁 网络安全具有动态性,其概念是相对的安全程度是随时间的变化而改变的。在一个特定的时期内,在一定的安全策略下,系统是安全的。但是随着时间的演化和环境的变迁(如攻击技术的进步、新漏洞的暴露),系统可能会遭遇不同的安全威胁,变得不安全。根据威胁产生的因素,网络安全威胁可以分为自然和人为两大类。,2.2 网络脆弱性分析,网络脆弱性 所谓脆弱性,是指系统中存在的漏洞,各种潜在的威胁通过利用这些漏洞给系统造成损失。脆弱性是复杂网络系统的固有本性,至今仍没有一种方法能证明一个系统是绝对安全、无脆弱性的。网络安全脆弱性分类 脆弱性分析和探测工具,2.2 网络脆弱性分
21、析,网络安全风险网络安全风险是指特定的威胁利用网络设备及信息资产所存在的脆弱性,使其价值受到损害或丢失的可能性。网络安全风险就是网络威胁发生的概率和所造成影响的乘积,可以通过网络安全管理的手段来进行控制 通过网络安全管理可以控制网络安全风险,2.3 网络攻击的分类,攻击分类理想结果应具有的特征 互斥性:各类别之间没有交叉和覆盖现象;完备性:覆盖所有可能的攻击;无二义性:类别划分清晰、明确,不会因人而异;可重复性:不同人根据同一原则重复分类的过程,得出的分类结果是一致的;可接受性:分类符合逻辑和直觉,能得到广泛的认同;实用性:分类对于该领域的深入研究有实用价值;,2.3 网络攻击的分类,目前已有
22、网络攻击分类方法基于经验术语的分类方法利用网络攻击中常见的技术术语、社会术语等来对攻击进行描述的方法。基于单一属性的分类方法仅从攻击某个特定的属性对攻击进行描述的方法。基于多属性的分类方法同时抽取攻击的多个属性,并利用这些属性组成的序列来表示一个攻击过程,或由多个属性组成的结构来表示攻击,并对过程或结构进行分类的方法。,2.3 网络攻击的分类,基于应用的分类方法对特定类型的应用、特定系统而发起的攻击的属性进行分类描述的方法。基于攻击方式的分类方法根据攻击动作是否会对系统资源进行更改而进行分类描述的方法。,2.4 主动攻击与被动攻击,主动攻击 主动攻击包含攻击者访问他所需信息的故意行为改变信息的
23、流动方向 主要有窃取、篡改、假冒和破坏等攻击方法六种类型 探测型攻击肢解型攻击病毒型攻击内置型攻击欺骗型攻击阻塞型攻击,2.4 主动攻击与被动攻击,被动攻击被动攻击主要是收集信息,数据的合法用户对这种活动很难觉察到主要有嗅探、信息收集等攻击方法不改变信息的流动方向,并不是说主动攻击不能收集信息或被动攻击不能被用来访问系统。多数情况下这两种类型被联合用于入侵一个站点。但是,大多数被动攻击不一定包括可被跟踪的行为,因此更难被发现。,2.5 网络安全模型,P2DR模型策略(Policy)防护(Protection)检测(Detection)响应(Response),P2DR模型是在整体的安全策略的控
24、制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安全状态,将通过响应工具将系统调整到“最安全”和“风险最低”的状态,2.5 网络安全模型,策略是P2DR模型的核心,它是围绕安全目标、依据网络具体应用、针对网络安全等级在网络安全管理过程中必须遵守的原则。不同的网络需要不同的策略。在实现安全目标时必然要牺牲一定的系统资源和网络运行性能,所以策略的制定要权衡利弊。防护是网络安全的第一道防线,是用一切手段保护信息系统的保密性、完整性和可用性。通常采用的是静态的安全技术和方法来实现,主要是保护边界提高防御能力,,2
25、.5 网络安全模型,检测是网络安全的第二道防线,是动态响应和加强防护的依据,具有承上启下的作用。目的是采用主动出击方式实时检测合法用户滥用特权、第一道防线遗漏的攻击、未知攻击和各种威胁网络安全的异常行为,通过安全监控中心掌握整个网络的运行状态,采用与安全防御措施联动方式尽可能降低网络安全的风险。检测的对象主要针对系统自身的脆弱性及外部威胁。响应是在发现了攻击企图或攻击时,需要系统及时地反应,采用用户定义或自动响应方式及时阻断进一步的破坏活动,自动清除入侵造成的影响,从而把系统调整到安全状态。,2.5 网络安全模型,遵循P2DR模型的信息网络安全体系,采用主动防御与被动防御相结合的方式,是目前较
26、科学的防御体系。P2DR模型体现了防御的动态性,它强调了系统安全的动态性和管理的持续性,以入侵检测、漏洞评估和自适应调整为循环来提高网络安全。安全策略是实现这一目标的核心,但是传统的防火墙是基于规则的,即它只能防御已知的攻击,对新的、未知的攻击就显得无能为力,而且入侵检测系统也多是基于规则的,所以建立高效准确的策略库是实现动态防御的关键所在。虽然在这里,模型看上去是一个平面的图形,但是经过了这样一个循环之后,整个系统的安全性是应该得到螺旋上升的,2.5 网络安全模型,PDR2模型 Protection(防护)Detection(检测)Response(响应)Recovery(恢复),2.5 网
27、络安全模型,几个关于时间的概念 保护时间Pt为了保护安全目标设置各种保护后的防护时间;或者说是表示从入侵开始到成功侵入系统的时间,即攻击所需时间。系统的脆弱环节和高水平的攻击会缩短保护时间。检测时间Dt表示从入侵者发动攻击开始,到系统检测到攻击所用的时间。改进检测算法和设计可缩短检测时间。适当的防护措施可有效缩短检测时间。响应时间Rt表示从系统检测到攻击行为开始,到系统启动处理措施将系统调整到正常状态的时间。系统暴露时间Et是指系统处于不安全状况的时间,即从系统检测到入侵到系统恢复正常状态所用的时间。系统的暴露时间越长,系统就越不安全。,2.5 网络安全模型,公式1:Pt Dt+Rt系统的保护
28、时间应大于系统检测到入侵行为的时间加上系统响应时间,即应该能够在入侵者危害安全目标之前检测到威胁并及时处理。巩固的防护系统与快速的反应结合起来,就是真正的安全。举个例子来说,防盗门能延长攻击者入室的时间,如果警察能够在防盗门被攻破之前迅速到达现场进行处理,那么这个防盗门就是安全的。从中我们可以给安全一个全新的定义:及时的检测和响应就是安全。,2.5 网络安全模型,公式2:Et=Dt+Rt,如果 Pt=0假设Pt=0(例如,对于Web服务器的入侵),那么Dt与Rt的和就是该安全目标系统的暴露时间Et。,以上两个公式表明了安全模型的安全目标,实际上就是尽可能地增大保护时间Pt,尽量减少检测时间Dt和响应时间Rt,在系统遭到破坏后,应尽快恢复,以减少系统暴露时间Et。,