1、第六章第六章 系统安全系统安全 基本要求熟悉系统安全的概念和各种隐患了解恶意攻击的概念、来源和攻击的原理了解入侵检测的相关方法技术了解攻击防护技术相关概念熟悉网络安全通信协议根据本章文献,参阅一篇感兴趣的文献并总结。6.1系统安全概念系统安全概念u系统安全的范畴系统安全的范畴嵌入式节点的安全网络通信系统的安全存储系统的安全6.1系统安全概念系统安全概念u系统安全的隐患什么是安全威胁安全威胁是指对安全的一种潜在的侵害,威胁的实施称为攻击信息安全的威胁就是指某个主体对信息资源的机密性、完整性、可用性等所造成的侵害。系统缺陷系统缺陷又可称为系统漏洞,是指应用软件、操作系统或系统硬件在逻辑设计上无意造
2、成的设计缺陷或错误。恶意软件攻击恶意软件的攻击主要表现在各种木马和病毒软件对信息系统的破坏6.1系统安全概念系统安全概念u系统安全的隐患外部网络攻击TCP flood攻击:明显特征是被攻击者的主机上存在大量的TCP连接Smurf攻击:将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机,导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。DDoS攻击钓鱼攻击非授权和认证访问行为否认非授权访问6.2 恶意攻击恶意攻击 什么是恶意攻击 网络恶意攻击通常是指利用系统存在的安全漏洞或弱点,通过非法手段获得某信息系统机密信息的访问权,以及对系统部分或全部的
3、控制权,并对系统安全构成破坏或威胁。恶意攻击的来源 恶意软件木马蠕虫病毒 DDoS6.2 恶意攻击恶意攻击 病毒攻击的原理计算机病毒计算机病毒(Computer Virus)的广义定义是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序或指令的集合。中华人民共和国计算机信息系统安全保护条例中定义的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。6.2 恶意攻击恶意攻击 病毒攻击的原理病毒的特征可执行性传染性非授权性隐蔽性潜伏性破坏性寄生性不可预见性诱惑欺骗性6.2 恶意攻击恶意攻击 病毒攻击
4、的原理病毒的分类引导型病毒文件型病毒复合型病毒宏病毒计算机蠕虫特洛伊木马6.2 恶意攻击恶意攻击 病毒攻击的原理病毒攻击的原理分析以引导型病毒为例分析正常DOS自举带病毒的DOS自举6.2 恶意攻击恶意攻击 木马攻击的原理 什么是木马木马是一种后门程序,黑客可以利用其盗取用户的隐私信息,甚至远程控制对方的计算机。完整的木马程序一般由两个部份组成,一个是服务器被控制端程序,一个是客户端控制端程序。木马典型攻击原理当服务器端在目标计算机上被执行后,木马打开一个默认的端口进行监听,当客户端(控制端)向服务器端(被控主机部分)提出连接请求,被控主机上的木马程序就会自动应答客户端的请求,服务器端程序与客
5、户端建立连接后,客户端(控制端)就可以发送各类控制指令对服务器端(被控主机)进行完全控制,其操作几乎与在被控主机的本机操作权限完全相同。6.2 恶意攻击恶意攻击 木马攻击的原理木马植入原理通过电子邮件附件的方式捆绑在各类软件中网页挂马木马隐藏原理木马程序隐藏启动隐藏方式进程隐藏通信隐藏通过设备驱动和动态连接口隐藏6.3 入侵检测入侵检测 入侵检测的概念入侵入侵是指在信息系统中进行非授权的访问或活动,不仅指非系统用户非授地登陆系统和使用系统资源,还包括系统内的用户滥用权力对系统造成的破坏,如非法盗用他人帐户,非法获得系统管理员权限,修改或删除系统文件等。入侵检测入侵检测可以被定义为识别出正在发生
6、的入侵企图或已经发生的入侵活动的过程。对外部入侵(非授权使用)行为的检测。对内部用户(合法用户)滥用自身权限的检测。6.3 入侵检测入侵检测 入侵检测的概念入侵检测系统进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)入侵检测的内容试图闯入成功闯入冒充其他用户违反安全策略合法用户的泄漏独占资源以及恶意使用6.3 入侵检测入侵检测 入侵检测系统组成数据源探测器分析器管理器管理员安全策略6.3 入侵检测入侵检测 入侵检测系统入侵检测系统分类基于网络的入侵检测系统(Network Intrusion Detection System,NID
7、S)基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)NIDS优势:独立与操作系统,检测实时性强缺点:需要传回大量的网络数据包,无法分析加密数据,存在攻击特征被拆分的情况等6.3 入侵检测入侵检测 入侵检测系统HIDS优势能很好的处理加密数据包可以综合多个数据源进行分析高速网络情况下不存在数据表丢失的情况缺点降低系统性能配置和维护困难逃避检测存在数据欺骗的问题实时性较差6.3 入侵检测入侵检测 入侵检测系统入侵检测的方法特征检测统计检测专家系统其他检测方法6.3 入侵检测入侵检测 入侵检测系统入侵检测的方法特征检测统计检测专家系统其他
8、检测方法基于免疫系统的检测方法遗传算法基于内核的检测方法6.3 入侵检测入侵检测 入侵检测系统蜜罐和蜜网蜜罐(Honeypot)Honeypot是一种网络入侵检测系统,它诱导攻击者访问预先设置的蜜罐而不是工作中网络,可以提高检测攻击和攻击者行为的能力,降低攻击带来的破坏蜜罐与NIDS相比较的特点较小的数据量减少误报率捕获漏报资源最小化6.3 入侵检测入侵检测 入侵检测系统蜜罐和蜜网蜜网(Honeynet)蜜网的概念由蜜罐发展而来,是由真实计算机组成的网络系统,部署有入侵检测系统,系统和网络的安全防护级别设置较低,诱导入侵者进入系统,并监控和记录入侵者的行为蜜网和蜜罐的异同蜜网是一个网络系统,而
9、并非某台单一主机蜜网中的所有系统都是标准的机器,上面运行的都是真实完整的操作系统及应用程序蜜罐是通过把系统的脆弱性暴露给入侵者或是故意使用一些具有强烈诱惑性的信息的假信息来诱骗入侵者蜜网是在入侵检测的基础上实现入侵诱骗6.3 入侵检测入侵检测 入侵检测系统蜜网的原型系统防火墙入侵检测系统二层网关蜜网6.3 入侵检测入侵检测 入侵检测系统病毒检测检测方法直接观察法特征代码法校验和法行为监测法软件模拟法6.4 攻击防护攻击防护 防火墙概念防火墙(Firewall)是一种用来加强网络之间访问控制的特殊网络设备,常常被安装在受保护的内部网络连接到Internet的点上,它对传输的数据包和连接方式按照一
10、定的安全策略对其进行检查,来决定网络之间的通信是否被允许。防火墙内的网络称为“可信赖的网络”(trusted network),而将外部的因特网称为“不可信赖的网络”(untrusted network)。防火墙可用来解决内联网和外联网的安全问题。6.4 攻击防护攻击防护 防火墙功能防火墙的功能有两个:阻止和允许。“阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)。“允许”的功能与“阻止”恰好相反。防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。6.4 攻击防护攻击防护 防火墙在网络中的位置G内联网可信赖的网络不可信赖的网络分组过滤路
11、由器 R分组过滤路由器 R应用网关外局域网内局域网防火墙因特网6.4 攻击防护攻击防护 防火墙恶意软件检测防护工具恶意软件检测防护工具的工作原理(Android系统)6.4 攻击防护攻击防护 病毒查杀毒查杀就是指利用各类安全工具发现系统中隐藏的各类可疑病毒程序,并且能够清除感染对象中的病毒,恢复被病毒感染前的原始信息的能力。病毒查杀工具运行原理图(Android系统)6.4 攻击防护攻击防护 沙箱工具沙箱是为一些来源不可信、具有破坏力或无法判定程序意图的程序同实验的环境。软件安全判定沙箱工具工作原理(Android系统)6.4 网络安全通信协议网络安全通信协议 协议 协议是指两个或多个以上参与
12、者为完成某项特定的任务而采取的一系列步骤。通信协议通信协议是指通信各方关于通信如何进行所达成的一致性规则,即由参与通信的各方按确定的步骤做出一系列通信动作,是定义通信实体之间交换信息的格式及意义的一组规则。6.4 网络安全通信协议网络安全通信协议 安全协议安全协议是指通过信息的安全交换来实现某种安全目的所共同约定的逻辑操作规则。网络安全通信协议 属于安全协议,是指在计算机网络中使用的具有安全功能的通信协议。6.4 网络安全通信协议网络安全通信协议 TCP/IP安全分析由于TCP/IP协议簇在早期设计时是以面向应用为根本目的的,因此未能充分考虑到安全性及协议自身的脆弱性、不完备性,导致网络中存在
13、着许多可能遭受攻击的漏洞。网络层协议的安全隐患IP协议在实现通信的过程中并不能为数据提供完整性和机密性保护,缺少基于IP地址的身份认证机制,容易遭到IP地址欺骗攻击6.4 网络安全通信协议网络安全通信协议 传输层协议的安全隐患 TCP协议的安全隐患服务器端维持大量的半连接列表而耗费一定的资源。序列号可计算UDP协议的安全隐患 不确认报文是否到达不进行流量控制不作纠错和重传6.4 网络安全通信协议网络安全通信协议 应用层协议的安全隐患大部分协议以超级管理员的权限运行,一旦这些程序存在安全漏洞且被攻击者利用,极有可能取得整个系统的控制权。许多协议采用简单的身份认证方式,并且在网络中以明文方式传输。
14、6.4 网络安全通信协议网络安全通信协议 TCP/IP的安全体系结构 SNMPPGPS/MIMEPEMSETIKETELNETHTTPSX.509RIPv2SNMPv3BGP-4SSLTLSTCPUDPIPsec(AH)IPsec(ESP)IPPPTPL2TPPPPL2F硬件设备驱动程序及介质介入协议应用层传输层网络层链路层6.4 网络安全通信协议网络安全通信协议 IPSec协议IPSec(IP Security)是IETF于1998年11月公布的IP安全标准,目标是为IPv4和IPv6提供透明的安全服务。IPSec通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族,用于保证数据
15、的机密性、来源可靠性、无连接的完整性并提供抗重播服务。6.4 网络安全通信协议网络安全通信协议 IPSec协议IPSec的组成Authentication Header(AH,验证报头)协议定义了认证的应用方法,提供数据源认证和完整性保证Encapsulating Security Payload(ESP,封装安全有效负载)协议定义了加密和可选认证的应用方法,提供可靠性保证Internet Key Exchange(IKE,密钥的交换标准)协议用于密钥交换6.4 网络安全通信协议网络安全通信协议 IPSec协议IPSec的体系结构6.4 网络安全通信协议网络安全通信协议 IPSec协议IPSe
16、c的工作模式传输模式传送模式用来保护上层协议,用于两个主机之间端对端的通信隧道模式也称通道模式,是用来保护整个IP数据报,通常在SA的一端或是两端都是安全网关时使用6.4 网络安全通信协议网络安全通信协议 IPSec协议IPSec工作模式比较传输模式隧道模式AH验证IP有效载荷和IP报头及IPv6扩展报头的选择部分验证各个内部的IP包(内部报头加上IP有效载荷),加上外部IP报头和外部IPv6扩展报头的选择部分ESP加密IP有效载荷和跟在ESP报头后面的任何IPv6扩展加密内部IP包具有身份验证的ESP加密IP有效载荷和跟在ESP报头后面的任何IPv6扩展;验证IP有效载荷,但没有IP报头加密
17、内部IP包和验证内部IP包6.4 网络安全通信协议网络安全通信协议 IPSec协议安全关联(Security Association,SA)为了正确封装和提取IPsec的数据包,有必要采取一套专门的方案,将安全服务、密钥等与要保护的通信数据联系在一起,这样的构建方案称为安全关联。SA是发送者和接收者两个IPsec系统之间的一个单向逻辑连接,若要在一个对等系统间进行源和目的的双向安全通信,则需要两个SA。安全关联SA通过一个三元组(安全参数索引SPI、目的IP地址和安全协议AH或ESP)来唯一标识。6.4 网络安全通信协议网络安全通信协议 IPSec协议抗重播服务IPSec协议通过数据包使用一个
18、序列号和一个滑动的接收窗口实现抗重播服务每个IPSec头内,都包含了一个独一无二、且单调递增的序列号接收窗口的大小可为大于32的任何值,但推荐为64。从性能考虑,窗口大小最好是最终实施IPSec的那台计算机的字长度的整数倍6.4 网络安全通信协议网络安全通信协议 IPSec协议ESP协议ESP的作用是提供机密性保护、有限的流机密性保护、无连接的完整性保护、数据源认证和抗重放攻击等安全服务ESP支持传输模式和隧道模式ESP可以单独使用,也可以和AH结合使用。一般ESP不对整个数据包加密,而是只加密IP包的有效载荷部分,不包括IP头。但在端对端的隧道通信中,ESP需要对整个数据包加密6.4 网络安
19、全通信协议网络安全通信协议 IPSec协议ESP协议ESP报头的结构示意图ESP的两种工作模式6.4 网络安全通信协议网络安全通信协议 IPSec协议AH协议AH协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务与ESP协议相比,AH不提供对通信数据的加密服务,但能比ESP提供更加广的数据验证服务AH工作原理在每一个数据包上添加一个身份验证报头。此报头包含一个被加密的hash值(可以将其当作数字签名,只是它不使用证书),此hash值在整个数据包中计算,因此对数据的任何更改将导致hash值无效,这样就提供了完整性保护。AH报头位置在IP报头和传输层协议头之间。AH由协议号
20、“51”标识 6.4 网络安全通信协议网络安全通信协议 IPSec协议AH协议AH的报头格式IP包在两种模式下增加AH的位置和效果图6.4 网络安全通信协议网络安全通信协议 IPSec协议IKE协议IKE协议是IPSec目前正式确定的密钥交换协议IKE是一种混合型协议,由ISAKMP、Oakley和SKEME组成,沿用了ISAKMP的基础,Oakley的模式以及SKEME的共享和密钥更新技术使用了两个交换阶段,阶段一用于建立IKE SA,阶段二利用已建立的IKE SA为IPsec协商具体的一个或多个安全关联,即建立IPsec SAIKE允许四种认证方法,分别是基于数字签名的认证、基于公钥加密的
21、认证、基于修订的公钥加密的认证和基于预共享密钥的认证6.4 网络安全通信协议网络安全通信协议 SSL协议SSL协议是一个传输层安全协议。SSL协议由Netscape公司于1994年11月提出并率先实现,即SSL V2.0 Internet-Draft版本1996年3月推出了SSL V3.0 Internet-Draft版本,最终被IETF所采纳,并制定为传输层安全标准。协议的目标是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持优势在于它与应用层协议独立无关,高层的应用层协议能透明的建立于SSL协议之上6.4 网络安全通信协议网络安全通信协议 SSL协议SSL协议提供三方
22、面服务认证用户和服务器,确保数据发送到正确的客户机和服务器加密数据以防止数据中途被窃取维护数据的完整性,确保数据在传输过程中不被改变6.4 网络安全通信协议网络安全通信协议 SSL协议SSL协议工作流程建立网络连接选择与该连接相关的加密方式和压缩方式识别双方的身份确定本次传输密钥传输加密数据关闭网络连接6.4 网络安全通信协议网络安全通信协议 SSL协议SSL协议的分层结构 应用层协议(HTTP、Telnet、FTP、SMTP等)SSL握手协议(Handshake Protocol)SSL记录协议(Record Protocol)TCP协议IP协议SSL协议6.4 网络安全通信协议网络安全通信
23、协议 SSL协议SSL记录协议SSL记录协议为每一个SSL连接提供以下两种服务机密性(Confidentiality):SSL记录协议会协助双方产生一把共有的密钥,利用这把密钥来对SSL所传送的数据做传统式加密。消息完整性(Message Integrity):SSL记录协议会协助双方产生另一把共有的密钥,利用这把密钥来计算出消息认证码。6.4 网络安全通信协议网络安全通信协议 SSL协议SSL记录协议的运作模式Application dataFragmentCompressAdd MACEncryptAppend SSLrecord header6.4 网络安全通信协议网络安全通信协议 SS
24、L协议SSL握手协议握手协议用来让客户端及服务器确认彼此的身份。协助双方选择连接时所使用的加密算法、MAC算法、及相关密钥握手协议由一些客户与服务器交换的消息所构成,每一个消息都含有以下三个字段类型(Type),1个字节:表示消息的类型,总共有十种。长度(Length),3个字节:消息的位组长度。内容(Content),大于或等于1个字节,与此消息有关的参数。6.4 网络安全通信协议网络安全通信协议 SSL协议SSL握手协议的消息类型消息种类参 数hello_requestclient_helloserver_hellocertificateserver_key_exchangecertifi
25、cate_requestserver_donecertificate_verifyclient_key_exchangefinishedNull Version,random,session id,cipher suite,compression method Version,random,session id,cipher suite,compression method 一连串的X.509 v3的证书 Parameters,signature Type,authorities Null Signature Parameters,signature Hash value 6.4 网络安全通信
26、协议网络安全通信协议 SSL协议SSL握手过程6.4 网络安全通信协议网络安全通信协议 SSL协议SSL协议安全性分析客户端假冒SSL协议无法提供基于UDP应用的安全保护SSL协议不能对抗通信流量分析针对基于公钥加密标准(PKCS)协议的自适应选择密文攻击进程中的主密钥泄漏磁盘上的临时文件可能遭受攻击6.4 网络安全通信协议网络安全通信协议 SSL协议SSL协议安全性分析不规范应用引起的问题 对证书的攻击和窃取中间人攻击安全盲点IE浏览器的SSL身份鉴别缺陷6.4 网络安全通信协议网络安全通信协议 SSL协议TLS协议提供保密性和数据完整性该协议由两层组成TLS 记录协议TLS 握手协议TLS
27、协议三个阶段对等协商支援的密钥算法基于私钥加密交换公钥、基于PKI证书的身份认证基于公钥加密的数据传输保密。6.4 网络安全通信协议网络安全通信协议 SSL协议TLS记录协议的连个基本特性私有对称加密用以数据加密(DES、RC4 等)。对称加密所产生的密钥对每个连接都是唯一的,且此密钥基于另一个协议(如握手协议)协商可靠信息传输包括使用密钥的 MAC 进行信息完整性检查。6.4 网络安全通信协议网络安全通信协议 SSL协议TLS握手协议三个基本属性可以使用非对称的或公共密钥的密码技术来认证对等方的身份。该认证是可选的,但至少需要一个结点方 共享加密密钥的协商是安全的对偷窃者来说协商加密是难以获
28、得的。此外经过认证过的连接不能获得加密,即使是进入连接中间的攻击者也不能。协商是可靠的没有经过通信方成员的检测,任何攻击者都不能修改通信协商。6.4 网络安全通信协议网络安全通信协议 SSH协议协议结构6.4 网络安全通信协议网络安全通信协议 SSH协议SSH传输层协议SSH传输层协议主要在不安全的网络中为上层应用提供一个加密的通信信道SSH传输层协议提供服务器身份认证、通信加密、数据完整性效验以及数据压缩等多项安全服务6.4 网络安全通信协议网络安全通信协议 SSH协议SSH传输层协议流程6.4 网络安全通信协议网络安全通信协议 SSH协议SSH身份认证协议SSH用户认证协议提供服务器对用户
29、的认证三种认证方式公钥认证方式口令认证方式基于主机的认证方式。连接协议主要功能是完成用户请求的各种具体网络服务6.4 网络安全通信协议网络安全通信协议 HTTPSHypertext Transfer Protocol over Secure Socket Layer由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果是以安全为目标的HTTP通道,是HTTP的安全版HTTPS的安全基础是SSL6.4 网络安全通信协议网络安全通信协议 HTTPS访问网页流程用户:在浏览器的地址栏里输入https:/HTTP层:将用户需求翻译成HTTP请求,如GET/in
30、dex.htm HTTP/1.1 Host http:/SSL层:借助下层协议的的信道,安全的协商出一份加密密钥,并用此密钥来加密HTTP请求。TCP层:与web server的443端口建立连接,传递SSL处理后的数据。练习设置HTTPS6.4 网络安全通信协议网络安全通信协议 VPN虚拟专用网(Virtual Private Network,VPN)通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道VPN是在公网中形成的企业专用链路6.4 网络安全通信协议网络安全通信协议 VPNVPN的基本功能加密数据信息验证和身份识别访问控制地址管理密
31、钥管理多协议支持6.4 网络安全通信协议网络安全通信协议 VPNVPN采用的安全技术隧道技术点到点隧道协议(PPTP)第二层隧道协议(L2TP)加解密技术密钥管理技术使用者与设备身份认证技术6.4 网络安全通信协议网络安全通信协议 VPNIPSec VPN6.4 网络安全通信协议网络安全通信协议 VPNVPN的类型按应用方式拨号VPN专用VPN按VPN协议第二层隧道协议第三层隧道协议部署模式端到端(End-to-End)模式供应商企业(Provider-Enterprise)模式内部供应商(Intra-Provider)模式6.4 网络安全通信协议网络安全通信协议 VPNVPN的类型按照服务类
32、型InternetVPN(内部网VPN)AccessVPN(远程访问VPN)ExtranetVPN(外联网VPN)InternetVPNAccessVPNExtranetVPN6.4 网络安全通信协议网络安全通信协议 VPNSSL VPN部署和管理费用低,在安全性和为用户提供更多便利性方面优于传统IPSecVPNSSL VPN安全性客户端接入的安全性数据传输的安全性内部资源访问的安全性SSL VPN三种模式Web浏览器模式客户端模式LAN 到LAN 模式6.6 本章小结本章小结 本章介绍了网络与系统安全的概念以及存在的安全威胁 概述了恶意攻击的概念,分析了恶意攻击的来源。从恶意攻击本身、恶意攻击的检测、防护和安全协议四个方面全方位的介绍了恶意攻击 介绍了入侵检测相关概念、方法和系统以及蜜罐和蜜网技术 结合实际案例介绍了攻击防护中常用的防火墙技术、病毒查杀技术和沙箱技术 介绍了几种主要的网络安全通信协议
