软考网络规划设计师学习笔记汇总七.docx
《软考网络规划设计师学习笔记汇总七.docx》由会员分享,可在线阅读,更多相关《软考网络规划设计师学习笔记汇总七.docx(22页珍藏版)》请在冰豆网上搜索。
软考网络规划设计师学习笔记汇总七
软考网络规划设计师学习笔记汇总(七)
ISAServer应用配置(P620-643)
1、ISAServer的安装
(1)安装准备
A、应保证网络正常工作。
B、必须为连接到ISAServer服务器的每个网络单独准备一个网络适配器,至少需要一个网络适配器。
C、DNS服务器。
(2)安装ISAServer
详情请参阅图4-33至图4-42。
2、配置允许所有内部用户访问Internet的所有服务的访问规则
(1)网络规则
网络连接方式:
路由、网络地址转换、本地主机访问、VPN客户端到内部网络、Internet访问。
(2)访问规则
A、防火墙系统策略。
B、建立访问策略。
(3)配置拨号连接
3、使用边缘防火墙模板建立访问策略
具体内容参阅P635-638内容。
4、配置启用HTTP缓存
具体参阅P638-643。
4.5IDS和IPS(P643-658)
1、入侵检测系统概述
(1)IDS的定义
是一种主动保护自己,使网络和系统免遭非法攻击的网络安全技术,它依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。
(2)IDS的作用
A、通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生。
B、检测其他安全措施未能阻止的攻击或安全违规行为。
C、检测黑客在攻击前的探测行为,预先给管理员发出警报。
D、报告计算机系统或网络中存在的安全威胁。
E、提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补。
F、在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。
(3)IDS的组成
一个IDS通常由探测器、分析器、响应单元、事件数据库组成。
(4)IDS的类型及技术
基于主机的入侵检测、基于网络的入侵检测、混合入侵检测系统(结合前两种技术)。
(5)分布式入侵检测系统
DIDS采用了分布式智能代理的结构方式,由几个中央智能代理和大量分布的本地代理组成,其中本地代理负责处理本地事件,而中央代理负责整体的分析工作。
2、入侵检测系统实例
(1)RIDS-100
由瑞星公司自主开发研制的新一代网络安全产品,它集入侵检测、网络管理、网络监视功能于一身。
是一套基于网络的DIDS,它主要由入侵检测引擎和管理控制台两部分组成。
典型应用方案:
A、监听、检测发生在内网之间的连接和攻击。
B、监听、检测外网对内网的攻击。
(2)Cisco入侵检测系统4200
CiscoIDS4210可以监控45Mbps的流量,适用于T1/E1和T3环境。
CiscoIDS4235可以监控200Mbps的流量,可以在交换环境中、多个T3子网上以及在10/100/1000接口的支持下提供保护。
另外,它还可以部署在部分使用的千兆位链路上。
CiscoIDS4250不但能以500Mbps的速度支持无与伦比的性能,还能保护千兆位子网以及正在穿越交换机的流量。
3、入侵防御系统
(1)入侵防御系统概述
IPS提供主动、实时的防护,其设计旨在对网络流量中的恶意数据包进行检测,对攻击性的流量进行自动拦截,使它们无法造成损失。
IPS如果检测到攻击企图,就会睡去地将攻击包丢掉或采取措施阻断攻击源,而不把攻击流量放进内部网络。
注意区别:
IPS与防火墙、IPS与IDS。
IPS系统根据部署方式可以分为在类:
HIPS、NIPS、AIP。
IPS必须具备如下技术特征:
嵌入式运行、深入分析的控制、入侵特征库、高效处理能力。
(2)入侵防御系统的原理
在ISO/OSI网路层次模型(见OSI模型)中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。
而除病毒软体主要在第五到第七层起作用。
为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS:
IntrusionDetectionSystem)投入使用。
入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。
可惜这时灾害往往已经形成。
虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。
随后应运而生的入侵反应系统(IRS:
IntrusionResponseSystems)作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。
而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。
入侵预防系统也像入侵侦查系统一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。
除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输重的异常情况,来辅助识别入侵和攻击。
比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。
入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。
或者至少使其危害性充分降低。
入侵预防系统一般作为防火墙和防病毒软体的补充来投入使用。
在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据(forensic)。
(3)IPS的检测技术
A、基于特征的匹配技术 B、协议分析技术 C、抗DDoS/Dos技术
D、智能化检测技术 E、蜜罐技术
(4)IPS存在的问题
单点故障、性能瓶颈、误报率和漏报率。
访问控制技术(P658-670)
1、访问控制技术概述
(1)访问控制的基本模型
访问控制包括三个要素:
主体、客体、控制策略。
访问控制包括认证、控制策略实现和审计三方面的内容。
(2)访问控制的实现技术
A、访问控制矩阵(ACM)
是通过矩阵形式表示访问控制规则和授权用户权限的方法
访问矩阵是以主体为行索引,以客体为列索引的矩阵,矩阵中的每一个元素表示一组访问方式,是若干访问方式的集合。
B、访问控制表(ACLs)
实际上是按列保存访问矩阵。
访问控制表提供了针对客体的方便的查询方法。
但是用它来查询一个主体对所有客体的所有访问权限是很困难的。
C、能力表
对应于访问控制表,这种实现技术实际上是按行保存访问矩阵。
能力表实现的访问控制系统可以很方便地查询某一个主体的所有访问权限,但查询对某一个客体具有访问权限的主体信息是很困难的。
D、授权关系表
是即不对应于行也不对应于列的实现技术,只对应访问矩阵中每一个非空元素的实现技术。
如果授权关系表按主体排序,查询时就可以得到能力表的效率;如果按客体排序,查询时就可得到访问控制表的效率。
(3)访问控制表介绍
A、ACL的作用
可以限制网络流量、提高网络性能;
提供对通信流量的控制手段;
是提供网络安全访问的基本手段;
可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
B、ACL的执行过程
一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。
如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一条件判断语句进行比较。
如果匹配,则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。
如果甩有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
注意,ACL不能对本路由器产生的数据包进行控制。
C、ACL的分类
分为标准ACL和扩展ACL。
主要区别:
标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
D、ACL的配置
在全局配置模式下,使用下列命令创建ACL:
Router(config)#access-listaccess-list-number{permit|deny}{test-conditions}
在接口配置模式下,使用access-group命令ACL应用到某一接口上:
Router(config-if)#{protocol}access-groupaccess-list-number{in|out}
E、标准ACL举例。
注意P662到663页内容即可。
(4)访问控制的模型发展
2、传统访问控制技术
(1)自主型访问控制(DAC)
DiscretionaryAccessControl
自主访问控制是一种最为普遍的访问控制手段,用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件,亦即一个用户可以有选择地与其它用户共享他的文件。
用户有自主的决定权。
自主访问控制一个安全的操作系统需要具备访问控制机制。
它基于对主体及主体所属的主体组的识别,来限制对客体的访问,还要校验主体对客体的访问请求是否符合存取控制规定来决定对客体访问的执行与否。
这里所谓的自主访问控制是指主体可以自主地(也可能是单位方式)将访问权,或访问权的某个子集授予其它主体。
将数字信号转换为模拟信号。
(2)强制型访问控制(MAC)
MandatoryAccessControl.
强制访问控制允许加载新的访问控制模块,并借此实施新的安全策略,其中一部分为一个很小的系统子集提供保护并加强特定的服务,其他的则对所有的主体和客体提供全面的标签式安全保护。
定义中有关强制的部分源于如下事实,控制的实现由管理员和系统作出,而不像自主访问控制(DAC,FreeBSD中的标准文件以及SystemVIPC权限)那样是按照用户意愿进行的。
强制访问控制是系统独立于用户行为强制执行访问控制,它也提供了客体(数据对象)在主体(数据库用户)之间共享的控制,但强制访问控制机制是通过对主体和客体的安全级别进行比较来确定授予还是拒绝用户对资源的访问,从而防止对信息的非法和越权访问,保证信息的保密性。
与自主访问控制不同的是,强制访问控制由安全管理员管理,由安全管理员根据一定的规则来设置,普通数据库用户不能改变他们的安全级别或对象的安全属性;自主访问控制尽管也作为系统安全策略的一部分,但主要由客体的拥有者管理。
3、基于角色的访问控制技术(RBAC)
基于角色的访问控制(Role-BasedAccessControl)引入了Role的概念,目的是为了隔离User(即动作主体,Subject)与Privilege(权限,表示对Resource的一个操作,即Operation+Resource)。
Role作为一个用户(User)与权限(Privilege)的代理层,解耦了权限和用户的关系,所有的授权应该给予Role而不是直接给User或Group。
Privilege是权限颗粒,由Operation和Resource组成,表示对Resource的一个Operation。
例如,对于新闻的删除操作。
Role-Privilege是many-to-many的关系,这就是权限的核心。
基于角色的访问控制方法(RBAC)的显著的两大特征是:
1.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销。
2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
RBAC基本概念:
RBAC认为权限授权实际上是Who、What、How的问题。
在RBAC模型中,who、what、how构成了访问权限三元组,也就是“Who对What(Which)进行How的操作”。
Who:
权限的拥用者或主体(如Principal、User、Group、Role、Actor等等)。
What:
权限针对的对象或资源(Resource、Class)。
How:
具体的权限(Privilege,正向授权与负向授权)。
Operator:
操作。
表明对What的How操作。
也就是Privilege+Resource
Role:
角色,一定数量的权限的集合。
权限分配的单位与载体,目的是隔离User与Privilege的逻辑关系。
Group:
用户组,权限分配的单位与载体。
权限不考虑分配给特定的用户而给组。
组可以包括组(以实现权限的继承),也可以包含用户,组内用户继承组的权限。
User与Group是多对多的关系。
Group可以层次化,以满足不同层级权限控制的要求。
RBAC的关注点在于Role和User,Permission的关系。
称为Userassignment(UA)和Permissionassignment(PA)。
关系的左右两边都是Many-to-Many关系。
就是user可以有多个role,role可以包括多个user。
凡是用过RDBMS都知道,n:
m的关系需要一个中间表来保存两个表的关系。
这UA和PA就相当于中间表。
事实上,整个RBAC都是基于关系模型。
Session在RBAC中是比较隐晦的一个元素。
标准上说:
每个Session是一个映射,一个用户到多个role的映射。
当一个用户激活他所有角色的一个子集的时候,建立一个session。
每个Session和单个的user关联,并且每个User可以关联到一或多个Session.
在RBAC系统中,User实际上是在扮演角色(Role),可以用Actor来取代User,这个想法来自于BusinessModelingWithUML一书Actor-Role模式。
考虑到多人可以有相同权限,RBAC引入了Group的概念。
Group同样也看作是Actor。
而User的概念就具象到一个人。
这里的Group和GBAC(Group-BasedAccessControl)中的Group(组)不同。
GBAC多用于操作系统中。
其中的Group直接和权限相关联,实际上RBAC也借鉴了一些GBAC的概念。
Group和User都和组织机构有关,但不是组织机构。
二者在概念上是不同的。
组织机构是物理存在的公司结构的抽象模型,包括部门,人,职位等等,而权限模型是对抽象概念描述。
组织结构一般用Martinfowler的Party或责任模式来建模。
Party模式中的Person和User的关系,是每个Person可以对应到一个User,但可能不是所有的User都有对应的Person。
Party中的部门Department或组织Organization,都可以对应到Group。
反之Group未必对应一个实际的机构。
例如,可以有副经理这个Group,这是多人有相同职责。
引入Group这个概念,除了用来解决多人相同角色问题外,还用以解决组织机构的另一种授权问题:
例如,A部门的新闻我希望所有的A部门的人都能看。
有了这样一个A部门对应的Group,就可直接授权给这个Group。
4、基于任务的访问控制模型(TBAC)
是从应用和企业层角度来解决安全问题,以面向任务的任务的角度来建立安全模型和实现安全机制,在任务处理的过程提供动态实时的安全管理。
TBAC模型由工作流、授权结构体、受托人和许可集4部分组成。
5、基于对象的访问控制模型(OBAC)
控制策略和控制规则是OBAC访问控制系统的核心所在。
VPN技术(P670-684)
1、IPSec
IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
(1)IPSec的安全特性主要有:
A、不可否认性
“不可否认性”可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。
“不可否认性”是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。
由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。
但“不可否认性”不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。
B、反重播性
“反重播”确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。
该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。
C、数据完整性
防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。
IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。
D、数据可靠性(加密)
在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。
该特性在IPSec中为可选项,与IPSec策略的具体设置相关。
E、认证
数据源发送信任状,由接收方验证信任状的合法性,只有通过认证的系统才可以建立通信连接。
(2)基于电子证书的公钥认证
一个架构良好的公钥体系,在信任状的传递中不造成任何信息外泄,能解决很多安全问题。
IPSec与特定的公钥体系相结合,可以提供基于电子证书的认证。
公钥证书认证在Windows2000中,适用于对非Windows2000主机、独立主机,非信任域成员的客户机、或者不运行Kerberosv5认证协议的主机进行身份认证。
(3)预置共享密钥认证
IPSec也可以使用预置共享密钥进行认证。
预共享意味着通信双方必须在IPSec策略设置中就共享的密钥达成一致。
之后在安全协商过程中,信息在传输前使用共享密钥加密,接收端使用同样的密钥解密,如果接收方能够解密,即被认为可以通过认证。
但在Windows2000IPSec策略中,这种认证方式被认为不够安全而一般不推荐使用。
(4)公钥加密
IPSec的公钥加密用于身份认证和密钥交换。
公钥加密,也被称为“不对称加密法”,即加解密过程需要两把不同的密钥,一把用来产生数字签名和加密数据,另一把用来验证数字签名和对数据进行解密。
使用公钥加密法,每个用户拥有一个密钥对,其中私钥仅为其个人所知,公钥则可分发给任意需要与之进行加密通信的人。
例如:
A想要发送加密信息给B,则A需要用B的公钥加密信息,之后只有B才能用他的私钥对该加密信息进行解密。
虽然密钥对中两把钥匙彼此相关,但要想从其中一把来推导出另一把,以目前计算机的运算能力来看,这种做法几乎完全不现实。
因此,在这种加密法中,公钥可以广为分发,而私钥则需要仔细地妥善保管。
(5)Hash函数和数据完整性
Hash信息验证码HMAC(Hashmessageauthenticationcodes)验证接收消息和发送消息的完全一致性(完整性)。
这在数据交换中非常关键,尤其当传输媒介如公共网络中不提供安全保证时更显其重要性。
HMAC结合hash算法和共享密钥提供完整性。
Hash散列通常也被当成是数字签名,但这种说法不够准确,两者的区别在于:
Hash散列使用共享密钥,而数字签名基于公钥技术。
hash算法也称为消息摘要或单向转换。
称它为单向转换是因为:
1)双方必须在通信的两个端头处各自执行Hash函数计算;
2)使用Hash函数很容易从消息计算出消息摘要,但其逆向反演过程以目前计算机的运算能力几乎不可实现。
Hash散列本身就是所谓加密检查和或消息完整性编码MIC(MessageIntegrityCode),通信双方必须各自执行函数计算来验证消息。
举例来说,发送方首先使用HMAC算法和共享密钥计算消息检查和,然后将计算结果A封装进数据包中一起发送;接收方再对所接收的消息执行HMAC计算得出结果B,并将B与A进行比较。
如果消息在传输中遭篡改致使B与A不一致,接收方丢弃该数据包。
有两种最常用的hash函数:
·HMAC-MD5MD5(消息摘要5)基于RFC1321。
MD5对MD4做了改进,计算速度比MD4稍慢,但安全性能得到了进一步改善。
MD5在计算中使用了64个32位常数,最终生成一个128位的完整性检查和。
·HMAC-SHA安全Hash算法定义在NISTFIPS180-1,其算法以MD5为原型。
SHA在计算中使用了79个32位常数,最终产生一个160位完整性检查和。
SHA检查和长度比MD5更长,因此安全性也更高。
(6)加密和数据可靠性
IPSec使用的数据加密算法是DES--DataEncryptionStandard(数据加密标准)。
DES密钥长度为56位,在形式上是一个64位数。
DES以64位(8字节)为分组对数据加密,每64位明文,经过16轮置换生成64位密文,其中每字节有1位用于奇偶校验,所以实际有效密钥长度是56位。
IPSec还支持3DES算法,3DES可提供更高的安全性,但相应地,计算速度更慢。
(7)密钥管理
·动态密钥更新
IPSec策略使用“动态密钥更新”法来决定在一次通信中,新密钥产生的频率。
动态密钥指在通信过程中,数据流被划分成一个个“数据块”,每一个“数据块”都使用不同的密钥加密,这可以保证万一攻击者中途截取了部分通信数据流和相应的密钥后,也不会危及到所有其余的通信信息的安全。
动态密钥更新服务由Internet密钥交换IKE(InternetKeyExchange)提供,详见IKE介绍部分。
IPSec策略允许专家级用户自定义密钥生命周期。
如果该值没有设置,则按缺省时间间隔自动生成新密钥。
·密钥长度
密钥长度每增加一位,可能的密钥数就会增加一倍,相应地,破解密钥的难度也会随之成指数级加大。
IPSec策略提供多种加密算法,可生成多种长度不等的密钥,用户可根据不同的安全需求加以选择。
·Diffie-Hellman算法
要启动安全通讯,通信两端必须首先得到相同的共享密钥(主密钥),但共享密钥不能通过网络相互发送,因为这种做法极易泄密。
Diffie-Hellman算法是用于密钥交换的最早最安全的算法之一。
DH算法的基本工作原理是:
通信双方公开或半公开交换一些准备用来生成密钥的“材料数据”,在彼此交换过密钥生成“材料”后,两端可以各自生成出完全一样的共享密钥。
在任何时候,双方都绝不交换真正的密钥。
通信双方交换的密钥生成“材料”,长度不等,“材料”长度越长,所生成的密钥强度也就越高,密钥破译就越困难。
除进行密钥交换外,IPSec还使用DH算法生成所有其他加密密钥。
AH报头字段包括:
·NextHeader(下一个报头):
识