安全复习.docx
- 文档编号:17398796
- 上传时间:2023-07-24
- 格式:DOCX
- 页数:25
- 大小:76.10KB
安全复习.docx
《安全复习.docx》由会员分享,可在线阅读,更多相关《安全复习.docx(25页珍藏版)》请在冰点文库上搜索。
安全复习
安全复习
ARP数据结构:
硬件类型
协议类型
硬件长度
协议长度
操作(请求1,回答2)
源MAC
源IP
目标MAC
目标IP
硬件类型:
以太网的类型为1
协议类型:
IPV4是0x0800,ARP用于任何高层协议
硬件长度:
以太网的值为6
协议长度:
IPV4的值为4
什么时候发ARP请求?
什么时候要回复ARP?
在一台设备需要发送数据,可以进行三层转发,但没有目标的MAC地址进行二层封装,就要发ARP请求:
1.主机发现目标在同一网段,直接发送ARP
2.主机发现目标在不同网段,请求网关发ARP
3.路由请求下一跳的MAC发ARP请求
4.主机网写的为自己,直接请求目标网段MAC
5.免费ARP
回复ARP:
1.同一网络的回复
2.代理ARP
3.ARP欺骗
IP报头:
版本
头部长度
服务类型
报文总长度
标识符
标记
分隔片移
TTL
协议类型
校验和
源地址
目标地址
ICMP(internetcontrolmessageprocotol)
ICMP分为两大类:
差错报告报文和查询报文
报文格式:
类型
代码
校验和
首部的其余部份
数据部分
Ping:
利用ICMP的请求和应答报文,测试主机的联通性,源主机发ICMP请求报文(类型8代码0)
Tracerroute:
路由器使用UDP发送一个TTL值为1的报文分组,下一跳路由收到这个分组,把TTL减到0,就丢弃这个分组,同时路由发送一个超时类型报文(类型11代码0),当发给主机时,主机会拆开三层包,然后看端口是自己不支持的端口,于是丢了这个分组并回一个终点不可达报文(类型3代码3端口不可达)。
tracert:
发送的是一个ICMP报文,首先也发送一个TTL为1的报文,到达下一跳减为0,于是丢弃这个报文,发送到最后一台主机,主机回应一个回应包。
IP地址欺骗:
攻击者假冒他人IP地址发送数据包,因为IP协议不对数据包中的IP地址进行认证,所以任何人不经授权可伪造IP包的源地址。
PPP链路的MTU是296,以太网的MTU是1500.
TCP报文:
TCP是面向连接可靠的服务
源端口
目标端口
序列号
确认号
首部长度
保留
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
窗口大小
校验和
紧急指针
可选项
TCP三次握手:
1.主机A到主机B的SYN:
在SYN分段中,主机A告诉主机B,序号(SEQ)为X
2.主机B到主机A的SYN,记录序与X,并用ACK=X+1和自己的序列号(SEQ=Y)确认SYN,以回答主机A,ACK=X+1;确认主机收到了X,并希望下一个SYN是X+1,这一技术叫转发确认
3.主机A收到主机B的转发确认,主机A对主机B发送的数据进行确认,指出主机A希望下个SYN是Y+1.
常见TCP应用:
文件传输协议(FTP),简单邮件传输协议(SMTP),远程登录(TELNET),超文本传输协议(HTTP)
UDP协议:
UDP面向无连接不可靠服务
源端口
目标端口
报文长度
校验和
UDP的常见应用:
简单文件传输协议(TFTP),简单网络管理协议(SNMP),域名服务(DNS)。
什么是ARP欺骗?
通过伪造源MAC地址发送ARP响应包。
对ARP高速缓存进行攻击,
防火墙:
介于网络不同区域流量的一台设备或一套系统,保护内网资源免受攻击。
防火墙技术:
就是将内网与外网之间的访问进行全面控制的一种技术
防火墙的性能指标有哪些?
1.防火墙的硬件
2.防火墙的功能要多
3.防火墙的吞吐量
4.VPN的吞吐量
5.是否为状态防火墙,以及并发连接数
6.防火墙支持的高级属性
防火墙的分类以及优缺点?
包过滤防火墙:
优点:
处理数据快,实施灵活
缺点:
ACL过多配置复杂,不能处理应用层攻击,不支持认证,只能做到动态的打开门,不能自动关闭门。
状态防火墙:
保持连接状态的跟踪。
优点:
解决了包过滤防火墙不能解决单向访问的问题,知晓连接状态,可随着通信的开始面打开,随着通信的关闭面关闭。
缺点:
不能阻止应用层攻击,不可认证,不是所有的协议都有状态
应用网关防火墙
优点:
可认证,检测应用层数据
缺点:
用软件来外理,消耗系统资源,可能需要额外的客户端软件
NAT防火墙:
解决IP地址紧缺的问题和隐藏内部IP设计
优点:
隐藏内部IP,允许私有IP上公网,可以控制网络流量
缺点:
IP地址改变或端口改变导致校验和重新计算,带来延时,有些应用不支持NAT
主机防火墙:
优点:
可以增强安全性,可提供基于主机的认证,成本低
缺点:
简化的包过滤防火墙,分布式的难管理
混合防火墙
防火墙数据处理流程
DATA流入
不是自己的丢弃
无,丢弃
无,丢弃
有状态
防火墙的工作模式:
透明防火墙,路由防火墙,混合防火墙
ACL对路由器来说是可选的,对防火墙来说是必须的,没有ACL是出不去的
ACL的分类:
以太网类型的ACL,命名ACL,动态ACL,反射ACL,时间ACL,加速ACL,CBAC
NAT的种类,及规则:
排除NAT:
无转换表项
策略NAT:
利用ACL抓取流量,做NAT
静态NAT:
静态PAT
一致NAT:
有转换表项,真实IP转换成真实IP
动态NAT/PAT
AAA(认证authentication,授权authorization,审记accounting)
安全策略:
classmappolicymapservicepolicy
防火墙的许可介绍
1.用户许可(可控制多少主机可以正常访问外网资源)
2.平台许可(可设置平台所具有的性能R,UR,FO,FO-AA)
3.特征许可(可决定防火墙的高级特性,如可创建几个虚拟FW)
4.加密许可(如需要FW支持一些VPN特性,安全远程管理等)
虚拟防火墙:
将一台单独物理FW通过某种技术划分为多个逻辑的FW
虚拟防火墙的特点:
1.第个虚拟FW都有自己的接口,有自己的路由表/MAC表/转换表。
策略,以级独立配置文件
2.对于Cisco设备来说,虚拟FW不支持动态路由协议,也不支持组播路由协议,不支持VPN
区分:
唯一接口,目标IP,唯一MAC
防火墙故障切换:
心跳线:
传递检测信息配置信息睡传递状态
Failover工作模式:
A/S主备,A/A负载均衡
IDS与IPS区别(优缺点)?
1.IDS只能旁挂布署,IPS可以在线布署
2.IDS需要与FW联动,IPS能自主防御
3.IPS比IDS有更完善的更深入的检测方法
4.IPS速度更快(有硬件加速)
5.IDS不能做防御初始化攻击
DHCPsnooping技术是在开启了DHCPsnooping的交换机上定义信任与非信任端口来防止DHCP服务器的冒充。
Trust端口可以接收与发送所有DHCP报文,而untrust端口不能接收DHCPOFFER、ACK等报文。
另外,结合port-security特性可防止DHCP服务器的DOS攻击。
提供一张动态表,可防止IP地址欺骗问题
DAI(dynamicarpinspection,动态ARP检测),借助于DHCPsnooping绑定表,验证网络中ARP数据包是否合法的。
不合法可拦截,记录,丢弃。
WAN技术优缺点:
1.专线:
E1,POS,DDN优点:
持续专用,带宽高,易管理。
缺点:
贵,利用率不高
2.分组交换:
X.25,FR优点:
多PVC,扩展性强,带宽高缺点:
贵,少
3.电路交换:
PSTN,ISDN优点:
按需拔号,成本低缺点:
带宽低,难配置,难管理
4.信元交换:
ATM优点:
带宽大,转发率高缺点:
贵
企业对广域网的要求:
1.带宽高;2.成本低;3.安全性高;4.扩展性好;5.实现方式多,易管理;6.可靠性高;7.移动性好。
解决方案:
采用internet接入优点:
124567缺点:
不安全
数据在Internet传输面临的危险?
1.窃听攻击原因:
明文传输解决方案:
加密
2.篡改攻击防止被篡改,能检测出是否被篡改解决方案:
完整性检测
3.中间人攻击解决方案:
身份认证
防重放攻击:
序列号
采用Internet接入+VPN技术
VPN定义:
VPN是在公网中虚拟出来的企业内部专线
VPN功能:
解决私网联通性安全性:
身份认证,机密性,完整性,防重放攻击
VPN分类:
1.实现平台分类:
软件平台VPN(OS集成,第三方软件),硬件平台(router,FW,VPN网关)
2.VPN实现协议分类:
国际标准,私有
3.VPN的实现层次分类:
二层,网络层,应用层
4.VPN的应用场景分类:
站点到站点VPN,PC机远程接入VPN
IPsecVPN的实现组件:
封装协议(AH,ESP),身份认证,密码体制,密钥,hash函数,管理协议
DH密钥组:
不同的组,有不同的密钥长度以及不同的DH算法
对称密码体制与非对称密码体制有哪些,特点以及优缺点?
密钥体制分类(提供机密性):
对称密码体制:
有哪些:
块加密Des3DesAES流加密(RC4,RC6)
特点:
加解密密钥相同
优点:
算法简单,速度快
缺点:
KEY的分发问题,比非对称的要差,容易被中间人截获KEY
非对称密码体制:
有哪些:
DHRSADCEDSAECC
特点:
用私钥加密用公钥解密
优点:
算法复杂,安全性高,只传递公钥,私钥自己保存
缺点:
慢,算法复杂,消耗更多的资源
对称密码分发到何种条件才算安全?
A.仅通信双方知道B.周期性的更新KEYC.KEY本身复杂
密钥的分发方式:
A.带外分发B.带内分发,仅通信双方知道
HASH函数作用:
对DATA进行完整性检测
HASH分类:
一般的HASH函数:
没有KEY的参与,得出的值为散列值
密钥HASH函数:
有KEY参与,得出的值叫哈希MAC
HASH函数的特点:
1.是一个单向不可逆的过程
2.相同的输入,有相同的输出
3.可变长度的输入,固定长度的输出
4.理论上存在不同的输入有相同的输出。
身份认证:
确定对方的合法性,防中间人欺骗
身份认证的方式:
pre-sharedkey认证
RSA-signa认证RSA签名
RSA-ENC加密随机数
在TUNNEL下,数据包封装格式:
IP头
上层协议
DATA
原数据包:
ESP数据包:
新IP头
ESP头
原IP头
上层协议
DATA
ESP尾
ESP验证
新IP头
AH头
IP头
上层协议
data
AH数据包:
认证
HMAC,仅认证,不加密
在传输模式下(transport):
IP头
上层协议
DATA
原数据包:
原IP头
ESP头
上层协议
DATA
ESP尾
ESP验证
ESP数据包:
加密
认证
加密
认证
原IP头
认证
AH头
上层协议
data
AH数据包
Transport主要利用IPSEC的安全性,它已经解决私网的联通性
ESP的协议号是50AH的协议号是51
管理协议:
业务数据通信之前,VPN网关双方必须准备好相应参数(ESP/AH,DES/3DES/AES,DH/KEY,MD5/SHA)
IPSECVPN准备工作分为两个阶段:
建立管理连接,建立数据连接
阶段I的任务:
1.协商安全参数,并建立安全联盟(加解密算法,HASH算法,DH组,身份认证方法,生命周期(86400S))
2.发生DH交换,计算KDH,并生成许多KEY
3.完成身份认证
阶段II的任务:
1.协商安全参数,并建立SA(安全封装协议,工作模式,加解密算法,HASH算法,生命周期3600s)
2.完成用户DATA传输KEY
IKE组合:
ISAKMP:
定义数据结构,定义身份认证的方法以,创建及维护SA,密钥产生,防重放攻击
密钥交换/确定协议(SKEME,OAKLEY):
定义DH协议,生成KDH
ISAKMP协议数据结构:
发起者Cookie
应答者Cookie
下一个头部
主版本
次版本
交换类型
FLAG标记
MessageID
长度
Cookie是8字节的随机值
管理连接的建立过程:
阶段I使用IKE协议完成,其工作模式:
主模式,积极模式
主模式:
1.状态变化:
MM_NO_STATE:
表示处于主模式,SP未协商好,SA未建立
MM_SA_SETUP:
处于主模式,双方协商好SP,初始化建立SA
MM_KEY_EXCH:
处于主模式,发生DH交换,并生成KDH以及生成许多KEY
MM_KEY_AUTH:
处于主模式,完成身份认证
详细协商过程:
CiCrIDrhashr
CiCrIDihashi
CiCrYNr
CiCrXNi
CiCrSAi
CiSAi
Ir
总结:
主模式=1个双向SA+2次加密+3个任务+4个状态+5个密钥+6个包+7步运算
积极模式:
状态变化:
AG_NO_STATE:
表示处于积极模式,SP未协商,SA未建立
AG_INIT_EXCH:
处于积极模式,SP协商,SA建立,DH交换,生成KDH并生成许多KEY
AG_AUTH:
完成身份认证
详细协商过程:
CiCrhash3
CiCrSArNr2[IDi,IDr]hash2
CiCrSAiNi2[IDi,IDr]hash1
CiCrhashi
CiCrSAryNrIDrhashr
CiSAiXNiIDi
ir响应者被发起者认证
总结:
积极模式=1个双向SA+1次加密+3个任务+3个状态+3个包+5个KEY+7步运算
阶段II的建立过程
1.IKE建立,工作模式为:
快速模式
状态变化:
QM_IDLE:
表示管理连接建立成功,数据连接开始或结束
详细协商过程:
irhash用于完整性检测
ipsecSA的索引:
公网IP,安全协议,SPI
SPI:
InboundSA产生的
启用PFS特性,在数据连接阶段再次发生DH交换
总结:
1个模式+1个状态+2个单向SA+3个包+4个KEY
阶段I完成后建立一个双向ISAKMPSA
阶段II完成后建立两个单向IPSECSA
VPN网关收到IKE包,立即找相应的ISAKMPSA
VPN网关收到用户业务数据包,立即找IPSECSA
各种SA查找方式(依据SA索引):
ISAKMP索引:
公网IP,Cookie
IPSEC索引:
公网IP,安全协议,SPI
ESP数据包封装:
SPI
SN(序列号)防重放攻击
有效负载
填充数据
填充长度
ESP尾
ESP认证(HMAC)
在一个IPSECSA中,每个密文都有唯一的SA
阶段IISA的失效机制:
生命周期,SN用完
AH头:
下一个头部
长度
保留
SPI
SN
认证(HMAC)
IPSECVPN通用指南:
1.公网连通性
2.配置阶段I的SP:
加密算法,hash算法以,DH组,身份认证方法,生命周期
3.完成身份认证的配置
4.配置阶段II的SP:
加解密算法,HASH算法,安全协议,工作模式,生命周期,SPI,感兴趣流量
5.创建加密图MAP,绑定以上的功能
6.将MAP绑定到出口
7.测试IPSECVPN
阶段II的出站索引是感兴趣流量来查找SA的
阶段I的索引是SETPEER根据它来查找SA的
EZVPN阶段1.5:
用户身份认证,下发ACL,分配IP,DNS域名,模式配置
配置:
EZVPNSERVER
EZVPNClient
公网连通性
公网联通性
阶段ISP
EZVPN组名
创建EZVPN组名KEY
Pre-sharekey
创建用户名或AAA配置
PeerIP
创建地址池(绑定组名)
中途输入U/P
可选:
创建下发ACL
测试
创建阶段IISP
创建动态MAP-绑静态MAP-绑接口
测试
GRE(协议号47)
GRE与IPSEC区别:
1.IPSEC仅支持IP,GRE支持IP,IPX等多协议
2.基于策略的IPSEC仅支持单播,GRE支持单,组,广播等
3.GRE无安全性,IPSEC提供安全性
GRE封装结构:
原数据:
IP报头
上层协议
DATA
GRE数据:
新IP头
GRE头
原IP头
上层协议
DATA
GRE数据原理
1.创建GRE接口,通过GRE接口或由GRE接口发起的数据都将做GRE封装(GRE基于路由的VPN)
2.GRE依靠路由决定做封装,路由来自于直连,静态,动态
3.GRE封装新IP头的源/目IP来自于手工,动态学习
KEEPLIVE203:
如果keeplive检测失败,就会把本地的tunnel口down掉,第隔20S发一次keeplive报文,连续3次没有收到则down。
GREoverIPSECIPSEC为GRE提供安全性(传输)
IPSECoverGREGRE为IPSEC提供连通性
PPTP/L2TP
功能或特征:
1.私网联通性
2.身份认证(单向,服务器认证客户端)PAP,CHAP,MS-CHAP
3.机密性(MPPE,RC4流加密)
4.完整性检测,校验和
5.创建虚拟网卡以及分配IP地址:
基于路由VPN
6.支持IP,IPX多协议
7.压缩MPPC
PPTP的工作原理:
PPTP用GRE封装
控制连接:
作用:
协商参数,是否加密(加密方式),密钥算法,协商CALLID
IP头
TCP头
PPP头
DATA
端口:
TCP1723
Tunnel连接:
作用:
进行一个PPP会话协商过程
IP头
GRE头
PPP头
DATA
业务数据通信:
IP头
GRE头
PPP头
IP头
上层协议
DATA
L2TP的工作过程:
控制连接:
IP头
UDP头
L2TP
DATA
端口:
UDP1701
Tunnel连接:
IP头
UDP头
L2TP头
PPP头
DATA
LCP认证NCP
业务通信:
L2TP用L2TP封装。
IP头
UDP头
L2TP头
PPP头
原IP头
上层协议
DATA
VPN与NAT布署
1.运行于同一台设备:
在NAT中,DENY掉需要做VPN的流量
2.不在同一台设备,只有ESP兼容NAT,在传输模式下,除TCP以外,在遂道模式无限制,PAT都不支持,解决这人问题,国际标准是加一个UDP的头部:
NAT-T
NAT-T的工作过程:
1.双方通告自己是否支持NAT-T功能,开启NAT-T
2.双方必须沿途检测是否存在NAT/PAT
3.如果存在NAT/PAT,则使用NAT-T,否则不使用,加一个UDP头部
PKI(公共密钥设施)
定义:
针对网络信息安全服务,通过发放数字证书和维护数字证书建立一套信任网络,在这个信任网络中,任何终端用户可以使用数字证书身份认证,信任加密,以及电子商务行为信息加密
PKI组件
CA认证中心:
发放和维护数字证书
最终用户:
获得证书的元素
数字证书:
标识用户身份信息
RA(注册机构):
做申请证书的准备工作,但不颁发证书
SCEP(简单证书颁发协议):
申请颁发证书,工作在HTTP之上
CRL(证书撤消列表):
由CA创建CRL表,以及维护CRL表,用来判断证书是否合法
OCSP(在线证书颁发协议):
向CA询问证书是否合法
用户获得证书的过程:
1.用户首先获得CA证书
2.用户使用PKCS#10格式将自己的合法身份信息,通过带外或SCEP方式递给CA
3.CA收到PKCS#10信息后判断是否满足条件:
材料是否足够,认证是否通过,一旦满足条件,则生成X.509V3的证书
4.CA使用用户的私钥加密X.509V3,得到证书密文格式PKCS#7格式,再通过SCEP颁发给用户
5.用户使用私钥解密PKCS#7得到X.509V3证书,保存证书。
SSLVPN
SSLVPN定义:
在一个不安全的网络中,通过浏览或专用客户端与企业内部资源建立一条临时安全的遂道连接
SSLVPN的种类/模式/场景:
无客户端,又叫WEBVPN,仅支持HTTP流量
瘦客户端,又叫APP应用,在WEBVPN之上,动态从SSLVPN网关下载相应的JAVA活动插件安装,实现支持非HTTP流量
全遂道模式:
提供全网私网连通性,类似于一种3层VPN
SSLVPN工作原理:
工作在传输层与应用层之间
SSL组件:
握手协议:
通信双方进行协商参数,以及密钥生成,建立和恢复SSL会话
记录协议:
封装协议,对数据包进行加密,分片,压缩,HASH认证
SSLVPN建立过程:
SSLVPN隧道建立过程分以下4个阶段:
第一阶段,客户端向服务器发出SSL连接请求,
第二阶段,服务器收到客户端的连接请求后,把收到的随机信息用私钥加密,然后连同公钥和身份信息发回给客户端。
第三阶段,客户端收到服务器端的回应后,将先用从服务器端发来的公钥解密信息,还原后与自己之前产生的随机信息比较异同,从而验证服务器端的身份。
在服务器端身份得到验证后,客户端将产生一个对称密钥,用于加密真正的传输信息,并将该对称密钥用公钥加密后发给服务器端。
注意,此刻第一步客户端发送给服务器的随机信息起到很大的作用了:
身份验证。
只有验证了服务器的身份后,才能放心的与服务器进行数据通信,验证过程使用了非对称加密算法,然而数据传输一般都使用对称加密算法。
对称加密,肯定也需要一个密钥,这个密钥必须借助非对称加密算法才能安全的传输到服务器。
第四阶段,服务器端得到信息后,用自己私钥解密并获得该对称密钥,之后客户端和服务器之间就可以用这个对称密钥进行加密通讯了
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 复习