網(wǎng)絡(luò)安全1課件

1、網(wǎng)絡(luò)與信息安全最后一課：期末復(fù)習(xí)潘愛民，北京大學(xué)計(jì)算機(jī)研究所/InfoSecCourse我們的課程內(nèi)容覆蓋密碼學(xué)基礎(chǔ)安全基礎(chǔ)網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用層安全許多內(nèi)容也沒有深入介紹我們沒有覆蓋各個(gè)安全方向上的一些研究成果一些新興的安全領(lǐng)域復(fù)習(xí)：信息安全概述信息安全的基本需求保密性完整性可用性發(fā)展：COMSEC-COMPUSEC-INFOSEC-IA信息保障保護(hù)（Protect）檢測（Detect）反應(yīng)（React）恢復(fù)（Restore）保護(hù)Protect檢測Detect恢復(fù)Restore反應(yīng)ReactIA復(fù)習(xí)：信息安全概述信息安全法規(guī)規(guī)范信息內(nèi)容規(guī)范網(wǎng)上行為我國立法情況國家大法的基本精神指導(dǎo)數(shù)字領(lǐng)域?qū)?/p>

2、于計(jì)算機(jī)犯罪的新增條款國家條例、商用密碼管理?xiàng)l例急需完善配套信息安全標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評價(jià)準(zhǔn)則TCSEC-ITSEC-CC我國的標(biāo)準(zhǔn)化工作，亟待進(jìn)一步完善和提高復(fù)習(xí)：密碼學(xué)基礎(chǔ)(一)對稱加密算法密碼算法設(shè)計(jì)指導(dǎo)原則現(xiàn)代密碼算法Feistel結(jié)構(gòu)DES算法針對DES的密碼分析分組密碼算法的四種用法其他幾種典型的現(xiàn)代密碼算法AES算法隨機(jī)數(shù)產(chǎn)生器復(fù)習(xí)：信息安全基礎(chǔ)(一)關(guān)于認(rèn)證協(xié)議一個(gè)簡單的認(rèn)證協(xié)議，介紹常見的攻擊手段和對策中間人攻擊重放攻擊字典攻擊認(rèn)證協(xié)議中的常見技術(shù)時(shí)間戳Challenge/ResponseWindows平臺的認(rèn)證協(xié)議LanMan口令加密方案NTLMUNIX的crypt

3、()算法HTTP認(rèn)證協(xié)議Basic AuthenticationDigest Access Authentication復(fù)習(xí)：信息安全基礎(chǔ)(二)Kerberos協(xié)議Kerberos協(xié)議基本思想基本的概念：principal, KDC, ticket, credentialKerberos 基本模型TGS，跨realm認(rèn)證Kerberos中ticket的flag通過這些flags, Kerberos可以適用于實(shí)用的場合Kerberos實(shí)現(xiàn)MIT Release，獨(dú)立的軟件包一組工具：kadmin, kinit, klist, kpasswd支持kerberos的應(yīng)用程序Win2k Kerbero

4、s集成在操作系統(tǒng)之中復(fù)習(xí)：信息安全基礎(chǔ)(四)PKI： Public Key InfrastructurePKI的基本服務(wù)認(rèn)證身份完整性：數(shù)字簽名，MAC和HMAC保密性：用公鑰分發(fā)隨機(jī)密鑰，用隨機(jī)密鑰加密數(shù)據(jù)不可否認(rèn)：發(fā)送方和接收方的不可否認(rèn)PKI中的證書證書格式X.509CA層次結(jié)構(gòu)證書發(fā)放機(jī)制證書驗(yàn)證機(jī)制證書注銷機(jī)制復(fù)習(xí)：信息安全基礎(chǔ)(五)SSL/TLS協(xié)議，協(xié)議棧分為兩層底層：TLS記錄協(xié)議上層：TLS握手協(xié)議、TLS密碼變化協(xié)議、TLS警告協(xié)議TLS記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上它提供連接安全性，有兩個(gè)特點(diǎn)保密性，使用了對稱加密算法完整性，使用HMAC算法用來封裝高層的協(xié)

5、議TLS握手協(xié)議，完整過程需要13個(gè)消息，最少6個(gè)消息客戶和服務(wù)器之間相互認(rèn)證，利用證書協(xié)商加密算法和密鑰四個(gè)階段：hello，服務(wù)器認(rèn)證，客戶認(rèn)證，結(jié)束針對SSL/TLS的攻擊TLS在Web應(yīng)用中一種雙向認(rèn)證模型單向TLS認(rèn)證+客戶提供“用戶名+口令”復(fù)習(xí)：信息安全基礎(chǔ)(六)訪問控制模型：Reference Monitor訪問控制策略訪問矩陣基于規(guī)則的訪問控制基于身份的訪問控制基于角色的訪問控制一般化的訪問控制機(jī)制復(fù)習(xí)：網(wǎng)絡(luò)安全(二)網(wǎng)絡(luò)監(jiān)聽共享式網(wǎng)絡(luò)、以太網(wǎng)卡的混雜模式監(jiān)聽原理UNIX：Packet socket一個(gè)通用的接口庫libpcapWindows平臺，通過增加驅(qū)動(dòng)程序或者網(wǎng)絡(luò)組件

6、抓包WinPcap：通用的抓包工具抓包的性能考慮：從內(nèi)核到用戶態(tài)的數(shù)據(jù)傳遞相關(guān)的技術(shù)如何檢查處于混雜模式的節(jié)點(diǎn)在交換式網(wǎng)絡(luò)上監(jiān)聽數(shù)據(jù)包發(fā)送數(shù)據(jù)包LibnetWinPcap復(fù)習(xí)：網(wǎng)絡(luò)安全(三)P2DR安全模型網(wǎng)絡(luò)安全定義：Pt Dt + RtIDS(Intrusion Detection System)入侵檢測系統(tǒng)的實(shí)現(xiàn)過程信息收集模式分析入侵檢測系統(tǒng)分類基于主機(jī)、網(wǎng)絡(luò)、內(nèi)核、應(yīng)用入侵檢測系統(tǒng)用到的一些技術(shù)異常檢測誤用檢測實(shí)用的IDS: snort入侵檢測系統(tǒng)的研究和發(fā)展神經(jīng)網(wǎng)絡(luò)在IDS中的研究與應(yīng)用STAT：用有限狀態(tài)機(jī)來表示入侵過程復(fù)習(xí)：網(wǎng)絡(luò)安全(五)欺騙IP欺騙假冒他人的IP地址發(fā)送信息郵

7、件欺騙假冒他人的email地址發(fā)送信息Web欺騙服務(wù)器端欺騙，使用類似的域名改寫頁面Web會話劫持TCP會話劫持積極攻擊，接管會話拒絕服務(wù)技術(shù)和原理都非常簡單，并且已經(jīng)工具化難以防范典型的DoS：SYN Flood、Smurf復(fù)習(xí)：網(wǎng)絡(luò)安全(六)緩沖區(qū)溢出原理?xiàng)Ｒ绯?stack overflow)堆溢出(heap overflow)Windows平臺的Buffer overflows編寫Windows平臺下的(遠(yuǎn)程)shellcode難點(diǎn)：如何調(diào)用系統(tǒng)API函數(shù)Shellcode如何獲得執(zhí)行權(quán)Linux平臺的Buffer overflows編寫Linux平臺下的shellcode發(fā)掘程序的bu

8、ffer overflows漏洞：猜測返回地址緩沖區(qū)溢出的典型例子緩沖區(qū)溢出的對策復(fù)習(xí)：網(wǎng)絡(luò)安全(七)后門后門是指攻擊者再次進(jìn)入網(wǎng)絡(luò)或者系統(tǒng)而不被發(fā)現(xiàn)的通道后門技術(shù)是系統(tǒng)相關(guān)的UNIX/LINUX下的后門Windows下的后門隱藏痕跡了解Linux的日志文件了解Windows的日志文件復(fù)習(xí)：Windows系統(tǒng)安全Windows安全結(jié)構(gòu)包括Windows環(huán)境下許多與安全有關(guān)的概念LSA(Local Security Authority)對象訪問模型：檢查ACL(ACEs)表WinLogon ModelWindows的網(wǎng)絡(luò)結(jié)構(gòu)NETBIOS over TCP/IPWindows各個(gè)操作系統(tǒng)安全性以

9、及攻防技術(shù)和相應(yīng)的策略一次針對Windows 2000的入侵過程發(fā)現(xiàn)目標(biāo)、掃描漏洞滲透：拿到administrator口令安裝后門復(fù)習(xí)：Linux系統(tǒng)安全Linux系統(tǒng)介紹Linux內(nèi)核：系統(tǒng)調(diào)用機(jī)制，內(nèi)存管理，模塊機(jī)制Linux文件系統(tǒng)：VFS、ext2Linux文件系統(tǒng)安全管理機(jī)制，SUID程序Linux用戶管理PAM (Pluggable Authentication Modules)Linux的網(wǎng)絡(luò)結(jié)構(gòu)BSD socket, INET socket, 協(xié)議棧, 網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)Linux網(wǎng)絡(luò)配置內(nèi)核防火墻Linux攻防技術(shù)口令破解數(shù)據(jù)驅(qū)動(dòng)攻擊一次針對Linux的入侵過程利用了rpc.sta

10、td緩沖區(qū)溢出漏洞復(fù)習(xí)：Web安全性和email安全性Web安全性Web認(rèn)證：TLS，以及HTTP 1.1支持的兩種認(rèn)證機(jī)制Web會話Cookie技術(shù)Web服務(wù)器端安全性權(quán)限管理，授權(quán)機(jī)制Web Server LogWeb客戶端安全性ActiveX control電子郵件S/MIME：簽名和加密，利用PKIPGP(Pretty Good Privacy)PGP消息的處理PGP密鑰的管理，以個(gè)人為中心的信任模型復(fù)習(xí)提綱第一講，安全概述不考第二、三講，密碼學(xué)部分不專門考第四講認(rèn)證協(xié)議基本知識，要掌握Windows認(rèn)證方案不考HTTP認(rèn)證協(xié)議不考第五講Kerberos協(xié)議基本知識，要求掌握具體的消息

11、內(nèi)容，不要背，理解即可Flags不考Kerberos實(shí)現(xiàn)不考，最好知道一點(diǎn)第六講IPSec基本結(jié)構(gòu)要求掌握，包括協(xié)議結(jié)構(gòu)和SA的概念I(lǐng)PSec密鑰管理部分不考PKI：X.509證書(不要背，要理解)，CA層次結(jié)構(gòu)，證書的驗(yàn)證過程復(fù)習(xí)提綱(續(xù))第七講TLS協(xié)議棧要清楚，記錄協(xié)議的結(jié)構(gòu)圖要看得懂握手協(xié)議的過程要理解，不用背其他內(nèi)容不作要求訪問控制機(jī)制知道幾個(gè)概念：Reference Monitor模型、訪問矩陣、ACL、基于角色的訪問控制策略第八講防火墻的基本知識，包括分類包過濾防火墻的基本知識，包括包過濾防火墻的概念性設(shè)置與Linux的ipchains有關(guān)的內(nèi)容不考應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)不考四種配置方案要理解，不用背第九講網(wǎng)絡(luò)監(jiān)聽和IDS不考復(fù)習(xí)提綱(續(xù))第十二講只要求理解棧溢出的概念模型其他不作要求第十三講要求理解Windows系統(tǒng)中與安全有關(guān)的一些概念用戶、組、SID、SD、ACL對象訪問模型和文件系統(tǒng)訪問模型其他內(nèi)容不作要求第十四講要求掌握Linux的用戶管理機(jī)制、以及文件訪問控制機(jī)制、和模塊機(jī)制其他內(nèi)容不作要求第十五講Web安全性，只要求掌握Server Log信息和cookie的基本思想郵件安全性，不作要求病毒的基本知識題型基本概念題比如，網(wǎng)絡(luò)監(jiān)聽需要什么樣的環(huán)境和條件簡答題比如，說明ISAKMP兩階段協(xié)商的優(yōu)缺點(diǎn)論述題比如，如果讓你設(shè)計(jì)一個(gè)安全的電子郵件系統(tǒng)，又要