网络安全.doc

防火墙的分类： 包过滤型（分组过滤）应用代理型　复合型（防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。） IDS可以被区分为基于网络、基于主机和分布式三种。 入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况(anomaly-based) ＶＰＮ分类：Remote Access VPN　 Intranet VPN　Extranet VPN VNP 包括 内部网VNP 拨号VNP 外部网VNP 虚拟局域网的实现方式 基于端口的虚拟局域网、基于MAC地址的虚拟局域网、基于第三层协议的虚拟局域网和基于应用的虚拟局域网 一次性口令方案：ｓ／ｋｅｙ方案和令牌口令方案（“挑战─响应”和“时间─同步认证） IPSec：协议及各自功能， 　　IPSec协议簇包括两个安全协议，它们分别是AH协议和ESP协议 认证报头 AH）：可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网上重播。 封装安全载荷ESP）：它具有所有AH的功能，此外，它还可以利用加密技术保障数据的机密性。 密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成 信息安全的要素：数据完整性 数据机密性 可用性 可审查性 不可否认性 可控性 IPsec密钥交换算法涉及的协议 ISAKMP协议 功能 持多种不同密钥交换协议 Oakley 协议 功能 述密钥交换模式以及每个模式提供的服务 SKEME协议 功能 提供基于公钥的身份认证和快速密钥刷新 pgp都用哪些密钥？都用什么地方 PGP —— Pretty Good Privacy ，是一个基于 RSA 公钥加密体系的邮件加密软件 PGP使用了4种类型的密钥：一次性会话密钥、公钥、私钥、逐段常规密钥 PGP发送和接受消息的工作：发送方使用随机生成的会话密钥和IDEA算法加密邮件文件，使用接受方的公钥加密会话密钥，然后将加密的邮件文件和会话密钥发送个接受方，接受繁复使用自己的私钥解密会话密钥，然后再用会话密钥和IDEA算法解密邮件文件 签名方式：具有仲裁方式的数字签名 直接方式的数字签名 SSL协议端口号：433，访问方式 加密算法分哪两类：对称加密和不对称加密 网络加密方式：链路加密、端－端加密 Ｘ。５０９的各字段内容 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； 证书所有人的名称，命名规则一般采用X.500格式； 证书所有人的公开密钥； 证书发行者对证书的数字签名。 Smurf 攻击是—种拒绝服务攻击 § 一个Smurf 攻击向大量的远程主机发送一系列的ping 请求命令。黑客把源IP 地址换成想要攻击目标主机的IP 地址。所有的远程计算机都响应这些ping 请求，然后对目标地址进行回复而不是回复给攻击者的IP 地址用。目标IP 地址将被大量的ICMP 包淹没而不能有效的工作 SYN洪水攻击的原理： 在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。 Ipsec两种报头内容：IPsec包括两种报头：身份验证报头（AH）和封装安全载荷报头（ESP）。 下一个头部 载荷长度 保留位 安全参数索引(SPI) 序列号 验证数据 安全索引(SPI) 序列号 有效载荷数据(可变) 填充(0-255字节) 填充长度 下一个头部 认证数据 ＤＨ交换中的中间人攻击包括窃听、插入、删除、修改消息，反射消息回到发送者，重放旧消息以及重定向消息。 • 第一阶段的IKE协商主模式如下： 选择a,q 选择私钥XA 计算公钥YA 选择私钥XB 计算公钥YB 选择a,q 计算 K＝（YB）XA mod q 计算 K＝（YA）XB mod q Ci, CR ,YA ,Ni Ci, CR ,YB, NR 计算Ci 计算CR Ci，ISAi Ci, CR , ISAR Ci, CR , IDi,,AUTHi,SIGi 验证Cookie, IDi Ci, CR , IDi,,AUTHR,SIGR 验证Cookie,IDR win2000默认不安全漏洞及改进：由于Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以Administrator账号更名,禁用 Guest 账号,禁止枚举账号,禁止Guest帐户登录本机 SET协议规定的工作流程如下： 用户向商家发送购货单和一份经过签名、加密的信托书。书中的信用卡号是经过加密的，商家无从得知； 商家把信托书传送到收单银行，收单银行可以解密信用卡号，并通过认证验证签名； 收单银行向发卡银行查问，确认用户信用卡是否属实； 发卡银行认可并签证该笔交易； 收单银行认可商家并签证此交易； 商家向用户传送货物和收据； 交易成功，商家向收单银行索款； 收单银行按合同将货款划给商家； 发卡银行向用户定期寄去信用卡消费账单 – SSL连接： 连接是指能够提供合适服务类型的传输。连接是暂时的，每个连接都与一个会话相关。 – SSL会话： 会话是指在客房机与服务器之间的关联。会话由握手协议创建，定义了一组可被多个连接共享的密码安全参数。 对于每个TCP/IP实现来说，FTP服务器的TCP端口号都是21，每个Telnet服务器的TCP端口号都是23，每个TFTP (简单文件传送协议)服务器的UDP端口号都是69。任何TCP/IP实现所提供的服务都用知名的1～1023之间的端口号。这些知名端口号由Internet号分配机构（ Internet Assigned Numbers Authority, IANA）来管理 SSL协议握手过程： 协议握手过程分为两个阶段 （1）用于密钥交换等信息 （2）用于用户身份认证。 在第一阶段，通信双方通过相互发送HELLO信息进行初始化，通过HELLO信息，双方就能够确定是否需要为本次会话产生一个新密钥，如果本次会话是一个新会话，则需要产生新的密钥，双方需要进入密钥交换过程，如果本次会话是建立在已有的连接上，则不需要产生新的密钥，双方立即进入握手协议的第二个阶段。第二阶段的主要任务是对用户身份进行认证，通常服务器要求客户提供经过签名的客户证书进行认证，并将认证结果返回给客户。至此，握手协议结束