第七章 网络管理与网络安全#.docx
《第七章 网络管理与网络安全#.docx》由会员分享,可在线阅读,更多相关《第七章 网络管理与网络安全#.docx(12页珍藏版)》请在冰点文库上搜索。
第七章网络管理与网络安全#
第七章网络管理与网络安全
7.1网络管理
网络管理基本概念
网络管理是对网络运行状态进行监测与控制。
物理介质物理层设备包括网卡双绞线等
硬件资源计算机设备存储设备等其他设备
网络互连设备中继器网桥路由器网关等
网络管理对象
操作系统
软件资源应用软件
通信软件实现通信协议的软件
网络管理目标:
有效性(QoS),可靠性,开放性,综合性,安全性,经济性。
网络管理的功能
ISO/IEC7498-4文档规定网络管理的五大功能:
配置管理,故障管理,计费管理,性能管理,安全管理。
配置管理最基本的功能,负责网络的建立业务的开展以及配置数据的维护。
包括资源清单管理、资源开通、业务开通。
故障管理发现和排除网络故障,保障网络资源无障碍无错误的运营,包括障碍管理、故障恢复、和预防保障。
包括检测故障隔离故障、纠正故障
计费管理正确计算收取用户使用网络服务的费用
性能管理维护网络服务质量和网络运营效率
安全管理采用安全措施保护网络中的系统数据及业务。
包括风险分析报告安全服务功能告警功能日志功能和报告功能和网络管理系统保护功能。
其作用在于最大限度的防范以及在侵扰后损失降到最低。
授权机制、访问控制加密和加密关键字管理
网络管理模型
核心是一对相互通信的系统管理实体
用管理进程与一个远程系统相互作用来实现对远程资源的控制。
在这种简单的体系中一个系统的管理进程相当于管理者角色,另外一个系统的对等实体担当代理者角色。
代理负责提供被管对象的访问。
前者为网络管理者后者为网管代理。
管理者实际是操作系统上的一组应用程序,代理位于被管理者设备内部。
将管理者的命令或信息请求转换为本设备特有的指令,完成管理者的指示或返回设备的信息。
管理者与代理者之间信息交换分为从管理者到代理的管路操作和从代理到管理者的通知
网络管理模式集中式网络管理模式和分布式网络管理模式。
在集中式网络管理模式中所有代理在管理站的监视和控制下协同工作实现网络的集中管理,至少一个节点为管理者。
其他节点在网关代理模块(NME)控制下与管理站通信。
分布式数据采集监视和管理分散开从网络上所有数据源采集数据不必考虑拓扑结构。
管理更加自动、
网络管理协议
网络管理中最重要的部分是网络管理协议定义了网络管理者和网关代理者的通信方法。
发展简史:
1979年ISO对网络通信进行标准化工作,主要是对于开放系统互联模型设计的,成果是CMIS和CMIP。
CMIS是对于管理进程与代理者之间的通信,CMIP提供管理服务传输的应用层协议。
两者规定了OSI的网络管理标准。
后来Internet项目任务组(IETF)为了管理Internet,把已经有的简单网管监控协议(SGMP)修改后得到SNMP协议(简单网络管理协议)。
也称SNMPV1.
相对于OSI的协议,SNMP简单实用,SNMPV1最大特点是简单性,还有可伸缩性、健壮性。
因为SNMP没有考虑安全问题,1992年IETF开始制作SNMPV2。
1997年4月开始SNMPV3
SNMP协议:
提供了从网络设备上收集网络管理信息的方法。
SNMP体系结构有SNMP管理者和SNMP代理者组成,从被管理设备收集信息方法有两种,一种是轮询(Polling)法,另外一种是基于中断(Interrupt-based)方法。
两者结合就是陷入指导轮询方法。
CMIP协议:
ISO的公共管理信息协议(CMIP),CMIP通过事件报告进行工作的。
CMIP所有功能都是必须映射到应用层的相关协议上实现,管理的操作是通过联系控制协议(AssociationControlProtocol,ACP)实现的。
操作和事件报告是通过远程操作协议(RemoteOperationProtocol,ROP)实现的,CMIP支持的是7种CMIS协议。
SNMP是Internet组织实现互联网和以太网的,比较简单,但是安全性较差。
CMIP是个更加有效的网络管理协议,一方面CMIP采用报告机制比较及时。
另外一方面他的更多工作交给管理者使终端用户压力较小,此外还有安全管理机制。
因为涉及面广,实现起来比较昂贵。
7.2信息安全技术概述
信息安全的概念
信息安全的目标:
真实性(能对伪造来源的信息进行鉴别)、保密性(不被窃听)、完整性、可用性(合法用户不被不正当拒绝)、不可抵赖性(电子商务很重要)、可控制性、可审查性。
信息安全策略
为保证提供一定级别的安全保护所必须遵守的规则。
1先进的信息安全技术是网络安全的根本保证。
2严格的安全管理。
3制定严格的法律法规。
信息安全等级
美国国防部所属的国家计算机安全中心(NCSC)在20世纪90年代提出了可信任计算机标准评估准则(TrustedComputerStandardEvaluationCriteria)也称橘皮书(OrangeBook)网络安全标准将安全性等级划分为A、B、C、D。
A最高,D最低。
D1、C1、C2、B1、B2、B3、A1。
在我国计算机信息系统安全保护等级划分准则将计算机安全等级划分为五个等级。
第一级自主保护级,第二级知道保护级,第三级监督保护级(较大损失),第四级强制保护级(严重损失),第五级专控保护级(核心子系统,被破坏后会造成特别被严重的后果)
7.3网络安全问题与安全策略
网络安全本质和目的是确保网络上的信息安全。
网络安全的基本概念
传播、共享、自增值是信息的固有属性,同时又要保证传播是可控的,共享是授权的,增值是确认的。
所谓的网络安全保护网络程序数据和设备使其免受非授权使用或者访问。
包括保护信息和资源保护客户机和用户保护私有性。
对网络系统而言包括信息的存储安全和信息的传输安全。
存储安全通过设置访问权限、身份识别、局部隔离等保护
信息传输安全要防止出现:
对信息的监听、对身份的假冒、对网络上信息的篡改、对发出的信息否认、对信息重放(恶意攻击)
安全措施:
比较复杂的项目,包括社会的法律法规等、技术方面的措施、审计和管理措施
OSI安全框架
国际电信联盟(ITU-T)推荐X.800即OSI安全框架。
OSI主要关注三个部分:
安全攻击、安全机制、安全服务。
安全攻击分为被动攻击和主动攻击。
被动攻击是对传输进行窃听和监测目标是获得传输的信息,信息内容泄漏和流量分析是两种,被动攻击不涉及对数据的修改通过对数据加密可以阻止,重点是预防而不是监测。
主动攻击包括对数据流进行篡改和伪造数据流,伪装、重放、消息篡改、拒绝服务(Dos,组织或者禁止正常使用通信设备可以破坏实体网络)和分布式拒绝服务。
分布式拒绝服务(DDoS)是许多分布的主机同时攻击一个目标使其瘫痪一个完整的DDoS分为黑客、控制傀儡机、攻击傀儡机和受害者。
主动攻击难以预防但是可以检测,所以重点是检测并从破坏中恢复,检测主动攻击有种威慑作用
服务供给和非服务攻击(从网站高层看):
服务攻击是针对特定网络服务的攻击,如Telnet在23端口,HTTP在80窗口。
TCP/IP缺乏认证安全措施是重要原因,MailBomb攻击。
非服务攻击是对于网络层等底层协议进行的,TCP/IP自身安全不足提供了方便,利用操作系统和协议的漏洞来攻击,如源路由攻击、地址欺骗。
现在很多软件可以实行非服务攻击如NetXRay。
安全机制用来保护免收监听组织安全攻击和恢复系统的机制可以分为特定安全机制(特定的协议层实现)和普通安全机制。
X.800区分可逆和不可逆加密不可逆如Hash算法和消息认证码。
安全服务认证、存取控制数据保密性、数据完整性和不可否认性等5类14个特定服务。
网络安全模式
任何用来保护安全的方法都包括对发送信息的相关安全变换、双方共享某些秘密信息。
为了实现安全传输需要可以信任的第三方,第三方负责将秘密信息配给通信双方。
涉及安全服务涉及1执行安全传输的算法2产生算法使用的秘密信息3涉及分配和共享信息的方法4知名通信双方使用的协议。
7.4加密技术
密码学基本术语
原始的消息是明文,加密后的消息为密文,从明文到密文叫做加密,从密问到明文叫解密,加密方案叫做密码或者密码体制,,研究各种加密方案的科学叫做密码编码学,研究破译密码获得消息的科学叫做密码分析学。
密码编码学有三个特征:
1转化明文为密文有两种基本原理:
代换和置换。
2所用的密钥数,如果发送方和接收方用相同的密钥这种密码叫做对称密码,单密钥密码或者传统密码。
如果不是就叫做非对称密码、双密码、或者公钥密码。
3处理明文的方法。
加密算法可以分为分组密码和流密码。
分组密码每次输入一个分组输出一个分组典型分组一般是64位或者128位,流密码则是连续的输入输出一个元素。
分组密码较多。
密码分析学攻击密码体制两种方法:
密码分析学(灾难性的,会危及以前所有的信息)和穷举攻击(平均而言需要尝试所有可能密钥的一半)。
根据密码分析者知道的内容,可以概括集中密码攻击内容,唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击、选择文本攻击。
一般要经受住已知明文攻击。
无条件安全和计算上的安全如果无论多少可以使用的密文,都不足以唯一的确定由该体制产生密文所对应的明文,则加密体制是无条件安全的,出了一次一密外其他算法都不是无条件安全的。
加密算法使用者应满足:
1破译密码代价高出密文价值2破译时间高出有效生命周期,这个叫做计算上的安全。
代换和置换技术代换是将明文字母换成其他字母、数字或者符号的方法,典型的算法是Caesar密码(子目表后k个子母代换)、单表带换密码(任意代换)、Playfair密码、Hill密码、多表代换密码和一次一密等。
另外一种是置换而来的排列最简单的是栅栏技术。
按照对角线的顺序写入明文按照行的顺序做出密文。
对称密码
对称密码模型可以分为:
明文、加密算法、密钥、密文、解密算法。
数据加密标准使用最广泛的是数据加密体制(DES)1977年被美国国家标准局采用为数据处理标准,其前身是数据加密算法(DEA)DES采用64位的分组长度和56位的密钥长度。
其他对称算法1三重DES(DES在穷举攻击下比较脆弱,有人提出3DES)例如PGP和S/MINE。
2高级加密标准(AES)密钥长度为128、192或者256位分组长度为128位。
AES使用了基于有限域不可约多项式。
3Blowfish算法。
密钥长度可以变化,分组长度为64位。
至今其安全性还没有受到挑战。
4RC5算法三种运算异或加和循环。
RC5已经被RSA公司采纳。
公钥密码
是基于函数的算法而不是基于置换和代换,更重要的是公钥密码不是对称的。
公钥密码体制依赖于一个加密密钥和一个与之相关但是不同的解密密钥,都有一个特征仅依靠加密密钥和密码算法确定解密密钥在计算上是不行的。
每个用户将公约放在可以访问的文件或者寄存器中,若别人需要给己发送信息,用公约加密,然后自己用自己的私鈅解密。
公钥可以访问,私钥自己拥有。
公钥密码体制应用:
加密/解密、数字签名、密钥交换
RSA算法既能加密也能数字签名,但是安全性一直没有达到理论上的证明。
明文和密文都是小于1024位二进制或者309位十进制,分组大小小于或者等于log2(n).分组大小为k。
2的k次方大于等于n。
2的k-1小于n.
其他公钥算法:
1E1Gamal算法1984年提出的公钥密码体制和椭圆曲线加密体制,既能加密又能数字签名,安全性依赖于有限域上离散对数,生成的密文是明文的两倍长,且每次产生一个随机数K。
2背包加密算法。
1978年提出的MH加密算法,在计算上是不可以实现的。
密钥管理
密钥的分发:
对称密码解决方案是双方都信任的密钥分发中心(KeyDistributionCenter,KDC)
密码的认证:
认证中心(CertificationAuthority,CA)负责将公共密钥和特定实体进行绑定,证明身份的真实性和发放证书。
国际电信联盟(ITU)和IETF制订了认证中心的标准。
7.5认证技术
常见的信息保护手段包括加密和认证。
加密是为了防止防止敌人获得信息,认证是为了防止敌人主动攻击,包括检验信息的真伪和防止信息在通信过程中被篡改、删除、插入、伪造、延迟和重放。
认证主要包括:
消息认证、数字签名、和身份认证。
消息认证是验证信息是否出自发送方和是否被修改过也可以验证顺序和及时性,签名是模拟签名和印章,身份认证是鉴别其是否为合法用户。
消息认证
概念:
使意定的接收到信息并且可以检验信息是否真实,又称完整性验证。
使消息接受者可以识别信息的信息源、信息内容的真伪、事件性和意定的信宿。
这种认证在通信双方间不允许第三方,认证不一定是实时的,如电子邮件系统。
消息认证方法:
1认证消息的来源:
a通知双方实现发送的消息的数据加密密钥。
b通知双方事先约定各自消息发送使用的通行字。
2认证消息的完整性a采用消息认证码(MessageAuthenticationCode,MAC)带密钥的Hash函数;b采用篡改检测码(ManipulationDetectionCode,MDC)不带密钥的Hash函数。
3认证消息的序号和时间(阻止消息的重放,采用消息的流水作业号随机数认证和时间戳)。
消息认证的模式:
单项验证、双向验证
可以用来认证的函数包括:
消息加密函数,消息认证码(MAC)(可以保证不可抵赖性),散列函数(HashFunction)
现在MD5还在使用,通过4步得到128位消息摘要,在四步中,每次处理消息的16字长度的块。
现在使用的另外一种是SHA-1即安全哈希算法(SecureHashA1gorithm),基本原理类似于MD4,得到160位的消息摘要。
数字签名
性质:
必须能证实作者签名和签名的事件和日期,在签名是必须能对内容进行鉴别,必须能被第三方证实以解决争端。
伪造数字签名必须具有很高的计算复杂性,无论是通过已有的数字签名来构造信报文还是对给定的报文构造一个虚假的数字签名,在计算上都是不可以实现的。
保留一个数字签名的备份在存储上是可以实现的。
基于公钥和私钥都可以获得数字签名,目前主要是公钥的数字签名。
包括普通数字签名和特殊数字签名,普通数字签名算法有RSA、E1Gamal、Fiat-Shamir、Guillou-Quisquaner、Schnorr、One-Schnorr-Shamir数字签名法、DES/DSA、椭圆曲线和优先自动机数字签名算法等。
特殊数字签名有盲签名、代理签名、群签名、不可否认分签名、公平盲签名、门限签名、具有消息回复功能的签名等。
美国联邦政府基于有限域上的离散对数问题制订了自己的数字签名标准(DSS)。
数字签名是个加密的数字摘要
身份验证
又叫做身份识别,是安全系统的第一道关,用户在访问系统之前首先经过身份认证系统认证,然后访问监控器,根据身份和授权决定能否访问某个资源。
身份认证常用方法:
口令认证、持证认证、生物识别。
口令认证:
常用于操作系统的登陆、Telnet、rlogin等。
口令有字母组成的5-8位字符串,也包括特殊字符、控制字符等口令系统最脆弱的是外部泄漏和口令猜测。
另外还有线路侦听、威胁验证者、重放等。
防止口令泄露可以定期改换、确保口令从来不出现在终端上。
防止口令猜测严格控制一个给定的终端非法认证的次数,把具体的实时延迟插入到口令中。
为了使口令更安全可以加密口令或者修改加密方法这是一次性口令方法,常见的有S/Key协议和令牌口令等
持证认证:
持证(Token)是个个人持有物类似钥匙,常用嵌入词条的塑料卡与个人识别码(PIN)一起使用。
生物识别:
指纹、眼睛虹膜、脸相、掌纹、声音、签名、笔记、手型、步态及多种生物特征融合。
其中指纹和虹膜是比较保险的。
常用的身份认证协议
要求识别者A向验证者B证明他是A,在A证明了之后验证者B不能取得任何有用的信息,B不能模仿A向第三方证明他是A。
目前有:
一次一密机制、X.509认证协议、Kerberos认证协议。
一次一密制:
用户登录时系统随机提出一个问题,用户根据信息产生一个口令,验证者提出,识别者回答,验证者判断。
X.509机制:
国际电报与电话咨询委员会(CCITT)建议使用x.509作为X.500目录服务的一部分。
该目录可以看做是公钥证书(Certificate)的数据库。
Kerberos认证协议:
20世纪80年代麻省理工学院(MIT)开发的,为了TCP/IP设计的可信第三方鉴别技术,Kerberos中实体是网络上的服务器和客户机,客户机可以使用户也可以使处理事务的软件程序,Kerberos有个存所有用户秘密密钥的数据库,Kerberos还能产生会话密钥,通信完毕即销毁。
7.6安全技术应用
加密技术应用于网络通常有两种形式:
面向网络的服务和面向应用的服务。
面向网络的服务的加密技术通常工作在网络层,使用经过加密的数据包传送、认证网络路由和其他网络协议所需的信息。
面向服务的加密技术现在比较流行,使用Kerberos的Telnet、NFS、Rlogin等以及用做电子邮件加密的PEM和PGP,加密比较简单。
安全电子邮件
1PGP(具有相当好的私密性):
1991年提出的,PGP其实有5种服务组成:
鉴别、机密性、压缩、电子邮件的兼容性和分段。
功能可以有数字签名、报文加密、压缩、电子邮件兼容性、分段。
提供了4种类型的密钥,一次性会话的常规密钥、公开密钥、私有密钥和基于口令短语的常规密钥。
2S/MIME(Secure/MultipleInternetMailExtension)安全/通用Internet邮件扩充,S/MIME是基于RSA的数据安全技术的Internet电子邮件格式标准的安全扩充。
,它和PGP一样都是在IETF标准过程中产生的,但是S/MIME更注重在商业和标准化。
网络层安全—IPSec
IP安全协议通常称为IPSec,是在网络层提供安全的一组协议,讨论在特定环境中,特定环境指的是假设所有的主机都支持IPSec。
在IPSec中主要有两个协议:
身份认证头(AuthenticationHead,AH)协议和封装安全负载(EncapsulationSecurityPayload,ESP)协议。
AH提供了源身份认证和数据完整性但是没有秘密性,ESP提供了数据完整性、身份认证、秘密性比AH更复杂。
对于AH和ESP,源主机在发送数据前,源主机和网络主机进行握手并且建立网络层连接,这个逻辑通道叫做安全协定(SA),SA定义的是一个单工连接,连接是单向的,如果需要彼此发送消息,需要建立两个SA。
SA唯一定义一个三元组,包括安全协议(AH或者ESP)标示符、单工连接的源主机IP地址和安全参数索引(SPI)的32位连接标识符。
对于每个给定的SA,每个IPSec数据都有一个相同的SPI
AH协议:
每个源主机要发送数据报时,首先和目的主机建立SA,然后向目的主机发送数据报,数据报包括AH头,AH在原有IP数据报(TCP或者UDP)与IP头之间,在IP头协议中,51表示有AH头,
ESP协议:
ESP不仅提供了源主机身份验证而且提供了网络层秘密性。
ESP是50。
ESP头包含2个SPI字段和32位顺序号字段组成。
Web安全
Web安全威胁可以分为Web服务器安全威胁、Web浏览器安全威胁、浏览器和服务器之间的网络通信量安全威胁。
Web流量安全性方法:
1网络级:
使用IP安全性,及IPSec。
2传输级:
TCP上实现安全,使用安全套接层(SSL)接着是运输层安全(TLS),Netscape和IE都配置了SSL。
3应用级:
与安全有关的安全服务被嵌入到特定的应用程序,重要的例子是安全的电子交易(SET)。
威胁
对策
完整性
修改数据、木马浏览器
加密的校验
机密性
窃听、从服务器窃取等
加密、Web代理(Proxy)
拒绝服务
用假的请求使机器溢出DNS攻击孤立主机
很难
鉴别
扮演合法用户、数据伪造
加密
7.7入侵检测技术及防火墙、计算机病毒
防火墙可以使系统免受来自网络安全方面的威胁。
两大最广泛的安全之一就是入侵者(黑客或者解密高手)和病毒。
入侵者(黑客或者解密高手)
入侵者可以分为三类:
假冒者、非法者、秘密用户(夺取系统超级控制)。
假冒者是外部人员,非法者一般是内部人员,秘密用户都可以。
入侵者攻击可以是友善的也可以是恶意的。
入侵检测技术:
1统计异常检测可以分为阈值检测和基于轮廓(建立每个用户的行为轮廓)。
2基于规则的检测分为异常检测和渗透识别。
统计异常检测:
a阈值检测阈值检测与在一个时间区间内对专门的事件类型出现次数有关
b基于轮廓的异常检测集中于刻画单独用户或者相关用户组的过去行为特征,然后检测出明显的偏差。
基于规则的入侵检测:
a基于规则的异常检测是对过去的行为的观察,假设将来的行为类似过去的行为。
b基于规则的渗透鉴别采用基于专家系统技术的方法。
分布式入侵检测:
加利福尼亚大学建立的。
分为主机代理模块、局域网监事代理模块、中心管理模块。
防火墙的特征:
防火墙可以是一台计算机系统也可以是两台以上的系统协同工作。
设计目标:
1所有从内到外和从外到内的信息都必须经过防火墙,这是通过在物理上阻塞所有不经过防火墙的局域网访问实现的。
2只有经过授权的通信才可以经过防火墙3防火墙对于渗透是免疫的。
防火墙用来控制访问和执行站点安全战略常用的4种技术:
1服务控制。
可以提供代理软件在传递每个服务请求之前接受和解释他们或者执行服务器软件的功能。
2方向控制。
决定哪个方向上的服务请求可以通过。
3用户控制。
4行为控制。
控制怎么使用特定的服务。
防火墙的功能:
1定义了单个阻塞点,并且对不同类型的IP欺诈和路由选择攻击提供了保护。
2提供了坚实与安全有关的事件的场所。
3是一些与安全无关的Internet功能的方便平台,如网络地址转换器4可以用做IPSec平台,采用隧道模式防火墙可以实现虚拟专用网。
防火墙的分类:
1包过滤路由器2应用级网关3电路级网关4堡垒主机
1包过滤路由器。
一句一套规则对IP包进行处理决定转发还是丢弃。
实际上包过滤路由器可以看做一个规则表,由规则表的IP报头和TCP数据头内容的匹配情况进行执行过滤操作,如果没有匹配则执行默认操作。
默认策略可以分为默认丢弃策略和默认转发策略。
一个特点是简单。
传输速率快。
2应用级网关。
也称代理服务器。
应用级网关看起来比包过滤路由器更加安全,不足之处在于每次连接都有多余的处理开销。
3电路级网关。
是个独立系统,或者说是某项具体的服务。
电路级网关不允许一个端到端的直接连接,有网关建立两个TCP连接,网关起着中继的作用决定那个连接被允许来实现其对安全性的保障。
在处理系统内部的操作时会有处理开销,但是处理外部的数据时没有处理开销。
4堡垒主机。
由防火墙的管理人员所指定的某个系统,它是网络安全的一个临界点,通常是应用级网关和电路级网关的服务平台。
计算机病毒
计算机病毒是一个程序、一段可执行代码。
对计算机进行破坏,是计算机没法正常工作甚至系统或硬盘损坏。
病毒的生命周期:
1潜伏阶段(这一阶段处于休眠期,需要最终通过某个时间来激活它,比如一个时期或者硬盘容量,但是并不是所有的病毒都有这个时期)2繁殖阶段。
每个受感染的成语都有病毒的副本。
3出发阶段病毒被激活实现其功能,这个阶段也可能有某个特定的事件引起。
4执行阶段功能被实现,这个功能可能是无害的。
也可以是破坏性的
病毒的结构:
病毒可以附加在可执行程序的头部或者尾部,或者采用其他方式嵌入,运行的关键在于被感染的程序,当被调用时,首先执行病毒代码在执行程序原来的代码。
病毒的种类:
1寄生病毒。
传统的并且最常见的形式2存储器驻留病毒。
寄存在主存中作为驻留程序的一部分,从那个时候起就开始感染每个执行的程序。
3引导区病毒。
感染主引导记录或者引导记录。
4隐形病毒。
反病毒软件检测是隐藏自己。
5多态病毒。
每次感染时会
改变的病毒,因而不能通过他的签名来检测病毒。
几种常见的病毒:
1宏病毒。
利
升级会员 