《计算系统与网络安全ppt教学课件第6章网络安全技术》由会员分享,可在线阅读,更多相关《计算系统与网络安全ppt教学课件第6章网络安全技术(236页珍藏版)》请在金锄头文库上搜索。
1、2018/9/18,电子科技大学 计算机科学与工程学院,计算系统与网络安全 Computer System and Network Security,2018/9/18,VPN,入侵检测,防火墙,网络扫描,第6章 网络安全技术,网络安全概述,2018/9/18,VPN,入侵检测,防火墙,网络扫描,第6章 网络安全技术,网络安全概述,2018/9/18,Key Points in NetSec,网络安全特性 互连安全 入侵与攻击 网络端口与漏洞,安全协议,阻断与过滤,检测与防御,安全基础,协议与地址 IPV4/IPv6/IPv9 IPSec GII,NGN & IPvx,Firewall 位置与
2、功能 绕过Firewall Firewall的命运,网络扫描技术 入侵检测技术IDS 入侵防御技术IPS 新兴技术,+,2018/9/18,网络安全的至理名言,“金项链从最薄弱点断裂”(不设防点) “堡垒最容易从内部攻破”(木马) “不要把鸡蛋都放在一个篮子里”(数据) “条条大道通罗马”(网络通道) “只要能去的地方,就有危险”(访问) “外面的世界很精彩”(网络陷阱) “没有不透风的墙”(阻断与过滤) “蝼蚁之穴,溃千里之堤”(漏洞) “损人之心不可有,防人之心不可无”(策略) “盲人瞎马”(目标),2018/9/18,一、网络安全的特性,1. 网络安全的共享性 观念: “网络就是计算机”
3、 “网络计算” “网格计算” 共享是网络主要目的,也是其脆弱性 分布的广域性增大了受攻击的可能性 单机系统的安全已不足以保证全局安全,2018/9/18,2. 网络系统的复杂性,系统互连、控制分散、异构结点任何一个结点的安全漏洞都可能是致命的信息爆炸使网络存储和传输不堪重负使安全链更加脆弱恶意攻击源更加广泛,攻击入口增多、破坏面增大攻击检测困难且开销很大攻击源跟踪更加困难,2018/9/18,3. 网络安全的不确定性,网络具有可扩展性,其边界不确定 网络分支广,不安全路径存在不确定性 故障定位的不确定性 技术与非技术安全交错,性质的不确定 滥用与攻击的不确定 新的互连方式的进入,2018/9/
4、18,4. 网络信息的特殊性,信息的真实性提上日程 网络通信只保证了无差错传输 网络通信无法保证信息的真实性 收发双方无法控制和监视传输信息 信息过滤成本与代价太高 搜索引擎的智能性未能很好体现,2018/9/18,5. 网络安全的长期性,矛盾贯穿始终,长期对抗 不可能存在一劳永逸、绝对安全的系统 破坏可能是隐蔽和持久的 安全策略和安全机制是有条件的 安全的目标是在一定条件(环境与技术)下的合理性。,2018/9/18,6. 网络安全的可信性,网络安全的可信性随网络扩展而下降不可信结点、恶意结点的严重威胁四种连接:不可信结点连在不可信网络上不可信结点连在可信网络上可信结点连在不可信网络上可信结
5、点连在可信网络上,2018/9/18,二、网络安全性范围,1)网络类型电信网络、电视网络、计算机网络三网合一?三网融合?无线网络、移动网络空间网络架构? 2)网络组成计算机系统、通信系统、布线系统网络互连设备运行平台、网络管理软件,2018/9/18,3)网络系统安全问题网络系统配置和资源分配,资源冲突网络系统管理,用户管理,安全管理网络隔离与连通的冲突防火墙:隔离还是过滤?网络安全布局网络事故处理(取证,存储,日志),网络安全性范围(续),2018/9/18,一、网络互连设备,传输层:网关gateway,防火墙firewall 网络层:路由器router,路桥器roudger 交换机swit
6、cher 数链层:网桥bridge,桥路器brouter 物理层:中继器repeater,集线器hub适配器Adapter,调制Moderm,软件,软件,软件,IDS 软件,2018/9/18,网络互连设备(续),Work station,Server,漏洞,安全通道,Hub,Switch,网络从最弱点攻破,Firewall,Hub,Work station,2018/9/18,用户提出的问题什么样的网络才是安全的?怎样才能建立一个安全网络?,二、网络安全体系的讨论,网络实体安全,操作系统安全,用户安全,数据安全,常规安全机制,应用程序安全,2018/9/18,1.互连层次:针对网络群体网络是
7、否安全? 完整性。网络监控,通信,隔离连通,2.系统层次:针对系统群体操作系统是否安全? 病毒,黑客,风险,审计分析,3.管理层次:针对用户群体用户是否安全?配置,用户/组管理,用户鉴别,4.应用层次:针对应用群体应用程序是否安全? 访问控制,授权,软件保护,5.数据层次:针对应用保密数据是否安全? 加密、存储、传输,1. 网络整体安全问题,2018/9/18,1)网络互连层次,网络能否得到监控? 是否任何一个IP地址都能进入网络? 隔离和连通的程度如何? 采用何种互连设备和技术? 网络设备能否监视和控制? 新加入的网段是否能自动监测? 无线与移动在接入上的问题 不清楚就无法管,2018/9/
8、18,2)系统平台层次,谁来监视超级用户和管理员 恶意程序(病毒)对网络的威胁 黑客攻击与入侵 网络整体与局部站点自身安全 操作系统、数据库安全问题 入侵检测、防御 安全风险评估、安全审计分析,2018/9/18,3)用户群体层次,是否只允许授权用户使用系统资源和数据? 谁能够进入系统和网络 谁能够得到和修改安全配置? 用户组管理、系统登录控制 用户身份认证 用户间的彼此信任,2018/9/18,4)应用程序层次,是否只有合法用户才能对特定数据进行合法的操作? 用户对资源、数据获取和使用的权限 超级用户的权限不能太大 合法用户不能拥有一切权利 必须考虑权限的控制和授权。 两个问题: 1)应用程
9、序对数据的合法权限 2)应用程序对用户的合法权限,2018/9/18,5)数据安全层次,机密数据是否处于机密状态? 主要解决数据的机密性 数据加、解密、编码和解码的可信度 数据校验和容错 数据备份 系统与数据恢复 数据内容安全,2018/9/18,网络安全技术基础,几个重要的技术概念,网络漏洞,网络端口,入侵与攻击,2018/9/18,一、入侵与攻击:1. 概念,1)入侵(Intrude)非法者以非法途径进入系统的活动采用各种方法寻找系统漏洞非法进入计算机和网络系统越权访问系统资源最终控制目标系统,2018/9/18,入侵与攻击(续),2)攻击(Attack)恶意者以有意目的针对目标的活动利用
10、系统漏洞,进入系统有意破坏系统资源最终毁坏目标系统,2018/9/18,入侵与攻击(续),3)黑客(Hacker)贬意与褒意? 否定与肯定?计算机迷,迷惑? 迷糊? 迷昏?原意: 泛指对任何计算机系统、操作系统、网络系统的奥秘都具有强烈兴趣的人。,2018/9/18,入侵与攻击(续),Hacker的特点: 具有高级知识、技术与技能了解并善于发现系统漏洞及其原因不断追求新的、更深的知识和技术公开并分享黑客技术宣称自己决不、也从来不破坏系统宣称自己是媒体的受害者,2018/9/18,入侵与攻击(续),4)骇客(Cracker):恶意“黑客”Hacker with evil intent.网络上的匿
11、名攻击者专门进行网络入侵攻击,发布干扰信息,传输网络垃圾等,并以此为乐,2018/9/18,入侵与攻击(续),5)窃客(Phreaker):“电信黑客”或“电信窃客” 入侵并攻击电信/电话系统与网络 拦截传输信号、操纵软件、并机盗打 非法进入电信系统免费拨打区域 和长途电话等。 篡改电信网管软件,从中谋利 攻击电信网站、传输通信, 获取所需敏感信息,2018/9/18,2. 网络攻击框架,从过程的角度来看,任何一次信息攻击都是连接攻击者和最终目的的操作序列,攻击者选用合适的工具,侵入目标系统实施攻击,得到一定的结果,最终达到目的,因此,形成网络攻击的五个组成部分,2018/9/18,网络攻击框
12、架(续),2018/9/18,二、Loophole(漏洞),1. 概念 漏洞是什么? 系统的漏洞在哪里? 它们怎样影响网络的安全性? 我们怎样来堵住这些漏洞? 网络端口是什么? 网络端口与入侵,2018/9/18,Concepts of Loophole,任意允许非法用户未经授权就获得访问或提高访问层次的硬件或者软件特征。 漏洞就是某种形式的脆弱性。广义特征: 漏洞可以是任何东西。 没有绝对安全的事物,无论硬、软件平台都存在漏洞。 漏洞可能由系统管理员引起。,2018/9/18,Concepts of Loophole,系统平台安全漏洞的等级: A. 允许恶意入侵访问,可能会破坏整个系统 B.
13、 允许获取和提高访问权限,从而获得对系统的控制 C. 允许任何用户中断、降低或妨碍系统操作,2018/9/18,2. Gaps in OS and Net,网络层,网络功能外壳 网络功能调用、命令 异种操作系统(平台)兼容性 系统不同安全机制之间的冲突 系统网络层及功能配置不正常 网络应用软件不兼容,配置不合理 单机计算机病毒破坏,驻留木马,2018/9/18,3. Loophole in Net Management,网络管理系统:也称网管软件,目前一般为分三个层次,即整体网络管理、网络单元管理和网络设备管理。整体网络管理网络单元管理网络设备管理,2018/9/18,4. 易损性漏洞,系统易
14、损性是一类设计错误程序的错误设计的错误配置的错误操作的错误 某些易损性往往很难修正,有时为修正一个弱点可能产生出更多的问题。因此,漏洞可能引发其他漏洞,漏洞可能隐蔽漏洞。,2018/9/18,易损性漏洞(续),1)实现的易损性(Implementation Vulnerability) 软件Bug,设计上并没有问题,但在软件或硬件的实现上出现了错误。 e.g. UNIX系统中一些Internet基础软件、SendMail程序等,常常是非授权访问的突破口。,2018/9/18,易损性漏洞(续),2)设计的易损性(Design Vulnerability) 来自设计本身的缺陷(fault),通常更
15、为严重且不易修改。一个完美的实现往往也无法弥补这个缺陷。 e.g. SendMail程序产生的电子邮件可以用来以非授权的方式攻击一个系统,邮件淹没技术导致系统无法服务。,2018/9/18,易损性漏洞(续),3) 配置的易损性(Configuration Vulnerability) 由系统配置错误引起。 销售商以信任的方式销售软件,这给攻击者提供了很大的便利。 e.g. 系统帐户使用的默认口令、初始口令,默认访问权限等是攻击的入口。,2018/9/18,4. 示例1: ping命令问题,网际控制报文协议=ICMP echo / Echo Reply = ping ping 正常地址,证明两点
16、之间是否相通 ping 全1全0地址,产生广播报文 ping xxx.0.0.1,自环测试 ping 本机IP,跨网测试 ping t 无限循环,2018/9/18,ping命令问题(续),用法: ping -t -a -n count -l size -f -i TTL -v TOS -r count -s count -j host-list | -k host-list -w timeout -R -S srcaddr -4 -6 target_name,2018/9/18,ping命令问题(续),选项: -t 循环发包直至停止 -a 决定主机地址 -f 无碎片标志 (IPv4) -R 跟踪路径 (IPv6) -4 强制采用IPv4 -6 强制采用IPv6 -n count 应答数 -l size 发送缓存大小 -i TTL 活动时间 -S srcaddr 源地址记录(IPv6) -v TOS 服务类型(IPv4) -w timeout 超时数 -r count 记录跳的路径(IPv4) -s count 计算跳的时间戳(IPv4) -j host-list 主机表松散路径 (IPv4) -k host-list 主机表严格路径 (IPv4),
