软考高级之系统架构师之安全攻防技术-防御

时间:2024-11-05 07:08:50

分类

一种分类:

  • 主动防御
  • 被动防御

网页防篡改技术

包括时间轮询技术、核心内嵌技术、事件触发技术、文件过滤驱动技术等。

网页防篡改即对网站文件、目录进行保护,拦截黑客的篡改操作,达到防止网页被篡改的目的,主要有以下三种方式:

  • 外挂轮询技术:用一个网页读取并检测程序,再用轮询的方式读取要监测的网页,将该网页和真实网页相比较后判断网页内容的完整性,如果发现网页被篡改,则对于被篡改的网页进行报警和恢复。但是这种网页防篡改技术明显的缺点是:当网页规模很大时,算法运行起来非常耗时且困难,且对于特定的网页,每两次检查的时间间隔很长,不法分子完全有机会进行篡改,对网页造成严重影响。
  • 核心内嵌技术:在WEB服务器软件里内嵌篡改检测模块,在每个网页流出时都检查网页的完整性,如果网页被篡改,则进行实时访问阻断,对于被篡改的网页进行报警和恢复。这种网页防篡改技术的优点是:每个网页在流出时都进行检查,因此有可能被篡改的网页完全没有可能被读者发现;但是该方式也有缺点,由于在网页流出时要进行检测,因此网页在流出时会延迟一定的时间。
  • 事件触发技术:利用(操作系统中的)驱动程序接口或文件系统,在网页文件修改时检查其合法性,对于非法操作——即篡改的网页进行报警和恢复。优点是预防成本非常低;缺点:WEB服务器的结构非常复杂,不法分子常常不会选择从正面进攻,他们会从WEB服务器的薄弱处或者不易发现和检测的地方进行攻击,并且还不断会有新的漏洞被发现,因此上面的防御策略是不能做到万无一失的。此外,被篡改的网页一旦混进WEB服务器,就再也没有机会对其进行安全检查。

入侵检测与防护

入侵检测与防护的技术主要有两种:

  • IDS:lntrusion Detection System,入侵检测系统,注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹缘,并发出报警。绝大多数IDS系统部是被动的。
  • IPS:Intrusion Prevention System,入侵防护系统,IPS则倾向于提供主动防护,注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过…个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,樽通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。

IDS

Intrusion Detection System,入侵检测系统,注重的是网络安全状况的监督,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。

IDS由4个模块组成:事件产生器、事件分析器、事件数据库和响应单元。

事件分析器负责接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其分析方法有三种:

  • 模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为;
  • 统计分析:首先给系统对象(如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为;
  • 数据完整性分析:主要关注文件或系统对象的属性是否被修改,往往用于事后的审计分析。

入侵检测系统的主要功能:

  • 监测并分析用户和系统的活动;
  • 核查系统配置和漏洞;
  • 评估系统关键资源和数据文件的完整性;
  • 识别已知的攻击行为;
  • 统计分析异常行为;
  • 操作系统日志管理,并识别违反安全策略的用户活动。

数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。

蜜罐

蜜罐技术是一种主动防御技术,是一个诱捕攻击者的陷阱。

防火墙

防火墙是一种较早使用、实用性很强的网络安全防御技术,它阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,是一种静态安全技术。在策略中涉及的网络访问行为可以实施有效管理,而策略之外的网络访问行为则无法控制。防火墙的安全策略由安全规则表示。

网闸

在这里插入图片描述
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议摆渡,且对固态存储介质只有读和写两个命令。所以,物理隔离网闸从物理上隔离、阻断具有潜在攻击可能的一切连接,使黑客无法入侵、无法攻击、无法破坏,实现真正的安全。此设备对外网的任何响应都是对内网用户请求的应答。

使用安全隔离网闸的意义:

  1. 当用户的网络需要保证高强度的安全,同时又与其他不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便。如果采用防火墙,由于防火墙自身的安全很难保证,防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补物理隔离卡和防火墙的不足之处,是最好的选择。
  2. 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应层次上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。
  3. 安装相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。

VPN

Virtual Private Network,虚拟专用网络,是在公网中建立专用的、安全的数据通信通道。利用不安全的公共网络如Internet等作为传输媒介,通过一系列的安全技术处理,实现类似专用网络的安全性能,保证重要信息的安全传输的一种网络技术。

依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的、安全的数据通信通道的技术。VPN可以认为是加密和认证技术在网络传输中的应用。

VPN网络连接由客户机、传输介质和服务器三部分组成,VPN的连接不是采用物理的传输介质,而是使用称之为隧道的技术作为传输介质,这个隧道是建立在公共网络或专用网络基础之上的。

常见的隧道技术包括:

  • PPTP:Point-to Point Tunneling Protocol,点对点隧道协议;
  • L2TP:Layer 2 Tunneling Protocol,第2层隧道协议;
  • IPSec:IP安全协议。

优点:

  • 网络通信安全:采用安全隧道等技术提供安全的端到端的连接服务,位于VPN两端的用户在Internet上通信时,其所传输的信息都是经过RSA不对称加密算法加密处理的,密钥通过Diffie-Hellman算法计算得出的,可以充分地保证数据通信的安全
  • 扩展方便:
  • 管理方便:
  • 节约成本:

VPN原理

  • 安全隧道技术:把传输的信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包中送入网络中,像普通数据包一样进行传输。经过这样的处理,只有源端和目标端的用户对加密封装的信息能进行提取和处理,而对于其他用户而言,这些信息只是无意义的垃圾
  • 用户认证技术:在连接开始之前先确认用户的身份,然后系统根据用户的身份进行相应的授权和资源访问控制
  • 访问控制技术:由VPN服务的提供者与最终网络信息资源的提供者共同协商确定用户对资源的访问权限,以此实现基于用户的访问控制,实现对信息资源的保护

VPN系统的结构图
在这里插入图片描述
安全隧道代理和管理中心组成安全传输平面(Secure Transmission Plane,STP),实现在Internet上安全传输和相应的系统管理功能。用户认证管理中心和密钥分配中心组成公共功能平面(Common Function Plane,CFP),它是安全传输平面的辅助平面,主要向用户代理提供相对独立的用户身份认证与管理、密钥的分配与管理功能。

建立VPN通信时,VPN用户代理向安全隧道代理请求建立安全隧道,安全隧道代理接受后,在管理中心的控制和管理下在Internet上建立安全隧道,然后向用户提供透明的网络传输。VPN用户代理包括安全隧道终端功能、用户认证功能和访问控制功能三个部分,它们共同向上层应用提供完整的VPN服务。

(1)安全传输平面:实现在Internet上安全传输和相应的系统管理功能,由安全隧道代理和管理中心共同完成的。
① 安全隧道代理:可以在管理中心的控制下将多段点到点的安全通路连
接成一条端到端的安全隧道。它是VPN的主体,其主要作用有:

  • 建立与释放安全隧道:按照用户代理的请求,在用户代理与安全隧道代理之间建立点到点的安全通道,并在这个安全通道中进行用户身份验证和服务等级协商等交互。在安全通道中进行初始化过程,可以充分保护用户身份验证等重要信息的安全。然后在管理中心的控制下建立发送端到接收端之间由若干点到点的安全通道依次连接而成的端到端的安全隧道。在信息传输结束之后,由通信双方中的任一方代理提出释放隧道连接请求,就可以中断安全隧道连接。
  • 用户身份的验证:在建立安全隧道的初始化过程中,安全隧道代理要求用户代理提交用户认证管理中心提供的证书,通过验证该证书可以确认用户代理的身份。必要时还可以由用户代理对安全隧道代理进行反向认证以进一步提高系统的安全性。
  • 服务等级的协商:用户身份验证通过之后,安全隧道代理与用户代理进行服务等级的协商,根据其要求与VPN系统当时的实际情况确定提供的服务等级并报告至管理中心。
  • 信息的透明传输:安全隧道建立之后,安全隧道代理负责通信双方之间信息的传输,并根据商定的服务参数进行相应的控制,对其上的应用提供透明的VPN传输服务。
  • 控制与管理安全隧道:在维持安全隧道连接期间,安全隧道代理还要按照管理中心的管理命令对已经建立好的安全隧道进行网络性能及服务等级等有关的管理与调整。

② VPN管理中心:是整个VPN的核心部分,它与安全隧道代理直接联系,负责协调安全传输平面上的各安全隧道代理之间的工作。具体功能包括:

  • 安全隧道的管理与控制:确定最佳路由,并向该路由上包含的所有安全隧道代理发出命令,建立安全隧道连接。隧道建立以后,管理中心继续监视各隧道连接的工作状态,对出错的安全隧道,管理中心负责重新选择路由并将该连接更换到新的路由。在通信过程中,还可以根据需要向相应安全隧道上的代理发送管理命令,以优化网络性能、调整服务等级等。
  • 网络性能的监视与管理:管理中心不断监视各安全隧道代理的工作状态,收集各种VPN性能参数,并根据收集到的数据完成VPN性能优化、故障排除等功能。同时,管理中心还负责完成对各种VPN事件进行日志记录、用户计费、追踪审计、故障报告等常用的网络管理功能。

(2)公共功能平面:是安全传输平面的辅助平面,向VPN用户代理提供相对独立的用户身份认证与管理、密钥的分配与管理功能,分别由用户认证管理中心和VPN密钥分配中心完成:

  • 认证管理中心:提供用户身份认证和用户管理。用户认证就是以第三者身份客观地向VPN用户代理和安全隧道代理中的一方或双方提供用户身份的认证,以便他们能够相互确认对方的身份。用户管理是指与用户身份认证功能直接相关的用户管理部分,即对各用户(包括用户代理、安全隧道代理及认证管理中心等)的信用程度和认证情况进行日志记录,并可在VPN与建立安全隧道双方进行服务等级的协商时参考。管理是面向服务的,而与用户权限、访问控制等方面有关的用户管理功能则不在此列。
  • 密钥分配中心:向需要进行身份验证和信息加密的双方提供密钥的分配、回收与管理功能。在VPN系统里,用户代理、安全隧道代理、认证管理中心等都是密钥分配中心的用户。

相关文章