网络安全基础设施
防火墙
原理:防火墙根据网络包提供的信息实现网络通信控制,若网络包符合安全规则,就允许通过,若不符合,则不通过。
安全策略有两种:
- 只允许符合安全规则的包通过
- 只禁止违反安全规则的包通过
防火墙作用
- 过滤非安全网络访问
- 网络安全审计
- 网络带宽控制
- 协同防御:防火墙和入侵检测系统通过交换信息实现联动。
防火墙实现
简单的:路由器,交换机就可实现
复杂的:一台或一组计算机
具体:根据TCP/IP协议,在网络层,传输层,应用层都可判断信息是否符合安全规则,进行过滤
防火墙缺陷
- 不能完全组织病毒文件传播。(文件种类,数量太多,防火墙不可能扫描每个文件查找病毒)
- 防火墙不能阻止基于数据驱动式的攻击。(数据驱动式攻击:看着无害的一组数据被发送到电脑上,被计算机执行后就会发起攻击)
- 防火墙不能完全组织后门攻击。(防火墙,粗粒度,HTTPTUNNEL)
防火墙技术与类型
包过滤
解释
包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。
优点
- 低负载(不好好上班的都不是我兄弟,粗网选兄弟)
- 高通过率(好好上班就行)
- 对用户透明(我知道对面的人有没有打我,对我有无直接恶意)
缺点
- 不能在用户级别进行过滤(那他是在什么级别过滤)(难道是,不能判断对面的人是敌是友,但是当他打了我一巴掌,我可以拦截?)
- 不能识别不同用户和IP地址盗用(同一巴掌可能是不同人打的,判断不了)
应用服务代理
解释
代理防火墙代替受保护网络的主机向外部网络发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机。
代理防火墙由代理服务器实现。(传声筒)
受保护内部用户对外部网络访问时,首先需要通过代理服务器的认可,才能向外提出请求,而外网的用户只能看到代理服务器,从而隐藏了受保护网的内部结构及用户的计算机信息。因而,代理服务器可以提高网络系统的安全性。
优点:
- 不允许外部主机直接访问内部主机
- 支持多种用户认证方案(为什么?难道是像军队的哨兵一样问口令?)
- 可分析数据包内部的应用命令
- 可以提供详细的审计记录
缺点:
- 速度比包过滤慢(过了一个中间商赚差价,哈哈哈)
- 对用户不透明(为什么说不透明?用户不可以直接访问外部世界?)
- 代理服务器不能支持所有网络协议。(应该和代理人战争很像,打手只能控制一个地区,适应一种战斗,老大可以全球作战)
网络地址转换
NAT是“Network Address Translation”的英文缩写,中文的意思是“网络地址转换”
为解决啥提出的
当主机数量太多,而公共IP地址太少时,NAT出现了。
解释
基于NAT技术的防火墙上装有一个合法的IP地址集,当内部某一用户访问外网时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。(不可能所有人同时需要上网访问,谁访问就给谁分配一个IP地址)
实现方式
- 静态NAT(staticNAT):内部每个主机都永久的映射成外部网络中一个合法的地址(浪费了可以用少数IP地址满足大量主机的优势)
- NAT池(pooledNAT):外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。(5把枪,10个人轮流用)
- 端口NAT(PAT):是把内部地址映射到外部网络的一个IP地址的不同端口上。(外部世界一个IP地址还能很多人用?一把枪,10个人轮流用)
入侵检测系统
为啥需要
防火墙有一定的局限性
- 只能抵挡外来的入侵行为
- 对某些攻击保护很弱(数据驱动式攻击)
- 内部使用者可能会非法的提高自己的使用权限
- 可以拒绝非法请求,但是对闯入者的攻击方式一无所知()
优缺点
优点:
- 实时监控网络安全状态
缺点: - 误警率高
- 缓慢攻击,
- 新的攻击模式
定义
- 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性
- 入侵检测系统:进行入侵检测的软件与硬件的组合
- (IDS : Intrusion Detection System)
如何实现
信息收集
信息来源
- 系统或网络的日志文件:攻击者常在系统日志文件中留下他们的踪迹。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容
- 网络流量:(攻入学校机房挖矿的熊孩子,哈哈)
- 系统目录和文件的异常变化:目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件
- 程序执行中的异常行为
分析引擎
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为
统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)
测量属性的平均值和偏差被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生
完整性分析,往往用于事后分析
- 完整性分析主要关注某个文件或对象是否被更改
- 包括文件和目录的内容及属性
- 在发现被更改的、被安装木马的应用程序方面特别有效
响应部件
响应动作:
- 简单报警
- 切断连接
- 封锁用户
- 改变文件属性
入侵检测系统性能关键参数
- 误报(false positive):如果系统错误地将异常活动定义为入侵
- 漏报(false negative):如果系统未能检测出真正的入侵行为
入侵检测系统的分类
按分析方法
- 异常检测模型(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵
- 误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
按检测软件
- 主机IDS:主机入侵检测系统(HIDS)是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系统与应用调用及检查日志文件、文件系统信息与网络连接。
- 网络IDS:网络IDS(NIDS)通常以非破坏方式使用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。
- 混合型
####### 两类IDS软件
网络IDS: - 侦测速度快
- 隐蔽性好
- 视野更宽
- 较少的监测器
- 占资源少
主机IDS - 视野集中
- 易于用户自定义
- 保护更加周密
- 对网络流量不敏感
制订响应策略应考虑的要素
- 系统用户:入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员对系统的使用目的、方式和熟悉程度不同,必须区别对待
- 操作运行环境:入侵检测系统提供的信息形式依赖其运行环境
- 系统目标:为用户提供关键数据和业务的系统,需要部分地提供主动响应机制
- 规则或法令的需求:在某些军事环境里,允许采取主动防御甚至攻击技术来对付入侵行为
响应策略
- 弹窗警告
- email 通知
- 切断TCP连接
- 执行自定义程序
- 与其他安全程序交互