概述
本章主要內容爲《網絡規劃設計師教程》第四章內容以及網絡安全、加密、認證等相關內容。從歷年彙總的試題分析,教程中的內容出現的題點並不多,而且題點比較散亂。其中,重複概率較高的內容包括:“kerberos認證”、“DES、3DES、AES、RSA、MD5、sha1 ”幾種加密算法。建議大家重點掌握,其他內容可根據個人時間和精力來複習。
大家也可以關注我的個人公衆號“跬步郎”或搜索“網絡規劃設計師口袋應試”小程序來查找更多的軟考備考資料。
4.2.4程序漏洞攻擊與防禦
1. Web程序漏洞攻擊與防禦
2) SQL注入攻擊
用戶可以提交一段數 據庫査詢代碼,根據程序返回的結果獲得某些他想得知的數據,這就是所謂的S(jL Injection,即SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般 的Web頁面訪問沒什麼區別,所以目前市面的防火牆都不會對SQL注入發出警報,如果管理員沒査看US日誌的習慣,可能被入侵很長時間都不會發覺。但是,SQL注入的 手法相當靈活,在注入的時候會碰到很多意外的情況。需要根據具體情況進行分析,構 造巧妙的SQL語句,從而成功獲取想要的數據。
SQL注入攻擊的過程主要包含以下幾步。
(1) 發現SQL注入位置。
(2) 判斷後臺數據庫類型。
(3) 確定XP_CMDSHELL可執行情況。
(4) 發現Web虛擬目錄。
(5) 上傳ASP木馬。
(6)得到管理員權限。
針對SQL注入攻擊,可以使用下面的方法進行防禦。
(1) 下載SQL通用防注入系統的程序,在需要防範注入的頁面頭部用<!--# include file="xxx.asp"-->來防止攻擊者進行手動注入測試。可是攻擊者通過SQL注入分析器就可 輕鬆跳過防注入系統並自動分析其注入點,然後只需幾秒鐘,管理員賬號及密碼就會被 分析出來。
(2) 對於注入分析器的防範,首先要知道SQL注入分析器是如何工作的。如果分析器並不是針對admin管理員賬號,而是針對權限(如flag=l),那麼無論管理員賬號怎麼 變都無法逃過檢測。
(3) 既然無法逃過檢測,那可以建立兩個賬號,一個是普通的管理員賬號一個是防注入的賬號。利用一個權限最大的賬號製造假象,吸引軟件的檢測,而這個賬號裏的 內容是大於千字以上的中文字符,就會迫使軟件對這個賬號進行分析的時候進入全負荷 狀態甚至資源耗盡而死機。
[email protected]
出題概率:★
170169、170170
4.2.5欺騙攻擊與防禦
1. ARP欺騙
2) ARP欺騙的防範措施
(1)在 winxp 下輸入命令 arp-s gate-way-ip gate-way-mac 固化 arp 表,阻止 arp 欺騙。
(2)使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP 廣播。確保這臺ARP服務器不被黑。
(3) 採用雙向綁定的方法解決並且防止ARP欺騙。
(4) ARP防護軟件——ARP Guard。通過系統底層核心驅動,無需安裝其他任何第 三方軟件(如WinPcap),以服務及進程並存的形式隨系統啓動並運行,不佔用計算機系 統資源。
[email protected]
出題概率:★
160141、
4.3防火牆應用配置
防火牆是設置在兩個或多個網絡之間的安全阻隔,用於保證本地網絡資源的安全, 通常是包含軟件部分和硬件部分的一個系統或多個系統的組合。內部網絡被認爲是安全 和可信賴的,而外部網絡(通常是Internet)被認爲是不安全和不可信賴的。
[email protected]
140160、
4.6訪問控制技術
4.6.1訪問控制技術概述
2.訪問控制的實現技術
2) 訪問控制表
訪問控制表(Access Control Lists,ACLs)是目前最流行、使用最多的訪問控制實 現技術。每個客體有一個訪問控制表,是系統中每一個有權訪問這個客體的主體的信息。 這種實現技術實際上是按列保存訪問矩陣。
......
3.訪問控制表介紹
訪問控制表是目前最流行、使用最多的訪問控制實現技術。訪問控制列表是路由器 接口的指令列表,用來控制端口進出的數據包。ACL適用於所有的被路由協議,如IP、 IPX 和 AppleTalk 等。
ACL的定義也是基於每一種協議的。如果路由器接口配置成爲支持三種協議OP、 AppleTalk以及IPX)的情況,那麼,用戶必須定義三種ACL來分別控制這三種協議的 數據包。
1) ACL的作用
(1) 可以限制網絡流量、提高網絡性能。例如,可以根據數據包的協議,指定數據包的優先級。
(2) 提供對通信流量的控制手段。例如,可以限定或簡化路由更新信息的長度.從而限制通過路由器某一網段的通信流量。
(3) 是提供網絡安全訪問的基本手段。例如,允許主機A訪問某資源網絡,而拒絕主機B訪問。
(4) 可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可 以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
[email protected]
出題概率:★★
130141、180117、
4.6.4基於任務的訪問控制模型
基於任務的訪問控制模型(Task-based Access Control Model, TBAC Model)是從應 用和企業層角度來解決安全問題,以面向任務的觀點,從任務(活動)的角度來建立安 全模型和實現安全機制,在任務處理的過程中提供動態實時的安全管理。
在TBAC中,對象的訪問權限控制並不是靜止不變的,而是隨着執行任務的上下文環境發生變化。
[email protected]
出題概率:★
120143、
4.7.1 IPSec
IPSec協議是Internet工程任務組爲保證IP及其上層協議的安全而制定的一個開放 安全標準,IPSec協議不是一個單獨的協議,它給出了應用於IP層上網絡數據安全的一 整套體系結構,包括網絡認證頭(Authentication Header, AH)協議、封裝安全載荷 (Encapsulating Security Payload, ESP)協議、密鑰管理(Internet Key Exchange, IKE) 協議和用於網絡認證及加密的一些算法等
1. IPSec協議體系結構
如圖4-88所示,IPSec體系結構的第一個主要的部分是安全結構。**IPSec使用兩個協議提供數據包的安全:認證頭和封裝安全載荷。AH協議支持訪問控制、數據源認證、 無連接的完整性和抗重放攻擊。**ESP協議提供訪問控制、數據機密性、無連接的完整性、 抗重放攻擊和有限的通信流機密性等安全服務。AH協議和ESP協議都是接入控制的手 段,建立在加密密鑰的分配和與這些安全協議相關的通信流量管理的基礎上。
[email protected]
出題概率:★
150144、170144、
4.8.3 VLAN隔離
3. VLAN隔離技術的分類
VLAN隔離技術可分爲基於端口的VLAN、基於MAC地址的VLAN、基於第三層 的VLAN和基於策略的VLAN。
(1)基於端口的VLAN。
基於端口的VLAN (如圖4-102)是劃分虛擬城域網最簡 單也是最有效的方法,這實際上是某些交換端口的集合,網絡管理員只需要管理和配置 交換端口,而不管交換端口連接什麼設備。
口袋應試:以交換機端口來劃分網絡成員,其配置過程簡單明瞭。因此,從目前來看,這種根據端口來劃分VLAN的方式仍然是最常用的一種方式。
(2) 基於MAC地址的VLAN。
由於只有網卡才分配有1VIAC地址,因此按MAC地 址來劃分VLAN實際上是將某些工作站和服務器劃屬於某個VLAN。事實上,該VLAN 是一些MAC地址的集合。當設備移動時,VLAN能夠自動識別。網絡管理需要管理和 配置設備的MAC地址,顯然當網絡規模很大,設備很多時,會給管理帶來難度。
口袋應試:這種劃分VLAN方法的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認爲這種根據MAC地址的劃分方法是基於用戶的VLAN,這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累的。
(3) 基於第3層的VLAN
基於第3層的VLAN是採用在路由器中常用的方法,如 IP子網和IPX網絡號等。其中,局域網交換機允許一個子網擴展到多個局域網交換端口,甚至允許一個端口對應於多個子網。
口袋應試:這種方法的優點是用戶的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據協議類型來劃分VLAN,這對網絡管理者來說很重要,還有,這種方法不需要附加的幀標籤來識別VLAN,這樣可以減少網絡的通信量。
缺點是效率低,因爲檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對於前面兩種方法),一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭,但要讓芯片能檢查IP幀頭,需要更高的技術,同時也更費時。
(4)基於策略的VLAN。
基於策略的VLAN是一種比較靈活有效的VLAN劃分方 法。常用的策略往往與廠商設備的支持有關,如按MAC地址、IP地址、以太網協議類 型和網絡的應用等。
口袋應試:這是最靈活的VLAN劃分方法,具有自動配置的能力,能夠把相關的用戶連成一體,在邏輯劃分上稱爲“關係網絡”。網絡管理員只需在網管軟件中確定劃分VLAN的規則(或屬性),那麼當一個站點加入網絡中時,將會被“感知”,並被自動地包含進正確的VLAN中。
●擴展:使用VLAN的設備包括路由器和三層交換機。
[email protected]
出題概率:★★
160120、180138、180139、180140
4.8.5 物理隔離
4.網閘和GAP技術
網絡物理隔離的一個特徵,就是內網與外網永不連接。內部主機和外部主機在同一 時間最多隻有一個同固態存fl介質建立非TCP/IP協議的數據連接。網絡隔離的好處是明 顯的,即使外網在最壞的情況下,內網也不會有任何破壞,修復外網系統也非常容易。 以上這種基於兩個單邊主機(內部主機和外部主機)之間數據交換的網絡隔離技術,被稱作網閘。
網閘的設計原理是基於“代理+擺渡”的概念。如果把邏輯隔離比作在河上架橋, 網閘可以比作在河上設擺渡船,擺渡船不直接連接兩岸,安全性當然要比橋好,即使是 攻擊,也不可能一下就進入,並且在船上總要受到管理者的各種控制。
網閘(GAP)全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,並能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由於物理隔離網閘所連接的兩個獨立主機系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議"擺渡",且對固態存儲介質只有"讀"和"寫"兩個命令。所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使"黑客"無法入侵、無法攻擊、無法破壞,實現了真正的安全。
出題概率:★
170155、170156、
4.9.3證書認證機構
4.9.3.1 X.509 證書和 CRL
用戶公鑰證書是X.509的核心,證書由某個可信的證書發放機構建立,並由CA或 用戶自己將其放入目錄中,以供其他用戶方便地訪問。X.509證書由用戶公共密鑰與用戶標識符組成,此外還包括版本號、證書序列號、CA標識符和簽發算法標識等,具體格式如下所述。
[email protected]
出題概率:★
180141、190142
4.9.4.1 PKI的應用實例
(2) 安全電子郵件。作爲Internet上最有效的應用,電子郵件憑藉其易用、低成本 和高效已經成爲現代商業中的一種標準信息交換工具。隨着Internet的持續增長,商業 機構或政府機構都開始用電子郵件交換一些祕密的或是有商業價值的信息,這就引出了 一些安全方面的問題,包括消息和附件可以在不爲通信雙方所知的情況下被讀取、篡改 或截掉;發信人的身份無法確認。電子郵件的安全需求也是機密、完整、認證和不可否 認,而這些都可以利用PKI技術來獲得。目前發展很快的安全電子郵件協議是S/MIME (The Secure Multipurpose Internet Mail Extension),這是一個允許發送加密和有簽名郵件 的協議。該協議的實現需要依賴於PKI技術。
[email protected]
出題概率:★
170147、
4.9.5.2 PKI的應用標準
S/MIME是一個用於發送安全報文的IETF標準。它採用了 PKI數字簽名技術並支 持消息和附件的加密,無須收發雙方共享相同密鑰。S/MIME委員會採用PKI技術標準 來實現S/MIME,並適當擴展了 PKI的功能。目前該標準包括密碼報文語法、報文規範、 證書處理以及證書申請語法等方面的內容。
S/MIME發送報文的過程中對消息M的處理包括生成數字指紋、生成數字簽名、加密數字簽名和加密報文4個步驟,其中生成數字指紋採用的算法是MD5.加密數字簽名採用的算法是RSA。
[email protected]
出題概率:★
150133、
4.11.1 SSL 協議
4.11.1.1 SSL協議概述
SSL協議主要包括記錄協議、告替協議和握手協議。
4.11.1.2 SSL記錄協議
SSL本身是一個分層協議,每一層的消息塊都包含有長度、描述和內容。SSL在傳 輸前將消息打包成消塊,在此過程中可進行壓縮、生成MAC和加密等。接收方則對 消息塊進行解壓、MAC驗證和解壓,並進行重裝配,再傳給上一層。這些是通過記錄 協議層來規定的。
4.11.1.3告警協議
告警協議用來爲對等實體傳遞SSL的相關警告,用於標示在什麼時候發生了錯誤或 兩個主機之間的會話在什麼時候終止。當其他應用協議使用SSL時,根據當前的狀態來確定。告警消息都封裝成8位,同時進行編碼、壓縮和加密。
4.11.1.4握手協議
SSL握手協議是SSL中最複雜的部分。SSL握手協議位於SSL記錄協議層之上,用 於產生會話狀態的密碼參數,允許服務器和客戶機相互驗證、協商加密和MAC算法及祕密密鑰,用來保護在SSL記錄中傳送的數據。握手協議是在應用程序傳輸之前使用的。 當SSL客戶端與服務器第一次開始通信時,它們要確認協議版本的一致性,選擇加密算法和認證方式,並使用公鑰技術來生成共享密鑰。
[email protected]
出題概率:★★★★
120141、130142、180145、180146、190146、190147
4.11.2 SET 協議
4.11.2.5 SET協議的交易流程
1)持卡人註冊(CardholderRegistration)
2)商家註冊(Merehant Registration)
3)購買請求(purehaseRequest)
4)付款授權(payment Authorization)
5)付款結算(Payment Capture)
[email protected]
出題概率:★
120142、
4.11.3 HTTPS
4.11.3.1 HTTPS 的概念
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer,基於 SSL 協議的 HTTP) 是一個安全通信通道,用於在客戶計算機和服務器之間交換信息。它使用安全套接字層 進行信息交換,所有的數據在傳輸過程中都是加密的。
......
嚴格來說,HTTPS不是一個單獨的協議,而是兩個協議的結合,即在加密的安全套 接層或傳輸層安全(TLS)上進行普通的HTTP交互傳輸。這種方式提供了一種免於竊 聽者或中間人攻擊的合理保護。
口袋應試:HTTPS屬於應用層的加密傳輸。
[email protected]
出題概率:★★★
140142、190141、190150
●教程外
kerberos認證
1. Kerberos 是一種網絡認證協議,其設計目標是通過密鑰系統爲客戶機 / 服務器應用程序提供強大的認證服務。
2. Kerberos 作爲一種可信任的第三方認證服務,是通過傳統的密碼技術(如:共享密鑰)執行認證服務的。
3. Kerberos也能達到單點登錄的效果,即當Client通過了Kerberos server的認證後,便可以訪問多個Real Server。
Kerberos密鑰分配方案是一個基於單鑰體制的密鑰服務系統。在這個系統中,每個用戶和可信中心KDC共享一個祕密的DES密鑰。
認證過程具體如下:
客戶機向認證服務器(A)發送請求,要求得到某服務器的證書,然後AS的響應包含這些用客戶端密鑰加密的證書。證書的構成爲:
1)服務器“ticket”;
2)一個臨時加密密鑰(又稱爲會話密鑰“ session key")。客戶機將 ticket(包括用服務器密鑰加密的客戶機身份和一份會話密鑰的拷貝)傳送到服務器上。
會話密鑰可以(現已經由客戶機和服務器共享)用來認證客戶機或認證服務器,也可用來爲通信雙方以後的通訊提供加密服務,或通過交換獨立子會話密鑰爲通信雙方提供進一步的通信加密服務。
出題概率:★★★★
130144、130146、170142、180144、190145
窮舉法破解密碼及防範
窮舉法是一種針對於密碼的破譯方法。這種方法很像數學上的"完全歸納法"並在密碼破譯方面得到了廣泛的應用。簡單來說就是將密碼進行逐個推算直到找出真正的密碼爲止。比如一個四位並且全部由數字組成其密碼共有10000種組合,也就是說最多我們會嘗試9999次才能找到真正的密碼。利用這種方法我們可以運用計算機來進行逐個推算,也就是說用我們破解任何一個密碼也都只是一個時間問題。
當然如果破譯一個有8位而且有可能擁有大小寫字母、數字、以及符號的密碼用普通的家用電腦可能會用掉幾個月甚至更多的時間去計算,其組合方法可能有幾千萬億種組合。這樣長的時間顯然是不能接受的。其解決辦法就是運用字典,所謂"字典"就是給密碼鎖定某個範圍,比如英文單詞以及生日的數字組合等,所有的英文單詞不過10萬個左右這樣可以大大縮小密碼範圍,很大程度上縮短了破譯時間。
windows防止“窮舉法” 破解用戶密碼方式
●本地策略->安全選項:打開組策略編輯器,選擇計算機配置->Windows設置->安全設置->本地策略->安全選項,按要求設置相關選項爲啓用.
●賬戶策略->賬戶鎖定策略:打開組策略編輯器,選擇計算機配置->Windows設置->安全設置->賬戶策略->賬戶鎖定策略,將賬戶鎖定閥值設爲"三次登陸無效","鎖定時間爲30分鐘","復位鎖定計數設爲30分鐘".
出題概率:★
180152、
跨站腳本攻擊
跨站腳本攻擊(也稱爲XSS)指利用網站漏洞從用戶那裏惡意盜取信息。
動態站點會受到一種名爲“跨站腳本攻擊”(Cross Site Scripting, 安全專家們通常將其縮寫成XSS,原本應當是css,但爲了和層疊樣式表(Cascading Style Sheet,CSS )有所區分,故稱XSS)的威脅,而靜態站點則完全不受其影響。
爲了蒐集用戶信息,攻擊者通常會在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺騙用戶(詳見下文)。一旦得手,他們可以盜取用戶帳戶,修改用戶設置,盜取/污染cookie,做虛假廣告等。
1.HTML注入。所有HTML注入範例只是注入一個JavaScript彈出式的警告框:alert(1)。
2.做壞事。如果您覺得警告框還不夠刺激,當受害者點擊了一個被注入了HTML代碼的頁面鏈接時攻擊者能做的各種的惡意事情。
3.誘捕受害者。
防範措施:
跨腳本攻擊對動態網站危害極大,可以用web防火牆對網站進行防篡改策略設置。
出題概率:★
180166、180167
加密算法詳解
DES、3DES、AES、RSA、MD5、sha1 加密算法總結
●DES:全稱爲Data Encryption Standard,即數據加密標準,是一種使用密鑰加密的塊算法;DES現在已經不是一種安全的加密方法,主要因爲它使用的56位密鑰過短。2001年,DES作爲一個標準已經被高級加密標準(AES)所取代。
●3DES:(即Triple DES)是DES向AES過渡的加密算法,它使用3條56位的密鑰對數據進行三次加密。3DES更爲安全。
●AES:高級加密標準(英語:Advanced Encryption Standard,縮寫:AES),在密碼學中又稱Rijndael加密法,這個標準用來替代原先的DES;,已經被多方分析且廣爲全世界所使用。
●RSA:公鑰加密算法是1977年由羅納德·李維斯特(Ron Rivest)、阿迪·薩莫爾(Adi Shamir)和倫納德·阿德曼(Leonard Adleman)一起提出的。
●MD5: Message Digest Algorithm MD5(消息摘要算法第五版)爲計算機安全領域廣泛使用的一種散列函數,用以提供消息的完整性保護。
MD5信息摘要算法(英語:MD5 Message-Digest Algorithm),一種被廣泛使用的密碼散列函數,可以產生出一個128位(16字節)的散列值(hash value),用於確保信息傳輸完整一致。
●SHA1:即安全哈希算法(Secure Hash Algorithm),主要適用於數字簽名標準,SHA1會產生一個160位的消息摘要;在1993年,安全散列算法(SHA)由美國國家標準和技術協會(NIST)提出,並作爲聯邦信息處理標準(FIPS PUB 180)公佈;1995年又發佈了一個修訂版FIPS PUB 180-1,通常稱之爲SHA-1。SHA-1是基於MD4算法的,並且它的設計在很大程度上是模仿MD4的。現在已成爲公認的最安全的散列算法之一,並被廣泛使用。
出題概率:★★★★
160142、160143、160144、170146、190143、190144、
ISO7498-2標準
ISO7498-2從體系結構的觀點描述了5種可選的安全服務、8項特定的安全機制以及5種普遍性的安全機制。
5種可選的安全服務:
鑑別、訪問控制、數據保密、數據完整性和防止否認。
8種安全機制:
加密機制、數據完整性機制、訪問控制機制、數據完整性機制、認證機制、通信業務填充機制、路由控制機制、公證機制,它們可以在OSI參考模型的適當層次上實施。
5種普遍性的安全機制:
可信功能、安全標號、事件檢測、安全審計跟蹤、安全恢復。
出題概率:★
130143、