概述
本章主要内容为《网络规划设计师教程》第四章内容以及网络安全、加密、认证等相关内容。从历年汇总的试题分析,教程中的内容出现的题点并不多,而且题点比较散乱。其中,重复概率较高的内容包括:“kerberos认证”、“DES、3DES、AES、RSA、MD5、sha1 ”几种加密算法。建议大家重点掌握,其他内容可根据个人时间和精力来复习。
大家也可以关注我的个人公众号“跬步郎”或搜索“网络规划设计师口袋应试”小程序来查找更多的软考备考资料。
4.2.4程序漏洞攻击与防御
1. Web程序漏洞攻击与防御
2) SQL注入攻击
用户可以提交一段数 据库查询代码,根据程序返回的结果获得某些他想得知的数据,这就是所谓的S(jL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般 的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看US日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的 手法相当灵活,在注入的时候会碰到很多意外的情况。需要根据具体情况进行分析,构 造巧妙的SQL语句,从而成功获取想要的数据。
SQL注入攻击的过程主要包含以下几步。
(1) 发现SQL注入位置。
(2) 判断后台数据库类型。
(3) 确定XP_CMDSHELL可执行情况。
(4) 发现Web虚拟目录。
(5) 上传ASP木马。
(6)得到管理员权限。
针对SQL注入攻击,可以使用下面的方法进行防御。
(1) 下载SQL通用防注入系统的程序,在需要防范注入的页面头部用<!--# include file="xxx.asp"-->来防止攻击者进行手动注入测试。可是攻击者通过SQL注入分析器就可 轻松跳过防注入系统并自动分析其注入点,然后只需几秒钟,管理员账号及密码就会被 分析出来。
(2) 对于注入分析器的防范,首先要知道SQL注入分析器是如何工作的。如果分析器并不是针对admin管理员账号,而是针对权限(如flag=l),那么无论管理员账号怎么 变都无法逃过检测。
(3) 既然无法逃过检测,那可以建立两个账号,一个是普通的管理员账号一个是防注入的账号。利用一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的 内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷 状态甚至资源耗尽而死机。
[email protected]
出题概率:★
170169、170170
4.2.5欺骗攻击与防御
1. ARP欺骗
2) ARP欺骗的防范措施
(1)在 winxp 下输入命令 arp-s gate-way-ip gate-way-mac 固化 arp 表,阻止 arp 欺骗。
(2)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP 广播。确保这台ARP服务器不被黑。
(3) 采用双向绑定的方法解决并且防止ARP欺骗。
(4) ARP防护软件——ARP Guard。通过系统底层核心驱动,无需安装其他任何第 三方软件(如WinPcap),以服务及进程并存的形式随系统启动并运行,不占用计算机系 统资源。
[email protected]
出题概率:★
160141、
4.3防火墙应用配置
防火墙是设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全, 通常是包含软件部分和硬件部分的一个系统或多个系统的组合。内部网络被认为是安全 和可信赖的,而外部网络(通常是Internet)被认为是不安全和不可信赖的。
[email protected]
140160、
4.6访问控制技术
4.6.1访问控制技术概述
2.访问控制的实现技术
2) 访问控制表
访问控制表(Access Control Lists,ACLs)是目前最流行、使用最多的访问控制实 现技术。每个客体有一个访问控制表,是系统中每一个有权访问这个客体的主体的信息。 这种实现技术实际上是按列保存访问矩阵。
......
3.访问控制表介绍
访问控制表是目前最流行、使用最多的访问控制实现技术。访问控制列表是路由器 接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、 IPX 和 AppleTalk 等。
ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议OP、 AppleTalk以及IPX)的情况,那么,用户必须定义三种ACL来分别控制这三种协议的 数据包。
1) ACL的作用
(1) 可以限制网络流量、提高网络性能。例如,可以根据数据包的协议,指定数据包的优先级。
(2) 提供对通信流量的控制手段。例如,可以限定或简化路由更新信息的长度.从而限制通过路由器某一网段的通信流量。
(3) 是提供网络安全访问的基本手段。例如,允许主机A访问某资源网络,而拒绝主机B访问。
(4) 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可 以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
[email protected]
出题概率:★★
130141、180117、
4.6.4基于任务的访问控制模型
基于任务的访问控制模型(Task-based Access Control Model, TBAC Model)是从应 用和企业层角度来解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安 全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。
在TBAC中,对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化。
[email protected]
出题概率:★
120143、
4.7.1 IPSec
IPSec协议是Internet工程任务组为保证IP及其上层协议的安全而制定的一个开放 安全标准,IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一 整套体系结构,包括网络认证头(Authentication Header, AH)协议、封装安全载荷 (Encapsulating Security Payload, ESP)协议、密钥管理(Internet Key Exchange, IKE) 协议和用于网络认证及加密的一些算法等
1. IPSec协议体系结构
如图4-88所示,IPSec体系结构的第一个主要的部分是安全结构。**IPSec使用两个协议提供数据包的安全:认证头和封装安全载荷。AH协议支持访问控制、数据源认证、 无连接的完整性和抗重放攻击。**ESP协议提供访问控制、数据机密性、无连接的完整性、 抗重放攻击和有限的通信流机密性等安全服务。AH协议和ESP协议都是接入控制的手 段,建立在加密密钥的分配和与这些安全协议相关的通信流量管理的基础上。
[email protected]
出题概率:★
150144、170144、
4.8.3 VLAN隔离
3. VLAN隔离技术的分类
VLAN隔离技术可分为基于端口的VLAN、基于MAC地址的VLAN、基于第三层 的VLAN和基于策略的VLAN。
(1)基于端口的VLAN。
基于端口的VLAN (如图4-102)是划分虚拟城域网最简 单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员只需要管理和配置 交换端口,而不管交换端口连接什么设备。
口袋应试:以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
(2) 基于MAC地址的VLAN。
由于只有网卡才分配有1VIAC地址,因此按MAC地 址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。事实上,该VLAN 是一些MAC地址的集合。当设备移动时,VLAN能够自动识别。网络管理需要管理和 配置设备的MAC地址,显然当网络规模很大,设备很多时,会给管理带来难度。
口袋应试:这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。
(3) 基于第3层的VLAN
基于第3层的VLAN是采用在路由器中常用的方法,如 IP子网和IPX网络号等。其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。
口袋应试:这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
(4)基于策略的VLAN。
基于策略的VLAN是一种比较灵活有效的VLAN划分方 法。常用的策略往往与厂商设备的支持有关,如按MAC地址、IP地址、以太网协议类 型和网络的应用等。
口袋应试:这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的VLAN中。
●扩展:使用VLAN的设备包括路由器和三层交换机。
[email protected]
出题概率:★★
160120、180138、180139、180140
4.8.5 物理隔离
4.网闸和GAP技术
网络物理隔离的一个特征,就是内网与外网永不连接。内部主机和外部主机在同一 时间最多只有一个同固态存fl介质建立非TCP/IP协议的数据连接。网络隔离的好处是明 显的,即使外网在最坏的情况下,内网也不会有任何破坏,修复外网系统也非常容易。 以上这种基于两个单边主机(内部主机和外部主机)之间数据交换的网络隔离技术,被称作网闸。
网闸的设计原理是基于“代理+摆渡”的概念。如果把逻辑隔离比作在河上架桥, 网闸可以比作在河上设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是 攻击,也不可能一下就进入,并且在船上总要受到管理者的各种控制。
网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
出题概率:★
170155、170156、
4.9.3证书认证机构
4.9.3.1 X.509 证书和 CRL
用户公钥证书是X.509的核心,证书由某个可信的证书发放机构建立,并由CA或 用户自己将其放入目录中,以供其他用户方便地访问。X.509证书由用户公共密钥与用户标识符组成,此外还包括版本号、证书序列号、CA标识符和签发算法标识等,具体格式如下所述。
[email protected]
出题概率:★
180141、190142
4.9.4.1 PKI的应用实例
(2) 安全电子邮件。作为Internet上最有效的应用,电子邮件凭借其易用、低成本 和高效已经成为现代商业中的一种标准信息交换工具。随着Internet的持续增长,商业 机构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息,这就引出了 一些安全方面的问题,包括消息和附件可以在不为通信双方所知的情况下被读取、篡改 或截掉;发信人的身份无法确认。电子邮件的安全需求也是机密、完整、认证和不可否 认,而这些都可以利用PKI技术来获得。目前发展很快的安全电子邮件协议是S/MIME (The Secure Multipurpose Internet Mail Extension),这是一个允许发送加密和有签名邮件 的协议。该协议的实现需要依赖于PKI技术。
[email protected]
出题概率:★
170147、
4.9.5.2 PKI的应用标准
S/MIME是一个用于发送安全报文的IETF标准。它采用了 PKI数字签名技术并支 持消息和附件的加密,无须收发双方共享相同密钥。S/MIME委员会采用PKI技术标准 来实现S/MIME,并适当扩展了 PKI的功能。目前该标准包括密码报文语法、报文规范、 证书处理以及证书申请语法等方面的内容。
S/MIME发送报文的过程中对消息M的处理包括生成数字指纹、生成数字签名、加密数字签名和加密报文4个步骤,其中生成数字指纹采用的算法是MD5.加密数字签名采用的算法是RSA。
[email protected]
出题概率:★
150133、
4.11.1 SSL 协议
4.11.1.1 SSL协议概述
SSL协议主要包括记录协议、告替协议和握手协议。
4.11.1.2 SSL记录协议
SSL本身是一个分层协议,每一层的消息块都包含有长度、描述和内容。SSL在传 输前将消息打包成消块,在此过程中可进行压缩、生成MAC和加密等。接收方则对 消息块进行解压、MAC验证和解压,并进行重装配,再传给上一层。这些是通过记录 协议层来规定的。
4.11.1.3告警协议
告警协议用来为对等实体传递SSL的相关警告,用于标示在什么时候发生了错误或 两个主机之间的会话在什么时候终止。当其他应用协议使用SSL时,根据当前的状态来确定。告警消息都封装成8位,同时进行编码、压缩和加密。
4.11.1.4握手协议
SSL握手协议是SSL中最复杂的部分。SSL握手协议位于SSL记录协议层之上,用 于产生会话状态的密码参数,允许服务器和客户机相互验证、协商加密和MAC算法及秘密密钥,用来保护在SSL记录中传送的数据。握手协议是在应用程序传输之前使用的。 当SSL客户端与服务器第一次开始通信时,它们要确认协议版本的一致性,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
[email protected]
出题概率:★★★★
120141、130142、180145、180146、190146、190147
4.11.2 SET 协议
4.11.2.5 SET协议的交易流程
1)持卡人注册(CardholderRegistration)
2)商家注册(Merehant Registration)
3)购买请求(purehaseRequest)
4)付款授权(payment Authorization)
5)付款结算(Payment Capture)
[email protected]
出题概率:★
120142、
4.11.3 HTTPS
4.11.3.1 HTTPS 的概念
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer,基于 SSL 协议的 HTTP) 是一个安全通信通道,用于在客户计算机和服务器之间交换信息。它使用安全套接字层 进行信息交换,所有的数据在传输过程中都是加密的。
......
严格来说,HTTPS不是一个单独的协议,而是两个协议的结合,即在加密的安全套 接层或传输层安全(TLS)上进行普通的HTTP交互传输。这种方式提供了一种免于窃 听者或中间人攻击的合理保护。
口袋应试:HTTPS属于应用层的加密传输。
[email protected]
出题概率:★★★
140142、190141、190150
●教程外
kerberos认证
1. Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。
2. Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
3. Kerberos也能达到单点登录的效果,即当Client通过了Kerberos server的认证后,便可以访问多个Real Server。
Kerberos密钥分配方案是一个基於单钥体制的密钥服务系统。在这个系统中,每个用户和可信中心KDC共享一个秘密的DES密钥。
认证过程具体如下:
客户机向认证服务器(A)发送请求,要求得到某服务器的证书,然后AS的响应包含这些用客户端密钥加密的证书。证书的构成为:
1)服务器“ticket”;
2)一个临时加密密钥(又称为会话密钥“ session key")。客户机将 ticket(包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。
会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
出题概率:★★★★
130144、130146、170142、180144、190145
穷举法破解密码及防范
穷举法是一种针对于密码的破译方法。这种方法很像数学上的"完全归纳法"并在密码破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合,也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算,也就是说用我们破解任何一个密码也都只是一个时间问题。
当然如果破译一个有8位而且有可能拥有大小写字母、数字、以及符号的密码用普通的家用电脑可能会用掉几个月甚至更多的时间去计算,其组合方法可能有几千万亿种组合。这样长的时间显然是不能接受的。其解决办法就是运用字典,所谓"字典"就是给密码锁定某个范围,比如英文单词以及生日的数字组合等,所有的英文单词不过10万个左右这样可以大大缩小密码范围,很大程度上缩短了破译时间。
windows防止“穷举法” 破解用户密码方式
●本地策略->安全选项:打开组策略编辑器,选择计算机配置->Windows设置->安全设置->本地策略->安全选项,按要求设置相关选项为启用.
●账户策略->账户锁定策略:打开组策略编辑器,选择计算机配置->Windows设置->安全设置->账户策略->账户锁定策略,将账户锁定阀值设为"三次登陆无效","锁定时间为30分钟","复位锁定计数设为30分钟".
出题概率:★
180152、
跨站脚本攻击
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。
为了搜集用户信息,攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户(详见下文)。一旦得手,他们可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告等。
1.HTML注入。所有HTML注入范例只是注入一个JavaScript弹出式的警告框:alert(1)。
2.做坏事。如果您觉得警告框还不够刺激,当受害者点击了一个被注入了HTML代码的页面链接时攻击者能做的各种的恶意事情。
3.诱捕受害者。
防范措施:
跨脚本攻击对动态网站危害极大,可以用web防火墙对网站进行防篡改策略设置。
出题概率:★
180166、180167
加密算法详解
DES、3DES、AES、RSA、MD5、sha1 加密算法总结
●DES:全称为Data Encryption Standard,即数据加密标准,是一种使用密钥加密的块算法;DES现在已经不是一种安全的加密方法,主要因为它使用的56位密钥过短。2001年,DES作为一个标准已经被高级加密标准(AES)所取代。
●3DES:(即Triple DES)是DES向AES过渡的加密算法,它使用3条56位的密钥对数据进行三次加密。3DES更为安全。
●AES:高级加密标准(英语:Advanced Encryption Standard,缩写:AES),在密码学中又称Rijndael加密法,这个标准用来替代原先的DES;,已经被多方分析且广为全世界所使用。
●RSA:公钥加密算法是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。
●MD5: Message Digest Algorithm MD5(消息摘要算法第五版)为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。
MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
●SHA1:即安全哈希算法(Secure Hash Algorithm),主要适用于数字签名标准,SHA1会产生一个160位的消息摘要;在1993年,安全散列算法(SHA)由美国国家标准和技术协会(NIST)提出,并作为联邦信息处理标准(FIPS PUB 180)公布;1995年又发布了一个修订版FIPS PUB 180-1,通常称之为SHA-1。SHA-1是基于MD4算法的,并且它的设计在很大程度上是模仿MD4的。现在已成为公认的最安全的散列算法之一,并被广泛使用。
出题概率:★★★★
160142、160143、160144、170146、190143、190144、
ISO7498-2标准
ISO7498-2从体系结构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制。
5种可选的安全服务:
鉴别、访问控制、数据保密、数据完整性和防止否认。
8种安全机制:
加密机制、数据完整性机制、访问控制机制、数据完整性机制、认证机制、通信业务填充机制、路由控制机制、公证机制,它们可以在OSI参考模型的适当层次上实施。
5种普遍性的安全机制:
可信功能、安全标号、事件检测、安全审计跟踪、安全恢复。
出题概率:★
130143、