1. Minacce comuni alla sicurezza della rete Le minacce comuni alla sicurezza della rete includono: ● Intercettazioni (ad esempio accesso non autorizzato, fuga di informazioni, furto di risorse, ecc.) ● Furto d'identità (fingere di essere un'altra entità, ad esempio furto d'identità di un sito web, spoofing IP, ecc.) ● Riproduzione ● Distruzione dell'integrità ● Denial of service ● Cavalli di Troia, virus ● Analisi del traffico

2. Vulnerabilità della sicurezza di rete Di solito gli intrusi cercano punti deboli nella sicurezza della rete e penetrano silenziosamente nella rete attraverso le falle. Pertanto, l'idea di sviluppare armi di contrattacco da parte degli hacker è scoprire i punti deboli della sicurezza nella rete attuale, dimostrare e testare queste falle di sicurezza e quindi indicare come tapparle. Allo stato attuale, la sicurezza dei sistemi informativi è molto debole, e si riflette principalmente nell'esistenza di rischi per la sicurezza nei sistemi operativi, nelle reti informatiche e nei sistemi di gestione dei database. Questi rischi per la sicurezza si manifestano nei seguenti aspetti. (1) Sicurezza fisica. Qualsiasi luogo in cui è possibile accedere fisicamente alle macchine non autorizzate presenterà potenziali problemi di sicurezza, che consentiranno agli utenti che accedono di fare cose a cui non sono autorizzati. (2) Vulnerabilità della sicurezza del software. Il software "privilegiato" contiene codice di programma dannoso che gli consente di ottenere privilegi aggiuntivi. (3) Uso incompatibile delle vulnerabilità della sicurezza. Quando gli amministratori di sistema raggruppano insieme software e hardware, dal punto di vista della sicurezza, si può ritenere che il sistema possa presentare seri rischi per la sicurezza. Il cosiddetto problema di incompatibilità consiste nel collegare insieme due cose non correlate ma utili, il che porta a vulnerabilità della sicurezza. Una volta che il sistema è attivo e funzionante, tali problemi sono difficili da rilevare. (4) Scegliere una filosofia di sicurezza adeguata. Questa è una comprensione e intuizione dei concetti di sicurezza. Non è garantito che il software perfetto, l'hardware protetto e i componenti compatibili funzionino correttamente ed efficacemente a meno che gli utenti non selezionino politiche di sicurezza appropriate e attivino componenti che aumentano la sicurezza dei loro sistemi.

3. Attacchi informatici

4. Obiettivi delle misure di sicurezza

5. Principali tecnologie di sicurezza ● Crittografia dei dati: ricombina le informazioni in modo che solo il mittente e il destinatario possano ripristinarle. ● Firma dei dati: utilizzata per dimostrare che è stata effettivamente firmata dal mittente. ● Autenticazione dell'identità: verifica la legittimità dell'utente. ● Firewall: situato tra due reti, controlla l'ingresso e l'uscita dei pacchetti di dati tramite regole. ● Controllo del contenuto: controlla la sicurezza del contenuto dei dati per prevenire danni da virus e trojan.

6. Conoscenza di base della sicurezza del sistema

esercizio

1. Tecnologia di crittografia dei dati La tecnologia di crittografia dei dati si riferisce al processo di conversione delle informazioni (testo in chiaro) in testo cifrato senza significato tramite chiavi di crittografia e funzioni di crittografia e il destinatario utilizza la funzione di decrittografia e la chiave di decrittografia per ripristinare il testo cifrato in testo in chiaro. A seconda che la chiave di crittografia e la chiave di decrittografia siano la stessa (se l'una sia deducibile dall'altra), possono essere suddivise in: ● Tecnologia di crittografia simmetrica (algoritmo di crittografia a chiave privata) ● Tecnologia di crittografia asimmetrica (algoritmo di crittografia a chiave pubblica)

2. Tecnologia di crittografia simmetrica DES/3DES/IDEA/AES/SM1/SM2/RC2/RC4/RC5 La tecnologia di crittografia simmetrica significa che la chiave di crittografia e la chiave di decrittografia sono la stessa o, sebbene siano diverse, l'una può essere facilmente dedotta dall'altra. ● Vantaggi: velocità di crittografia e decrittografia elevata, elevata forza di crittografia e algoritmo aperto. ● Svantaggi: è difficile distribuire segretamente le chiavi. La gestione delle chiavi è complicata quando è presente un numero elevato di utenti. Inoltre, funzioni come l'autenticazione dell'identità non possono essere completate, rendendone scomoda l'applicazione in un ambiente di rete aperto. Algoritmi comuni di crittografia simmetrica: ● DES (Data Encryption Standard): è un codice a blocchi iterativo. L'input/output è a 64 bit Chiave da 56 bit e un bit di parità aggiuntivo da 8 bit. ● 3DES: a causa della breve lunghezza della chiave DES, per migliorare la sicurezza, l'uso Un algoritmo che utilizza una chiave a 112 bit per crittografare i dati tre volte è chiamato 3DES. ● Algoritmo IDEA (International Data Encryption Algorithm): il testo in chiaro e quello cifrato sono entrambi a 64 bit e la lunghezza della chiave è di 128 bit. PGP (Pretty Good Privacy) utilizza IDEA come algoritmo di crittografia a blocchi e utilizza il suo copyright commerciale; Secure Socket Layer SSL (Secure Socket Layer) include anche IDEA nella sua libreria di algoritmi di crittografia SSLRef; Ascom, proprietaria del brevetto dell'algoritmo IDEA, ha anche lanciato una serie di prodotti di sicurezza basati sull'algoritmo IDEA, tra cui: plug-in completo Exchange basato su IDEA, chip di crittografia IDEA, pacchetto software di crittografia IDEA, ecc. ● AES (Advanced Encryption Standard) (Advanced Encryption Standard) La chiave costituisce la base per la crittografia e la decrittografia dell'algoritmo AES. Gli algoritmi di crittografia simmetrica sono simmetrici perché richiedono la stessa chiave per crittografare e decrittografare il testo in chiaro. Blocca l'algoritmo di crittografia AES supporta tre lunghezze di chiave: 128 bit, 192 bit e 256 bit ● Algoritmo di crittografia del flusso e RC4, altri sono crittografia a blocchi;

3. Tecnologia di crittografia asimmetrica (algoritmo di crittografia a chiave pubblica) RSA/ECC/SM2 La tecnologia a chiave asimmetrica significa che la chiave di crittografia e la chiave di decrittografia sono completamente diverse ed è impossibile Dall'uno deduci l'altro. ●Il vantaggio è: la gestione delle chiavi è semplice, è possibile realizzare funzioni di firma digitale e autenticazione dell'identità e costituisce la base principale dell'attuale e-commerce e di altre tecnologie. ●Svantaggi: l'algoritmo è complesso e la velocità e l'efficienza della crittografia dei dati sono basse. Algoritmo RSA Una coppia di chiavi RSA viene generata dal centro di gestione delle chiavi. Una è chiamata chiave privata e viene salvata dall'utente; l'altra è chiamata chiave pubblica e può essere resa pubblica. ●L'utilizzo di RSA per crittografare grandi quantità di dati è troppo lento, pertanto RSA è ampiamente utilizzato per la distribuzione delle chiavi. ●L'algoritmo RSA si basa su un fatto molto semplice della teoria dei numeri: è molto facile moltiplicare due grandi numeri primi, ma è estremamente difficile fattorizzarne il prodotto (scomposizione dei grandi numeri primi) L'algoritmo RSA risolve un gran numero di problemi di gestione delle chiavi degli utenti di rete. Ma RSA non può sostituire il DES. I loro vantaggi e svantaggi si completano a vicenda: ●La chiave RSA è molto lunga e la velocità di crittografia è lenta; ●La crittografia DES è veloce e adatta alla crittografia di messaggi più lunghi; Pertanto, quando si trasmettono informazioni, viene spesso utilizzata una combinazione di metodo di crittografia a chiave privata e metodo di crittografia a chiave pubblica. Per crittografare numeri di grande capacità vengono utilizzati algoritmi di crittografia a chiave privata come RSA trasmettere chiavi private. La chiave utilizzata dall'algoritmo di crittografia della chiave

la tecnologia di crittografia del mio paese

esercizio

La tecnologia di autenticazione è divisa in due tipi: autenticazione dell'entità e autenticazione del messaggio. ●L'autenticazione dell'entità serve per identificare l'identità del partner di comunicazione e prevenire la contraffazione. È possibile utilizzare le firme digitali. ●L'autenticazione del messaggio consiste nel verificare se il messaggio è stato manomesso durante la trasmissione o l'archiviazione, solitamente utilizzando il metodo digest del messaggio. ●I metodi di autenticazione includono l'autenticazione con nome account/password, l'autenticazione con algoritmo digest e l'autenticazione basata su PKI.

1. Riepilogo delle informazioni Le sintesi informative sono anche chiamate sintesi digitali. Viene generato applicando al messaggio una funzione di crittografia Hash unidirezionale. E i risultati dei diversi digest di testo in chiaro nel testo cifrato sono sempre diversi. Se l'informazione viene modificata anche di 1 bit durante il processo di trasmissione, il destinatario genererà un nuovo digest delle informazioni ricevute, che sarà diverso dal digest originale modo È possibile sapere se le informazioni sono state modificate. Pertanto la sintesi informativa garantisce l'integrità delle informazioni. I digest di informazioni possono essere utilizzati per creare firme digitali. Il digest delle informazioni è univoco per un file specifico. E documenti diversi produrranno inevitabilmente sintesi informative diverse. Gli algoritmi comuni di riepilogo delle informazioni includono ●MD5: la quinta versione dell'algoritmo di raccolta delle informazioni. L'input viene raggruppato in gruppi da 512 bit ed elaborato per produrre un output a 128 bit. ●SHA: Secure Hash Algorithm, anch'esso elaborato in gruppi da 512 bit e produce un output a 160 bit. Possono essere utilizzati per proteggere l'integrità dei dati. SHA-1 (inglese: Secure Hash Algorithm 1, nome cinese: Secure Hash Algorithm 1) è una funzione hash crittografica progettata dalla National Security Agency degli Stati Uniti e pubblicata dal National Institute of Standards and Technology (NIST) degli Stati Uniti per gli standard federali di elaborazione dei dati (FIPS). SHA-1 può generare un valore hash a 160 bit (20 byte) chiamato digest del messaggio. Il valore hash viene solitamente presentato come 40 cifre esadecimali.

2. Firma digitale La firma digitale si riferisce all'elaborazione del messaggio da trasmettere attraverso una funzione unidirezionale per ottenere una stringa alfanumerica che viene utilizzata per autenticare la fonte del messaggio e verificare se il messaggio è cambiato. Insieme alla tecnologia di crittografia dei dati, crea un sistema di crittografia commerciale sicuro. La crittografia tradizionale dei dati è il metodo più basilare per proteggere i dati. Può solo impedire a terzi di ottenere i dati reali (riservatezza dei dati), mentre le firme digitali possono risolvere il problema. questioni di autenticazione, falsificazione, manomissione e impersonificazione (integrità dei dati e non ripudio). Le firme digitali utilizzano algoritmi a chiave pubblica (tecnologia a chiave asimmetrica). Processo di firma digitale: (1) Il mittente A calcola innanzitutto il message digest (MD) delle informazioni (M) da inviare tramite una funzione hash, ovvero estrae le caratteristiche del testo originale. (2) Il mittente A crittografa il testo originale (M) e il digest del messaggio (MD) con la propria chiave privata (PrA), che deve completare l'azione di firma. Le informazioni possono essere espresse come PrA (M MD). (3) Quindi utilizzare la chiave pubblica (PB) del ricevitore B come chiave per crittografare nuovamente il pacchetto di informazioni per ottenere PB(PrA(M MD)). (4) Quando il destinatario lo riceve, lo decripta prima utilizzando la propria chiave privata PrB per ottenere PrA(M MD) (5) Quindi utilizzare la chiave pubblica (PA) di A per decrittografare. Se può essere decrittografato, significa ovviamente che i dati sono stati inviati da A e, allo stesso tempo, verranno ottenuti il ​​testo originale M e il digest del messaggio MD. (6) Quindi calcolare il digest del messaggio per il testo originale M, ottenere il nuovo MD e confrontarlo con l'MD ricevuto If Coerente, indicando che i dati non sono stati manomessi durante la trasmissione.

La differenza tra crittografia digitale e firma digitale ●La crittografia digitale utilizza la chiave pubblica del destinatario per crittografare e il destinatario utilizza la propria chiave privata per decrittografare. ●La firma digitale è: crittografare le informazioni di riepilogo con la chiave privata del mittente e inviarle al destinatario insieme al testo originale. Il destinatario può utilizzare solo la chiave pubblica del mittente per decrittografare le informazioni di riepilogo crittografate, quindi utilizzare la funzione HASH per generare nuove informazioni di riepilogo per il testo originale ricevuto, che vengono confrontate con le informazioni di riepilogo decrittografate.

3. Protocollo RADIUS RADIUS (Remote User Dial-in Authentication Service) è un protocollo di trasmissione di rete che tiene conto dei tre servizi di autenticazione, autorizzazione e contabilità. RADIUS è un protocollo di struttura C/S che comunica tramite UDP. È possibile utilizzare vari metodi come l'autenticazione di accesso PAP, CHAP o Unix.

esercizio

certificato digitale Un certificato digitale è una stringa di numeri che contrassegna le informazioni sull'identità delle parti comunicanti nelle comunicazioni Internet. È un modo per verificare l'identità delle entità comunicanti su Internet. Funziona come la nostra carta d'identità. Viene rilasciato da un'organizzazione autorevole CA (Certificate Authority) e le persone possono utilizzarlo per identificarsi a vicenda online. Un certificato digitale è un file firmato digitalmente da una CA che contiene le informazioni sul proprietario della chiave pubblica e la chiave pubblica. I certificati digitali utilizzano un sistema a chiave pubblica, che utilizza una coppia di chiavi corrispondenti per la crittografia e la decrittografia. Imposta due chiavi per utente: ●Chiave privata: una chiave privata conosciuta solo da te, utilizzata per la decrittografia e la firma ●Chiave pubblica: divulgata da me e utilizzata per crittografare e verificare le firme ● Inviare documenti riservati. Il mittente utilizza la chiave pubblica del destinatario per crittografare e il destinatario utilizza la propria chiave privata per decrittografare. ●Firma dei dati. Il destinatario può confermare l'identità del mittente tramite il certificato digitale e il mittente non può negarla. Le firme digitali garantiscono che le modifiche alle informazioni vengano rilevate.

Formato del certificato digitale Il formato dei certificati digitali utilizza generalmente lo standard internazionale X.509. Il certificato a chiave pubblica dell'utente X.509 viene creato da un'autorità di certificazione attendibile CA e archiviato nella directory pubblica X.500 dalla CA o dall'utente per l'accesso da parte di altri utenti. I certificati digitali includono numero di versione, numero di serie (il numero di serie di ciascun certificato emesso dalla CA è univoco), identificatore dell'algoritmo di firma, nome dell'emittente, validità, nome del soggetto, informazioni sulla chiave pubblica del soggetto e identificatore univoco dell'emittente, identificatore univoco del soggetto, esteso dominio, firma (ovvero il risultato della firma digitale da parte della CA dei campi sopra indicati con la propria chiave privata, ovvero la firma del certificato utente da parte del centro CA).

Ottieni il certificato digitale Finché un utente ottiene la chiave pubblica del centro CA, può ottenere la chiave pubblica firmata dal centro CA per l'utente. Poiché il certificato non può essere falsificato, non è necessario imporre una protezione speciale alla directory in cui è archiviato il certificato.

Revoca del certificato Il certificato deve essere revocato se è scaduto, la chiave privata dell'utente è stata divulgata, l'utente ha rinunciato a utilizzare i servizi del centro CA originale o la chiave privata del centro CA è stata divulgata. Al momento, il centro CA manterrà un elenco di revoche di certificati (CRL) affinché tutti possano interrogarlo.

Sistema di gestione delle chiavi La gestione delle chiavi si riferisce alle questioni relative all'intero processo, dalla generazione alla distruzione delle chiavi, inclusi l'inizializzazione del sistema, la generazione delle chiavi, l'archiviazione, il backup/ripristino, il caricamento, la distribuzione, la protezione, l'aggiornamento, il controllo, la perdita, la revoca e la distruzione. Esistono tre principali sistemi di gestione delle chiavi: ●Meccanismo KMI adatto a reti chiuse e rappresentato dai tradizionali centri di gestione delle chiavi ●Meccanismo PKI adatto per reti aperte ●Meccanismo SPK adatto a reti private su larga scala

[ ] L'utente B riceve il messaggio M firmato digitalmente da A. Per verificare l'autenticità del messaggio, deve prima ottenere il certificato digitale dell'utente A dalla CA. Il certificato digitale contiene (A), e (A). può essere utilizzato per verificare l'autenticità del certificato, quindi utilizzare (C) per verificare l'autenticità di M. A. Chiave pubblica di A B. Chiave privata di A C. Chiave pubblica di B D. Chiave privata di B A. Chiave pubblica di CA B. Chiave privata di B C. Chiave pubblica di A D. Chiave pubblica di B A. Chiave pubblica di CA B. Chiave privata di B C. Chiave pubblica di A D. Chiave pubblica di B

Rete privata virtuale VPN Una rete privata virtuale è un'estensione della rete aziendale su reti pubbliche come Internet. Crea una connessione privata sicura sulla rete pubblica attraverso un canale privato. Essenzialmente, una VPN è un canale virtuale che può essere utilizzato per connettere due reti private, garantirne la sicurezza attraverso una tecnologia di crittografia affidabile ed esistere come parte della rete pubblica.

Tecnologie chiave della VPN ●Tecnologia del tunnel ●Tecnologia di crittografia e decrittografia ●Tecnologia di gestione delle chiavi ●Tecnologia di autenticazione dell'identità

Classificazione e applicazione delle VPN

Quali sono le classificazioni della tecnologia VPN? 1. Classificazione in base alla modalità di trasmissione dei dati: ●Modalità tunneling: includendo una nuova intestazione del pacchetto dati all'esterno del pacchetto dati originale, i dati vengono crittografati e quindi trasmessi. Di solito vengono utilizzati in scenari come l'accesso remoto e la connessione di reti private in diverse regioni. ●Modalità trasparente: crittografa direttamente i pacchetti di dati senza modificarli. Viene solitamente utilizzata per garantire la sicurezza della trasmissione sulla rete pubblica. 2. Classificazione in base al tipo di rete: ●VPN di accesso remoto: utilizzata dai lavoratori remoti per accedere alle risorse della rete interna aziendale. Ad esempio, PPTP, L2TP, SSL VPN, ecc. ●VPN punto a punto: stabilisce una connessione VPN tra due dispositivi per connettersi a LAN distribuite in luoghi diversi. IPSec, ad esempio, è adatto per scenari punto a punto. 3. Classificazione secondo i protocolli di sicurezza: ●Protocollo PPTP: incapsulato utilizzando il protocollo GRE, il livello di crittografia è basso ed è adatto a scenari che non richiedono elevata sicurezza. ●Protocollo L2TP: basato sul protocollo PPTP, viene aggiunto il protocollo L2TP per renderlo più sicuro e adatto a scenari che richiedono una sicurezza media. ●Protocollo IPSec: elevato livello di crittografia e buona sicurezza, ma le impostazioni sono complicate e adatte a scenari che richiedono un elevato livello di sicurezza.

PPTP (Point-to-Point Tunneling Protocol) è l'abbreviazione del protocollo inglese Point to Point Tunneling. Il numero di porta predefinito è: 1723 (TCP). secondo strato. Attraverso questo protocollo, gli utenti remoti possono accedere in modo sicuro alla rete aziendale attraverso il sistema operativo Microsoft Windows e altri sistemi dotati di protocolli punto-punto, possono connettersi all'ISP locale e collegarsi in modo sicuro alla rete aziendale tramite Internet. L2TP (Layer 2 Tunneling Protocol) è l'abbreviazione del protocollo inglese Layer 2 Tunneling. Il numero di porta predefinito è: 1701 (UDP). È un protocollo di tunneling Internet standard industriale. Le sue funzioni sono più o meno simili al protocollo PPTP. può anche elaborare i flussi di dati di rete. Esistono tuttavia delle differenze: ad esempio, PPTP richiede che la rete sia una rete IP e L2TP richiede una connessione punto a punto orientata ai pacchetti; PPTP utilizza un singolo tunnel e L2TP utilizza più tunnel L2TP fornisce la compressione dell'intestazione e verifica del tunnel, ma PPTP non la supporta. PPP Point to Point Protocol (PPP) è un protocollo del livello di collegamento progettato per collegamenti semplici come la trasmissione di pacchetti di dati tra unità peer. Questo collegamento fornisce operazioni full-duplex e consegna i pacchetti in sequenza. Lo scopo di progettazione viene utilizzato principalmente per stabilire connessioni punto-punto per inviare dati tramite linee dial-up o dedicate, rendendolo una soluzione comune per connessioni semplici tra vari host, bridge e router. Il PPP ha le seguenti funzioni: (1) PPP ha la capacità di allocare dinamicamente gli indirizzi IP, consentendo la negoziazione degli indirizzi IP al momento della connessione; (2) PPP supporta più protocolli di rete, come TCP/IP, NetBEUI, NWLINK, ecc.; (3) PPP ha capacità di rilevamento degli errori, ma non ha capacità di correzione degli errori, quindi PPP è un protocollo di trasmissione inaffidabile; (4) Non esiste un meccanismo di ritrasmissione, il sovraccarico della rete è ridotto e la velocità è elevata. (5) Il PPP ha una funzione di verifica dell'identità. (6) Il PPP può essere utilizzato su vari tipi di supporti fisici, comprese le linee seriali, le linee telefoniche, i telefoni cellulari e le fibre ottiche (come il PPP è utilizzato anche per l'accesso a Internet).

Tecnologia del tunnel VPN ●PPTP: estende logicamente la sessione PPP per formare una connessione remota virtuale. Quando si implementa il protocollo, viene utilizzato lo stesso meccanismo di autenticazione di PPP, inclusi EAP (Expanded Identity Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), SPAP (Shiva Password Authentication Protocol), PAP (protocollo di autenticazione tramite password). Inoltre, in Windows 2000, PPP utilizza MPPE (Microsoft Point-to-Point Encryption Technology) per la crittografia, quindi è necessario utilizzare la tecnologia di autenticazione EAP o MS-CHAP. ●L2F: è possibile stabilire un metodo di comunicazione VPN sicuro multiprotocollo su una varietà di media. Incapsula il protocollo del livello di collegamento in modo che il livello di collegamento di rete sia completamente indipendente dal protocollo del livello di collegamento dell'utente. ●L2TP: è il prodotto della combinazione di PPTP e L2F. Dopo che il protocollo L2TP ha incapsulato il frame PPP, questo può essere trasmesso tramite IP, X.25, FR o ATM. Quando si crea un tunnel L2TP è necessario utilizzare lo stesso meccanismo di autenticazione delle connessioni PPP. Combina i vantaggi di L2F e PPTP e consente agli utenti di avviare connessioni VPN dal client o dal server di accesso. ●IPSec: è una struttura di sicurezza composta da quattro parti: protocollo di sicurezza, protocollo di gestione delle chiavi, associazione di sicurezza, algoritmo di autenticazione e crittografia. Il protocollo di sicurezza aggiunge due meccanismi di sicurezza basati su password al protocollo IP: Authentication Header (AH) e Encapsulating Security Payload (ESP). AH: È un codice di autenticazione del messaggio che è stato calcolato prima dell'invio del pacchetto IP. Il mittente calcola l'AH utilizzando la chiave di crittografia e il destinatario lo verifica utilizzando la stessa (crittografia simmetrica) o un'altra chiave (crittografia asimmetrica). ESP: incapsula e crittografa l'intero pacchetto IP, solitamente utilizzando l'algoritmo DES.

Quali servizi di sicurezza può fornire la tecnologia IPSEC (Internet Protocol Security)? 1. Autenticazione dell'identità: IPSec può verificare l'identità di entrambe le parti comunicanti per garantire che solo gli utenti legittimi possano accedere alle risorse protette. 2. Integrità dei dati: IPSec utilizza un algoritmo chiamato funzione hash per eseguire l'hashing dei dati per verificare se i dati sono stati manomessi. Qualora si verificassero modifiche durante la trasmissione dei dati, il destinatario scoprirà che i dati sono incompleti e si rifiuterà di trattarli. 3. Riservatezza dei dati: IPSec utilizza algoritmi di crittografia per crittografare i dati trasmessi per proteggere i dati dall'ottenimento da parte di persone non autorizzate. 4. Protezione dagli attacchi anti-replay: quando IPSec stabilisce la comunicazione, richiede al mittente di inviare un identificatore univoco, che cambierà durante ogni comunicazione. Questo identificatore protegge i dati dal riutilizzo, impedendo agli aggressori di sfruttare gli svantaggi del riutilizzo dei dati. 5. Prevenire gli attacchi Denial of Service: IPSec può limitare il traffico in base alle policy di sicurezza, intercettare il traffico non autorizzato e ridurre gli attacchi alle risorse protette.

Architettura tecnica IPSEC

Architettura VPN IPSec Protocollo di sicurezza: Responsabile della protezione dei dati, AH/ESP Modalità di lavoro: Modalità di trasmissione: per ottenere la protezione end-to-end, Modalità Tunnel: per ottenere la protezione da sito a sito Scambio di chiavi: IKE: esegue la negoziazione per i protocolli di sicurezza AH Controllo dell'integrità dei dati e verifica dell'origine, capacità anti-replay limitata e incapacità di fornire la funzione di crittografia dei dati ESP Garantire la riservatezza dei dati, la verifica dell'integrità dei dati e della fonte e alcune funzionalità anti-replay

IKE (scambio di chiavi Internet) Il protocollo è un protocollo utilizzato per stabilire un canale sicuro nel protocollo di crittografia IPsec (Internet Protocol security). Il suo ruolo è stabilire chiavi sicure e canali di autenticazione per IPsec per garantire che la comunicazione e la trasmissione dei dati su Internet siano sicure e private. Il protocollo IKE viene utilizzato nei seguenti aspetti: Conferma delle parti comunicanti: il protocollo IKE utilizza certificati digitali o password precondivise per stabilire canali crittografati, garantendo che solo le parti comunicanti fidate possano comunicare. Negoziare le regole di crittografia: il protocollo IKE negozia le regole di crittografia come algoritmi di crittografia, lunghezze delle chiavi e algoritmi hash per garantire che venga utilizzata la tecnologia di sicurezza più recente per crittografare i dati. Stabilisci chiavi: il protocollo IKE genera chiavi utilizzate per la crittografia e l'autenticazione IPsec. Mantenimento di canali sicuri: il protocollo IKE è anche responsabile del mantenimento dei canali sicuri IPsec per garantire che i dati durante la comunicazione mantengano riservatezza, integrità e disponibilità.

Due modalità di IPSec Modalità di trasporto È la modalità predefinita di IPSec, nota anche come modalità End-to-End. È adatta per la comunicazione IPSec tra due host. Nella modalità di trasmissione, viene protetto solo il payload IP, che può essere il protocollo TCP/UDP/ICMP o il protocollo AH/ESP. La modalità di trasmissione fornisce solo protezione di sicurezza per il protocollo di livello superiore. In questa modalità, entrambi gli host che partecipano alla comunicazione devono installare il protocollo IPSec e questo non può nascondere l'indirizzo IP dell'host. Dopo aver abilitato la modalità di trasmissione IPSec, IPSec aggiungerà un'intestazione AH/ESP o entrambe le intestazioni davanti al pacchetto del livello di trasporto per formare un pacchetto AH/ESP, quindi aggiungerà l'intestazione IP per formare un pacchetto IP. Sul lato ricevente, viene elaborato prima l'IP, poi l'IPSec e infine i dati del payload vengono trasferiti al protocollo di livello superiore. Modalità tunnel Utilizzare la comunicazione da sito a sito tra due gateway. I due gateway che partecipano alla comunicazione forniscono effettivamente servizi di comunicazione sicuri per i computer nelle due reti da essi delimitate. La modalità tunnel fornisce protezione per l'intero pacchetto IP, fornendo protezione di sicurezza per il protocollo IP stesso anziché solo per il protocollo di livello superiore. Normalmente, finché una delle due parti che utilizzano IPSec è un gateway di sicurezza, è necessario utilizzare la modalità tunnel. Un vantaggio della modalità tunnel è che può nascondere gli indirizzi IP di host e server interni. La maggior parte delle VPN utilizza la modalità tunnel perché non solo crittografa l'intero messaggio originale, ma crittografa anche parzialmente o completamente gli indirizzi di origine e di destinazione della comunicazione. Richiede solo il gateway di sicurezza e non richiede l'installazione del software VPN sull'host interno. Durante questo periodo tutte le operazioni di crittografia, decrittografia e negoziazione vengono completate dai primi.

Incapsulamento AH della modalità di trasporto

Incapsulamento AH in modalità tunnel

esercizio

Punti chiave per la realizzazione del tunnel ipsec

firewall Un firewall è un sistema di protezione della sicurezza delle informazioni composto da apparecchiature software o hardware tra una rete interna e una rete esterna, o tra una rete privata e una rete pubblica. Consente o limita il passaggio dei dati trasmessi secondo regole specifiche. Lo scopo di un firewall è impedire che comunicazioni non autorizzate entrino o escano da una rete protetta.

Funzioni del firewall Il firewall ha le seguenti funzioni: ●Funzione di controllo degli accessi ●Funzione di controllo dei contenuti ●Funzione di registrazione completa ●Funzione di gestione centralizzata

Progettazione della sicurezza informatica Oltre alla protezione della rete interna, proteggiamo anche i server che forniscono servizi verso il mondo esterno.

Tre modalità di funzionamento del firewall: Modalità di routing: connessione esterna al livello 3 (l'interfaccia ha un indirizzo IP) Modalità trasparente: connessione esterna tramite livello 2 (l'interfaccia non ha indirizzo IP) Modalità mista: il firewall dispone di interfacce che funzionano sia in modalità instradata che in modalità trasparente (alcune interfacce hanno indirizzi IP, alcune interfacce non hanno indirizzi IP)

struttura del firewall Router di protezione (firewall con filtro pacchetti) 2. Modalità host a doppio foro 3. Modalità host di protezione 4. Modalità sottorete di protezione

1. Shield router (firewall con filtraggio dei pacchetti) L'intestazione di ciascun pacchetto di dati ricevuto viene valutata in base alle regole di filtraggio dei pacchetti. I pacchetti che corrispondono alle regole vengono inoltrati in base alle informazioni di instradamento, altrimenti vengono scartati. Il filtraggio dei pacchetti viene implementato a livello IP del pacchetto dati. Indirizzo, IP di destinazione Indirizzo, tipo di protocollo (pacchetto TCP, pacchetto UDP, pacchetto ICMP), porta di origine, porta di destinazione e altre informazioni sull'intestazione del pacchetto, nonché direzione di trasmissione del pacchetto di dati e altre informazioni per determinare se consentire il passaggio del pacchetto di dati.

2. Modalità host a doppio foro Un bastion host dotato di almeno due schede di rete viene utilizzato come firewall e si trova tra le reti interna ed esterna per ottenere la separazione fisica.

3． Modalità host scudo La modalità host schermato si riferisce a un firewall formato da un router separato e un host bastion sulla rete interna. Utilizza principalmente il filtraggio dei pacchetti per isolare le reti interne ed esterne e proteggere la rete interna. Questa modalità ha due barriere, una è il router di schermatura e l'altra è il bastion host.

4. Modalità sottorete schermata La modalità sottorete schermata utilizza due router schermati e un bastion host per stabilire una sottorete isolata tra le reti interna ed esterna, definita come rete DMZ, denominata zona demilitarizzata.

Rilevamento delle intrusioni Il rilevamento delle intrusioni è il rilevamento del comportamento delle intrusioni. Raccoglie e analizza il comportamento della rete, i registri di sicurezza, i dati di controllo e le informazioni su diversi punti chiave del sistema informatico per verificare se vi sono violazioni delle politiche di sicurezza e segni di attacco nella rete o nel sistema.

Sistema di rilevamento delle intrusioni (sistema di rilevamento delle intrusioni IDS) È una tecnologia di sicurezza di rete che si protegge attivamente da attacchi illegali a reti e sistemi. Monitora lo stato operativo di reti e sistemi in conformità con determinate politiche di sicurezza e cerca di rilevare vari tentativi di attacco, comportamenti di attacco o risultati di attacchi. possibile, per garantire la riservatezza, l'integrità e la disponibilità delle risorse del sistema di rete. IDS è una tecnologia proattiva di protezione della sicurezza.

Funzioni dell'IDS IDS comprende tre parti: estrazione dei dati, analisi delle intrusioni ed elaborazione della risposta. Inoltre, può anche essere combinato con moduli funzionali come base di conoscenza sulla sicurezza e archiviazione dei dati per fornire funzioni di analisi della tecnologia di rilevamento della sicurezza più complete.

Classificazione IDS Gli IDS possono essere classificati in base alle fonti dei dati e in base ai metodi di rilevamento in base a diversi Esistono diversi metodi di classificazione IDS.

Sistema di prevenzione delle intrusioni (Sistema di prevenzione delle intrusioni IPS) Si tratta di un sistema attivo e attivo di prevenzione e blocco delle intrusioni. Viene implementato all'ingresso e all'uscita della rete. Quando viene rilevato un tentativo di attacco, il pacchetto di attacco viene automaticamente eliminato o vengono adottate misure per bloccare la fonte dell'attacco. La funzione di rilevamento dell'IPS è simile a quella dell'IDS, ma dopo aver rilevato un attacco, l'IPS interverrà per prevenirlo. Si può dire che IPS è un nuovo prodotto per la sicurezza di rete basato sullo sviluppo di IDS.

Vantaggi della prevenzione delle intrusioni: La prevenzione delle intrusioni è una nuova tecnologia di difesa della sicurezza in grado di rilevare e prevenire le intrusioni. Dopo aver rilevato un'intrusione nella rete, può scartare automaticamente i pacchetti di intrusione o bloccare la fonte dell'attacco, evitando così sostanzialmente gli attacchi. I principali vantaggi della prevenzione delle intrusioni sono i seguenti: ●Blocco degli attacchi in tempo reale: il dispositivo viene distribuito nella rete in modo lineare. Quando viene rilevata un'intrusione, può intercettare le attività di intrusione e il traffico di rete offensivo in tempo reale per ridurre al minimo l'intrusione nella rete. ●Protezione profonda: poiché i nuovi attacchi sono nascosti nel livello applicativo del protocollo TCP/IP, la prevenzione delle intrusioni può rilevare il contenuto del livello applicativo del messaggio. Può anche eseguire l'analisi e il rilevamento del protocollo sul riassemblaggio del flusso di dati della rete e analizzare e rilevare il flusso di dati di rete in base al tipo e alla strategia di attacco. Attendere di determinare quale traffico deve essere bloccato. ●Protezione completa: la prevenzione delle intrusioni può fornire protezione contro worm, virus, trojan, botnet, spyware, adware, attacchi CGI (Common Gateway Interface), attacchi di scripting cross-site, attacchi di injection, attraversamento di directory, fuga di informazioni e inclusione di file remoti. Misure di protezione contro attacchi, attacchi di overflow, esecuzione di codice, negazione del servizio, strumenti di scansione, backdoor e altri attacchi per difendersi in modo completo da vari attacchi e proteggere la sicurezza della rete. ●Difesa sia interna che esterna: la prevenzione delle intrusioni non solo può impedire attacchi provenienti dall'esterno dell'azienda, ma anche prevenire attacchi dall'interno dell'azienda. Il sistema è in grado di rilevare tutto il traffico in transito e di proteggere sia i server che i client. ●Aggiornamento continuo, protezione precisa: il database delle firme di prevenzione delle intrusioni verrà continuamente aggiornato per mantenere il massimo livello di sicurezza.

La differenza tra IPS e IDS IPS e IDS vengono distribuiti in modo diverso: ● I prodotti IDS funzionano in modalità bypass nella rete IDS (Intrusion Detection System) Sistema di rilevamento delle intrusioni, IDS rileva e allarma dati anomali che potrebbero essere intrusioni, informa gli utenti delle condizioni in tempo reale nella rete e fornisce soluzioni e metodi di elaborazione corrispondenti. È un sistema di rilevamento delle intrusioni che si concentra sulla sicurezza funzioni per la gestione del rischio. ● I prodotti IPS funzionano in serie nella rete Il lavoro seriale garantisce che tutti i dati di rete passino attraverso il dispositivo IPS. L'IPS rileva codici dannosi nel flusso di dati, controlla la politica e intercetta i pacchetti di informazioni o i flussi di dati prima che vengano inoltrati al server. È una funzione di sicurezza focalizzata sul controllo del rischio. La tecnologia di prevenzione delle intrusioni aggiunge potenti funzioni di difesa agli IDS tradizionali

Tipi di sistemi di prevenzione delle intrusioni ● Prevenzione delle intrusioni basata su host ● Prevenzione delle intrusioni basata sulla rete ● Prevenzione delle intrusioni basata sulle applicazioni

Le sfide che devono affrontare i sistemi di prevenzione delle intrusioni ● Singolo punto di guasto ● Collo di bottiglia nelle prestazioni ● Falsi positivi e falsi negativi

esercizio

Tecnologia PGP PGP è un protocollo di crittografia della posta elettronica basato sul sistema di crittografia a chiave pubblica RSA. ●Utilizzalo per crittografare le e-mail per impedire a persone non autorizzate di leggerle e per aggiungere firme digitali alle e-mail. Ciò consente al destinatario di identificare il mittente dell'e-mail e garantire che l'e-mail non sia stata manomessa. Combina i metodi di crittografia a catena di RSA e IDEA. ●Il processo di funzionamento di PGP consiste nell'utilizzare una chiave generata casualmente (diversa per ciascuna crittografia) per crittografare il testo in chiaro tramite l'algoritmo IDEA, quindi crittografare la chiave utilizzando l'algoritmo RSA. Pertanto, ha la riservatezza di RSA e la velocità dell'algoritmo IDEA. Caratteristiche principali di PGP: ●Utilizzare PGP per crittografare le e-mail per impedirne la lettura illegale. ●Essere in grado di aggiungere una firma digitale all'e-mail crittografata, in modo che il destinatario sia ulteriormente convinto del mittente dell'e-mail, senza la necessità di alcun canale confidenziale per trasmettere anticipatamente la chiave. ●Può essere firmato solo senza crittografia, il che è adatto a verificare l'identità del dichiarante quando fa una dichiarazione pubblica e può anche impedire al dichiarante di negarla. ●Possibilità di crittografare file, inclusi file grafici, file audio e altri tipi di file.

Kerberos In un ambiente applicativo di rete distribuito, per garantire la sicurezza del suo utilizzo, la workstation deve essere in grado di confermare la propria identità al server in modo affidabile e sicuro, altrimenti sorgeranno molti problemi di sicurezza. La tecnologia che risolve questo problema si chiama autenticazione dell'identità. Le tecnologie comuni di autenticazione dell'identità includono ●Entrambi gli utenti specificano una chiave condivisa (la meno sicura) ●Generare chiavi utilizzando smart card ●Utilizzare il servizio Kerberos ●Utilizzare il servizio PKI (ottieni il certificato digitale dal centro CA) Come funziona Kerberos ●Kerberos non costruisce un protocollo di autenticazione dell'identità per ciascun server, ma fornisce un server di autenticazione centrale per fornire servizi di autenticazione da utente a server e da server a utente. ●Il nucleo di Kerberos è utilizzare la tecnologia di crittografia DES per ottenere il servizio di autenticazione più elementare.

Il processo di autenticazione Kerberos è diviso in 3 fasi e 6 passaggi: La prima fase: scambio del servizio di autenticazione, il client ottiene il ticket di autorizzazione per l'accesso al server di autorizzazione. ① L'utente A inserisce il proprio nome utente e lo invia al server di autenticazione in chiaro. ②Il server di autenticazione restituisce una chiave di sessione Ks e un ticket KTGS (A,Ks). Questa chiave di sessione è una tantum (può anche essere generata utilizzando una smart card) e questi due pacchetti di dati vengono crittografati utilizzando la chiave dell'utente A verrà chiesto di inserire la password e di decrittografare i dati al momento del rientro. La seconda fase (③④): scambio del servizio di autorizzazione del ticket, il cliente ottiene il ticket di autorizzazione di accesso al servizio dell'applicazione. ③L'utente A invia il ticket ottenuto, il nome del server applicativo B a cui accedere e il timestamp crittografato con la chiave di sessione (utilizzata per prevenire attacchi di ritrasmissione) al server di autorizzazione (TGS). ④Dopo averla ricevuta, il server di autorizzazione (TGS) restituisce la chiave di sessione per la comunicazione tra A e B, inclusa la chiave di sessione KAB crittografata con la chiave di A e crittografata con la chiave di B. La terza fase (⑤⑥): scambio di autenticazione tra il client e il server delle applicazioni e il client ottiene infine i servizi dell'applicazione. ⑤ L'utente A invia la chiave di sessione crittografata con la chiave B ricevuta da TGS al server B e allega un timestamp crittografato con la chiave di sessione KAB di entrambe le parti per prevenire attacchi di ritrasmissione. ⑥ Il server B risponde e completa il processo di autenticazione. Kerberos utilizza un meccanismo di crittografia continua per impedire il dirottamento della sessione.

SSL SSL (Secure Sockets Layer) e il suo successore TLS (Transport Layer Security) sono protocolli di sicurezza che garantiscono la sicurezza delle comunicazioni di rete e dell'integrità dei dati. SSL e TLS sono protocolli di sicurezza che funzionano a livello di trasporto e crittografano le connessioni di rete a livello di trasporto. (1) Il protocollo SSL è diviso in due livelli SSL Record Protocol è basato su un protocollo di trasmissione affidabile (come TCP) e fornisce supporto per funzioni di base come l'incapsulamento, la compressione e la crittografia dei dati per i protocolli di alto livello. Protocollo Handshake SSL Si basa sul protocollo record SSL e viene utilizzato per l'autenticazione dell'identità, la negoziazione di algoritmi di crittografia e lo scambio di chiavi di crittografia tra le parti comunicanti prima che inizi l'effettiva trasmissione dei dati. (2) Servizi forniti tramite protocollo SSL ●Autenticare utenti e server per garantire che i dati vengano inviati al client e al server corretti. ● Crittografare i dati per evitare che vengano rubati durante il processo. ●Mantenere l'integrità dei dati e assicurarsi che i dati non vengano modificati durante la trasmissione.

HTTPS HTTPS è un canale HTTP finalizzato alla sicurezza. È un'estensione del protocollo HTTP e una versione sicura di HTTP. HTTPS è un protocollo che funziona a livello di applicazione, numero di porta 443 La differenza tra HTTPS e HTTP Il protocollo HTTPS richiede la richiesta di un certificato alla CA. HTTP è l'Hypertext Transfer Protocol, le informazioni vengono trasmesse in testo semplice e HTTPS è un protocollo di trasmissione crittografato SSL sicuro. HTTP e HTTPS utilizzano metodi di connessione completamente diversi e utilizzano porte diverse. Il primo è 80 e il secondo è 443. La connessione HTTP è molto semplice e senza stato; il protocollo HTTPS è un protocollo di rete costruito dal protocollo HTTP SSL in grado di eseguire trasmissioni crittografate e autenticazione dell'identità ed è più sicuro del protocollo HTTP.

IMPOSTATO Il protocollo SET è chiamato Secure Electronic Transaction Protocol. Nel processo di transazione online, tutte le parti coinvolte nella transazione sperano di verificare l'identità delle altre parti per evitare di essere ingannate. In risposta a questa situazione, le due principali organizzazioni di carte di credito negli Stati Uniti, Visa e MasterCard, hanno sviluppato congiuntamente un sistema di transazioni online basato su carte bancarie da utilizzare su Internet. Norma di sicurezza - SET. Utilizza la crittografia a chiave pubblica e lo standard del certificato digitale X.509 per garantire la sicurezza delle informazioni sugli acquisti online. sicurezza ●Il protocollo SET può garantire la riservatezza delle transazioni elettroniche, l'integrità dei dati, il non ripudio del comportamento delle transazioni e la legalità dell'identità. ●I partecipanti al protocollo SET includono: titolari di carte, commercianti, banche (emittenti di carte), gateway di pagamento e centri CA.

esercizio