1. Распространенные угрозы сетевой безопасности К распространенным угрозам сетевой безопасности относятся: ● Подслушивание (т. е. несанкционированный доступ, утечка информации, кража ресурсов и т. д.). ● Олицетворение (притворство другим объектом, например, олицетворение веб-сайта, подмена IP-адреса и т. д.) ● Воспроизведение ● Нарушение целостности ● Отказ в обслуживании ● Трояны, вирусы ● Анализ трафика

2. Уязвимости сетевой безопасности Обычно злоумышленники ищут слабые места в системе безопасности и бесшумно проникают в сеть через бреши. Поэтому идея разработки оружия хакерской контратаки состоит в том, чтобы выяснить слабые места безопасности в существующей сети, продемонстрировать и протестировать эти дыры в безопасности, а затем указать, как закрыть дыры в безопасности. В настоящее время безопасность информационных систем очень слаба, что в основном отражается в существовании рисков безопасности в операционных системах, компьютерных сетях и системах управления базами данных. Эти риски безопасности проявляются в следующих аспектах. (1) Физическая безопасность. Любое место, где возможен физический доступ к неавторизованным машинам, будет иметь потенциальные проблемы с безопасностью, что позволит пользователям доступа делать то, что им не разрешено. (2) Уязвимости безопасности программного обеспечения. «Привилегированное» ПО содержит вредоносный программный код, позволяющий ему получать дополнительные привилегии. (3) Несовместимое использование уязвимостей безопасности. Когда системные администраторы объединяют программное и аппаратное обеспечение вместе, с точки зрения безопасности можно считать, что система может иметь серьезные риски для безопасности. Так называемая проблема несовместимости — это соединение двух несвязанных, но полезных вещей вместе, что приводит к уязвимостям безопасности. Когда система запущена и работает, такие проблемы трудно обнаружить. (4) Выберите подходящую философию безопасности. Это понимание и интуиция концепций безопасности. Идеальное программное обеспечение, защищенное оборудование и совместимые компоненты не гарантированно будут работать правильно и эффективно, если пользователи не выберут соответствующие политики безопасности и не включат компоненты, повышающие безопасность их систем.

3. Кибератаки

4. Цели мер безопасности

5. Основные технологии безопасности ● Шифрование данных: повторно объедините информацию, чтобы только отправитель и получатель могли восстановить информацию. ● Подпись данных: используется для подтверждения того, что данные действительно подписаны отправителем. ● Аутентификация личности: проверьте легитимность пользователя. ● Брандмауэр: расположен между двумя сетями и контролирует вход и выход пакетов данных с помощью правил. ● Проверка содержимого: проверьте безопасность содержимого данных, чтобы предотвратить повреждение вирусами и троянами.

6. Базовые знания по безопасности системы.

упражнение

1. Технология шифрования данных Технология шифрования данных относится к процессу преобразования информации (открытого текста) в бессмысленный зашифрованный текст с помощью ключей шифрования и функций шифрования, а получатель использует функцию дешифрования и ключ дешифрования для восстановления зашифрованного текста в открытый текст. В зависимости от того, совпадают ли ключ шифрования и ключ дешифрования (можно ли один вывести из другого), их можно разделить на: ● Технология симметричного шифрования (алгоритм шифрования с закрытым ключом). ● Технология асимметричного шифрования (алгоритм шифрования с открытым ключом).

2. Технология симметричного шифрования DES/3DES/IDEA/AES/SM1/SM2/RC2/RC4/RC5 Технология симметричного шифрования означает, что ключ шифрования и ключ дешифрования одинаковы или, хотя они и различны, один можно легко вывести из другого. ● Преимущества: высокая скорость шифрования и дешифрования, высокая надежность шифрования и открытый алгоритм. ● Недостатки: Трудно тайно распространять ключи. Управление ключами затруднено при наличии большого количества пользователей. Более того, такие функции, как аутентификация личности, не могут быть выполнены, что делает их неудобными для применения в открытой сетевой среде. Распространенные алгоритмы симметричного шифрования: ● DES (стандарт шифрования данных): это итеративный блочный шифр. Ввод/вывод — 64 бита. 56-битный ключ и дополнительный 8-битный бит четности. ● 3DES: из-за короткой длины ключа DES в целях повышения безопасности рекомендуется использовать Алгоритм, который использует 112-битный ключ для трехкратного шифрования данных, называется 3DES. ● Алгоритм IDEA (Международный алгоритм шифрования данных): его открытый текст и зашифрованный текст имеют длину 64 бита, а длина ключа составляет 128 бит. PGP (Pretty Good Privacy) использует IDEA в качестве алгоритма блочного шифрования и использует свои коммерческие авторские права; Secure Socket Layer SSL (Secure Socket Layer) также включает IDEA в свою библиотеку алгоритмов шифрования SSLRef; Компания Ascom, владелец патента на алгоритм IDEA, также выпустила серию продуктов безопасности на основе алгоритма IDEA, в том числе: полный плагин Exchange на базе IDEA, чип шифрования IDEA, пакет программного обеспечения для шифрования IDEA и т. д. ● AES (расширенный стандарт шифрования) (расширенный стандарт шифрования). Ключ является основой шифрования и дешифрования алгоритма AES. Алгоритмы симметричного шифрования являются симметричными, поскольку для шифрования и дешифрования открытого текста им требуется один и тот же ключ. Алгоритм блочного шифрования AES поддерживает три длины ключей: 128 бит, 192 бит и 256 бит. ● Алгоритм потокового шифрования и RC4, остальные — блочное шифрование;

3. Технология асимметричного шифрования (алгоритм шифрования с открытым ключом) RSA/ECC/SM2. Технология асимметричного ключа означает, что ключ шифрования и ключ дешифрования совершенно разные, и их невозможно Из одного выведите другое. ●Преимущество заключается в том, что управление ключами простое, можно реализовать функции цифровой подписи и аутентификации личности, и это является основной основой современной электронной коммерции и других технологий. ●Недостатки: алгоритм сложен, скорость и эффективность шифрования данных низкие. Алгоритм RSA Пара ключей RSA генерируется центром управления ключами. Один из них называется закрытым ключом, а другой сохраняется пользователем и может быть опубликован. ●Использование RSA для шифрования больших объемов данных слишком медленное, поэтому RSA широко используется для распределения ключей. ●Алгоритм RSA основан на очень простом факте теории чисел: очень легко умножить два больших простых числа, но чрезвычайно сложно факторизовать их произведение (разложение больших простых чисел). Алгоритм RSA решает большое количество проблем управления ключами пользователей сети. Но RSA не может заменить DES. Их преимущества и недостатки дополняют друг друга: ●Ключ RSA очень длинный, а скорость шифрования низкая; ●Шифрование DES является быстрым и подходит для шифрования более длинных сообщений; Поэтому при передаче информации часто используется комбинация метода шифрования с закрытым ключом и метода шифрования с открытым ключом. Для шифрования чисел большой емкости используются алгоритмы шифрования с открытым ключом, такие как RSA. передавать секретные ключи Ключ, используемый алгоритмом шифрования ключей.

технология шифрования моей страны

упражнение

Технология аутентификации делится на два типа: аутентификация объекта и аутентификация сообщения. ● Аутентификация объекта предназначена для идентификации личности партнера по связи и предотвращения подделки цифровых подписей. ●Аутентификация сообщения предназначена для проверки того, было ли сообщение подделано во время передачи или хранения, обычно с использованием метода дайджеста сообщения. ●Методы аутентификации включают аутентификацию по имени учетной записи и паролю, аутентификацию по алгоритму дайджеста и аутентификацию на основе PKI.

1. Сводная информация Информационные сводки также называются цифровыми сводками. Он генерируется путем применения к сообщению функции одностороннего хэш-шифрования. Причем результаты различных дайджестов открытого текста в зашифрованный текст всегда различны. Если в процессе передачи информация изменится хотя бы на 1 бит, получатель сгенерирует новый дайджест полученной информации, который будет отличаться от исходного дайджеста. образом Вы можете узнать, была ли изменена информация. Таким образом, сводная информация обеспечивает целостность информации. Информационные дайджесты можно использовать для создания цифровых подписей. Информационный дайджест уникален для конкретного файла. И разные документы неизбежно будут содержать разные информационные сводки. Общие алгоритмы обобщения информации включают в себя ●MD5: пятая версия алгоритма дайджеста информации. Входные данные группируются в 512-битные группы и обрабатываются для получения 128-битных выходных данных. ●SHA: алгоритм безопасного хеширования, который также обрабатывается 512-битными группами и выдает 160-битный результат. Их можно использовать для защиты целостности данных. SHA-1 (англ. Secure Hash Algorithm 1, китайское название: Secure Hash Algorithm 1) — это криптографическая хеш-функция, разработанная Агентством национальной безопасности США и опубликованная Национальным институтом стандартов и технологий США (NIST) для федеральных стандартов обработки данных. (ФИПС). SHA-1 может генерировать 160-битное (20-байтовое) хеш-значение, называемое дайджестом сообщения. Хэш-значение обычно представлено в виде 40 шестнадцатеричных цифр.

2. Цифровая подпись Цифровая подпись относится к обработке сообщения, которое должно быть передано, с помощью односторонней функции для получения буквенно-цифровой строки, которая используется для аутентификации источника сообщения и проверки того, изменилось ли сообщение. Вместе с технологией шифрования данных он создает безопасную коммерческую систему шифрования. Традиционное шифрование данных является самым простым методом защиты данных. Оно может только помешать третьей стороне получить реальные данные (конфиденциальность данных), в то время как цифровые подписи могут решить проблему. вопросы аутентификации, подделки, фальсификации и выдачи себя за другое лицо (целостность и неотказуемость данных). Цифровые подписи используют алгоритмы открытого ключа (технология асимметричного ключа). Процесс цифровой подписи: (1) Отправитель A сначала вычисляет дайджест сообщения (MD) информации (M), подлежащей отправке, с помощью хэш-функции, то есть извлекает характеристики исходного текста. (2) Отправитель А шифрует исходный текст (M) и дайджест сообщения (MD) своим собственным секретным ключом (PrA), что необходимо для завершения действия подписи. Информация может быть выражена как PrA (M MD). (3) Затем используйте открытый ключ (PB) получателя B в качестве ключа для повторного шифрования информационного пакета, чтобы получить PB(PrA(M MD)). (4) Когда получатель получает его, он сначала расшифровывает его, используя свой собственный секретный ключ PrB, чтобы получить PrA(M MD). (5) Затем используйте открытый ключ A (PA) для расшифровки. Если его можно расшифровать, это, очевидно, означает, что данные были отправлены A, и в то же время будут получены исходный текст M и дайджест сообщения MD. (6) Затем вычислите дайджест сообщения для исходного текста M, получите новое MD и сравните его с полученным MD If. Последовательный, указывающий на то, что данные не были подделаны во время передачи.

Разница между цифровым шифрованием и цифровой подписью ●Цифровое шифрование использует открытый ключ получателя для шифрования, а получатель использует свой закрытый ключ для расшифровки. ●Цифровая подпись: зашифровать сводную информацию закрытым ключом отправителя и отправить ее получателю вместе с исходным текстом. Получатель может использовать открытый ключ отправителя только для расшифровки зашифрованной сводной информации, а затем использовать функцию HASH для создания новой сводной информации для полученного исходного текста, которая сравнивается с расшифрованной сводной информацией.

3. Протокол RADIUS RADIUS (Служба аутентификации удаленного пользователя при коммутируемом доступе) — это протокол сетевой передачи, который учитывает три службы аутентификации, авторизации и учета. RADIUS — это протокол структуры C/S, который обменивается данными через UDP. Могут использоваться различные методы, такие как аутентификация входа в систему PAP, CHAP или Unix.

упражнение

Цифровой сертификат Цифровой сертификат — это строка цифр, обозначающая идентификационную информацию взаимодействующих сторон в Интернет-коммуникациях. Это способ проверки личности взаимодействующих объектов в Интернете. Он функционирует как наше удостоверение личности. Он выдан авторитетной организацией CA (центр сертификации), и люди могут использовать его для идентификации друг друга в Интернете. Цифровой сертификат — это файл, подписанный цифровой подписью центра сертификации, который содержит информацию о владельце открытого ключа и открытый ключ. В цифровых сертификатах используется система открытых ключей, которая использует пару совпадающих ключей для шифрования и дешифрования. Установите два ключа для каждого пользователя: ●Закрытый ключ: закрытый ключ, известный только вам, используемый для расшифровки и подписи. ●Открытый ключ: раскрыт мной и используется для шифрования и проверки подписей. ● Отправляйте конфиденциальные документы. Отправитель использует открытый ключ получателя для шифрования, а получатель использует свой закрытый ключ для расшифровки. ●Подпись данных. Получатель может подтвердить личность отправителя с помощью цифрового сертификата, а отправитель не может это отрицать. Цифровые подписи гарантируют, что изменения в информации будут обнаружены.

Формат цифрового сертификата Формат цифровых сертификатов обычно использует международный стандарт X.509. Сертификат открытого ключа пользователя X.509 создается доверенным центром сертификации ЦС и сохраняется в общедоступном каталоге X.500 ЦС или пользователем для доступа других пользователей. Цифровые сертификаты включают номер версии, серийный номер (серийный номер каждого сертификата, выданного центром сертификации, уникален), идентификатор алгоритма подписи, имя издателя, срок действия, имя субъекта, информацию об открытом ключе субъекта и уникальный идентификатор эмитента, уникальный идентификатор субъекта, расширенный домен, подпись (то есть результат цифровой подписи ЦС вышеуказанных полей собственным закрытым ключом, то есть подпись сертификата пользователя центром УЦ).

Получить цифровой сертификат Пока любой пользователь получает открытый ключ центра CA, он или она может получить открытый ключ, подписанный центром CA для пользователя. Поскольку сертификат невозможно подделать, нет необходимости устанавливать специальную защиту для каталога, в котором хранится сертификат.

Отзыв сертификата Сертификат должен быть отозван, если срок действия сертификата истек, произошел утечка закрытого ключа пользователя, пользователь отказался от использования услуг исходного центра сертификации или произошла утечка закрытого ключа центра сертификации. В настоящее время центр ЦС будет поддерживать список отзыва сертификатов (CRL), доступный каждому для запроса.

Система управления ключами Управление ключами относится к вопросам, связанным со всем процессом от создания ключей до уничтожения, включая инициализацию системы, генерацию ключей, хранение, резервное копирование/восстановление, загрузку, распространение, защиту, обновление, контроль, потерю, отзыв и уничтожение. Существует три основные системы управления ключами: ●Механизм KMI, подходящий для закрытых сетей и представленный традиционными центрами управления ключами. ●Механизм PKI, подходящий для открытых сетей. ●Механизм SPK, подходящий для крупных частных сетей.

[ ] Пользователь B получает сообщение M, подписанное цифровой подписью A. Чтобы проверить подлинность сообщения, ему сначала необходимо получить цифровой сертификат пользователя A от CA. Цифровой сертификат содержит (A) и (A). можно использовать для проверки подлинности сертификата, а затем использовать (C) для проверки подлинности M. A. Открытый ключ A B. Закрытый ключ A C. Открытый ключ B D. Закрытый ключ B A. Открытый ключ CA B. Закрытый ключ B C. Открытый ключ A D. Открытый ключ B A. Открытый ключ CA B. Закрытый ключ B C. Открытый ключ A D. Открытый ключ B

Виртуальная частная сеть VPN Виртуальная частная сеть — это расширение корпоративной сети в общедоступных сетях, таких как Интернет. Она создает безопасное частное соединение в общедоступной сети через частный канал. По сути, VPN — это виртуальный канал, который можно использовать для соединения двух частных сетей, обеспечивать их безопасность с помощью надежной технологии шифрования и существовать как часть общедоступной сети.

Ключевые технологии VPN ●Туннельная технология ●Технологии шифрования и дешифрования. ●Технология управления ключами ●Технология аутентификации личности.

Классификация и применение VPN

Каковы классификации технологий VPN? 1. Классификация по способу передачи данных: ● Режим туннелирования: за счет включения нового заголовка пакета данных вне исходного пакета данных данные шифруются, а затем передаются. Обычно он используется в таких сценариях, как удаленный доступ и подключение частных сетей в разных регионах. ●Прозрачный режим: пакеты данных шифруются напрямую, без их изменения. Обычно он используется для обеспечения безопасности передачи в общедоступной сети. 2. Классификация по типу сети: ● VPN для удаленного доступа: используется удаленными работниками для доступа к ресурсам внутренней сети компании. Например, PPTP, L2TP, SSL VPN и т. д. ● VPN «точка-точка». Установите VPN-соединение между двумя устройствами для подключения к локальным сетям, распределенным в разных местах. Например, IPSec подходит для сценариев «точка-точка». 3. Классификация по протоколам безопасности: ●Протокол PPTP: инкапсулирован с использованием протокола GRE, имеет низкую надежность шифрования и подходит для сценариев, не требующих высокого уровня безопасности. ●Протокол L2TP: на основе протокола PPTP добавлен протокол L2TP, чтобы сделать его более безопасным и подходящим для сценариев, требующих средней безопасности. ●Протокол IPSec: высокая надежность шифрования и хорошая безопасность, но настройки сложны и подходят для сценариев, требующих высокой степени безопасности.

PPTP (Протокол туннелирования «точка-точка») — это аббревиатура английского протокола туннелирования «точка-точка». Номер порта по умолчанию: 1723 (TCP). Это сетевая технология, поддерживающая многопротокольные виртуальные частные сети. второй слой. С помощью этого протокола удаленные пользователи могут безопасно получить доступ к сети компании через операционную систему Microsoft Windows и другие системы, оснащенные протоколами «точка-точка», а также подключиться к местному интернет-провайдеру и безопасно подключиться к сети компании через Интернет. L2TP (протокол туннелирования уровня 2) — это аббревиатура английского протокола туннелирования уровня 2. Номер порта по умолчанию: 1701 (UDP). Это протокол туннелирования Интернета промышленного стандарта. Его функции примерно аналогичны протоколу PPTP. он также может обрабатывать потоки сетевых данных с помощью шифрования. Однако существуют различия. Например, PPTP требует, чтобы сеть была IP-сетью, а L2TP требует пакетно-ориентированного соединения «точка-точка»; PPTP использует один туннель, а L2TP использует несколько туннелей; проверка туннеля, но PPTP ее не поддерживает. Протокол PPP «точка-точка» (PPP) — это протокол канального уровня, предназначенный для простых каналов, таких как передача пакетов данных между одноранговыми устройствами. Этот канал обеспечивает полнодуплексную работу и доставляет пакеты последовательно. Целью разработки в основном является установление двухточечных соединений для отправки данных через коммутируемые или выделенные линии, что делает его распространенным решением для простых соединений между различными хостами, мостами и маршрутизаторами. ППП имеет следующие особенности: (1) PPP имеет возможность динамически распределять IP-адреса, что позволяет согласовывать IP-адреса во время соединения; (2) PPP поддерживает несколько сетевых протоколов, таких как TCP/IP, NetBEUI, NWLINK и т. д.; (3) PPP имеет возможности обнаружения ошибок, но не имеет возможностей исправления ошибок, поэтому PPP является ненадежным протоколом передачи; (4) Механизм повторной передачи отсутствует, сетевые издержки невелики, скорость высокая. (5) PPP имеет функцию проверки личности. (6) PPP может использоваться на различных типах физических сред, включая последовательные линии, телефонные линии, мобильные телефоны и оптоволокно (например, SDH также используется для доступа в Интернет).

Технология VPN-туннеля ●PPTP: логически расширяет сеанс PPP для формирования виртуального удаленного коммутируемого доступа. При реализации протокола используется тот же механизм аутентификации, что и PPP, включая EAP (протокол расширенной идентификации личности), MS-CHAP (протокол аутентификации с помощью рукопожатия Microsoft), CHAP (протокол аутентификации с помощью рукопожатия), SPAP (протокол аутентификации по паролю Shiva). PAP (протокол аутентификации пароля). Кроме того, в Windows 2000 PPP использует MPPE (технологию двухточечного шифрования Microsoft) для шифрования, поэтому необходимо использовать технологию аутентификации EAP или MS-CHAP. ●L2F: многопротокольный безопасный метод связи VPN может быть установлен на различных носителях. Он инкапсулирует протокол канального уровня, так что сетевой уровень канала полностью независим от протокола канального уровня пользователя. ●L2TP: Это продукт комбинации PPTP и L2F. После того как протокол L2TP инкапсулирует кадр PPP, его можно передавать через IP, X.25, FR или ATM. При создании туннеля L2TP необходимо использовать тот же механизм аутентификации, что и при соединениях PPP. Он сочетает в себе преимущества L2F и PPTP и позволяет пользователям инициировать VPN-соединения с клиента или сервера доступа. ●IPSec: это структура безопасности, состоящая из четырех частей: протокол безопасности, протокол управления ключами, ассоциация безопасности, алгоритм аутентификации и шифрования. Протокол безопасности добавляет к протоколу IP два механизма безопасности на основе паролей: заголовок аутентификации (AH) и инкапсуляцию полезных данных безопасности (ESP). АХ: Это код аутентификации сообщения, который рассчитывается перед отправкой IP-пакета. Отправитель вычисляет AH, используя ключ шифрования, а получатель проверяет его, используя тот же (симметричное шифрование) или другой ключ (асимметричное шифрование). ESP: инкапсулирует и шифрует весь IP-пакет, обычно с использованием алгоритма DES.

Какие услуги безопасности может предоставить технология IPSEC (безопасность интернет-протокола)? 1. Аутентификация личности: IPSec может проверять личность обеих взаимодействующих сторон, чтобы гарантировать, что только законные пользователи могут получить доступ к защищенным ресурсам. 2. Целостность данных. IPSec использует алгоритм, называемый хеш-функцией, для хэширования данных и проверки того, были ли они подделаны. Если во время передачи данных произойдут какие-либо изменения, получатель обнаружит, что данные неполные, и откажется их обрабатывать. 3. Конфиденциальность данных: IPSec использует алгоритмы шифрования для шифрования передаваемых данных, чтобы защитить данные от получения неавторизованными лицами. 4. Защита от атак повторного воспроизведения. Когда IPSec устанавливает соединение, он запрашивает отправителя отправить уникальный идентификатор, который будет меняться во время каждого соединения. Этот идентификатор защищает данные от повторного использования, не позволяя злоумышленникам воспользоваться недостатками повторного использования данных. 5. Предотвращение атак типа «отказ в обслуживании». IPSec может ограничивать трафик в соответствии с политиками безопасности, перехватывать несанкционированный трафик и уменьшать количество атак на защищенные ресурсы.

техническая архитектура IPSEC

Архитектура IPSec VPN Протокол безопасности: отвечает за защиту данных, AH/ESP. Режим работы: Режим передачи: для обеспечения сквозной защиты, Туннельный режим: для обеспечения межсайтовой защиты. Обмен ключами: IKE: выполняет согласование протоколов безопасности. АХ Проверка целостности данных и проверка источника, ограниченная возможность предотвращения повторного воспроизведения и невозможность обеспечения функции шифрования данных. ESP Обеспечьте конфиденциальность данных, проверку целостности данных и проверку источника, а также определенные возможности предотвращения повторного воспроизведения.

IKE (Интернет-обмен ключами) Протокол представляет собой протокол, используемый для установления безопасного канала в протоколе шифрования IPsec (безопасность интернет-протокола). Его роль заключается в создании безопасных ключей и каналов аутентификации для IPsec, чтобы обеспечить безопасность и конфиденциальность связи и передачи данных в Интернете. Протокол IKE используется в следующих аспектах: Подтвердите взаимодействующие стороны: протокол IKE использует цифровые сертификаты или общие пароли для создания зашифрованных каналов, гарантируя, что только доверенные взаимодействующие стороны могут общаться. Согласование правил шифрования. Протокол IKE согласовывает правила шифрования, такие как алгоритмы шифрования, длину ключей и алгоритмы хэширования, чтобы гарантировать использование новейших технологий безопасности для шифрования данных. Установить ключи. Протокол IKE генерирует ключи, используемые для шифрования и аутентификации IPsec. Поддержание безопасных каналов. Протокол IKE также отвечает за поддержание безопасных каналов IPsec, чтобы гарантировать, что данные во время связи сохраняют конфиденциальность, целостность и доступность.

Два режима IPSec Транспортный режим Это режим IPSec по умолчанию, также известный как сквозной режим. Он подходит для связи IPSec между двумя хостами. В режиме передачи защищена только полезная нагрузка IP, которой может быть протокол TCP/UDP/ICMP или протокол AH/ESP. Режим передачи обеспечивает защиту только для протоколов верхнего уровня. В этом режиме оба хоста, участвующие в обмене данными, должны установить протокол IPSec, и он не может скрыть IP-адрес хоста. После включения режима передачи IPSec IPSec добавит заголовок AH/ESP или оба заголовка перед пакетом транспортного уровня, чтобы сформировать пакет AH/ESP, а затем добавит заголовок IP для формирования IP-пакета. На принимающей стороне сначала обрабатывается IP, затем обрабатывается IPSec и, наконец, данные полезной нагрузки передаются протоколу верхнего уровня. Туннельный режим Используйте межсайтовую связь между двумя шлюзами. Два шлюза, участвующие в обмене данными, фактически предоставляют услуги безопасной связи для компьютеров в двух связанных между собой сетях. Туннельный режим обеспечивает защиту всего IP-пакета, обеспечивая защиту самого протокола IP, а не только протокола верхнего уровня. Обычно, если одна из двух сторон, использующих IPSec, является шлюзом безопасности, необходимо использовать туннельный режим. Одним из преимуществ туннельного режима является то, что он может скрывать IP-адреса внутренних хостов и серверов. Большинство VPN используют туннельный режим, поскольку он не только шифрует все исходное сообщение, но также частично или полностью шифрует адреса источника и назначения связи. Для этого требуется только шлюз безопасности и не требуется установка программного обеспечения VPN на внутреннем хосте. В течение этого периода все операции шифрования, дешифрования и согласования выполняются первым.

Транспортный режим, инкапсуляция AH

Инкапсуляция AH в туннельном режиме

упражнение

Ключевые моменты для установки ipsec-туннеля

брандмауэр Межсетевой экран — это система защиты информации, состоящая из программного или аппаратного оборудования между внутренней сетью и внешней сетью или между частной сетью и сетью общего пользования. Она разрешает или ограничивает прохождение передаваемых данных в соответствии с определенными правилами. Целью брандмауэра является предотвращение входа или выхода несанкционированных сообщений в защищенную сеть.

Функции брандмауэра Межсетевой экран имеет следующие функции: ●Функция контроля доступа ●Функция контроля контента ●Функция комплексного протоколирования ●Функция централизованного управления.

Проектирование кибербезопасности На основе защиты внутренней сети мы также защищаем серверы, предоставляющие услуги внешнему миру.

Три режима работы межсетевого экрана: Режим маршрутизации: внешнее соединение на уровне 3 (интерфейс имеет IP-адрес) Прозрачный режим: внешнее соединение через уровень 2 (интерфейс не имеет IP-адреса) Смешанный режим: брандмауэр имеет интерфейсы, работающие как в режиме маршрутизации, так и в прозрачном режиме (некоторые интерфейсы имеют IP-адреса, некоторые интерфейсы не имеют IP-адресов).

структура брандмауэра Экранирующий маршрутизатор (межсетевой экран с фильтрацией пакетов) 2. Режим хоста с двумя отверстиями 3. Режим экранирующего хоста 4. Режим экранирующей подсети

1. Щитовой маршрутизатор (межсетевой экран с фильтрацией пакетов) Заголовок каждого полученного пакета данных оценивается в соответствии с правилами фильтрации пакетов. Пакеты, соответствующие правилам, пересылаются в соответствии с информацией о маршрутизации, в противном случае они отбрасываются. Фильтрация пакетов осуществляется на уровне IP. Фильтрация пакетов основана на IP-адресе источника. Адрес пакета данных, IP-адрес назначения. Адрес, тип протокола (пакет TCP, пакет UDP, пакет ICMP), порт источника, порт назначения и другая информация заголовка пакета, а также направление передачи пакета данных и другая информация, позволяющая определить, разрешить ли прохождение пакета данных.

2. Режим хоста с двумя отверстиями Хост-бастион, оснащенный как минимум двумя сетевыми картами, используется в качестве межсетевого экрана и располагается между внутренней и внешней сетями для достижения физического разделения.

3． Режим хоста щита Режим экранированного хоста относится к брандмауэру, образованному отдельным маршрутизатором и хостом-бастионом во внутренней сети. Он в основном использует фильтрацию пакетов для изоляции внутренних и внешних сетей и защиты внутренней сети. В этом режиме есть два барьера: один — экранирующий маршрутизатор, а другой — хост-бастион.

4. Режим экранированной подсети В режиме экранированной подсети используются два экранирующих маршрутизатора и хост-бастион для создания изолированной подсети между внутренней и внешней сетями, которая определяется как сеть DMZ, называемая демилитаризованной зоной.

Обнаружения вторжений Обнаружение вторжений — это обнаружение действий вторжения. Он собирает и анализирует поведение сети, журналы безопасности, данные аудита и информацию о нескольких ключевых точках компьютерной системы, чтобы проверить, есть ли какие-либо нарушения политик безопасности и признаки атаки в сети или системе.

Система обнаружения вторжений (система обнаружения вторжений IDS) Это технология сетевой безопасности, которая активно защищает себя от незаконных атак на сети и системы. Она контролирует рабочее состояние сетей и систем в соответствии с определенными политиками безопасности и пытается обнаружить различные попытки атак, поведение атак или результаты атак. возможно, для обеспечения конфиденциальности, целостности и доступности ресурсов сетевой системы. IDS — это технология проактивной защиты.

Функции IDS IDS включает в себя три части: извлечение данных, анализ вторжений и обработку ответов. Кроме того, ее также можно комбинировать с такими функциональными модулями, как база знаний по безопасности и хранилище данных, чтобы обеспечить более полные функции анализа технологий обнаружения безопасности.

Классификация IDS IDS можно классифицировать на основе источников данных и методов обнаружения. Существуют различные методы классификации IDS.

Система предотвращения вторжений (IPS Intrusion Prevention System) Это активная и активная система предотвращения и блокировки вторжений. Она развертывается на входе и выходе из сети. При обнаружении попытки атаки пакет атаки автоматически отбрасывается или принимаются меры для блокировки источника атаки. Функция обнаружения IPS аналогична функции IDS, но после обнаружения атаки IPS предпримет действия для предотвращения атаки. Можно сказать, что IPS — это новый продукт сетевой безопасности, основанный на разработке IDS.

Преимущества предотвращения вторжений: Предотвращение вторжений — это новая технология защиты, которая может как обнаруживать, так и предотвращать вторжения. После обнаружения вторжения в сеть он может автоматически отбрасывать пакеты вторжения или блокировать источник атаки, тем самым принципиально избегая атак. Основные преимущества предотвращения вторжений заключаются в следующем: ●Блокирование атак в режиме реального времени. Устройство развертывается в сети по прямой линии. При обнаружении вторжения оно может перехватывать действия по вторжению и оскорбительный сетевой трафик в режиме реального времени, чтобы свести к минимуму свое вторжение в сеть. ●Глубокая защита: поскольку новые типы атак скрыты на прикладном уровне протокола TCP/IP, система предотвращения вторжений может обнаруживать содержимое прикладного уровня сообщения. Она также может выполнять анализ и обнаружение протокола при повторной сборке сетевого потока данных. и обнаружить и обнаружить поток сетевых данных в соответствии с типом атаки и стратегией. Подождите, чтобы определить, какой трафик следует заблокировать. ●Комплексная защита: предотвращение вторжений может обеспечить защиту от червей, вирусов, троянских программ, бот-сетей, шпионского и рекламного ПО, атак CGI (Common Gateway Interface), атак с использованием межсайтовых сценариев, атак путем внедрения, обхода каталогов, утечки информации и удаленного включения файлов. Защитные меры против атак, атак переполнения, выполнения кода, отказа в обслуживании, инструментов сканирования, бэкдоров и других атак для комплексной защиты от различных атак и защиты сетевой безопасности. ● Как внутренняя, так и внешняя защита: предотвращение вторжений может не только предотвратить атаки извне предприятия, но и предотвратить атаки изнутри предприятия. Система может обнаруживать весь проходящий трафик и защищать как серверы, так и клиенты. ●Постоянное обновление, точная защита: база данных сигнатур предотвращения вторжений будет постоянно обновляться для поддержания высочайшего уровня безопасности.

Разница между IPS и IDS IPS и IDS развертываются по-разному: ● Продукты IDS работают в режиме обхода в сети. IDS (система обнаружения вторжений) Система обнаружения вторжений, IDS обнаруживает и сигнализирует об аномальных данных, которые могут быть вторжениями, информирует пользователей о состоянии сети в реальном времени и предоставляет соответствующие решения и методы обработки. Это система обнаружения вторжений, ориентированная на безопасность. функции по управлению рисками. ● Продукты IPS работают последовательно в сети. Последовательная работа гарантирует, что все сетевые данные проходят через устройство IPS. IPS обнаруживает вредоносные коды в потоке данных, проверяет политику и перехватывает информационные пакеты или потоки данных перед их пересылкой на сервер. Это функция безопасности, ориентированная на контроль рисков. Технология предотвращения вторжений добавляет мощные защитные функции к традиционным IDS.

Типы систем предотвращения вторжений ● Предотвращение вторжений на базе хоста. ● Предотвращение вторжений на основе сети. ● Предотвращение вторжений на основе приложений.

Проблемы, с которыми сталкиваются системы предотвращения вторжений ● Единая точка отказа ● Узкое место производительности. ● Ложноположительные и ложноотрицательные результаты.

упражнение

технология PGP PGP — это протокол шифрования электронной почты, основанный на системе шифрования с открытым ключом RSA. ●Используйте его для шифрования электронных писем, чтобы предотвратить их чтение посторонними лицами, а также для добавления цифровых подписей к электронным письмам. Это позволяет получателю идентифицировать отправителя электронного письма и убедиться, что электронное письмо не было подделано. Он сочетает в себе методы цепного шифрования RSA и IDEA. ●Рабочий процесс PGP заключается в использовании случайно сгенерированного ключа (разного для каждого шифрования) для шифрования открытого текста с помощью алгоритма IDEA, а затем зашифрования ключа с использованием алгоритма RSA. Таким образом, он обладает конфиденциальностью RSA и скоростью алгоритма IDEA. Основные возможности PGP: ●Используйте PGP для шифрования электронной почты и предотвращения несанкционированного чтения. ●Возможность добавлять цифровую подпись к зашифрованному электронному письму, чтобы получатель дополнительно убедился в отправителе электронного письма, без необходимости использования какого-либо конфиденциального канала для предварительной передачи ключа. ●Он может быть подписан только без шифрования, что подходит для проверки личности декларанта при публичном заявлении, а также может предотвратить его отрицание. ●Возможность шифрования файлов, включая графические файлы, звуковые файлы и другие типы файлов.

Керберос В среде распределенных сетевых приложений, чтобы обеспечить безопасность ее использования, рабочая станция должна иметь возможность подтверждать свою идентичность серверу надежным и безопасным способом, в противном случае возникнет множество проблем с безопасностью. Технология, которая решает эту проблему, называется аутентификацией личности. Общие технологии аутентификации личности включают в себя ●Оба пользователя указывают общий ключ (наименее безопасный). ●Создание ключей с помощью смарт-карт. ●Использовать службу Kerberos. ●Использовать службу PKI (получить цифровой сертификат в центре CA). Как работает Керберос ●Kerberos не создает протокол аутентификации личности для каждого сервера, а предоставляет центральный сервер аутентификации для предоставления услуг аутентификации между пользователями и серверами. ●Ядром Kerberos является использование технологии шифрования DES для реализации самой простой службы аутентификации.

Процесс аутентификации Kerberos разделен на 3 этапа и 6 шагов: Первый этап: обмен услугами аутентификации, клиент получает билет разрешения доступа к серверу авторизации. ① Пользователь А вводит свое имя пользователя и отправляет его на сервер аутентификации в виде открытого текста. ②Сервер аутентификации возвращает ключ сеанса Ks и билет KTGS (A,Ks). Этот ключ сеанса является одноразовым (также может быть сгенерирован с использованием смарт-карты), и эти два пакета данных шифруются с использованием ключа пользователя A. при возвращении будет предложено ввести пароль и расшифровать данные. Второй этап (③④): обмен услугами разрешений на билеты, клиент получает билет разрешения на доступ к службе приложений. ③Пользователь A отправляет полученный билет, имя сервера приложений B, к которому осуществляется доступ, и отметку времени, зашифрованную с помощью сеансового ключа (используемого для предотвращения атак повторной передачи), на сервер авторизации (TGS). ④После его получения сервер авторизации (TGS) возвращает сеансовый ключ для связи между A и B, включая сеансовый ключ KAB, зашифрованный ключом A и зашифрованный ключом B. Третий этап (⑤⑥): обмен аутентификацией между клиентом и сервером приложений, и клиент наконец получает услуги приложения. ⑤ Пользователь A отправляет сеансовый ключ, зашифрованный ключом B, полученным от TGS, на сервер B и прикрепляет отметку времени, зашифрованную сеансовыми ключами обеих сторон KAB, для предотвращения атак повторной передачи. ⑥ Сервер B отвечает и завершает процесс аутентификации. Kerberos использует механизм непрерывного шифрования для предотвращения перехвата сеанса.

SSL SSL (Secure Sockets Layer) и его преемник TLS (Transport Layer Security) — это протоколы безопасности, которые обеспечивают безопасность сетевых коммуникаций и целостность данных. SSL и TLS — это протоколы безопасности, которые работают на транспортном уровне и шифруют сетевые соединения на транспортном уровне. (1) Протокол SSL разделен на два уровня. Протокол записи SSL построен на надежном протоколе передачи (например, TCP) и обеспечивает поддержку основных функций, таких как инкапсуляция, сжатие и шифрование данных для протоколов высокого уровня. Протокол SSL Handshake. Он построен на протоколе записи SSL и используется для аутентификации личности, согласования алгоритмов шифрования и обмена ключами шифрования между взаимодействующими сторонами до начала фактической передачи данных. (2) Услуги, предоставляемые протоколом SSL ●Аутентификация пользователей и серверов, чтобы гарантировать отправку данных правильному клиенту и серверу. ● Зашифруйте данные, чтобы предотвратить кражу данных на полпути. ●Поддерживайте целостность данных и гарантируйте, что данные не будут изменены во время передачи.

HTTPS HTTPS — это канал HTTP, предназначенный для обеспечения безопасности. Это расширение протокола HTTP и безопасная версия HTTP. HTTPS — это протокол, работающий на уровне приложений, номер порта 443. Разница между HTTPS и HTTP Протокол HTTPS требует подачи заявки на сертификат в ЦС. HTTP — это протокол передачи гипертекста, информация передается в виде обычного текста, а HTTPS — безопасный протокол передачи с шифрованием SSL. HTTP и HTTPS используют совершенно разные методы подключения и разные порты. Первый — 80, второй — 443. HTTP-соединение очень простое и не сохраняет состояние; протокол HTTPS — это сетевой протокол, созданный на основе протокола SSL HTTP, который может выполнять зашифрованную передачу и аутентификацию личности и более безопасен, чем протокол HTTP.

НАБОР Протокол SET называется протоколом безопасных электронных транзакций. В процессе онлайн-транзакций все стороны сделки надеются проверить личность других сторон, чтобы их не обманули. В ответ на эту ситуацию две крупнейшие компании, выпускающие кредитные карты в США, Visa и MasterCard, совместно разработали систему онлайн-транзакций на основе банковских карт для использования в Интернете. Стандарт безопасности - SET. Он использует криптографию с открытым ключом и стандарт цифровых сертификатов X.509 для обеспечения безопасности информации о покупках в Интернете. безопасность ●Протокол SET может гарантировать конфиденциальность электронных транзакций, целостность данных, невозможность отказа от транзакционного поведения и законность личности. ●К участникам протокола SET относятся: держатели карт, продавцы, банки (эмитенты карт), платежные шлюзы и центры сертификации.

упражнение