2011年軟件水平考試網(wǎng)絡(luò)工程師全面復(fù)習(xí)資料(29)
四. 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)
網(wǎng)絡(luò)入侵檢測(cè)技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù),它通過(guò)硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢查,并與系統(tǒng)中的入侵特征數(shù)據(jù)庫(kù)進(jìn)行比較,一旦發(fā)現(xiàn)有被攻擊的跡象,立刻根據(jù)用戶所定義的動(dòng)作做出反應(yīng),如切斷網(wǎng)絡(luò)連接,或通知防火墻系統(tǒng)對(duì)訪問(wèn)控制策略進(jìn)行調(diào)整,將入侵的數(shù)據(jù)包過(guò)濾掉等。
網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的特點(diǎn)是利用網(wǎng)絡(luò)監(jiān)控軟件或者硬件對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并分析,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的跡象并做出反應(yīng)。入侵檢測(cè)部件可以直接部署于受監(jiān)控網(wǎng)絡(luò)的廣播網(wǎng)段,或者直接接收受監(jiān)控網(wǎng)絡(luò)旁路過(guò)來(lái)的數(shù)據(jù)流。為了更有效地發(fā)現(xiàn)網(wǎng)絡(luò)受攻擊的跡象,網(wǎng)絡(luò)入侵檢測(cè)部件應(yīng)能夠分析網(wǎng)絡(luò)上使用的各種網(wǎng)絡(luò)協(xié)議,識(shí)別各種網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別通常是通過(guò)網(wǎng)絡(luò)入侵特征庫(kù)來(lái)實(shí)現(xiàn)的,這種方法有利于在出現(xiàn)了新的網(wǎng)絡(luò)攻擊手段時(shí)方便地對(duì)入侵特征庫(kù)加以更新,提高入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別能力。
利用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)安全檢測(cè)和實(shí)時(shí)攻擊識(shí)別,但它只能作為網(wǎng)絡(luò)安全的一個(gè)重要的安全組件,網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全實(shí)現(xiàn)應(yīng)該結(jié)合使用防火墻等技術(shù)來(lái)組成一個(gè)完整的網(wǎng)絡(luò)安全解決方案,其原因在于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)雖然也能對(duì)網(wǎng)絡(luò)攻擊進(jìn)行識(shí)別并做出反應(yīng),但其側(cè)重點(diǎn)還是在于發(fā)現(xiàn),而不能代替防火墻系統(tǒng)執(zhí)行整個(gè)網(wǎng)絡(luò)的訪問(wèn)控制策略。防火墻系統(tǒng)能夠?qū)⒁恍╊A(yù)期的網(wǎng)絡(luò)攻擊阻擋于網(wǎng)絡(luò)外面,而網(wǎng)絡(luò)入侵檢測(cè)技術(shù)除了減小網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)之外,還能對(duì)一些非預(yù)期的攻擊進(jìn)行識(shí)別并做出反應(yīng),切斷攻擊連接或通知防火墻系統(tǒng)修改控制準(zhǔn)則,將下一次的類似攻擊阻擋于網(wǎng)絡(luò)外部。因此通過(guò)網(wǎng)絡(luò)安全檢測(cè)技術(shù)和防火墻系統(tǒng)結(jié)合,可以實(shí)現(xiàn)了一個(gè)完整的網(wǎng)絡(luò)安全解決方案。
附:
一.CA中心的安全應(yīng)用--數(shù)字證書(shū)頒發(fā)
CA (Certificate Authority)
CA技術(shù)是安全認(rèn)證技術(shù)的一種它基于公開(kāi)密鑰體系通過(guò)安全證書(shū)來(lái)實(shí)現(xiàn) 安全證書(shū)采用國(guó)際標(biāo)準(zhǔn)的X.509證書(shū)格式主要包括 證書(shū)的版本號(hào) 發(fā)證CA的身份信息 持證用戶的身份信息 持證用戶的公鑰
CA中心所發(fā)放的數(shù)字安全證書(shū)可以應(yīng)用于公眾網(wǎng)絡(luò)上的商務(wù)活動(dòng)和行政作業(yè)活動(dòng),包括支付型和非支付型電子商務(wù)活動(dòng),其應(yīng)用范圍涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個(gè)行業(yè),包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易,以及公共事業(yè)、金融服務(wù)業(yè)、工商稅務(wù)海關(guān)、政府行政辦公、教育科研單位、保險(xiǎn)、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng)。它主要應(yīng)用于網(wǎng)上購(gòu)物、企業(yè)與企業(yè)的電子貿(mào)易、安全電子郵件、網(wǎng)上證券交易、網(wǎng)上銀行等方面。
二. 密鑰的管理內(nèi)容
1.一個(gè)好的密鑰管理系統(tǒng)應(yīng)該做到
(1)密鑰難以被竊取;
(2)在一定條件下竊取了密鑰也沒(méi)有用,密鑰有使用范圍和時(shí)間的限制;
(3)密鑰的分配和更換過(guò)程對(duì)用戶透明,用戶不一定要親自掌管密鑰.
a. 管理方式
層次化的密鑰管理方式,用于數(shù)據(jù)加密的工作密鑰需要?jiǎng)討B(tài)產(chǎn)生;工作密鑰由上層的加密密鑰進(jìn)行保護(hù),最上層的密鑰稱為主密鑰,是整個(gè)密鑰管理系統(tǒng)的核心;多層密鑰體制大大加強(qiáng)了密碼系統(tǒng)的可靠性,因?yàn)橛玫米疃嗟墓ぷ髅荑€常常更換,而高層密鑰用的較少,使得破譯者的難度增大。
b. 密鑰的生成
密鑰的生成與所使用的算法有關(guān)。如果生成的密鑰強(qiáng)度不一致,則稱該算法構(gòu)成的是非線性密鑰空間,否則稱為是線性密鑰空間。
c. 分配、傳遞
密鑰的分配是指產(chǎn)生并使使用者獲得一個(gè)密鑰的過(guò)程;密鑰的傳遞分集中傳送和分散傳送兩類。集中傳送是指將密鑰整體傳送,這時(shí)需要使用主密鑰來(lái)保護(hù)會(huì)話密鑰的傳遞,并通過(guò)安全渠道傳遞主密鑰。分散傳送是指將密鑰分解成多個(gè)部分,用秘密分享的方法傳遞,只要有部分到達(dá)就可以恢復(fù),這種方法適用于在不安全的信道中傳輸。
d. 密鑰的保存
密鑰既可以作為一個(gè)整體保存,也可以分散保存。整體保存的方法有人工記憶、外部記憶裝置、密鑰恢復(fù)、系統(tǒng)內(nèi)部保存;分散保存的目的是盡量降低由于某個(gè)保管人或保管裝置的問(wèn)題而導(dǎo)致密鑰的泄漏。
e. 備份、銷毀
密鑰的備份可以采用和密鑰的分散保存一樣的方式,以免知道密鑰的人太多;密鑰的銷毀要有管理和仲裁機(jī)制,否則密鑰會(huì)被有意無(wú)意的丟失,從而造成對(duì)使用行為的否認(rèn)。
2. 密鑰的分配技術(shù)
密鑰的分配技術(shù)解決的是在網(wǎng)絡(luò)環(huán)境中需要進(jìn)行安全通信的端實(shí)體之間建立共享的對(duì)稱密鑰問(wèn)題。
密鑰分配中心方式KDC(Key Distribution Center)
這是當(dāng)前一種主流方式。每個(gè)節(jié)點(diǎn)或用戶只需保管與KDC之間使用的密鑰加密密鑰,而KDC為每個(gè)用戶保管一個(gè)互不相同的密鑰加密密鑰。當(dāng)兩個(gè)用戶需要通信時(shí),需向KDC申請(qǐng),KDC將工作密鑰(也稱會(huì)話密鑰)用這兩個(gè)用戶的密鑰加密密鑰分別進(jìn)行加密后送給這兩個(gè)用戶。在這種方式下,用戶不用保存大量的工作密鑰,而且可以實(shí)現(xiàn)一報(bào)一密,但缺點(diǎn)是通信量大,而且需要有較好的鑒別功能,以識(shí)別KDC和用戶。
KDC方式還可以變形為電話號(hào)碼本方式,適用于非對(duì)稱密碼體制。通過(guò)建立用戶的公開(kāi)密碼表,在密鑰的連通范圍內(nèi)進(jìn)行散發(fā),也可以采用目錄方式進(jìn)行動(dòng)態(tài)查詢,用戶在進(jìn)行保密通信前,首先產(chǎn)生一個(gè)工作密鑰并使用對(duì)方的公開(kāi)密鑰加密傳輸,對(duì)方獲悉這個(gè)工作密鑰后,使用對(duì)稱密碼體制與其進(jìn)行保密通信。
此外還有離散對(duì)數(shù)方法和智能卡方式,基本的思想是利用數(shù)學(xué)的方法使得別人無(wú)法獲得密鑰。
3. 公開(kāi)密鑰的全局管理機(jī)制
公開(kāi)密鑰體制主要針對(duì)開(kāi)放型的大型互聯(lián)網(wǎng)絡(luò)的應(yīng)用環(huán)境而設(shè)計(jì)的,這種網(wǎng)絡(luò)環(huán)境中需要有一個(gè)協(xié)調(diào)的公開(kāi)密鑰管理機(jī)制,以保證公開(kāi)密鑰的可靠性。
公開(kāi)密鑰的管理一般基于公證機(jī)制,即需要一個(gè)通信的A、B雙方都信任的第三方N來(lái)證明A和B的公開(kāi)密鑰的可靠性,這需要N分別對(duì)A和B的公開(kāi)密鑰進(jìn)行數(shù)字簽名,形成一個(gè)證明這個(gè)公開(kāi)密鑰可靠性的證書(shū)。在一個(gè)大型網(wǎng)絡(luò)中,這樣的公證中心可以有多個(gè),另外這些公證中心若存在信任關(guān)系,則用戶可以通過(guò)一個(gè)簽名鏈去設(shè)法驗(yàn)證一個(gè)公證中心簽發(fā)的證書(shū)。
公開(kāi)密鑰管理的另外一個(gè)重要方面是如何撤消過(guò)去簽發(fā),但是現(xiàn)在已經(jīng)失效的密鑰證書(shū)。
4.基于X.509證書(shū)的PKI(Public Key Infrastructure)
它是一種行業(yè)標(biāo)準(zhǔn)或者行業(yè)解決方案,在X.509方案中,默認(rèn)的加密體制是公鑰密碼體制。為進(jìn)行身份認(rèn)證,X.509標(biāo)準(zhǔn)及公共密鑰加密系統(tǒng)提供了數(shù)字簽名的方案。用戶可生成一段信息及其摘要(亦稱作信息“指紋”)。用戶用專用密鑰對(duì)摘要加密以形成簽名,接收者用發(fā)送者的公共密鑰對(duì)簽名解密,并將之與收到的信息“指紋”進(jìn)行比較,以確定其真實(shí)性。
PKI是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái),目的是為了管理密鑰和證書(shū)。它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書(shū)管理。一個(gè)機(jī)構(gòu)通過(guò)采用PKI框架管理密鑰和證書(shū)可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。
PKIX(PublicKeyInfrastructureonX.509,簡(jiǎn)稱PKIX)系列標(biāo)準(zhǔn)由IETFPKIX工作小組制定,定義了X.509證書(shū)在INTERNET上的使用,證書(shū)的生成、發(fā)布和獲取,各種產(chǎn)生和分發(fā)密鑰的機(jī)制,以及怎樣實(shí)現(xiàn)這些標(biāo)準(zhǔn)的輪廓結(jié)構(gòu)等。
三.IPsec與VPN簡(jiǎn)介
IPSec,因特網(wǎng)協(xié)議安全,是由IETF(Internet Engineering Task Force)定義的一套在網(wǎng)絡(luò)層提供IP安全性的協(xié)議。
1. 基于Ipsec的VPN,如阿姆瑞特VPN,由兩部分組成
1.Internet密鑰交換協(xié)議(IKE)
2.IPsec協(xié)議(AH/ESP/二者都有)
第一部分,IKE是初始協(xié)商階段,兩個(gè)VPN端點(diǎn)在這個(gè)階段協(xié)商使用哪種方法為下面的IP數(shù)據(jù)流提供安全。而且,通過(guò)定義一套安全聯(lián)盟(SA),IKE用于管理連接;SA面向每個(gè)連接的。SA是單向的,因此每個(gè)Ipsec連接至少有2個(gè)SA。在IKE(因特網(wǎng)密鑰交換)部分對(duì)此有更詳細(xì)的描述。
另一部分是IKE協(xié)商后,用加密和認(rèn)證方法實(shí)際傳輸?shù)腎P數(shù)據(jù)。有幾種方法,如IPsec協(xié)議ESP, AH或兩者結(jié)合在一起都可以做到這一點(diǎn)。IPsec協(xié)議(ESP/AH)部分對(duì)此進(jìn)行了解釋。
2. 建立VPN事件的流程可做如下簡(jiǎn)要描述
IKE協(xié)商如何保護(hù)IKE
IKE協(xié)商如何保護(hù)Ipsec
Ipsec在VPN中傳輸數(shù)據(jù)
Internet密鑰交換協(xié)議(IKE)
這部分描述IKE,因特網(wǎng)密鑰交換協(xié)議,及其使用的參數(shù)。
加密和認(rèn)證數(shù)據(jù)比較直接,唯一需要的是加密和認(rèn)證算法,及其使用的密鑰。因特網(wǎng)密鑰交換協(xié)議(IKE),用作分配這些對(duì)話用密鑰的一種方法,而且在VPN端點(diǎn)間,規(guī)定了如何保護(hù)數(shù)據(jù)的方法。
3.IKE主要有三項(xiàng)任務(wù)
a.為端點(diǎn)間的認(rèn)證提供方法
b.建立新的IPsec連接(創(chuàng)建一對(duì)SA)
c.管理現(xiàn)有連接
IKE跟蹤連接的方法是給每個(gè)連接分配一組安全聯(lián)盟(SA)。SA描述與特殊連接相關(guān)的所有參數(shù),包括使用的Ipsec協(xié)議(ESP/AH/二者兼有),加密/解密和認(rèn)證/確認(rèn)傳輸數(shù)據(jù)使用的對(duì)話密鑰。SA本身是單向的,每個(gè)連接需要一個(gè)以上的SA。大多數(shù)情況下,只使用ESP或AH,每個(gè)連接要?jiǎng)?chuàng)建2個(gè)SA,一個(gè)描述入站數(shù)據(jù)流,另一個(gè)描述出站數(shù)據(jù)流。同時(shí)使用ESP和AH的情況中就要?jiǎng)?chuàng)建4個(gè)SA。
4.IKE 協(xié)商
協(xié)商對(duì)話參數(shù)過(guò)程中包含許多階段和模式。下面對(duì)其進(jìn)行具體描述。
事件流程如下描述:
IKE階段1 協(xié)商應(yīng)該如何保護(hù)IKE
IKE階段2 協(xié)商應(yīng)該如何保護(hù)Ipsec
源自階段1的密鑰交換生成一些新的加密信息,以提供VPN數(shù)據(jù)流加密和認(rèn)證中使用的對(duì)話密鑰。
IKE和Ipsec連接都有使用期限的限制,使用時(shí)間(秒)和數(shù)據(jù)大小(KB)來(lái)描述。使用期限用于防止連接建立的時(shí)間過(guò)長(zhǎng),從密碼學(xué)的角度看,這是有必要的。
IPSec的使用期限一般要比IKE的使用期限短。這樣通過(guò)進(jìn)行階段2協(xié)商時(shí),對(duì)Ipsec連接再次加密。不必進(jìn)行另外的階段1協(xié)商直至到IKE使用期限。
5.IKE 協(xié)議
IKE提議是如何保護(hù)數(shù)據(jù)的建議。發(fā)起IPsec連接的VPN網(wǎng)關(guān),作為發(fā)起者會(huì)發(fā)出提議列表,提議表建議了不同的護(hù)連接的方法。
協(xié)商連接可以是通過(guò)VPN來(lái)保護(hù)數(shù)據(jù)流的Ipsec連接,或是IKE連接,保護(hù)IKE協(xié)商本身。
響應(yīng)的VPN網(wǎng)關(guān),在接收到此提議表后,就會(huì)根據(jù)自己的安全策略選擇最適合的提議,并根據(jù)已選擇的提議做出響應(yīng)。如果沒(méi)有找到可接受的提議,就會(huì)做出沒(méi)有可接受提議的響應(yīng),并可能提供原因。提議包括需要的全部參數(shù),如加密和認(rèn)證數(shù)據(jù)使用的算法,以及IKE參數(shù)中描述的其他參數(shù)。
IKE 階段1 - IKE安全協(xié)商
一個(gè)IKE協(xié)商可分兩個(gè)階段。第一階段(階段1),通過(guò)確認(rèn)遠(yuǎn)端網(wǎng)關(guān)是否具有匹配的Pre-Shared密鑰,來(lái)進(jìn)行2個(gè)VPN網(wǎng)關(guān)或VPN客戶端的相互認(rèn)證。
可是,因?yàn)槲覀儾幌M悦魑姆绞焦继嗟膮f(xié)商信息,所以我們還是要保護(hù)其余的IKE協(xié)商信息。可以用前面描述的方法做到這一點(diǎn),即通過(guò)發(fā)起者向響應(yīng)者發(fā)送提議列表來(lái)完成。一旦這個(gè)工作完成,響應(yīng)者選擇并接受其中的一個(gè)提議后,將嘗試著認(rèn)證VPN的另一端,以確保它就是要認(rèn)可的一端,并校驗(yàn)遠(yuǎn)端網(wǎng)關(guān)正是所期望的。
通過(guò)Pre-Shared密鑰、證書(shū)或公開(kāi)密鑰加密能夠完成認(rèn)證。Pre-Shared密鑰是目前最常見(jiàn)的認(rèn)證方法。阿姆瑞特防火墻VPN模式支持Pre-Shared密鑰和證書(shū)兩種方式。
IKE 階段2 - IPsec安全協(xié)商
另一個(gè)協(xié)商是在階段2進(jìn)行的,詳細(xì)說(shuō)明了Ipsec的連接參數(shù)。
在階段2,我們將從階段1的Diffie-Hellman密鑰交換中摘取新的密鑰信息,并將其作為保護(hù)VPN數(shù)據(jù)流的會(huì)話密鑰。
如果使用PFS(完善的轉(zhuǎn)發(fā)機(jī)密),每個(gè)階段2協(xié)商中,會(huì)進(jìn)行新的Diffie-Hellman交換。雖然這種操作比較慢,但可確保密鑰不依賴于以前用過(guò)的任何密鑰,不從同樣的初始密鑰材料中摘取密鑰。這就保證了在不太安全的事件中,危及了某些密鑰安全時(shí),而不衍生出并發(fā)的密鑰。
一旦完成階段2協(xié)商,就會(huì)建立VPN連接,以備使用。
【編輯推薦】
