软考·网络工程师认证(第八章)
网络安全基础
网络安全威胁类型
- 窃听:列如搭线窃听、安装通信监视器和读取网上的信息等;
- 假冒:当一个实体假扮成另一个实体进行网络活动时就发生了假冒;
- 重放:重复一份报文或报文的一部分,以便产生一个被授权效果;
- 流量分析:对网上信息流观察和分析推断出网上传输的有用信息;
- 数据完整性破坏:有意或无意地修改或破坏信息系统,或者在非授权和不能监测的方式下对数据进行修改;
- 拒绝服务:当一个授权实体不能获得应有的对网络资源的访问。SYN-Flooding;
- 资源的非授权使用:即与所定义的安全策略不一致的使用;
- 陷门和特洛伊木马:通过替换系统合法程序,或者在合法程序里插入恶意代码;
- 病毒:随着人们对计算机系统和网络依赖程度的增加,计算机病毒已经构成了对计算机系统和网络的严重威胁;
- 诽谤:利用计算机信息系统的广泛互联性和匿名性散步错误的信息,以达到诋毁某个对象的形象和知名度的目的;
网络安全漏洞
- 物理安全性:没关门,机房楼上就是测试;
- 软件安全漏洞:软件有恶意代码,留有后门等;
- 不兼容使用安全漏洞:我买的高通笔记本64位程序不兼容,退货;
- 选择合适的安全哲理:理想与现实,考虑性价比,够用就好;
网络攻击
- 被动攻击:典型的是监听,最难被检测,重点是预防,主要手段是加密;
- 主动攻击:假冒,重复,欺骗,消息篡改和拒绝服务,重点是检测而不是预防,手段有防火墙、IDS等技术;
安全措施目标
- 访问控制;
- 认证:身份认证、消息认证;
- 完整性:确保接收到的信息与发送的信息一致;
- 审计:不可抵赖;
- 保密:确保敏感信息不被泄露;
基本安全技术
- 数据加密;
- 数字签名;
- 身份认证;
- 防火墙;
- 入侵检测;
- 内容检查;
现代加密技术
- 共享密钥加密算法/对称加密算法:加密和解密密钥一样;
- 公钥加密算法/非对称加密算法:加密和解密密钥不一样;
共享密钥/对称加密算法 DES/3EDS/IDEA
DES
一种分组密码,在加密前,先对整个明文进行分组。每一个分组为64位,之后进行16轮迭代,产生一组64位密文数据,使用的密钥是56位;
3DES
使用两个密钥,执行三次DES算法,密钥长度是112位;
IDEA
国际数据加密算法(IDEA)使用128位密钥,把明文分成64位的块,进行8轮迭代;IDEA可以使用硬件或软件实现,比DES快;
共享密钥/对称加密算法 AES/RC4
- 高级加密标准:AES支持128,192和256位三种密钥长度,可通过硬件实现;
- 流加密算法和RC4:加密速度快,可以达到DES 10倍;
公钥加密算法
- 每个实体都有两个密钥:公钥公开,私钥自己保存;
- 公钥加密,私钥解密,可实现保密通信;
- 私钥加密,公钥解密,可实现数字签名;
- 典型公钥加密算法:RSA;
数字签名
数字签名是用于确认发送者身份和消息完整性的一个加密消息摘要,具有以下特点:
- 接收者能够核实发送者;
- 发送者事后不能抵赖对报文的签名;
- 接收者不能伪造对报文的签名;
A私钥签名,A公钥验证
报文摘要 哈希 散列
哈希 Hash(散列函数)
将一段数据(任意长度)经过一道计算,转换为一段定长的数据;
MD5
MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。
SHA
对于长度小于2^64位的消息,SHA1会产生一个160位的消息摘要。当接收到消息的时候,这个消息摘要可以用来验证数据的完整性。
特性
- 不可逆性(单向):几乎无法通过Hash结果推到出原文,即无法通过x的Hash值推到出x;
- 无碰撞性:几乎没有可能找到一个y,使得y的Hash值等于x的Hash的值;
- 雪崩效应:输入轻微变化,Hash输出值产生巨大变化;
散列值相同的话,文件应该也相同
哈希用例
HMAC
- 增加一个key做哈希 HMAC = Hash(文件+key);
- 需要双方预先知道这个key;
- HMAC:消除中间人攻击,源认证+完整性校验(数字签名也能实现);
数字证书与CA
数字证书
用来证明公钥拥有者身份的凭证。一般由数字证书认证机构签发,需要:
- 申请者通过非对称加密算法(RSA) 生成一对公钥和密钥,然后把需要的申请信息(国家,域名等)连同公钥发送给 证书认证机构(CA)
- CA构确认无误后通过消息摘要算法(MD5,SHA) 生成整个申请信息的摘要签名M, 然后 把 签名M和使用的摘要算法 用 CA自己的私钥 进行加密
证书包含了
- 公钥
- 证书拥有者身份信息
- 数字证书认证机构(发行者)信息
- 发行者对这份文件的数字签名及使用的算法
- 有效期
证书认证机构(CA)
数字证书认证机构(英语:Certificate Authority,缩写为CA),也称为电子商务认证中心、电子商务认证授权机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
证书链
流程:
我绝对相信你(A>B);你绝对相信他(B>C);等于我绝对相信他(A>C)。
- 客户端得到服务端返回的证书,通过读取得到 服务端证书的发布机构(Issuer)
- 客户端去操作系统查找这个发布机构的的证书,如果是不是根证书就继续递归下去 直到拿到根证书。
- 用 根证书的公钥 去 解密验证 上一层证书的合法性,再拿上一层证书的公钥去验证更上层证书的合法性;递归回溯。
- 最后验证服务器端的证书是 可信任 的。
虚拟专网VPN
一种建立在公网上的,由某一组织或某一群用户专用的通信网络;
分为:
- 二层VPN:L2TP和PPTP(基于PPP);
- 三层VPN:IPsec和GRE;
- 四层VPN:SSL;
实现VPN关键技术
- 隧道技术;
- 加解密技术;
- 密钥管理技术;
- 身份认证技术;
VPN解决方案
- 内联网VPN:实现总分机构互联;
- 外联网VPN:实现兄弟单位互联;
- Access/Rmote VPN:实现用户远程接入;
二层隧道协议
二层隧道协议有PPTP和L2TP,都是把数据封装在PPP帧中在因特网上传输;
PPP协议
点到点协议,用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案;可以在点对点链路上传输多种上层协议的数据包,有校验位。
PPP包含链路控制协议LCP和网络控制协议NCP;
| 协议 | 上层协议 | 地址协商 |
|---|---|---|
| PPP | 多协议 | 能 |
| HDLC | IP | 不能 |
PPP协议认证功能 PAP和CHAP
- PAP:两次握手验证协议,口令以明文传送,被验证方首先发起请求;
- CHAP:三次握手,认证过程不发送认证口令,传送MMAC散列值;
IPSec原理
IPSec是IETF定义的一组协议,用于增强IP网络的安全性;
提供如下安全服务:
- 数据完整性;
- 认证;
- 保密性;
- 应用透明安全性;
功能分为三类:
- 认证头(AH):提供数据完整性和数据源认证,但不提供数据保密服务 MD5、SHA;
- 封装安全负荷(ESP):提供数据加密功能,加密算法有DES、3DES、AES等;
- Internet密钥交换协议(IKE):用于生成和分发在ESP和AH中使用的密钥;
封装模式
传输模式
保护范围:主机到主机,IP头未被保护,通信终点也是IPSec终点
隧道模式
保护范围:路由器到路由器之间,IP包头被保护
SSL与HTTPS
安全套接层
传输层安全协议,面向用于实现Web安全通信;
SSL/TLS在Web安全通信中被称为HTTPS;
SSL基于TCP端口443;
组成
- 底层:记录层协议,提供机密性,真实性和重传保护;
- 高层:握手协议,告警协议,改变密码规格协议;
- TCP Layer:TCP层,只为TCP连接提供服务;
应用层协议
- S-HTTP安全的超文本传输协议;
- S-HTTP语法与HTTP一样,而报文头有所区别,进行了加密;
PGP
- 提供数据加密和数字签名两种服务;
- 采用RSA公钥证书进行身份验证;
- 使用IDEA进行数据加密;
- 使用MD5进行数据完整性验证;
应用广泛的原因:
- 支持多平台,免费使用;
- 基于比较安全的算法;
- 可以加密文件和电子邮件,也可以用于个人通信,应用集成PGP;
S/MIME,SET和Kerberos认证
- S/MIME:提供电子邮件安全服务;
- SET:安全的电子交易,用于保障电子商务安全;
- Kerberos:是用于进行身份认证的安全协议,支持AAA:认证、授权和审计;
防火墙
- 可以实现内部网络(信任网络)与外部不可信任网络之间或是内部网络不同区域隔离与访问控制;
- 技术与分类:包过滤、状态化防火墙、应用层网关、应用层检测DPI;
计算机病毒与防护
病毒
指一段可执行的程序代码,通过对其他程序进行修改,可以感染这些程序使其含有该病毒程序的一个拷贝。
四个阶段
- 潜伏阶段(震网病毒);
- 繁殖阶段(勒索病毒);
- 触发阶段(震网病毒);
- 执行阶段;
命名
<病毒前缀>.<病毒名>.<病毒后缀>
常见的病毒类型
IDS与IPS
- 入侵防御系统IPS;
- 入侵检测系统IDS;
不同:
部署位置不同:IPS一般串行部署,IDS一般旁路部署;
入侵响应能力不同:IPS能检测入侵,并能主动防御,IDS只能检测记录日志,发出警报;
入侵检测
- 入侵检测IDS是防火墙之后的第二道安全屏障;
入侵检测系统分类
- 按信息来源分:HIDS、NIDS、DIDS(主机/网络/分布式);
- 按响应方式分:实时检测和非实时检测;
- 按数据分析技术和处理方式分:异常检测、误用检测和混合检测;
- 异常检测:能够检测从未出现的攻击,但误报率高;
- 误用检测:已知入侵检测准确率高,对于未知入侵检测准确率低,高度依赖特征库;
软考·网络工程师认证(第八章)相关推荐
- 软考·网络工程师认证(第九章) 第一篇
本地用户与组 用户:包含用户名.密码.权限以及说明: 用户组:具有相同性质的用户归结在一起,统一授权,组成用户组: 创建用户和组:我的电脑-右键-管理-计算机管理-本地用户和组: 常见用户组(重要) ...
- 软考网络工程师考什么?有什么用?怎么备考?
软考网络工程师是什么? 软考网络工程师是一种由中国国家人力资源和社会保障部主管的职业资格认证考试.该考试旨在评估网络工程师的实际技能和能力,以证明其在计算机网络领域中的专业知识和技能水平. 软考网络工 ...
- 软考网络工程师上午考试知识点总结整理
楼主顺利通过了软考网络工程师中级资格考试,在复习过程中对上午考试的知识点进行了总结,总结了很多,但可能条理性不够强,但都是一些难掌握或者重点,常考的点,所以分享出来,可以帮助大家复习准备~ 第一章 编 ...
- 软考网络工程师如何复习?
本篇文章从以下三个方面回答,小白看这篇就够了! 网络工程师是什么? 网络工程师有什么用? 网络工程师考什么? 网络工程师如何备考? 网络工程师是什么? 网络工程师是软考中级科目,计算机网络方向的. 软 ...
- 华为网络工程师虚拟服务器软件,软考网络工程师华为、思科指令大全
原标题:软考网络工程师华为.思科指令大全 华为命令大全 一.配置交换机的名称和密文密码: //用户视图 system-view //进入系统视图配置 [Huawei] //系统视图 [Huawei]q ...
- 两次关于软考网络工程师的经历
考过两次软考网络工程师,第一次没怎么准备,稀里糊涂参加考试,下午差几分:第二次痛定思痛,好好的分析了下试题,上午61,下午49,下午只写了30分钟左右,因为觉得自己过的了了,就匆匆交卷了.总结两次考试 ...
- 软考网络工程师身份证忘记领取啦怎么办
软考网络工程师身份证忘记领取啦怎么办. 自己就忘记过.所以深知那种感觉.就分享一下吧. 我的历程: 我是先跟协会打的电话.后来周一才打通,说是在哪里考试的就去哪里去领取. 后来,到了考试的地方.最后是 ...
- 2011年软考网络工程师全面复习资料汇总
2011年软考网络工程师全面复习资料汇总 http://www.csairk.com/user/xch/from.asp?id=440&wh=201212 转载于:https://blog.5 ...
- 2016年软考网络工程师考试命题范围变化之网络设备配置与复习技巧
从2016年上半年考试开始,软考网络工程师考试中,对下午部分的网络设备:交换机,路由器和防火墙设备不在局限于cisco的ios和pix设备,增加了华为的部分设备的配置.很多学员就感觉考试难度增加,又要 ...
- 计算机软考网络工程师历年真题,计算机软考《网络工程师》考试历年真题精选(1)...
2010年11月软考网络工程师考试上午试题 ●在输入输出控制方法中,采用(1)可以使得设备与主存间的数据块传送无需CPU干预. (1)A.程序控制输入输出 B.中断 C.DMA D.总线控制 ●若计算 ...
最新文章
- [源码和文档分享]基于FFMEPEG-MATLAB和C#-SQL SERVER构建的手机录音数据库及特征分析...
- 根文件系统使用登录模式
- C++之const修饰得到是谁
- 从 ThreadLocal 到 AsyncLocal
- [19/06/07-星期五] CSS基础_布局定位背景样式
- C++安全方向:(三)课前导学:密码学核心开发技术
- Windows下安装libiconv库教程(转换字符编码库)
- 计算机自动重启快捷键,什么是笔记本电脑重启快捷键
- .net mvc 利用分部视图局部刷新.
- (十)SSL协议(待修)
- Python-编程例题
- VHDL硬件描述语言(六)VHDL案例
- 惠斯通电桥与运算放大器的输入失调电流和输入偏置电流
- 2018年个人成长总结及2019年个人成长计划
- Ubuntu 安装和配置Eclipse
- Ubuntu内核编译教程-编译Linux4.5.0内核
- 应急物资配送小程序的设计与实现
- 记录学生时代的英语神器
- Unity【Multiplayer 多人在线】- Socket 通用客户端网络模块(一)、Connect 连接服务端
- 段码液晶屏问题六大分类