【Entrevista de investigación básica】Aspectos básicos de la seguridad de la red

El bloguero resolvió algunas preguntas básicas relacionadas con la seguridad de la red durante las vacaciones de verano con el propósito de realizar una entrevista para la investigación de seguros, y las compartiré con ustedes aquí. El libro de texto de referencia "Fundamentos de seguridad de red: aplicación y estándares (6.ª edición)" no se especializa en seguridad de la información, por lo que tenemos relativamente poco conocimiento de este curso. Puede que no sea apropiado para los estudiantes que se especializan en seguridad consultar este blog.
En el proceso de clasificación, también se utilizaron otros materiales en Internet como referencia, la mayoría de los cuales ya no están disponibles como referencia. Si hay alguna infracción, le notificaremos que la elimine.

---

Capítulo 1 Introducción

1. Conceptos básicos
Seguridad informática: un conjunto de herramientas utilizadas para proteger la seguridad de los datos y prevenir los piratas informáticos Seguridad de la red: un término general para métodos o medidas para proteger la transmisión de datos. Los dos no están claramente definidos.
Definición de seguridad informática: Medidas de protección de un sistema de información automatizado, cuyo objeto es lograr la integridad, disponibilidad y confidencialidad de los recursos del sistema de información.

2. Tríada CIA : Son los tres objetivos incluidos en la definición de seguridad informática
(1) Confidencialidad Confidencialidad Confidencialidad
de los datos: garantizar que la información privada o confidencial no se divulgará a personas no autorizadas.
Privacidad: Garantía de que los individuos pueden controlar e influir en la información relacionada con ellos, que puede ser explotada por otros.
(2) Integridad Integridad Integridad
de los datos, los datos no han sido alterados o dañados sin autorización
Integridad del sistema, el sistema no ha sido manipulado sin autorización y opera de acuerdo con las funciones establecidas
(3) Disponibilidad La disponibilidad
garantiza que la información y los sistemas de información brinden servicios para personas autorizadas en cualquier momento, en lugar de una situación en la que la parte no autorizada abusa pero niega el servicio a la parte autorizada.
(4) Autenticidad
(5) Mensurabilidad

3. FIPS199 define el impacto de las violaciones de seguridad en personas u organizaciones en tres niveles :
①Nivel bajo: impacto negativo limitado en el funcionamiento de la organización, los activos o las personas
②Nivel medio: ...impacto negativo grave.
③Avanzado: ...impacto negativo enorme o catastrófico

4. Arquitectura de Seguridad OSI
(1) ¿Qué es la Arquitectura de Seguridad OSI? Proporciona un enfoque sistemático para definir la seguridad y caracterizar las medidas de seguridad.
(2) Se centra principalmente en ataques, mecanismos y servicios de seguridad.
Ataque a la seguridad: Cualquier comportamiento que pueda comprometer la seguridad de la información de la organización.
Mecanismos de seguridad: mecanismos para detectar, prevenir y recuperarse de ataques de seguridad.
Servicios de seguridad: servicios utilizados para mejorar la seguridad de los sistemas de procesamiento de datos y transferencias de información de una organización.

5. Ataque de seguridad : dividido en ataque activo y ataque pasivo
(1) Ataque pasivo: intenta aprender o usar información del sistema, pero no afecta los recursos del sistema
① Divulgación del contenido del mensaje: los datos transmitidos en la red contienen datos confidenciales información secreta, es posible que el adversario obtenga esta información útil.
②Ataque de análisis de tráfico: si se adopta un método para proteger el contenido de los mensajes u otros flujos, aunque el adversario no pueda extraer información útil de ellos, aún se puede observar el patrón de los mensajes.
(2) Ataque activo: intento de cambiar los recursos del sistema o afectar las operaciones del sistema
① Suplantación de identidad: el enmascaramiento ocurre cuando una entidad finge ser una entidad diferente.
② Reproducir: capturar unidades de datos de forma pasiva y retransmitirlas en el orden original. (Después de un período de tiempo, hágalo de nuevo)
③Reescriba el mensaje: cambie parte del mensaje legal o retrase la reordenación del mensaje.
④ Denegación de servicio: impedir o prohibir el uso o manejo normal de los equipos de comunicación.

6. Servicio de seguridad : Es un servicio proporcionado por la capa de protocolo del sistema abierto de comunicación y puede garantizar que el sistema o la transmisión de datos sea suficientemente seguro. Su propósito es contrarrestar los ataques de seguridad.
Autenticación: La autenticación es para proporcionar servicios de identificación para entidades y fuentes de datos en el proceso de comunicación
Control de acceso: El control de acceso es para proteger los recursos protegidos del uso no autorizado
Confidencialidad: La confidencialidad de los datos es para proteger los datos de la divulgación no autorizada
Integridad: La integridad de los datos se refiere a garantizar que los los datos recibidos por el receptor son los datos enviados por el remitente.No
repudio: el no repudio se refiere a evitar que cualquier entidad en la comunicación niegue una operación o comportamiento que realizó en el
pasado.Disponibilidad

7. Cifrado del mecanismo de seguridad
: la tecnología de cifrado puede proporcionar confidencialidad tanto para los datos como para la información del flujo del servicio de comunicación, y también puede convertirse en parte de otros mecanismos de seguridad para desempeñar un papel complementario.Mecanismo de firma digital: mecanismo de control de acceso digital de la tecnología de firma
:
Acceso El control es para proteger los recursos protegidos del uso no autorizado.Mecanismo de integridad
de datos: Integridad de datos significa garantizar que los datos recibidos por el receptor son los datos enviados por el remitente.La Mecanismo de relleno de tráfico: el relleno de flujo comercial es para encubrir las características del tráfico de comunicación normal mediante el envío de datos adicionales, a fin de lograr el propósito de proteger la confidencialidad del flujo comercial. Control de enrutamiento: el control de enrutamiento es lograr el propósito de protección de seguridad mediante el control del proceso de enrutamiento. Mecanismo justo: El mecanismo justo es utilizar un tercero de confianza para realizar la función de seguridad. ¿La relación entre los servicios de seguridad y los mecanismos de seguridad? Un servicio de seguridad puede ser proporcionado por uno o más mecanismos de seguridad, y un mecanismo de seguridad puede usarse para proporcionar uno o más servicios de seguridad.

8. Modelo de seguridad de la red
Requisitos del modelo del Libro P18
Diseñar un algoritmo razonable para la transformación de la seguridad
Generar información secreta (clave) utilizada por el algoritmo
Desarrollar un método de distribución para la información secreta
Especificar un protocolo para usar este algoritmo de seguridad e información secreta

9. Suplemento
· Intruso: se refiere a la persona que irrumpe o incluso destruye la integridad del sistema de la máquina remota con malas intenciones
· Hacker: se refiere a la persona que tiene un fuerte interés en los misterios de cualquier sistema operativo de computadora.
·Seguridad informática: medidas de protección para un sistema de información automatizado, cuyo propósito es lograr la integridad, disponibilidad y confidencialidad de los recursos del sistema de información ·Seguridad de la red: el término general para métodos o medidas para proteger la transmisión de datos ·Seguridad de la información: se
refiere
a Los sistemas de información que están protegidos contra razones accidentales o maliciosas de ser destruidos, cambiados o filtrados, el sistema opera de manera continua y confiable, los servicios de información no se interrumpen y finalmente se logra la continuidad del negocio.

Capítulo 2 Cifrado simétrico y confidencialidad de mensajes

1. Un esquema de cifrado simétrico consta de 5 partes Libro P23

2. ¿Cuáles son los requisitos para el uso seguro del cifrado simétrico?
① Se requiere un algoritmo de cifrado fuerte. (Conociendo el algoritmo + texto cifrado, o texto cifrado + texto sin formato, no se puede obtener el texto sin formato y la clave)
② El remitente y el receptor deben obtener la clave de forma segura y garantizar la seguridad de la clave.
Complemento: la seguridad del cifrado simétrico depende del secreto de la clave, no del secreto del algoritmo.

3. Tres métodos de clasificación de sistemas criptográficos
① Tipo de operación para convertir texto sin formato en texto cifrado: reemplazo, permutación y combinación
② Número de claves utilizadas: cifrado simétrico y cifrado de clave pública
③ Método de procesamiento de texto sin formato: cifrado de flujo y cifrado de bloque Cifrado
de flujo: procesos continuos elementos de entrada durante la ejecución, produciendo elementos de salida uno a la vez.
Cifrado de bloque: procesa un bloque de elementos de entrada a la vez y produce un bloque de salida correspondiente a ese bloque de entrada

4. Criptoanálisis : el proceso de tratar de encontrar el texto sin formato o la clave se llama criptoanálisis. Tipo de criptoanálisis ver libro P24. Métodos de criptoanálisis: agotamiento, debilidades de los algoritmos.

5. ¿Cómo sabe si un esquema de encriptación es computacionalmente seguro?
• El costo de descifrar excede el valor de la información encriptada
• El tiempo de descifrar excede la vida útil de la información

6. Estructura de cifrado de Feistel Consulte P25 y la Figura 26 del libro para obtener más información
. Entrada: grupo de texto sin formato de 2 bits, clave k
Salida: grupo de texto cifrado de 2 bits.
El grupo de texto sin formato se divide en: L0, R0. Después de n(16) procesamiento de ciclos, se combinan para generar agrupaciones de texto cifrado.Cada
ciclo i toma Li-1 y Ri-1 generados en el ciclo anterior y la subclave Ki generada por K como entrada. En general, la subclave Ki, distinta de K y entre sí, se genera a partir de la clave utilizando un algoritmo de generación de subclave

7.DES
①Algoritmo de cifrado de bloque: el texto sin formato y el texto cifrado tienen una longitud de bloque de 64 bits
②Algoritmo simétrico: el cifrado y el descifrado usan el mismo algoritmo excepto por la disposición de la clave ③Longitud de la clave
: 56 bits

8.3Algoritmo detallado DES, consulte el libro P29
①Utilice 3 claves, ejecute el algoritmo DES tres veces
②Longitud de la clave: 168 bits Entonces, ¿cuántos bits tiene la longitud del texto sin formato y del texto cifrado? 64 bits
③ Debilidades de 3DES: DES y 3DES son demasiado lentos para ejecutarse, inicialmente implementados por hardware, sin un código de software eficiente. Usan un tamaño de paquete de 64 bits y, para mayor eficiencia y seguridad, se requieren paquetes más grandes.

9. AES P30
① El tamaño del grupo es de 128 bits y la longitud de la clave puede ser de 128/192/256 bits
② AES no es una estructura feistel ③
El cifrado y el descifrado son similares pero asimétricos.

10. Números aleatorios y números pseudoaleatorios
(1) Requisitos para los números aleatorios generados: aleatoriedad, imprevisibilidad
Aleatoriedad: los datos deben estar distribuidos uniformemente e
imprevisibilidad independiente: cada número será estadísticamente independiente de otros números, por lo que este número es impredecible
( 2) Número pseudoaleatorio: un número generado por un algoritmo determinista y pasó la prueba de aleatoriedad
(3) Generador aleatorio verdadero, generador pseudoaleatorio y función pseudoaleatoria
Generador de números aleatorios verdaderos: Generar Se usa una fuente aleatoria efectiva como entrada , esta fuente se denomina fuente de entropía.
Generador de números pseudoaleatorios: se utiliza para generar un flujo de bits, que se puede utilizar para cifrados de flujo.
PRF de función pseudoaleatoria: genera algunas cadenas de bits pseudoaleatorios de longitud fija, que se pueden usar para claves cifradas y números aleatorios.

11. Modo de libro de códigos electrónico ECB del modo de trabajo de cifrado de bloque
En este modo, el texto sin formato se procesa b bits a la vez, y cada bloque del texto sin formato se cifra con la misma clave. Para una clave dada, cada bloque de b-bit de texto sin formato corresponde a un texto cifrado único.
Características: ①Simple y efectivo; ②Puede implementarse en paralelo; ③El mismo texto sin formato genera el mismo texto cifrado y la misma información aparece repetidamente para causar fugas; ④Es posible el ataque activo al texto sin formato y los bloques de información pueden reemplazarse, reorganizarse, eliminarse y reproducirse ; ⑤ adecuado para transmitir mensajes cortos

12. Suplemento
Criptografía: Es la ciencia que estudia la seguridad y confidencialidad de los sistemas de información
Criptografía: Estudia principalmente la codificación de información para realizar el ocultamiento de información
Criptoanálisis: Estudia principalmente el descifrado de mensajes cifrados o la falsificación de mensajes .

Capítulo 3 Criptografía de clave pública y autenticación de mensajes

1. La autenticación de mensajes usando encriptación convencional requiere el libro de masterización P48
2. La autenticación de mensajes usando encriptación no convencional Libro P48-50
①Código de autenticación de mensajes MAC
②Función hash unidireccional
③Discusión del valor secreto
: ¿Dónde está la diferencia entre la función MAC y la función de encriptación?
– La función de cifrado debe ser reversible; la función MAC puede ser una función unidireccional.
• ¿MAC puede proporcionar firma digital?
– No, porque las partes que envían y reciben comparten la clave secreta.
• ¿Se puede realizar la autenticación de la autenticidad del mensaje sin un secreto compartido?
– Uso de funciones hash
La autenticación de mensajes proporciona un proceso para verificar que un mensaje recibido proviene de una fuente confiable y no ha sido alterado.
Existen métodos de código de autenticación de mensajes y función hash unidireccional.
Código de autenticación de mensajes MAC: use una clave para generar un pequeño bloque de datos de tamaño fijo y agréguelo al mensaje, llamado código de autenticación de mensajes MAC. (Al mismo tiempo, autentique la fuente del mensaje y los datos) ¿
Cuál es la diferencia entre la función MAC y la función de encriptación?
– La función de cifrado debe ser reversible; la función MAC puede ser una función unidireccional.
• ¿MAC puede proporcionar firma digital?
– No, porque las partes que envían y reciben comparten la clave secreta.
• ¿Se puede autenticar la autenticidad de los mensajes sin una clave secreta compartida?
– utilizando una función hash

Función hash unidireccional : la entrada es un mensaje M de cualquier longitud y la salida es un resumen de mensaje de longitud fija H(M)

Ventajas de utilizar una función hash unidireccional sin utilizar un algoritmo de cifrado :
• El software de cifrado es lento
• El hardware de cifrado es caro
• El hardware de cifrado es ventajoso para datos de gran tamaño
• Los algoritmos de cifrado pueden estar protegidos por patentes
• Los algoritmos de cifrado pueden estar sujetos a Restricciones a la exportación.

Requisitos para una función hash segura
hash
• H puede usarse para bloques de datos de longitud arbitraria
• H puede producir una salida fija
• Calcular H(x) para cualquier x dado es relativamente fácil y puede implementarse en hardware y software
• Para cualquier valor h, no es computacionalmente factible encontrar x que satisfaga H(x)=h, es decir, unidireccional •
Para cualquier bloque de datos dado x, no es computacionalmente factible encontrar x que satisfaga H(y)=H(x) y ≠x no es factible computacionalmente, es decir, resistente a colisiones débiles
• No es factible computacionalmente encontrar cualquier par (x,y) que satisfaga H(x)=H(y), es decir, sexo resistente a colisiones fuertes

Seguridad de la tabla de funciones hash
P52

Lógica del algoritmo SHA-512
• Entrada: mensaje con una longitud máxima de 2128 bits
• Salida: resumen de mensaje de 512 bits •
Procesamiento: la entrada se procesa en unidades de bloques de datos de 1024 bits
Paso 1: agregar bits de relleno
Paso 2: Añadir longitud.
Paso 3: Inicialice el búfer hash
Paso 4: Procese el mensaje del bloque de datos de 1024 bits
Paso 5: Salida

Introducción a HMAC
HMAC es un código de autenticación de mensajes (MAC) basado en una función hash que considera: MAC

Criptografía de clave pública
Componentes del sistema de cifrado de clave pública: texto sin formato, texto cifrado; clave pública, clave privada, cifrado, algoritmo de descifrado
aplicación del sistema de criptografía de clave pública :
cifrado y descifrado firma digital: el remitente utiliza su clave privada para "firmar" el intercambio de claves del mensaje :
Condiciones que debe cumplir el algoritmo criptográfico de clave pública para intercambiar claves de sesión entre las dos partes
Es computacionalmente factible generar un
par de claves Es computacionalmente factible cifrar texto sin formato
con la clave pública Es computacionalmente factible descifrar el el texto cifrado con la clave privada
No es factible computacionalmente obtener la clave privada de la clave pública No es factible computacionalmente
obtener el texto sin formato de la clave pública y el texto cifrado No hay
restricción en el orden de cifrado y descifrado (no requerido)

Implementación del Algoritmo RSA

Raíz primitiva de intercambio de claves Diffie-Hellman :

logaritmo discreto

Capítulo 4 Distribución de claves y autenticación de usuarios

1. Distribución de claves basada en cifrado simétrico
(1) Método básico
Cifrado de capa de enlace: agregue dispositivos de cifrado en ambos extremos del enlace de comunicación.
Cifrado de extremo a extremo: tiene lugar en el sistema final, con datos cifrados por el host de origen o el punto final.
Clave de sesión: cuando dos sistemas finales (host o terminal, etc.) deseen comunicarse, establezca una conexión lógica y utilice una clave de sesión única
para cifrar todos los datos del usuario.
Clave permanente: una clave permanente se utiliza entre dos entidades para distribuir claves de sesión. (Utilizado para cifrar claves de sesión)
(2) Cuatro métodos de distribución de claves: (El problema de distribución de claves es el problema central del cifrado simétrico)
La clave es seleccionada por A y entregada a B en persona (entrega física
) El tercero C elige y se la entrega a A y B en persona (entrega física)
Cifrar la nueva clave con la clave utilizada más recientemente y enviarla a la otra parte
A, B y C tienen canales secretos
(3) Centro de distribución de claves (KDC)
KDC decide Qué sistemas pueden comunicarse con otros sistemas. Cuando dos sistemas establecen una conexión, el KDC
proporciona una clave única para esta conexión. (Ver libro P82 para el proceso de operación)

2. Distribución de claves basada en cifrado asimétrico
Un certificado de clave pública consiste en una clave pública, la identificación del propietario de la clave pública y una firma de terceros de confianza.
(1) La distribución de claves basada en el cifrado de claves públicas no es segura. La solución: utilice una infraestructura de claves públicas (PKI de infraestructura de claves públicas
) y al agregar una CA (autoridad de certificación, centro de certificación) de terceros de confianza
, puede ser autorizada por agencias gubernamentales e instituciones financieras para asumir la responsabilidad, para establecer un alto grado de confianza entre los usuarios.
(2) El uso de certificados de clave pública (la imagen en el libro P97, no lo entiendo muy bien, a menudo probado)
usa certificados de clave pública para distribuir claves de cifrado convencionales, y el proceso de comunicación de Bob->Alice es el siguiente:

1. preparar mensaje
2. Cifrar mensajes con una clave de sesión de un solo uso (cifrado regular)
3. Cifre la clave de sesión con la clave pública de Alice (cifrado de clave pública)
4. Agregue la clave de sesión cifrada al mensaje y envíesela a Alice.

3. Certificado X.509
(1) Significado: X.509 es parte de la serie estándar x.500. X.509 define un marco para proporcionar servicios de autenticación a sus usuarios utilizando el directorio x.500. Este directorio actúa como un depósito de certificados de clave pública. Además, X.509 también define un protocolo de autenticación basado en certificados de clave pública.
Suplemento: El núcleo del esquema X.509 es el certificado de clave pública asociado a cada usuario. Los certificados los crea una entidad emisora ​​de certificados (CA) de confianza y la CA o el usuario los colocan en un directorio. El servidor de directorio no es responsable de la generación de claves públicas ni de las funciones de certificados, solo proporciona una ubicación de fácil acceso para que los usuarios obtengan certificados.
(2) Formato del certificado: consulte el libro P97
(3) Características del certificado: ① Cualquier usuario que pueda acceder a la clave pública de la CA puede verificar la clave pública del usuario firmada; ② Excepto la CA, ningún usuario puede falsificar o alterar el contenido del certificado sin ser descubierto. (No se puede falsificar)
(4) Cómo obtener certificados para usuarios certificados por diferentes CA: consulte el libro P99
(5) Revocación de certificados
Cada certificado X.509 contiene un período de validez, y no se utilizarán certificados más allá del período de validez.
Pero en algunos casos, es necesario invalidar el certificado que no ha caducado: ①El usuario solicita un nuevo certificado antes de que caduque el antiguo ②Se filtra la clave privada del usuario ③La CA ya no confía en el usuario ④Se filtra el certificado de la CA Cada La CA necesita guardar
una Lista de revocación de certificados (CRL), que se utiliza para almacenar todos los certificados revocados pero no vencidos.

4. Infraestructura de clave pública
(1) Definición: Conjunto de hardware, software, personal, políticas y procesos basados ​​en criptosistemas asimétricos utilizados para generar, administrar, almacenar, distribuir y revocar certificados digitales. El objetivo principal de desarrollar una PKI es permitir un acceso seguro, conveniente y eficiente a las claves públicas.
(2) Modelo de arquitectura (ver libro para significado específico: P102)

Capítulo 6 Seguridad de la capa de transporte

6.1 Requisitos de seguridad web

Características de Web Security
n 1) Brinda servicios bidireccionales, capacidades débiles de defensa contra ataques
n 2) Como ventana visual y plataforma de interacción comercial, brinda múltiples servicios, lo cual está relacionado con la reputación
n 3) El software subyacente es enorme, como apache aproximadamente 10M, que siempre ha sido una vulnerabilidad 4) Si se ve comprometida,
puede convertirse en un trampolín para ingresar a la empresa
n 5) Usuarios ocasionales y no capacitados
Componentes de Web Security
Browser Security, Web Server Security, Web Server
Web Traffic Security Métodos
§ Capa de red: IPSec Capa de transporte: SSL/TLS Capa de aplicación: Kerberos, S/MIME

6.2 Seguridad de la capa de transporte
SSL (capa de conexión segura, capa de conexión segura)/TLS (seguridad de la capa de transporte, servicio de la capa de transporte)
TLS se desarrolla a partir de SSL (la siguiente serie de explicaciones TLS y SSL hacen referencia a lo mismo)

Conexión SSL y
conexión de sesión SSL: una conexión es un portador de transmisión que puede proporcionar un determinado servicio. Para SSL, dicha conexión es una relación punto a punto y es de corta duración. Cada conexión está relacionada con una sesión.
Sesión : una sesión SSL es una asociación entre un cliente y un servidor. Las características son las siguientes:
1) La sesión se crea mediante el protocolo de protocolo de enlace
2) La sesión define un conjunto de parámetros de seguridad criptográficos que pueden compartir varias conexiones
3) Para cada conexión, la sesión se puede utilizar para evitar costosas nuevas medidas de seguridad Negociación de parámetros
Entre cualquier par de entidades, puede haber múltiples conexiones seguras

Protocolo de registro TLS
El protocolo de registro TLS proporciona servicios para conexiones TLS:
1) Confidencialidad: el protocolo de negociación define una clave compartida cifrada tradicional que se puede usar para las cargas útiles de TLS.
2) Integridad del mensaje: el protocolo de negociación también define una clave compartida para generar MAC

Proceso de operación del protocolo de registro TLS

1. Segmentación, divida cada mensaje de la capa superior en bloques de no más de 2^14 bytes
2. Comprimir o no comprimir. La compresión debe ser sin pérdidas y la longitud no puede exceder los 1024 bytes. No hay compresión en TLSv2
3. En Cómputos el código de autenticación del mensaje sobre la base de los datos comprimidos. TLS usa el algoritmo HMAC, que une el mensaje comprimido y el MAC calculado. Los campos para el cálculo de MAC son los siguientes:

4. Utilice un algoritmo de cifrado simétrico para cifrar los datos obtenidos en 3. El incremento de la longitud del bloque causado por el cifrado no superará los 1024 bytes, por lo que la longitud total del bloque no superará los 2^14+2048 bytes Permitido usar: cifrado de bloque:
AES , cifrado de flujo 3DES: RC4-128
5. Agregue un tipo de contenido de encabezado TLS (8 bits) que consta de los siguientes campos
: un protocolo de alto nivel para procesar segmentos de encapsulación (definido como modificación de especificaciones de cifrado, alarmas, protocolos de enlace y datos de aplicación 4 Tipo )
número de versión principal (8 bits): indica el número de versión principal del protocolo TLS aplicado. Para TLSv3.0, el valor es 3
números de versión secundaria (8 bits): indica el número de versión secundaria del protocolo TLS aplicado. Para TLSv3.0, el valor es 0.
Longitud comprimida (8 bits): la longitud del bloque de texto sin formato (bloque de texto sin formato comprimido si se usa compresión) en bytes. El valor máximo es 2^14+2048.

Protocolo de especificación de cifrado de modificación SSL
Consiste en un solo mensaje, un solo byte con un valor de mensaje de 1; hace que el estado pendiente cambie al estado actual, actualizando el mecanismo de cifrado que utilizará esta conexión. El protocolo de alarma se usa para
transmitir
TLS información relacionada con la información de alarma de otra entidad; durante la transmisión, comprimir y cifrar de acuerdo con el mecanismo de procesamiento especificado por el estado actual

Capítulo 10 Malware

1. Definición de Malware : Un programa que secretamente implanta otro programa que intenta destruir datos, ejecutar programas destructivos o intrusivos, o destruir la confidencialidad, integridad y disponibilidad de los datos, aplicaciones o sistemas operativos de la víctima.

2. Clasificación de malware
1: ya sea que deba residir en el programa host o ser independiente del programa host, se puede dividir en dos categorías: ① Fragmentos de programa que deben depender de aplicaciones, herramientas o programas del sistema reales para ejecutarse, como como virus, bombas lógicas y puertas traseras; ② Un programa independiente que el sistema operativo puede programar y ejecutar. Como gusanos y zombis. Método 2: si se puede replicar a sí mismo se puede dividir en dos categorías: ① Es un programa o fragmento de programa
que se activa mediante la activación .
Tales como bombas lógicas, puertas traseras y zombis; ② Incluyendo segmentos de programas (virus) o programas independientes (gusanos), estos programas generan una o más copias de sí mismos cuando se ejecutan, y estas copias se liberarán en este sistema u otros sistemas en el momento adecuado. el tiempo se activa dentro.

3. Virus
(1) Definición : Un virus es un programa que puede infectar otros programas al modificar algunos programas.
(2) Las cuatro etapas del virus
Etapa latente, latente hasta que se desencadena
Etapa de transmisión, replicación, infectando a otros
Etapa desencadenante, activada por eventos específicos
Etapa de ejecución, cuando las condiciones están maduras, brote y destrucción
(3) La estructura del virus
El virus se puede colocar al principio, al final o incrustado en el archivo ejecutable. La clave para la ejecución de virus es que cuando se llama al programa infectado, primero ejecutará el código del virus y luego ejecutará el código fuente del programa.
(4) La lógica y el proceso de compresión de los virus : véase el libro P257.
(5) Clasificación de virus : (consulte el libro P258 para obtener más detalles)
① Virus clasificados por objetivo: virus de sector de arranque, virus de infección de archivos, virus de macro, virus híbrido
② Virus clasificados por estrategia de ocultación: virus de encriptación, tipo de avión sigiloso, virus polimórfico , virus metamórfico
(6) Virus de macro y virus de script
¿Qué es una macro? Una macro es un programa ejecutable (script) incrustado en un documento de Word u otro tipo de archivos. La aplicación típica es que los usuarios usan macros para completar automáticamente algunas tareas repetitivas sin tener que repetir la entrada del teclado.
Razones por las que los virus de macro son muy peligrosos: ① Los virus de macro son independientes de la plataforma (muchas plataformas de hardware y sistemas operativos se infectan fácilmente); ② El objetivo de la infección de virus de macro son los documentos; ③ Los virus de macro son fáciles de propagar; ④ Acceso a archivos tradicionales los sistemas de control solo pueden hacer mucho para detener la propagación de virus.

4. Gusano
(1) Definición : Un gusano de red es un programa que puede replicarse y enviar copias del gusano de una computadora a otras computadoras a través de una conexión de red. (Una vez que ingrese a la computadora, el gusano se activará y comenzará una nueva propagación y realizará algunas funciones dañinas).
(2) ¿Qué medios de red utiliza el gusano para replicarse?
Herramienta de correo electrónico, intercambio de archivos, función de ejecución remota, acceso remoto a archivos o capacidad de transferencia, capacidad de inicio de sesión remoto
(3) La etapa de propagación del gusano realiza las siguientes funciones
: 1. Encuentre nuevos objetos infectados comprobando la lista de hosts o direcciones de sistemas remotos similares lista;
2. Se copia a sí mismo en el sistema remoto y comienza a ejecutar la copia.
(4) Modo de propagación del gusano : etapa de inicio lento, etapa de propagación rápida y etapa final lenta. (Ver libro P262 para más detalles)

5. Otro software malicioso
(1) Código móvil malicioso : El código móvil malicioso se refiere al software (scripts, macros u otras instrucciones móviles) que se puede incrustar en varias plataformas sin modificar y tener la misma semántica cuando se ejecuta.
(2) Vulnerabilidad del cliente y ataque troyano : cuando un usuario navega por una página web controlada por un atacante, el código contenido en la página web atacará la vulnerabilidad del navegador, descargando así software malicioso en el sitio web sin el conocimiento y permiso del sistema y del usuario. instalarlo.
(3) Caballo de Troya (Trojan Horse) : es un programa o proceso de comando útil o aparentemente útil. Contiene segmentos de código ocultos y, una vez invocado, realizará algunas funciones no deseadas o dañinas. El objetivo principal es lograr algunas funciones que los usuarios no autorizados no pueden realizar directamente; otro motivo es destruir datos.
(4) Bomba lógica : es un segmento de código incrustado en algunos programas legales, que "explotará" cuando se cumplan ciertas condiciones.
(5) Puerta trasera : también llamada trampilla (Trapdoor), es el punto de entrada secreto del programa, y ​​la persona interna puede eludir el mecanismo de acceso de seguridad normal y acceder directamente al programa.

6. Medidas de protección (ver libro P272 para más detalles)
Métodos antivirus: detección, identificación y eliminación
Desarrollo de software antivirus: ①Primera generación: escáner simple ②Segunda generación: escáner heurístico
③Tercera generación: trampa activa④ La cuarta generación: escáner completo protección destacada
Software de bloqueo de comportamiento, detección distribuida de gusanos: consulte el libro P273
Medidas de protección contra gusanos: ① Escaneo y filtrado de gusanos basados ​​en firmas
② Prevención de gusanos basada en filtros
③ Prevención de gusanos basada en clasificación de carga útil
④ Detección de escaneo de recorrido aleatorio de umbral
⑤ Límite de tasa
⑥ Interrupción de tasa

7. Ataque de denegación de servicio distribuido
(1) Ataque de denegación de servicio (DoS) : intentos de evitar que los usuarios legítimos de un determinado servicio utilicen el servicio.
Ataque DDoS: intentos de consumir los recursos del dispositivo de destino, lo que hace que no pueda proporcionar servicios.
Los ataques DDoS inundan servidores, redes e incluso sistemas de usuarios finales en una red de tráfico no deseado, lo que hace imposible que los usuarios legítimos obtengan acceso a esos recursos.
(2) Clasificar según los recursos de red consumidos
① Ataque de recursos internos: vea P277 para ver un ejemplo
② Ataque consumiendo recursos de transmisión de datos: vea P277 para ver un ejemplo
(3) Clasificar según los medios de ataque
① DDoS directo ②
DDoS reflexivo
(4) Rol de ataque DDoS
① hacker y el anfitrión (atacante) operado por el propio pirata informático, su función es enviar varios comandos al zombi maestro, incluidas las instrucciones de ataque.
② Un pequeño número de zombis maestros (Zombie maestro) escuchará las instrucciones de los piratas informáticos y
emitirá comandos de ataque a cada terminal de proceso daemon distribuido en la red, para que puedan iniciar el ataque.
③Hay una gran cantidad de zombis esclavos (Slave Zombie), que recibirán y responderán a los comandos del terminal de control maestro, y son los verdaderos atacantes.
④ Víctima (Víctima) El host de destino atacado
(5) Método de ataque DDoS y medidas preventivas
Método de ataque: el atacante usa software zombie para infectar una gran cantidad de máquinas, requisitos: software que pueda ejecutar ataques DDoS; hay una gran cantidad de vulnerabilidades del sistema; existen lagunas en la política de ubicación de la máquina, un método denominado análisis de
prevención de DDoS; prevención y prevención de ataques; detección y filtrado de ataques; seguimiento e identificación de la fuente de ataque

Capítulo 12 Cortafuegos

1. Definición : un cortafuegos es un método eficaz para proteger un sistema local o una red de sistemas de las amenazas de seguridad basadas en la red, al mismo tiempo que
admite el acceso al mundo exterior a través de una red de área amplia e Internet.

2. El objetivo de diseño del cortafuegos (satisfacer las condiciones)
(1) Todo el tráfico de red entrante y saliente debe pasar a través del cortafuegos.
(2) Solo el tráfico de red autorizado puede pasar a través del firewall.
(3) El cortafuegos en sí no se puede violar y debe construirse sobre un sistema operativo seguro.

3. La función del cortafuegos
(1) Defina un punto necesario para bloquear a los usuarios no autorizados de la red protegida.
(2) Proporcionar un lugar para monitorear eventos relacionados con la seguridad. (Auditoría, alarma)
(3) Puede usarse como una plataforma conveniente para funciones de Internet no relacionadas con la seguridad, tales como: función de traducción de direcciones, función de administración de red.
(4) Se puede utilizar como plataforma IPSec.

4. Limitaciones del cortafuegos
(1) Algunos ataques eludirán el cortafuegos y el cortafuegos no puede hacer nada al respecto. Por ejemplo: El acceso telefónico a Internet por teléfono puede eludir el cortafuegos
(2) El cortafuegos no puede prevenir por completo las amenazas internas.
(3) El cortafuegos no puede impedir programas infectados por virus, como archivos y correos electrónicos.

5. Tipos de cortafuegos
Cortafuegos de filtrado de paquetes, cortafuegos de inspección de estado, pasarelas de capa de aplicación, pasarelas de capa de enlace

6. Firewall de filtrado de paquetes
(1) Idea básica : aplicar algunas reglas a cada paquete IP recibido y enviado, y luego decidir reenviar o descartar el paquete.
(2) Cómo filtrar : las reglas de filtrado se basan en los campos (campos) en los encabezados de la capa de transporte e IP, incluidas las direcciones IP de origen y destino, los números de puerto de origen y destino, los campos de protocolo IP y las interfaces.
(3) Política predeterminada :
Descarte predeterminado: se bloqueará el tráfico que no esté explícitamente permitido (más conservador, se abrirá gradualmente según sea necesario)
Reenvío predeterminado: se permitirá el tráfico que no esté explícitamente bloqueado (los administradores deben apuntar a cada nuevo ataque, formular nuevas reglas )
(4) Supervisar en la capa de red, generalmente implementado en el enrutador .
Ventajas: Implementación simple, transparente para los usuarios y alta eficiencia;
Desventajas: ① No es fácil formular reglas correctamente; ② El firewall de filtrado de paquetes no verifica los datos de la capa superior y no puede prevenir ataques que explotan vulnerabilidades de aplicaciones específicas; ③ La información disponible es limitado, y la función de registro provista también es muy limitada; ④ no admite esquemas de autenticación de usuario avanzados; ⑤ vulnerable a las vulnerabilidades de la pila de protocolos TCP/IP, como la suplantación de direcciones IP; ⑥ protección limitada contra amenazas de seguridad causadas por configuraciones incorrectas.
(5) Ataques y contramedidas contra firewalls de filtrado de paquetes
Suplantación de direcciones IP, por ejemplo, suplantación de direcciones IP internas (contramedidas: prohibir direcciones internas en interfaces externas)
Ataques de enrutamiento de origen, es decir, enrutamiento por fuente (contramedidas: descartar todos los paquetes usados ​​con este opción)
Ataque de marco pequeño, utilizando la función de fragmentación de IP para dividir el encabezado TCP en diferentes fragmentos (contramedida: descartar fragmentos que son demasiado pequeños)

7. Firewall de inspección de estado
Información comprobada en Internet: La inspección de estado es un método de control de seguridad más efectivo que el filtrado de paquetes. Para una conexión de aplicación recién creada, la detección de estado verifica las reglas de seguridad preestablecidas, permite que pase la conexión que cumple con las reglas y registra la información relevante de la conexión en la memoria para generar una tabla de estado. Los paquetes de datos subsiguientes para esta conexión pueden pasar siempre que se ajusten a la tabla de estado. La ventaja de este método es que, dado que no es necesario verificar las reglas para cada paquete de datos, sino que los paquetes de datos subsiguientes de una conexión (generalmente una gran cantidad de paquetes de datos) realizan directamente una inspección de estado a través del algoritmo hash, de modo que el Se mejora el rendimiento Se mejora mucho Además, dado que la tabla de estado es dinámica, los puertos por encima del No. 1024 se pueden abrir de forma selectiva y dinámica, de modo que la seguridad se mejora aún más. (????)

8. Gateway de la capa de aplicación
(1) Ventajas y desventajas
Ventajas: El servidor proxy funciona en la capa de aplicación, que es más segura que la tecnología de filtrado de paquetes. Comprende mejor los datos de la capa de aplicación y puede usar datos específicos para cada servicio de aplicación de red específico. Política de seguridad; fácil de iniciar sesión.
Desventajas: Trae una sobrecarga de procesamiento adicional, lo que resulta en el sacrificio del rendimiento del sistema. Los recursos de procesamiento (procesador, memoria, etc.) del servidor proxy son relativamente altos.
(2) Ejemplos de implementación de dos servidores proxy
· MSP – Microsoft Proxy Server/ISA (wingate)
·
Información de red de Squid sobre servidores proxy: implementada principalmente en la capa de aplicación. Cuando el servidor proxy recibe una solicitud de conexión de un cliente, primero verifica la solicitud, luego reenvía la solicitud procesada al servidor real y, después de recibir la respuesta del servidor real y realizar un procesamiento adicional, envía la respuesta al cliente solicitante. . El servidor proxy desempeña el papel de transferencia intermedia entre la red externa y la red interna. Por lo tanto, un servidor proxy a veces se denomina puerta de enlace de la capa de aplicación.
Un servidor proxy puede inspeccionar y autenticar paquetes en cualquier capa de la red, permitiendo que pasen los paquetes que cumplen con las reglas de seguridad y descartando el resto. Permite que los paquetes que pasan sean copiados y transmitidos por la puerta de enlace, lo que evita las conexiones directas entre servidores y clientes de confianza y hosts que no son de confianza.
Un firewall de servidor proxy utiliza un host de servidor proxy para separar la red externa de la red interna. Después de que los paquetes de datos enviados desde el interior son procesados ​​por dicho cortafuegos, parece que provienen de la tarjeta de red fuera del cortafuegos, por lo que se puede lograr el efecto de ocultar la estructura de la red interna. El host en la red interna no necesita configurar el firewall como una puerta de enlace, y solo necesita apuntar directamente la dirección IP del servicio al host del servidor proxy para obtener recursos de Internet.
Información de red sobre la diferencia entre servidores proxy y puertas de enlace: tanto los servidores proxy como las puertas de enlace envían datos dentro de la red a Internet. Si la puerta de enlace se compara con una puerta que conduce a Internet, el servidor proxy es un muro que puede evitar exponer información importante dentro de la red. Los servidores proxy filtran algunas conexiones a Internet y solo permiten aquellas que son accesibles. La puerta de enlace no realiza ningún filtrado.

9. La puerta de enlace de la capa de enlace
es esencialmente un servidor proxy. Las conexiones TCP punto a punto no están permitidas, pero la puerta de enlace establece dos conexiones TCP.
Ejemplo: calcetines.

10. El portador del cortafuegos
El cortafuegos se puede instalar en una máquina independiente que ejecute sistemas operativos populares (linux, unix), o se puede implementar como un módulo independiente en un enrutador o conmutador LAN. A continuación se presentan algunos otros soportes de implementación de cortafuegos.
(1) Bastion Host : está expuesto a la red externa y también es el principal
punto de conexión para los usuarios de la red interna. Puede actuar como una plataforma para las puertas de enlace de la capa de aplicación y las puertas de enlace de la capa de enlace.
(2) Servidor de seguridad de host : un módulo de software utilizado para proteger hosts personales, que puede filtrar y limitar paquetes de datos, y generalmente se encuentra en el servidor. (¿Por qué se usa para proteger hosts personales, pero la ubicación está en el servidor?)
(3) Cortafuegos personal : se usa para controlar la comunicación entre una computadora personal o una estación de trabajo por un lado e Internet o una red corporativa por el otro. La función básica es evitar el acceso remoto no autorizado a la computadora; también puede prevenir gusanos y virus.

11. Ubicación y configuración del firewall
(1) Segmento de red de la zona de alto el fuego: Hay uno o más dispositivos de red entre el firewall interno y el firewall externo, y esta área se denomina segmento de red de la zona de alto el fuego.
(2) La función del cortafuegos interno: ①En comparación con el cortafuegos externo, el cortafuegos interno tiene capacidades de filtrado más estrictas para proteger la red interna de los ataques; ②El cortafuegos interno brinda protección bidireccional relacionada con la DMZ; ③Se pueden usar varios cortafuegos internos a la Protección entre varias partes de la red interna.
(3) VPN de red privada virtual: la VPN de red privada virtual se puede realizar a través de IPSec. Una forma lógica de hacer cumplir IPSec es en un firewall. (Se recomienda volver a leerlo y ampliarlo)
(4) Cortafuegos distribuido: El cortafuegos distribuido es un cortafuegos independiente y un cortafuegos de host que trabajan juntos bajo el control de la administración central.

12. Desarrollo de cortafuegos
· Cortafuegos distribuido
· Mayor desarrollo de la puerta de enlace de la capa de aplicación (mecanismo de autenticación, agente inteligente)
· Integración con otras tecnologías
(como NAT, VPN (IPSec), IDS y algunas tecnologías de autenticación y control de acceso, seguridad del propio cortafuegos y estabilidad)