Seguridad: la introducción de protocolos de seguridad de red.

News 2023-07-26 02:57:29 views: null

inserte la descripción de la imagen aquí

Fallas de seguridad de TCP/IP

fuga de información

descripción general

Los mensajes entregados en la red a menudo contienen información confidencial, como números de cuenta y contraseñas. Si se filtra dicha información, tendrá consecuencias desastrosas. Entre ellos, el sniffing es un medio común y oculto de ataque a la red.

oler

descripción general

  1. Problema: en la arquitectura de red compartida, todos los datos se envían en modo de transmisión. Solo necesita configurar el modo de trabajo de la tarjeta de red en "promiscuo" para rastrear todos los datos de comunicación en el segmento de red.
  2. Solución: para resolver los problemas causados ​​por la detección y la transmisión, puede usar una arquitectura de red conmutada para vincular cada puerto a la dirección física conectada al puerto y enviar los datos directamente al puerto correspondiente de acuerdo con la "dirección de destino" en el encabezado de trama puerto. Pero traerá otro problema, la suplantación de ARP.

suplantación de identidad ARP

  1. Descripción del problema: la suplantación de ARP es la base para que los atacantes implementen la detección en un entorno de red conmutado. Suponiendo que hay un host A en la red, es necesario rastrear los datos de comunicación de B y C. Las direcciones IP de las tres anotaciones son IPA, IPB e IPC, y las direcciones físicas son MACA, MACB y MACC.
  2. Descripción del proceso:
    1) A primero envía un mensaje de respuesta ARP a B, que contiene la relación de correspondencia IPA/MACC.
    2) Después de que B recibe esta respuesta, actualiza su propio caché y guarda la relación de mapeo IPA/MACC.
    3) A envía un mensaje de respuesta ARP a C, que contiene la relación de correspondencia IPA/MACB.
    4) Después de recibir la respuesta, C actualiza su propio caché y guarda la relación de mapeo IPA/MACB.
    5) En este punto, todos los datos de comunicación entre B y C se enviarán a A. Después de interceptar datos de comunicación importantes, A puede enviar los datos al destino correcto, mientras que B y C no pueden detectar el comportamiento de rastreo. Aunque la memoria caché ARP se actualiza con regularidad, A puede continuar rastreando datos entre B y C siempre que envíe paquetes de suplantación de ARP con una frecuencia menor que el intervalo de actualización.

manipulación de información

descripción general

  1. La manipulación de la información puede basarse en la detección de la red que implementa la suplantación de ARP y manipula los datos antes de reenviarlos.
  2. El método de ataque común para la manipulación de la información es insertar un código malicioso en los datos interceptados para realizar la implantación del caballo de Troya y la transmisión del virus.

disfraz de identidad

descripción general

  1. La suplantación de identidad APR consiste en realizar un disfraz de identidad desde la capa de interfaz de red de la pila de protocolos TCP/IP, además de la suplantación de identidad de IP y del servidor de nombres de dominio.

negación del comportamiento

descripción general

  1. La negación conductual se refiere al comportamiento del remitente de datos que niega haber enviado los datos, o del receptor que niega haber recibido los datos.
  2. Como la suplantación de IP, el remitente envía información con una dirección IP falsificada para ocultar su identidad.

Requisitos de seguridad de la red

confidencialidad

  1. Evitar la divulgación no autorizada de datos significa mantener los mensajes privados de audiencias no relacionadas.
  2. Como el olfateo destruye la confidencialidad de los datos.
  3. La criptografía proporciona protección de confidencialidad.

integridad

  1. Evite la manipulación de los datos y asegúrese de que la información que recibe el receptor es el mensaje enviado por el remitente.
  2. Como la inyección de código malicioso, destruye la integridad de los datos.
  3. Software antivirus, la criptografía puede proporcionar protección de integridad.

controlabilidad

  1. Restricción del acceso a los recursos de la red (hardware y software) y datos (almacenamiento y comunicación), uso no autorizado de recursos por parte de la organización, divulgación o modificación no autorizada de datos.
  2. Sus elementos incluyen, en orden: identificación y autenticación, autorización, toma de decisiones y ejecución.
  3. La idea básica del control de acceso es otorgar a cada entidad de comunicación un identificador único y los derechos de acceso correspondientes. Al implementar la comunicación, primero confirme la identidad de la entidad y luego implemente la estrategia de control de acceso correspondiente.
  4. Tales como la suplantación de ARP, la suplantación de IP y la suplantación de DNS destruyen la capacidad de control.
  5. El cortafuegos y la criptografía proporcionan una protección controlable.

no repudio

  1. Las entidades de comunicación deben ser responsables de sus propias acciones, y lo que han hecho no se puede negar. Eso son dos aspectos: uno es que el remitente no puede negar el comportamiento de envío de datos, y el otro es que el receptor no puede negar que ha recibido los datos.
  2. Como la falsificación de IP, destruye el no repudio.
  3. La criptografía proporciona protección de no repudio.

disponibilidad

  1. Es decir, los usuarios legítimos pueden obtener servicios normales cuando necesitan utilizar los recursos de la red.
  2. Tal como el ataque DoS es un ejemplo de destrucción de la disponibilidad.
  3. La criptografía proporciona protección de disponibilidad.

cifrado y descifrado

descripción general

  1. El cifrado es el medio básico para garantizar la confidencialidad de los datos y el descifrado es su proceso inverso.
  2. El algoritmo de cifrado convierte los datos en texto cifrado bajo la acción de una clave, y este proceso puede verse como un proceso de aumento de la irregularidad de los datos. Dada la clave, descifrar el texto cifrado de nuevo a texto sin formato.

algoritmo criptográfico

Algoritmo de cifrado simétrico

descripción general

  1. Ambas partes que se comunican comparten la misma clave.
  2. El cifrado y el descifrado se basan en esta clave.

algoritmo

Estándar de cifrado avanzado (Advanced Encryption Standard, AES), Estándar de cifrado de datos triple (Triple DES, 3DES), RC2, RC4, Algoritmo de cifrado de datos internacional (Algoritmo de cifrado de datos internacional, IDEA, etc.)

Algoritmo criptográfico asimétrico

descripción general

  1. Cada parte tiene un par de claves, una clave pública y una clave privada.
  2. La clave pública puede hacerse pública, pero la clave privada debe mantenerse en secreto.
  3. Las dos partes en la comunicación informan a ambas partes de sus claves públicas y, al enviar datos a la otra parte, pueden usar la clave pública de la otra parte para cifrar y garantizar la confidencialidad de los datos. Después de recibir los datos, la otra parte puede descifrarlos con la clave privada.

algoritmo

RSA, algoritmo de firma digital (DSA), ElGamal, criptografía de curvas elípticas (ECC)

resumen del mensaje

descripción general

  1. El resumen de un fragmento de datos es una cadena de caracteres que representa las características de los datos, y la función de obtener el resumen de datos generalmente se completa con una función hash. Una función hash puede recibir datos de cualquier longitud y generar un valor hash de longitud fija.
  2. Fórmula de la función hash: h=H(M), donde M es un texto sin formato de cualquier longitud, H es una función hash y h es el valor hash obtenido por M bajo la acción de H.
  3. La función hash es un proceso de mapeo comprimido. El espacio del valor hash es mucho más pequeño que el espacio de la entrada. Se pueden codificar diferentes entradas en la misma salida, y es imposible determinar de forma única el valor de entrada a partir del valor hash.
  4. Los mensajes de IP, ICMP, TCP, UDP y otros protocolos en TCP/IP incluyen un campo "checksum", con una longitud fija de 2B, que es una especie de información resumida.

código de verificación del mensaje

descripción general

  1. El código de autenticación del mensaje es un valor obtenido en función de la clave y el resumen del mensaje, que se puede utilizar para la autenticación de la fuente de datos y la verificación de la integridad.

proceso

  1. Antes de enviar datos, el remitente primero calcula el valor de resumen utilizando la función hash negociada por las partes de la comunicación. Bajo la acción de la clave de sesión compartida por ambas partes, solo se obtiene del resumen el código de autenticación del mensaje.
  2. Envía el código de verificación del mensaje junto con los datos.
  3. Después de recibir el mensaje, el receptor primero usa la clave de sesión para restaurar el valor de resumen y, al mismo tiempo, usa la magia hash para calcular el valor de resumen de los datos recibidos localmente y compara los dos valores. Si los dos son iguales, el paquete se autentica.

firma digital

descripción general

  1. Las firmas digitales generalmente se utilizan para garantizar el no repudio y tienen funciones de autenticación.
  2. Las firmas digitales también deben basarse en resúmenes de mensajes, pero a diferencia de los códigos de verificación de mensajes, los códigos de verificación de mensajes usan la clave de sesión compartida por ambas partes de la comunicación para procesar los resúmenes, mientras que las firmas digitales usan la clave privada del remitente para cifrar los resúmenes. Cuando el receptor verifica la firma digital, debe usar la clave pública del remitente para descifrarla.

algoritmo

DSA y RSA

Supongo que te gusta

Origin blog.csdn.net/Andya_net/article/details/131040839
Recomendado
Clasificación
Diario
Más
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)

Code World

© 2018 codetd.com