《北京信息安全服务人员资质培训材料》之二：安全产品和工具

平安主流产品与常见工具苏璞睿信息平安国家重点实验室Email:supurui@is.iscas.ac课程内容

隐患扫描PKI(CA)

PGP

平安加固

防病毒课程内容

隐患扫描PKI(CA)

PGP

平安加固

防病毒Internet双重宿主主机体系结构〔图〕双重宿主主机体系结构

屏蔽主机体系结构〔图〕屏蔽主机体系结构屏蔽主机结构将提供平安保护的堡垒主机置于内部网上，使用一个单独的路由器对该主机进行屏蔽优点：能够提供更高层次的平安保护缺点：堡垒主机一旦被攻破，整个网络就会被攻破屏蔽子网体系结构〔图〕屏蔽子网体系结构屏蔽子网结构在屏蔽主机结构根底上，增加了一层周边网络的平安机制，使内部网络与外部网络之间有两层隔离。优点：即使堡垒主机被攻破，也不能直接侵入内部网络。体系结构的其他形式

使用多堡垒主机

合并内部与外部路由器

合并堡垒主机与外部路由器

使用多台外部路由器、多个周边网络

组合使用双重宿主主机和屏蔽子网

不宜采用的体系结构合并堡垒主机与内部路由器

使用多台内部路由器

数据包过滤(1)数据包过滤(2)〔图〕数据包过滤(3)判断依据有：数据包协议类型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1数据包过滤设置实例规则方向源地址源端口目标地址目标端口动作1出内部*61.X.*拒绝2入211.X.*内部*拒绝3双向***25拒绝数据包过滤(4)数据包过滤的优点：一个配置适当的数据包过滤器可以保护整个网络对用户透明度高易实现：大多数路由器都具有数据包过滤功能数据包过滤的缺点：配置和检验较为困难一些协议不适合数据包过滤

某些策略难以执行应用代理(1)应用代理(2)〔图〕客户应用代理效劳器发送请求转发响应转发请求发送响应应用代理(3)〔图〕应用代理(4)它的优点是：对用户透明支持用户认证可以产生小并且更有效的日志。它的缺点是：速度比较慢对一些新的或不常用的效劳不支持NAT〔网络地址转换协议〕可以使多个用户分享单一的IP地址为Internet连接提供一些平安机制可以向外界隐藏内部网结构转换机制：当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址是一种能够保护个人计算机系统平安的软件，它可以直接在用户的计算机上运行可以对用户计算机的网络通信进行过滤通常具有学习模式，可以在使用中不断增加新的规那么NetScreenVs.CheckPoint供应商NetScreenCheckPoint架构硬件软件性能在操作系统screenos版本为3.0时防火墙的通透性可以达到12Gbps之高依赖于使用平台的CPU、内存等配置，使用新技术ApplicationInteglligence后，性能在原来的基础上进一步提升了31%。稳定性和兼容性采用的专门的软硬件，系统的稳定性上理论上应该领先；操作系统是专用的screenos，不存在防火墙和硬件的兼容性问题。操作系统和硬件不是特定为防火墙各项功能设计的，因此可能会存在稳定性和兼容方面的隐患功能和灵活性采用的专门设计的操作系统和硬件架构，灵活性上要相对差一些，而且可能提供的功能相对较少架构不依赖硬件，理论上功能是可以无限扩充的，它能给客户更多的控制和定制功能引自YimingGong://security.zz.ha课程内容

隐患扫描PKI(CA)

PGP

平安加固

防病毒VPN(VirtualPrivateNetwork)什么是VPNVPN的分类

VPN的隧道协议

VPN什么是VPNVPN的分类

VPN的隧道协议

什么是VPN(1)什么是VPN(2)什么是VPN(3)VPN什么是VPNVPN的分类

VPN的隧道协议

VPN的分类根据VPN所起的作用，可以将VPN分为：AccessVPNIntranetVPNExtranetVPNAccessVPN处理可移动用户、远程交换和小部门的远程访问公司内部网的VPNIntranetVPN

〔企业内部虚拟网〕是在公司远程分支机构的LAN和公司总部LAN之间，通过Internet建立的VPNExtranetVPN

〔企业外部虚拟网〕在供给商、商业合作伙伴的LAN和公司的LAN之间的VPN由于不同公司网络环境的差异性，必须能兼容不同的操作平台和协议设置特定的访问控制表ACL〔AccessControlList〕，根据用户相应的访问权限开放相应资源ExtranetVPN〔图〕VPN什么是VPNVPN的分类

VPN的隧道协议

VPN的隧道协议

PPTP/L2TP(1)1996年，Microsoft和Ascend等在PPP协议的根底上开发了PPTP，并将它集成于WindowsNTServer4.0中，同时也提供了相应的客户端软件PPTP可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输PPTP提供流量控制,采用MPPE加密算法PPTP/L2TP(2)1996年，Cisco提出L2F〔Layer2Forwarding〕隧道协议1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议L2TP可以实现和企业原有非IP网的兼容,支持MP〔MultilinkProtocol〕，可以把多个物理通道捆绑为单一逻辑信道PPTP/L2TP(3)优点：支持其他网络协议支持流量控制对用微软操作系统的用户来说很方便缺点：通道翻开后，源和目的用户身份不再就行认证，存在平安隐患限制同时最多只能连接255个用户端点用户需要在连接前手工建立加密信道IPSecVPN(1)IPSecVPN(2)

AH包头的结构：IPSECAH/ESP数据包结构IPSecVPN(3)

MPLSVPNMPLSVPNPE=ProviderEdgeRouterLSR=LabelSwitchRouter课程内容

隐患扫描PKI(CA)

PGP

平安加固

防病毒内外网隔离物理隔离

逻辑隔离内外网隔离平安需求(1)?计算机信息系统国际联网保密管理规定?第六条规定："涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。"平安需求(2)平安需求(3)物理隔离卡－双网线隔离卡客户端需要增加一块PCI卡，客户端硬盘或其它存储设备首先连接到该卡，然后再转接到主板，这样通过该卡用户就能控制客户端的硬盘或其它存储设备。用户在选择硬盘的时候，同时也选择了该卡上所对应的网络接口，连接到不同的网络

物理隔离卡－双网线隔离卡(con’t)物理隔离卡－单网线隔离卡

只有一个网络接口通过网线将不同的电平信息传递到网络选择端，在网络选择端安装网络选择器，并根据不同的电平信号，选择不同的网络连接特点：实现本钱较低，能够有效利用现有单网线网络环境系统的平安性有所提高物理隔离卡〔图〕网络平安隔离集线器作为A/B转换器被设置在机柜中根据网络平安隔离卡的状态自动地将网络连接到平安网络或公共网络中特点：能使用原有的单一的布线系统物理隔离网闸〔GAP〕(1)由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接能够在网络间进行平安闲度的应用数据交换物理隔离网闸〔GAP〕(2)性能指标：系统数据交换速率硬件切换时间通常包含的平安功能模块：平安隔离内核防护协议转换病毒查杀访问控制平安审计身份认证内外网隔离物理隔离

逻辑隔离逻辑隔离课程内容

隐患扫描PKI(CA)

PGP

平安加固

防病毒日志审计日志审计根底知识日志审计过程日志审计日志审计根底知识什么是日志审计日志实例日志审计的重要性日志的来源日志审计过程什么是日志审计识别、记录、存储和分析那些与平安相关活动有关的信息的行为被称为平安审计这些信息以日志的方式进行存储，对这些日志的检查审计可以用来判断发生了哪些平安相关活动以及哪个用户要对这些活动负责日志审计的重要性管理员入侵者网络异常发现黑客追踪证据日志的来源(1)日志的来源(2)通常可以进行审计的事件包括：文件审计应用程序与效劳安装与卸载的审计平安配置更改的审计Internet审计用户登录审计用户打印审计进程状况审计与移动存储有关的审计，等等日志审计日志审计根底知识日志审计过程审计事件生成审计事件选择审计事件存储审计事件查阅日志审计分析自动响应审计事件生成事件的日期和时间事件类型主体身份事件的结果针对不同类型的事件的其他相关信息在某些情况下，应当标识引起该事件的用户身份审计事件选择

审计事件选择是指在所有可以审计的事件中，根据主体身份、事件类型等属性，选择对哪些事件进行审计，这种选择可以用包含或排除的方法。审计事件存储

保护审计记录不受未授权的删除防止或检测对审计记录的修改当存储耗尽、失败或受到攻击时，能够确保审计记录不受破坏存储失败时，应采取一定行动确保新的审计记录不受破坏审计事件查阅访问控制权限易于理解日志审计分析日志的分析可以分为手工和自动的方式，通常，对日志的自动分析任务可以由入侵检测系统完成。但是，手工分析往往是日志分析不可缺少的局部自动响应对日志的自动分析和自动响应通常由入侵检测系统实现自动相应可以是报警、自动采取某些平安措施，等等SolarisBSM〔BasicSecurityModel〕BSM用户级审计记录包括：进程名手册页参考审计事件号审计事件名审计记录结构BSM核心级审计记录包括：系统调用名手册页参考审计事件号审计事件名审计事件类事件屏蔽审计记录结构WIN2000日志结构数据时间用户名计算机名事件ID源类型种类可变内容，依赖于事件，可以时问题的文本解释和纠正措施的建议附加域。如果采用的话，包含可以字节或字显示的二进数据及事件记录的源应用产生的信息记录头事件描述附加数据WIN2000日志举例(1)事件类型: 成功审核事件来源: Security事件种类: 登录/注销

事件

ID: 538日期: 2003-9-9时间: 20:47:04WIN2000日志举例(2)用户: QU\hiiri计算机: QU描述:用户注销:用户名: hiiri域: QU登录

ID: (0x0,0x504001)登录类型: 719-May-0017:31:59[时间戳]drop[动作]

inbound[方向]udp[传输层协议]

scan.wins.bad.guy[源地址]MY.NET.29.8[目标地址]netbios-ns[目标端口]netbios-ns[源端口]78[包长度]IDS日志举例(Snort)[**]rwwwshellCGIaccessattempt[**]06/10-07:55:01.284025[时间戳]3:1526[源地址及端口]->2:80[目标地址及端口]TCP[传输层协议]TTL:52[生存期]TOS:0x0[效劳种类]ID:4816[会话ID]DF[不可分段]Len:358[包长度]课程内容

隐患扫描PKI(CA)

PGP

平安加固

防病毒入侵检测〔IntrusionDetection〕入侵检测定义入侵检测方法

入侵检测系统结构入侵检测〔IntrusionDetection〕入侵检测定义入侵检测与入侵检测系统〔IDS)入侵检测系统根本框架入侵检测方法入侵检测系统结构什么是入侵检测入侵检测〔IntrusionDetection〕是检测计算机网络和系统以发现违反平安策略事件的过程IDS入侵检测系统包括三个功能组件提供事件记录流的信息源发现入侵迹象的分析引擎基于分析引擎的结果产生反响的响应部件入侵检测系统根本框架入侵检测〔IntrusionDetection〕优点：可以检测到未知攻击知识库相对稳定

缺点：准确性差误报率高

异常检测典型系统－TripWare(1)TripWare主要利用关键性文件的摘要作为自己知识库，合法用户修改文件后要更新该文件摘要，由于非法用户无权更改其摘要，所以当发现文件摘要和保存的记录不符时，判定系统受到攻击。

异常检测典型系统－TripWare(2)优点：实现简单管理方便缺点：检测能力差

优点准确高效〔相对〕易实现缺点不能检测未知攻击知识库会无限增长描述所有攻击行为困难误用检测典型系统－Snort(1)Snort是一个典型的轻量级误用网络入侵检测系统。该系统自己定义了一套规那么语言来定义入侵行为，规那么语言所描述的主要是网络数据包的特性，比方地址、端口、包头属性、包含的特殊数据等等。误用检测典型系统－Snort(2)Snort规那么语言〔例如〕logtcpalerttcpanyany->/2480(content:

"/cgi-bin/phf";msg"PHFprobe!")alerttcp!/24any->/246000:6010(msg:"Xtraffic";)alerttcpanyany->/24143(content:"|E8C0FFFFF|/bin/sh";msg:"NewIMAPBufferOverflowdetected!";)误用检测典型系统－Snort(3)优点:检测的准确度比较高缺点:检测的效率低对复杂攻击检测能力差容易被欺骗入侵检测〔IntrusionDetection〕入侵检测定义入侵检测方法入侵检测系统结构基于主机系统的结构基于网络系统的结构基于主机系统的结构其检测目标主要是主机系统和系统本地用户根据主机的审计数据和系统的日志发现可疑事件依赖于审计数据和系统日志的准确性和完整性基于网络系统的结构课程内容

隐患扫描PKI(CA)

PGP

平安加固

防病毒隐患扫描

〔vulnerabilitiesscanning〕网络弱点扫描

主机弱点扫描

特定应用弱点扫描隐患扫描

〔vulnerabilitiesscanning〕网络弱点扫描

功能分类常用扫描工具主机弱点扫描

特定应用弱点扫描什么是网络弱点扫描

定期或按需寻找网络设备或网络主机上的漏洞，从而可以对这些漏洞进行及时弥补，以改善网络的平安性网络扫描器功能分类

简单漏洞识别与分析全面漏洞识别与分析简单漏洞识别与分析许多工具能实现相对有限的平安检测。这些工具可以自动进行目标主机的TCP/IP端口扫描，尝试连接存在漏洞的效劳端口，并且记录下目标主机的反响它们可以为特定的系统特性实现平安配置检查全面漏洞识别与分析扫描漏洞范围更广对漏洞进行分析提出的建议，减轻潜在的平安风险常用扫描工具SATANNessusISSInternetScannerSATAN(1)SATAN：SecurityAnalysisToolforAuditingNetworks其根本功能是通过finger，NFS，ftp，NIS，Web等效劳尽可能的搜集目标主机和网络的相关信息并具有简单的推理功能SATAN(2)具有良好的可扩展性最核心局部对操作系统类型、网络效劳名称、漏洞信息和其他细节信息依赖性很小提供了较为灵活的方式供用户添加自己的探测模块,用户可以自己编写一个可执行文件，以.satan结尾NESSUS一个公开代码的平安评估工具有灵活Plugin结构，强大的扫描功能，并且具有很好的扩展性自己提供了一个语言NASL用于用户自己开发测试模块ISSInternetScanner(1)ISSInternetScanner(2)特点：扫描模块与管理控制模块分开，管理方便采用XML方式定义扫描任务，策略配置灵活多样支持对各种网络设备、平台、应用的评估界面友好，报告齐全

隐患扫描

〔vulnerabilitiesscanning〕网络弱点扫描

主机弱点扫描主机弱点扫描功能与特点ISSSystemScanner

特定应用弱点扫描主机弱点扫描功能与特点是针对单一主机系统的扫描，它在目标系统上运行，可以搜集到比较全面的系统信息，对系统平安性作比较深入地分析只能分析单个主机，不能分析整个网络状况，也不能远程执行对于单一主机来说，主机弱点评估比网络弱点评估的评估能力强，准确性高它对弱点的修复能力比网络评估系统强ISSSystemScanner隐患扫描

〔vulnerabilitiesscanning〕网络弱点扫描

主机弱点扫描特定应用弱点扫描数据库弱点扫描对未知漏洞的检测数据库弱点扫描以ISS的DatabaseScanner为代表自动解析数据库系统的重要配置管理参数分析数据库系统的授权、认证、完整性检测一些流行数据库的平安漏洞生成详细用户报告提供两种评估方式内部扫描外部穿透性测试对未知漏洞的检测目前主要有三种方法：静态源代码扫描环境错误注入汇编代码扫描已有一些成果发布，尚待进一步研究课程内容

隐患扫描PKI(CA)

PGP

平安加固

防病毒PKI(CA)PKI(CA)什么是PKI公钥密码体制(1)公钥加密模型公钥认证模型公钥密码体制(2)公钥密码体制的优点:可以简化密钥的管理，并且可以通过公开系统如公开目录效劳来分配密钥。公钥密码体制的缺点:加、解密的速度太慢密钥长度太长RSA算法：是一个可逆的公钥密码体制，在PGP中被用来加密通信密钥和数字签名;基于以下原理：寻找大素数是相对容易的，而分解两个大素数的积在计算上是不可行的;目前建议使用模长为1024比特以上的模作为密钥PKI的组成1．

CA〔认证机构〕2．

证书库3．

证书撤销4．

密钥备份和恢复5．

自动密钥更新6．

密钥历史档案7．

交叉认证8．

支持非否认9．

时间戳10.客户端软件PKI标准的制定组织PKI(CA)RFC2459RFC2459X.509证书(1)〔图〕X.509证书(2)证书版本号〔Version〕证书序列号〔SerialNumber〕签名算法标识符(SignatueAlgID)颁发者〔Issuer〕有效期〔Validity〕X.509证书(3)主体名〔Subject〕主体公钥信息〔SubjectPublicKeyInfo〕签发者唯一标识符(IssuerID)主体唯一标识符(SubjectID)签名值〔Issuer'sSignature〕扩展项X.509V3版本的14项标准扩展信任模型层次信任模型网状信任模型混和信任模型桥信任模型层次信任模型网状信任模型混和信任模型桥信任模型VeriSign,IBM,Balitimore,Entrust等为用户提供了一系列的客户端和效劳器端的平安产品各国政府也相继推出和建立了国家和政府级的PKI体系，如美国联邦PKI体系〔FPKI〕、加拿大政府PKI体系〔GOCPKI〕等PKI(CA)WIN2000PKIWindows2000为电子商务提供了一个平台，其中包括证书管理、CA效劳与PKI应用程序等WIN2000中CA的层次结构

Windows2000PKI采用了分层CA模型。这种模型具备可伸缩性，易于管理，并且能够对不断增长的商业性第三方CA产品提供良好的支持。在最简单的情况下，认证体系可以只包含一个CA。但是就一般情况而言，这个体系是由相互信任的多重CA构成的

WIN2000中CA的层次结构(图)

证书颁发过程CA收到证书请求信息，包括个人资料和公钥等

CA对用户提供的信息进行核实

CA用自己的私钥对证书进行数字签名

CA将证书发给用户

WIN2000PKI的组成认证效劳活动目录支持PKI的应用程序使用的平安协议WIN2000PKI的组成〔图〕认证效劳

(CertificateServices)是WIN2000PKI中的一个关键局部通过它可以部署一个或多个企业性的CA。这些CA都可以进行认证发布和撤销效劳，它们与活动目录集成在一起活动目录提供了CA的定位信息和CA策略，并可以公布有关认证发布和撤销的信息

支持WIN2000PKI的应用程序

MicrosoftInternetExplorerMicrosoftInternetInformationServiceMicrosoftOutlookMicrosoftOutlookExpressMicrosoftMoney其他第三方程序

WIN2000PKI使用的平安协议平安套接字协议SSL网际平安协议IPSec课程内容

隐患扫描PKI(CA)

PGP

平安加固

防病毒PGP(PrettyGoodPrivacy)PGP开展历史与现状PGP加密流程PGP加解密算法PGP的密钥管理机制PGP(PrettyGoodPrivacy)PGP概述PGP开展历史与现状PGP功能PGP加密流程PGP加解密算法PGP的密钥管理机制PGP开展历史与现状是一个基于RSA公钥加密体系的邮件加密软件由美国的

PhilZimmermann于1991年发布采用了RSA和对称加密算法相结合的机制1993年，美国政府以违反出口法规提起了对PhilZimmermann的诉讼。最后以PhilZimmermann获胜告终。PGP功能PGP(PrettyGoodPrivacy)PGP开展历史与现状PGP加密流程平安机制PGP公钥与证书口令PGP加解密算法PGP的密钥管理机制PGP平安机制PGP公钥与证书

每个PGP公钥都伴随着一个证书PGP成认两种不同的证书格式PGP证书X.509证书PGP证书(1)〔图〕PGP证书(2)〔图〕PGP证书(3)〔图〕PGP证书(3)PGP证书通常包括以下信息PGP版本号

证书持有者的公钥

证书持有者的信息

证书拥有者的数字签名

证书的有效期

密钥首选的对称加密算法

中介人签名

X.509证书与PGP证书的不同用户可以创立自己的PGP证书;但是必须向CA请求才能得到一份X.509证书X.509证书只支持密钥拥有者的一个名字X.509证书只支持证明密钥合法性的一个数字签名PGP(PrettyGoodPrivacy)PGP开展历史与现状加密流程PGP加解密算法PGP中的公钥密码体制PGP中的身份认证PGP中的对称密码体制PGP的密钥管理机制PGP公钥密码体制公钥密码体制的优点:可以简化密钥的管理，并且可以通过公开系统如公开目录效劳来分配密钥。公钥密码体制的缺点:加、解密的速度太慢密钥长度太长RSA算法：是一个可逆的公钥密码体制，在PGP中被用来加密通信密钥和数字签名;基于以下原理：寻找大素数是相对容易的，而分解两个大素数的积在计算上是不可行的;目前建议使用模长为1024比特以上的模作为密钥数字签名与消息摘要(1)什么是数字签名：是一种确保数据完整性和非否认性的手段，通过给消息附加一段数据来实现使用对称密码体制或公钥密码体制，目前一般使用公钥密码体制实现问题：速度慢产生大量数据，大约是原始数据的两倍数字签名与消息摘要(2)解决方法：引入消息摘要什么是消息摘要：通过对一段任意长的消息使用单向函数，获得的一段定长的数据流程：构造一段消息的消息摘要对该段消息摘要进行数字签名数字签名与消息摘要(3)对消息摘要算法的要求：函数必须是单向的，即对任意消息摘要来构筑能产生该消息摘要的输入消息是计算上不可行的构造两个能产生相同消息摘要的不同的消息是计算上不可行的PGP中的对称密码体制什么是对称密码体制一种使用相同密钥〔或相互容易推出的〕进行加密和解密的密码体制分为序列密码和分组密码，PGP中使用分组密码中的IDEA算法来加密数据优点：加解密速度快缺点：必须有一