安全通信和网络攻击

时间：2023年4月27日 星期四

作者：小王

• 一、协议安全机制
  • 1.身份验证协议
  • 2.端口安全
  • 3.服务质量
• 二、安全语音通信
  • 1.公共电话交换网（PSTN）
  • 2.互联网语音协议（VoIP）
  • 3.语音钓鱼和飞客攻击
  • 4.PBX欺诈和滥用
• 三、远程访问安全管理
  • 1.远程访问和远程办公技术
  • 2.远程连接安全
  • 3.远程访问安全策略
• 四、多媒体协作
  • 1.远程会议
  • 2.即时通讯
• 五、负载均衡
  • 1.虚拟IP
  • 2.负载持久性
  • 3.AA与AS
• 六、管理邮件安全
  • 1.邮件安全目标
  • 2.邮件安全问题
  • 3.邮件安全解决方案
• 七、虚拟专用网
  • 1.隧道技术
  • 2.工作原理
  • 3.始终在线
  • 4.拆封隧道和全隧道
  • 5.常用VPN协议
• 八、交换机和虚拟局域网
  • 1.交换机机制
  • 2.虚拟局域网（VLAN）
  • 3.VLAN跳跃
  • 4.MAC洪水攻击
  • 5.MAC克隆
• 九、网络地址转换
  • 1.NAT类型
  • 2.私有IP地址
  • 3.状态NAT
  • 4.自动私有IP寻址（APIPA）
• 十、第三方连接
  • 1.谅解备忘录（MOU）
  • 2.互连安全协议（ISA）
• 十一、交换技术
  • 1.电路交换（circuit switching）
  • 2.分组交换（packet switching）
  • 3.虚电路（virtual circuits）
• 十二、广域网技术
• 十三、光纤链路
• 十四、安全控制特征
• 十五、阻止和缓解网络攻击

一、协议安全机制

1.身份验证协议

• 密码身份验证协议（PAP）：PAP以明文形式传输用户名和密码。（不要用）

• 挑战握手身份验证协议（CHAP）：CHAP使用无法重播的质询响应对话执行身份验证，定期对会话进行重新验证。由于CHAP基于MD5，已不再安全，替代协议是MS-CHAPv2。

• 扩展身份验证协议（EAP）：一个身份验证框架，而不是实际的协议，支持自定义身份验证方法。

• 轻量级可扩展身份验证协议（LEAP）：TKIP的替代方案，已被弃用。

通过安全隧道进行灵活身份验证（EAP-FAST）：用以替代LEAP，已被弃用。

• EAP-MD5：使用MD5散列密码，已被弃用。

EAP受保护的一次性密码（EAP-POTP）：支持在多因素身份验证中使用OTP令牌，用于单向和相互身份验证。

• 受保护的可扩展身份验证协议（PEAP）：将EAP封装在TLS隧道中，单证书验证。（具有成本效益）

• EAP传输层安全性（EAP-TLS）：用于保护认证流量的TLS协议的实现，双证书验证。（最安全）

• EAP隧道传输层安全性（EAP-TTLS）：是EAP-TLS的扩展，它在身份验证之前在终端之间创建类似VPN的隧道。（一般忽略，不如TLS安全）

• 用户识别模块（EAP-SIM）：基于SIM卡，实现全球移动通信系统（GSM）网络认证移动设备。

2.端口安全

• 物理端口安全：物理网络端口具备非授权访问保护机制。一层

• 端口MAC过滤：通常由交换机端口实现客户端MAC过滤。二层

• 传输层端口安全：非必要服务端口禁用、端口探测过滤等。四层

3.服务质量

服务质量（QoS）是对网络通信效率和性能的监督和管理，如今通常通过上网行为管理实现。

二、安全语音通信

1.公共电话交换网（PSTN）

PSTN是传统电话通信网络，也用于互联网连接。

2.互联网语音协议（VoIP）

互联网语音协议（VoIP）是一种将音频封装到IP数据包中的技术，以支持通过TCP/IP网络连接的电话呼叫。

3.语音钓鱼和飞客攻击

• 语音钓鱼（vishing）通过语音电话进行社工攻击。

• 飞客攻击（phreakers）通常是针对电话系统和语音服务的一种特定类型的攻击，如拨打免费长途电话，改变电话服务功能，窃取专门服务，甚至造成服务中断。

4.PBX欺诈和滥用

专用分支交换机（PBX）是一种部署在私人组织中的电话交换系统，用于支持多站使用少量外部PSTN线路。

采用直接拨入系统访问（DISA）技术，提供身份验证，可以减少外部实体对PBX的访问，需要与其他防护措施配合使用。

三、远程访问安全管理

1.远程访问和远程办公技术

• 特定服务：为特定服务提供远程访问，如仅能远程访问邮件。

• 远程控制：即远程桌面连接提供的能力。

• 抓屏/录屏：抓屏即远程控制，录屏即自动化人机交互。

• 远程节点操作：即拨号连接。

2.远程连接安全

• 远程访问用户在被授予访问权限之前应该经过严格的身份验证。

• 只有那些特别需要对其分配的工作任务进行远程访问的用户才应被授予建立远程连接的权限。

• 应保护所有远程通信免受截获和窃听

3.远程访问安全策略

• 远程连接技术：对使用的特定远程连接技术进行评估。

• 传输保护：通信加密。

• 身份验证保护：远程连接前需要进行身份验证。

• 远程用户助手：针对远程用户遇到的问题进行培训和指导。

四、多媒体协作

1.远程会议

需评估远程会议系统的安全性，如之前疫情期间崛起的Zoom视频会议软件被爆出信息泄露。

2.即时通讯

组织使用IM软件时需要评估其安全性，如内部通信feiQ、外部通信企业微信等。

五、负载均衡

负载平衡的目的是获得更优化的基础设施利用率、最小化响应时间、最大化吞吐量、减少过载和消除瓶颈。

1.虚拟IP

由于存在多个服务器共同处理流量，必须协商一个虚拟IP对外提供访问。

2.负载持久性

客户端建立通信后，后续通信也将发送到同一个服务器处理，被称为持久性（persistence）。

3.AA与AS

主主（AA）模式指的是服务器都正常运行、共同处理网络流量。

主备（AS）模式指的是一些服务器正常运行，一些服务器休眠，当主机宕机后备机接管。

六、管理邮件安全

1.邮件安全目标

• 限制预期收件人对邮件的访问（即隐私和机密性），以保持邮件的完整性

• 对消息源进行身份验证和验证

• 提供不可抵赖

• 验证消息的传递

• 对邮件中或邮件附加的敏感内容进行分类

2.邮件安全问题

• 使用明文协议传输，易被拦截和窃听；

• 附件包含恶意代码；

• 缺乏源认证，易假冒邮件地址；

• 邮件服务易被DoS攻击；

• 垃圾邮件（spamming）占用资源。

3.邮件安全解决方案

记忆S/MIME

七、虚拟专用网

虚拟专用网络（VPN）是两个实体之间跨中间非信任网络的通信通道。

1.隧道技术

一种网络通信过程，通过将协议数据包封装另一种协议报文中，对协议数据内容进行保护，即使用多层协议。

隧道技术时一种低效通信方式，因为消息比原始大了很多，且隧道技术也是流量监控变得不容易实现。

2.工作原理

VPN能够连接两个单独的系统或两个完整的网络，仅在隧道中保护流量，是专线的替代方案。

• 传输模式：端到端加密，加密载荷部分，但不加密报头。

• 隧道模式：对整个IP报文都进行加密。

• 站点到站点VPN：通过internet连接两个网络。（例如总部分支机构）

• 远程访问VPN：也称为链路加密VPN，远程客户端通过internet连接到办公室局域网。

3.始终在线

始终在线（always-on）的VPN是指每当网络链接激活时，尝试自动连接到VPN服务的VPN。由于使用开放式公共互联网链接的风险，拥有一个始终在线的VPN将确保在每次尝试使用在线资源时建立安全连接。

4.拆封隧道和全隧道

• 拆封隧道（split tunnel）：允许VPN连接的客户端，能够同时通过VPN和internet直接访问组织网络，被视为不安全的VPN配置。

• 全隧道（full tunnel）：所有客户端流量通过VPN链路发送到组织网络，然后任何以互联网为目的地的流量从组织网络的代理或防火墙接口路由到互联网。

5.常用VPN协议

• 点到点隧道协议（PPTP）：运行在数据链路层，用于IP网络，端口1723，支持PAP、CHAP、EAP、MS-CHAPv2身份验证，初始验证未加密，过时技术。

• 二层隧道协议（L2TP）：运行在数据链路层，用于IP网络，端口1701，支持PAP、CHAP、EAP、MS-CHAPv2、802.1X身份验证，本身不支持加密，依靠IPSec提供有效负载加密。

• SSH：端口22，可用于telnet的替代、加密协议（如SFTP）和VPN。SSH用于VPN仅提供传输模式。

• OpenVPN：基于TLS提供VPN，使用预共享密码或证书进行身份验证，常用于WAP。

• IP安全协议（IPSec）：仅支持工作在IP网络中，支持身份验证和加密传输。-重点

-身份验证头（AH）：提供身份验证、完整性和不可否认性。

-封装安全载荷（ESP）：提供机密性、完整性和有限的身份验证。

-基于散列的消息身份验证码（HMAC）：是主要散列或完整性机制。

-IP有效负载压缩（IPComp）：用于在ESP加密数据之前对其进行压缩，以尝试跟上线速传输。

-Internet密钥交换（IKE）：IPsec管理加密密钥的机制，包括OAKLEY（密钥生成）、SKEME（密钥交换）和ISAKMP（协同管理）。

八、交换机和虚拟局域网

1.交换机机制

• 学习：收到数据包就将源MAC与端口关联，记录到MAC转发表。

• 转发：收到数据包后基于MAC转发表进行转发。

• 丢弃：转发时如果来源端口和目的端口一样则丢弃。

• 泛洪：转发时MAC地址无条目则复制数据包发送到所有端口。

2.虚拟局域网（VLAN）

交换机模拟创建多个虚拟交换机，实现网络分段。默认所有端口都属于VLAN1，将不同端口分配不同VLAN ID实现网络分段，VLAN间无法进行通信，但可以利用外部路由实现。VLAN管理最常用于区分用户流量和管理流量。

3.VLAN跳跃

VLAN隔离不同网络流量的原理是利用数据包中的VLAN tag。当VLAN tag滥用时就会出现VLAN跳跃，实现跨VLAN通信。

4.MAC洪水攻击

MAC洪水攻击是一种是故意滥用交换机的学习功能，使其陷入泛洪状态，进而导致网络拥塞。

5.MAC克隆

一个广播域内不能存在两个相同MAC，否则出现地址冲突。通过嗅探或监听获取目标MAC，可实现MAC伪造、欺骗或克隆。

九、网络地址转换

NAT被设计出来的主要原因在于IPv4地址不足，可将内部私网IP地址转化为外部公网IP地址，进而可与互联网进行通信。NAT还有一些其他安全性：隐藏内部IP地址和网络拓扑、拦截非授权外部入网流量。

1.NAT类型

• NAT：一对一进行映射，即一个内部IP映射一个公网IP，是静态NAT的体现。

• PAT：利用端口号实现多对一映射，即多个内部IP映射一个公网IP，是动态NAT的体现。

• NAT穿越（NAT-T）：NAT与IPSec不兼容，因为NAT会改变IP头部，通过NAT-T实现IPSec的支持。

2.私有IP地址

私有IP地址无法在互联网进行通信，RFC 1918中规定的地址段如下：

• 10.0.0.0~10.255.255.255，即10.0.0.0/8

• 172.16.0.0~172.31.255.255，即172.16.0.0/12

• 192.168.0.0~192.168.255.255，即192.168.0.0/16

3.状态NAT

NAT通过维护内部客户端发出的请求、客户端的内部IP地址和所联系的internet服务的IP地址之间的映射来运行，因此必须维护NAT状态，就像状态检测防火墙的机制。

4.自动私有IP寻址（APIPA）

Windows系统在通过DHCP无法获取IP地址时，会给自己自动配置169.254.0.1-169.254.255.254范围的IP，在这个IP范围内的系统是可以互相通信的，但无法与其他段的系统通信。

十、第三方连接

每当一个组织网络直接连接到另一个实体的网络时，它们的本地威胁和风险都会相互影响可，通过谅解备忘录（MOU）和互连安全协议（ISA）提供保障。

1.谅解备忘录（MOU）

也叫协议备忘录（MOA），是一种更为正式的互惠协议，但不具备法律效应。

2.互连安全协议（ISA）

ISA是两个组织的正式声明，定义在两个网络之间的通信路径上维护安全的期望和责任。

十一、交换技术

了解

1.电路交换（circuit switching）

用于公用电话交换网络，提供永久物理连接，也就是每次通信独占线路。

2.分组交换（packet switching）

分组交换是将消息分段进行传输，不会独占线路。

3.虚电路（virtual circuits）

一条逻辑路径或电路，在分组交换网络两个特定端点之间建立。

• 永久虚电路（PVC）：类似专线，建立完成后仅供自己使用，拿起来就可以通信。

• 交换虚电路（SVC）：每次通信前需要协商建立虚电路，传输结束后也会将虚电路拆除。

十二、广域网技术

了解即可

WAN链路连接技术分类

• 专线（dedicated）：持续保留供特定客户使用的线路，如T1、T3、D3等，大多数已被光纤解决方案替代。

• 非专线（nondedicated）：在数据传输发生之前需要建立连接的线路，如标准调制解调器、数字用户线路（DSL）、综合业务数字网（ISDN）。

十三、光纤链路

同步数字体系（SDH）和同步光网络（SONET）是光纤高速网络标准。SDH由国际电信联盟（ITU）标准化，SONET由美国国家标准协会（ANSI）标准化。SDH和SONET都支持网状和环形拓扑。这些光纤解决方案通常作为电信服务的主干网实施，并向客户订购部分容量。

十四、安全控制特征

记忆

1.机密性：由加密技术实现。

2.完整性：由哈希算法实现。

3.透明性：安全控制是用户无感知的。

4.传输日志记录：侧重于通信的审计，有助于故障排除和跟踪未经授权的通信。

5.传输错误纠正：一种内置于面向连接或会话的协议和服务中的功能。

十五、阻止和缓解网络攻击

已分散到其他章节。