🔥 网络空间安全

网络空间安全

网络空间已经逐步发展成为继陆、海、空、天之后的第五大战略空间

网络空间安全层次框架

设备层安全：物理、环境、设备安全
系统层安全：网络、计算机、软件、操作系统、数据库安全
数据层安全：数据、身份、隐私安全
应用层安全：内容、支付、控制、物联网安全

一些基本概念

肉鸡、木马、网页木马、挂码、后门、弱口令
Rootkit：隐藏行踪保留root权限的工具
IPC$：是为了进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。
默认共享：Windows开启共享服务后，因为加了 $ 符号隐藏托手图标
WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称作一种网页后门。
溢出
注入，例如 SQL 注入。
注入点
3389肉鸡：3389端口是终端服务的端口号
4899肉鸡：4899端口是Radmin用的端口，Radmin是知名远程控制软件
免杀：通过加壳、加密、修改特征码、加花指令等技术来修改程序，使其逃过杀毒软件的查杀。
加壳：利用特殊的算法，将EXE/DLL的编码进行改变（比如压缩、加密），以缩小文件体积、加密程序编码、躲过杀毒软件查杀。较常用的壳有UPX、ASPack、PePack、PECompact、UPack、免疫007、木马彩衣，等等。
花指令：几句汇编指令，让汇编语句进行一些跳转，使得杀毒软件不能正常判断出病毒文件的构造。

物理安全

物理安全威胁

设备损毁
电磁泄漏
电子干扰
网络安全
芯片安全

防护手段

严格按照规范操作
定期维护、保养
防病毒设计
防火、防水、防震、防盗
物理访问控制：机房、工区准入机制，监控，警报器
物理安全隔离器

工控设备安全

芯片安全

caption: 芯片制造中的安全

集成电路的主要威胁

赝品IC：外观相同，但伪造的IC
逆向工程：逆向获取IP设计，存储器中的敏感信息
硬件木马：原始电路中被植入的恶意电路。可以篡改数据、改变电路功能、修改电路参数、泄漏信息
- 极难检测。IC结构复杂，难以区分噪声，硬件木马种类繁多。
- 检测方法：破坏性检测、非破坏性检测。与安全芯片对比（例如温度等）。IC设计时添加一些防木马设计。

可信计算：实体行为总是以预期的方式，达到预期的目标

先构建一个信任根，建立一条信任链。从信任根开始到硬件、操作系统、应用，一级度量一级，一级信任一级，把信任扩展到整个计算机系统。
信任根（trust root）。
- 一个可信任平台包含三个信任根：
- 可信度量根（RTM，Root of Trust for Measurement）
- 可信报告根（RTS，Root of Trust for Storage）
- 可信报告根（RTR，Root of Trust for Report）
信任链
应用
- 版权管理
- 身份盗用保护
- 游戏防作弊
- 保护系统
- 保护数据
- 计算结果

防火墙

类型

网络防火墙：专门的硬件安装的
主机防火墙：安装在电脑上的

作用

安全域划分，安全域策略部署
访问控制
防止内部数据外泄
审计
部署网络地址转换

局限性

防火墙关键技术

数据包过滤技术
- 基本形式的防火墙
- 根据规则过滤：IP地址、数据包协议类型、端口号、进出网络接口、标志位。
  - 缺省策略：不在白名单的全部拒绝；不在黑名单的全部放行
- 优点：路由器实现、速度快
- 缺点：规则表复杂、单个数据包为处理单位（因此无法考虑连接状态、无法引入认证机制）
- 针对包过滤技术的攻击：
  - IP地址欺骗，假冒内网的IP地址。对策：在外部接口上禁止内网地址。
  - 源路由攻击
  - 小碎片攻击，防火墙就无法分辨。对策：丢弃太小的碎片
  - 利用复杂协议/管理页面的配置失误，例如用FTP协议对内网探查
应用层代理技术
- 特点：
  - 所有连接通过防火墙，防火墙是网关
  - 应用层上实现
  - 可以打开包
- 优点：
  - 不允许外部直接访问内部主机，内外网完全隔离
  - 提供多种用户认证方案
  - 可以分析数据包内部的应用命令
  - 可以提供详细的审计记录（日志功能）
- 缺点：
  - 每个应用服务都设计对应的代理软件模块
  - 检查各种报文，因此延迟大
状态检测技术
- 跟踪网络链接、数据包，用一组状态检测标准，确定是否允许通信
- 优点：
  - 快、灵活
  - 理解应用程序状态、高安全性
  - 减少了伪造数据包通过防火墙的可能性
- 缺点：
  - 记录状态信息，导致网络延迟
  - 跟踪各类协议，技术实现复杂
网络地址转换技术
- 内部的私有IP地址，转换为公共地址
个人防火墙
- 安装在个人计算机上的软件

防火墙的部署

包过滤方案：所有流量通过堡垒（包过滤路由器）
单宿主堡垒主机（Bastion Host）
双宿主主机（Dual-homed host）
屏蔽子网。DMZ（Demilitarized Zone，非军事区）。目前最常见的方案

caption: 包过滤防火墙

caption: 单宿主堡垒主机

caption: 双宿主主机

caption: DMZ

入侵检测技术（IDS）：以旁路接入网络，实时检测计算机网络和系统

是防火墙之后的第二道防线
部署在计算机网络枢纽节点
实时收集、分析信息
防火墙必须实时决定是否放行，IDS是旁路的

结构

事件产生器：采集信息
事件分析器：分析信息
响应单元：做出反应，例如让防火墙切断通信、修改文件权限、发出报警
事件数据库：存放相关数据

分类

基于网络
基于主机
分布式

VPN

需求：

各地的主机接入专用网
外部员工接入内部网络
VPN是防火墙的关键技术之一

作用

使用公用的互联网，组建“局域网”，主机使用本地（局域网）IP

网络攻防技术

网络信息收集技术

网络踩点（footprinting）：
- 了解攻击目标的隐私、网络环境、安全状况
- 找出薄弱环节
网络扫描
网络查点

网络踩点

Google Hacking：使用搜索引擎搜索收集网站上的相关信息
- 例如，搜索出某学校网站上的“录取公告”，其中有身份证号
- 防范：
- 清除公共媒体上的个人信息
- 处理泄漏的敏感信息
- 发布信息时脱敏
- 网络管理人员，不要轻易在论坛/讨论组发布求助技术贴
- 及时更新补丁、关注漏洞
Whois 查询
- DNS 注册信息
- IP 注册信息
- 防范：
- 尽量使用虚构的人名、特定的电话。如果被打到电话，就是正在被攻击
- 实际物理地址、电话、email 不公开

网络扫描

主机扫描：找到活跃的主机
端口扫描：找到主机开放的端口
操作系统/网络服务辨识
漏洞扫描

主机扫描

做法：发送一个特定的网络包，观察其返回。
常见的方法
- ICMP Ping，可以查看返回码、mac等信息
- 端口扫描：
  - TCP，大多数服务器都开放80端口
  - UDP ping
防范
- 入侵检测系统
- 访问控制列表 ACL
- 只允许指定的ICMP数据包达到主机

端口扫描

常用方法
- TCP 连接扫描
- TCP SYN 扫描
- TCP FIN 扫描
- TCP 圣诞树扫描
- TCP 空扫描
- TCP 窗口扫描
- TCP RPC 扫描
- UDP 扫描
防范
- 入侵检测系统
- 关闭不必要的服务

操作系统/网络服务辨识，工具：Nmap

漏洞扫描：探测目标是否已经安装安全补丁

工具：Nessus

网络查点

通过网络服务查点：FTP协议、POP3协议、SMTP电子邮件等
例如，FTP，使用客户端连接，用弱口令猜测
Windows：利用 NetBIOS，工具 net view, net view /domain, nltest, nbstat
Windows: smb 协议

Windows渗透

注入攻击：因为冯诺伊曼结构不区分数据和指令

缓冲区溢出：向缓冲区填充数据，缺乏严格边界检查，导致数据外溢，覆盖了相邻内存，从而改变程序原本的执行力流程
- 栈溢出、堆溢出
- 栈溢出覆盖函数返回地址
- 工具：Metasploit
格式化字符串漏洞
整数溢出
指针释放后再次被使用

其它手段

认证欺骗：破解登陆口令、发起中间人攻击
客户端软件漏洞：用户安装的应用（IE、Office）更新频率更低
设备驱动漏洞

Internet协议安全

网络安全五大属性（CIA）

保密（Confidentiality）
完整（Integrity）
可用（Availability）
真实（Authentication）
抗抵赖（Non-Repudiation）

网络攻击模式

截获（窃听）
- 嗅探 (sniffing)
- 监听(eavesdropping)
篡改
- 数据包篡改（tampering）
中断
- 拒绝服务（DoSing）
伪造
- 欺骗(Spoofing)

例如：TCP会话劫持

TCP是明文传输
攻击者嗅探流量后，伪造TCP数据包，以劫持会话

应用层：HTTP、FTP、SMTP等都普遍缺乏完备的安全机制

Web 安全

跨站脚本攻击（XSS，Cross-Site Scripting）
SQL注入
跨站请求伪造（Cross-Site Request Forgey，CSRF）

社会工程学攻击

信息收集

社交软件，可以收集某人的性格、更新频率等
接近新员工、离职员工
垃圾分析：分析扔掉的文件、信用卡对账单、手机卡、报废的设备
询问前台、秘书、客服。他们被培训的乐于助人。

心理诱导

用一些看起来普通的无关对话，精巧地提取有价值的信息
常见技巧：
表现自信，控制谈话主动权，不给对方太多思考
抛出诱饵
表达共同兴趣、阿谀奉承，迎合目标的自我感受

身份伪造

伪装成熟人
伪装成社交网络上的好友
冒充公司内部员工（网络管理员、网络承包商、软件供应商）

人类的心里弱点

从众心理。众多其他人采用了相对动作
饥饿感。
权威人士
利用人类的报答意识

网络钓鱼攻击

恶意程序

蠕虫病毒：自我复制并传播

木马：伪装成正常程序（或者绑定到合法软件上），暗中执行恶意操作（窃密、远控）

记录用户的键盘输出，以窃取用户密码
盗取用户安全证书
下载其它恶意程序
代理：开启HTTP、Socket等，把受感染的机器作为跳板，用其身份做别的恶意活动
FTP木马：让被感染的计算机成为 FTP 服务器
网页点击木马：模拟用户点击广告

网页木马：伪装到普通网页（或插入到正常网页中），用户访问后，利用系统/浏览器漏洞，自动安装和执行木马

流氓软件：未经过允许，在用户计算机上强行安装并运行的软件。

僵尸网络：采用传播手段，使大量主机被感染，被感染的主机通过控制信道接收与执行攻击者的指令。

后门：绕过系统安全机制，而获取系统访问权的恶意程序

常见工具：IRC、Netcat、VNC、Login、Telnetd、TCP Shell、ICMP Shell、UDP Shell、Rootkit
Wineggdroup shell

钓鱼：用email 等，诱骗用户登陆伪造网站，骗取（如银行卡等）账户、密码。

安卓恶意程序

操作系统安全

操作系统不安全的后果：xxx

安全操作系统：

新研发
基于 Linux

软件的安全分级

可信：可信人员根据严格的标准开发，通过现今软件工程技术证明了的。
良性
恶意软件

安全操作系统的内核，应当是可信的

安全策略：

军事安全策略：保护机密性为主
商业安全策略：保护完整性为主

安全策略中常用的访问控制模型

自主访问控制：用户按自己的意愿确定访问权限
强制访问控制：系统为每个主体标记访问许可基本，为客体标记安全级别。每次比对，决定是否允许访问。

无线网络安全

无线网络的安全比有线网络更复杂

连接开放：有线网络连接相对固定
终端移动性：有线网络，终端一般不能大范围移动
网络拓扑结构：有线网络拓扑结构固定，无线网络是复杂的
信号质量：无线网络的信道特性随用户移动而改变

IOS的安全机制

封闭生态：核心代码不开元，系统接口严格控制
沙盒机制，每个APP只能访问自己的文件夹、网络连接
代码签名验证：所有可执行代码都必须经过苹果签名
权限最小化：权限模型非常保守
APP审核：上架的APP都要通过代码审查

安卓系统安全：因为是开放系统，安全性更复杂（差）一些

移动终端安全

无人机安全

无线信号劫持与干扰
GPS欺骗
针对传感器网络的攻击

数据安全

分类

数据库安全
- 依赖于数据库管理系统（安全策略、安全模型、安全机制）
数据信息安全（数据安全）
- 更多的是管理者负责

数据安全面临的威胁

授权人员的非故意错误行为
社交工程
内部人员的攻击
管理配置错误
存在未打补丁的漏洞
其它攻击
数据再传输、交换过程中被窃听、篡改
计算机、存储设备故障，引起数据丢失、损坏
电源故障、环境灾害

新型威胁

推理攻击：从非敏感数据中推出敏感数据
拖库（窃取数据库）、洗库（对数据库破解、清洗）、撞库（多个数据库关联）

物联网安全

物联网（Internet of Things，IOT）

caption: IOT

感知层安全

面临的威胁：

窃听
重放攻击
克隆攻击
拒绝服务攻击
RFID病毒入侵。攻击者把病毒写入标签中，阅读器阅读时染毒

无线传感器网络安全影响因素

能量限制：节点部署后难以换电
有限的处理性能
通信不可靠：无线网络不稳定、延迟大、并发冲突
节点物理安全：节点可能被偷走
节点布置随机：在布置前不可预知
不同的应用，对安全需求不同

攻击方式：

女巫攻击：伪造多个节点，从而获得操纵能力
虫洞攻击：伪造部署两个节点，它们距离很远，再建立一条“私有高速隧道”。通过信息广播，导致其它节点误以为A-B路径最短，从而整个网络的流量都会通过这两个伪造节点
污水池攻击：伪造信息，让自己看起来是最优的路由节点，从而吸引大量流量经过自己。从而实施攻击（窃听、篡改、选择性转发）
洪泛攻击：类似Dos

网络层安全

应用层安全

面临的威胁

隐私威胁
非授权访问
身份冒充
应用层信息窃听、篡改
抵赖、否认
重放威胁

车联网安全

V2V（vehicle to vehicle）车与车之间的通信
V2R（Vehicle to Road side unit）车与路边设备的通信
威胁
- 明文传输，攻击者可以获取身份等隐私

智能家居安全