1. Ameaças comuns à segurança de rede As ameaças comuns à segurança da rede incluem: ● Espionagem (ou seja, acesso não autorizado, vazamento de informações, roubo de recursos, etc.) ● Representação (fingir ser outra entidade, como representação de site, falsificação de IP, etc.) ● Repetição ● Destruição de integridade ● Negação de serviço ● Trojans, vírus ● Análise de tráfego

2. Vulnerabilidades de segurança de rede Normalmente, os invasores procuram pontos fracos de segurança na rede e entram na rede silenciosamente pelas brechas. Portanto, a ideia de desenvolver armas de contra-ataque de hackers é descobrir as fraquezas de segurança na rede atual, demonstrar e testar essas falhas de segurança e, em seguida, apontar como tapar as falhas de segurança. Actualmente, a segurança dos sistemas de informação é muito fraca, reflectindo-se principalmente na existência de riscos de segurança em sistemas operativos, redes informáticas e sistemas de gestão de bases de dados. Estes riscos de segurança manifestam-se nos seguintes aspectos. (1) Segurança física. Qualquer local onde máquinas não autorizadas possam ser acessadas fisicamente terá possíveis problemas de segurança, o que permitirá que os usuários de acesso façam coisas que não estão autorizados a fazer. (2) Vulnerabilidades de segurança de software. O software “privilegiado” contém código de programa malicioso que permite obter privilégios adicionais. (3) Uso incompatível de vulnerabilidades de segurança. Quando os administradores de sistema agrupam software e hardware, do ponto de vista da segurança, pode-se considerar que o sistema pode apresentar sérios riscos de segurança. O chamado problema de incompatibilidade é conectar duas coisas não relacionadas, mas úteis, o que leva a falhas de segurança. Depois que o sistema estiver instalado e funcionando, esses problemas serão difíceis de detectar. (4) Escolha uma filosofia de segurança apropriada. Esta é uma compreensão e intuição dos conceitos de segurança. Não há garantia de que software perfeito, hardware protegido e componentes compatíveis funcionem de maneira adequada e eficaz, a menos que os usuários selecionem políticas de segurança apropriadas e ativem componentes que aumentem a segurança de seus sistemas.

3. Ataques cibernéticos

4. Objetivos das medidas de segurança

5. Principais tecnologias de segurança ● Criptografia de dados: Recombine as informações para que somente o remetente e o destinatário possam restaurá-las. ● Assinatura dos dados: utilizada para comprovar que foi de fato assinado pelo remetente. ● Autenticação de identidade: Verifique a legitimidade do usuário. ● Firewall: Localizado entre duas redes, controla a entrada e saída de pacotes de dados através de regras. ● Verificação de conteúdo: verifique a segurança do conteúdo dos dados para evitar danos causados ​​por vírus e cavalos de Tróia.

6. Conhecimento básico de segurança de sistema

exercício

1. Tecnologia de criptografia de dados A tecnologia de criptografia de dados refere-se ao processo de conversão de informações (texto simples) em texto cifrado sem sentido por meio de chaves de criptografia e funções de criptografia, e o receptor usa a função de descriptografia e a chave de descriptografia para restaurar o texto cifrado em texto simples. Dependendo se a chave de criptografia e a chave de descriptografia são iguais (se uma pode ser deduzida da outra), elas podem ser divididas em: ● Tecnologia de criptografia simétrica (algoritmo de criptografia de chave privada) ● Tecnologia de criptografia assimétrica (algoritmo de criptografia de chave pública)

2. Tecnologia de criptografia simétrica DES/3DES/IDEA/AES/SM1/SM2/RC2/RC4/RC5 A tecnologia de criptografia simétrica significa que a chave de criptografia e a chave de descriptografia são iguais ou, embora sejam diferentes, uma pode ser facilmente deduzida da outra. ● Vantagens: velocidade rápida de criptografia e descriptografia, alta força de criptografia e algoritmo aberto. ● Desvantagens: É difícil distribuir chaves secretamente. O gerenciamento de chaves é complicado quando há um grande número de usuários. Além disso, funções como autenticação de identidade não podem ser concluídas, tornando sua aplicação inconveniente em um ambiente de rede aberta. Algoritmos de criptografia simétrica comuns: ● DES (Data Encryption Standard): É uma cifra de bloco iterativa. A entrada/saída é de 64 bits. Chave de 56 bits e um bit de paridade adicional de 8 bits. ● 3DES: Devido ao curto comprimento da chave do DES, para melhorar a segurança, o uso Um algoritmo que usa uma chave de 112 bits para criptografar dados três vezes é chamado 3DES. ● Algoritmo IDEA (Algoritmo Internacional de Criptografia de Dados): seu texto simples e texto cifrado são ambos de 64 bits e o comprimento da chave é de 128 bits. PGP (Pretty Good Privacy) usa IDEA como algoritmo de criptografia de bloco e usa seus direitos autorais comerciais; Secure Socket Layer SSL (Secure Socket Layer) também inclui IDEA em sua biblioteca de algoritmos de criptografia SSLRef; Ascom, proprietária da patente do algoritmo IDEA, também lançou uma série de produtos de segurança baseados no algoritmo IDEA, incluindo: plug-in completo do Exchange baseado em IDEA, chip de criptografia IDEA, pacote de software de criptografia IDEA, etc. ● AES (Advanced Encryption Standard) (Advanced Encryption Standard) A chave é a base para criptografia e descriptografia do algoritmo AES. Algoritmos de criptografia simétrica são simétricos porque requerem a mesma chave para criptografar e descriptografar texto simples. Algoritmo de criptografia de bloco AES suporta três comprimentos de chave: 128 bits, 192 bits e 256 bits ● Algoritmo de criptografia de fluxo e RC4, outros são criptografia de bloco;

3. Tecnologia de criptografia assimétrica (algoritmo de criptografia de chave pública) RSA/ECC/SM2 A tecnologia de chave assimétrica significa que a chave de encriptação e a chave de desencriptação são completamente diferentes e é impossível De qualquer um deduza o outro. ●A vantagem é: o gerenciamento de chaves é simples, as funções de assinatura digital e autenticação de identidade podem ser realizadas e é a base central do comércio eletrônico atual e de outras tecnologias. ●Desvantagens: O algoritmo é complexo e a velocidade e a eficiência da criptografia de dados são baixas. Algoritmo RSA Um par de chaves RSA é gerado pelo centro de gerenciamento de chaves. Uma é chamada de chave privada e é salva pelo usuário, a outra é chamada de chave pública e pode ser tornada pública. ●Usar o RSA para criptografar grandes quantidades de dados é muito lento, por isso o RSA é amplamente utilizado para distribuição de chaves. ●O algoritmo RSA baseia-se num facto muito simples da teoria dos números: é muito fácil multiplicar dois números primos grandes, mas é extremamente difícil factorizar o produto (decomposição de números primos grandes) O algoritmo RSA resolve um grande número de problemas de gerenciamento de chaves de usuários de rede. Mas o RSA não pode substituir o DES. Suas vantagens e desvantagens se complementam: ●A chave RSA é muito longa e a velocidade de criptografia é lenta; ●A criptografia DES é rápida e adequada para criptografar mensagens mais longas; Portanto, ao transmitir informações, uma combinação de método de criptografia de chave privada e método de criptografia de chave pública é frequentemente usada. Algoritmos de criptografia de chave privada, como DES ou IDEA, são usados ​​para criptografar números de grande capacidade, e algoritmos de criptografia de chave pública, como RSA, são usados. para transmitir chaves privadas A chave usada pelo algoritmo de criptografia de chave.

a tecnologia de criptografia do meu país

exercício

A tecnologia de autenticação é dividida em dois tipos: autenticação de entidade e autenticação de mensagem. ●A autenticação da entidade serve para identificar a identidade do parceiro de comunicação e evitar a falsificação. Assinaturas digitais podem ser usadas. ●A autenticação da mensagem serve para verificar se a mensagem foi adulterada durante a transmissão ou armazenamento, geralmente usando o método de resumo da mensagem. ●Os métodos de autenticação incluem autenticação de nome de conta/senha, autenticação de algoritmo de resumo e autenticação baseada em PKI.

1. Resumo de informações Os resumos de informações também são chamados de resumos digitais. Ele é gerado aplicando uma função de criptografia Hash unidirecional à mensagem. E os resultados de diferentes resumos de texto simples em texto cifrado são sempre diferentes. Se a informação for alterada em apenas 1 bit durante o processo de transmissão, o destinatário gerará um novo resumo das informações recebidas, que será diferente do resumo original. maneira Você pode saber se as informações foram alteradas. Portanto, o resumo das informações garante a integridade das informações. Resumos de informações podem ser usados ​​para criar assinaturas digitais. O resumo de informações é exclusivo para um arquivo específico. E documentos diferentes produzirão inevitavelmente resumos de informações diferentes. Algoritmos comuns de resumo de informações incluem ●MD5: A quinta versão do algoritmo de resumo de informações. A entrada é agrupada em grupos de 512 bits e processada para produzir uma saída de 128 bits. ●SHA: Algoritmo Hash Seguro, que também é processado em grupos de 512 bits e produz uma saída de 160 bits. Eles podem ser usados ​​para proteger a integridade dos dados. SHA-1 (Inglês: Secure Hash Algorithm 1, nome chinês: Secure Hash Algorithm 1) é uma função hash criptográfica projetada pela Agência de Segurança Nacional dos EUA e publicada pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) para padrões federais de processamento de dados (FIPS). SHA-1 pode gerar um valor hash de 160 bits (20 bytes) denominado resumo da mensagem. O valor hash geralmente é apresentado como 40 dígitos hexadecimais.

2. Assinatura digital A assinatura digital refere-se ao processamento da mensagem a ser transmitida por meio de uma função unidirecional para obter uma sequência alfanumérica que é usada para autenticar a origem da mensagem e verificar se a mensagem foi alterada. Juntamente com a tecnologia de criptografia de dados, constrói um sistema de criptografia comercial seguro. A criptografia de dados tradicional é o método mais básico para proteger os dados. Ela só pode impedir que terceiros obtenham os dados reais (confidencialidade dos dados), enquanto as assinaturas digitais podem resolver o problema. questões de autenticação, falsificação, adulteração e personificação (integridade e não repúdio de dados). As assinaturas digitais usam algoritmos de chave pública (tecnologia de chave assimétrica). Processo de assinatura digital: (1) O remetente A primeiro calcula o resumo da mensagem (MD) da informação (M) a ser enviada por meio de uma função hash, ou seja, extrai as características do texto original. (2) O remetente A criptografa o texto original (M) e o resumo da mensagem (MD) com sua própria chave privada (PrA), que deve completar a ação de assinatura. A informação pode ser expressa como PrA (M MD). (3) Em seguida, use a chave pública (PB) do receptor B como chave para criptografar o pacote de informações novamente para obter PB(PrA(M MD)). (4) Quando o destinatário o recebe, ele primeiro o descriptografa usando sua própria chave privada PrB para obter PrA(M MD) (5) Em seguida, use a chave pública (PA) de A para descriptografar. Se puder ser descriptografado, significa obviamente que os dados foram enviados por A e, ao mesmo tempo, o texto original M e o resumo da mensagem MD serão obtidos. (6) Em seguida, calcule o resumo da mensagem para o texto original M, obtenha o novo MD e compare-o com o MD recebido. Consistente, indicando que os dados não foram adulterados durante a transmissão.

A diferença entre criptografia digital e assinatura digital ●A criptografia digital usa a chave pública do destinatário para criptografar e o destinatário usa sua chave privada para descriptografar. ●Assinatura digital é: criptografar as informações resumidas com a chave privada do remetente e enviá-las ao destinatário junto com o texto original. O destinatário só pode usar a chave pública do remetente para descriptografar as informações resumidas criptografadas e, em seguida, usar a função HASH para gerar uma nova informação resumida para o texto original recebido, que é comparada com as informações resumidas descriptografadas.

3. Protocolo RADIUS RADIUS (Remote User Dial-in Authentication Service) é um protocolo de transmissão de rede que leva em consideração os três serviços de autenticação, autorização e contabilidade. RADIUS é um protocolo de estrutura C/S que se comunica através de UDP. Vários métodos, como autenticação de login PAP, CHAP ou Unix, podem ser usados.

exercício

certificado digital Um certificado digital é uma sequência de números que marca as informações de identidade das partes comunicantes nas comunicações pela Internet. É uma forma de verificar a identidade das entidades comunicantes na Internet. Funciona como nosso cartão de identificação. É emitido por uma organização autorizada CA (Autoridade de Certificação) e as pessoas podem usá-lo para se identificarem online. Um certificado digital é um arquivo assinado digitalmente por uma CA que contém informações do proprietário da chave pública e a chave pública. Os certificados digitais utilizam um sistema de chave pública, que utiliza um par de chaves correspondentes para criptografia e descriptografia. Defina duas chaves por usuário: ●Chave privada: uma chave privada conhecida apenas por você, usada para descriptografia e assinatura ●Chave pública: divulgada pela pessoa e usada para criptografar e verificar assinaturas ● Envie documentos confidenciais. O remetente usa a chave pública do destinatário para criptografar e o destinatário usa sua chave privada para descriptografar. ●Assinatura de dados. O destinatário pode confirmar a identidade do remetente através do certificado digital, e o remetente não pode negá-lo. As assinaturas digitais garantem que alterações nas informações serão detectadas.

Formato de certificado digital O formato dos certificados digitais geralmente utiliza o padrão internacional X.509. O certificado de chave pública do usuário X.509 é criado por uma CA de autoridade de certificação confiável e armazenado no diretório público X.500 pela CA ou pelo usuário para acesso de outros usuários. Os certificados digitais incluem número de versão, número de série (o número de série de cada certificado emitido pela CA é único), identificador do algoritmo de assinatura, nome do emissor, validade, nome do assunto, informações de chave pública do assunto e identificador exclusivo do emissor, identificador exclusivo do assunto, estendido domínio, assinatura (ou seja, o resultado da CA assinar digitalmente os campos acima com sua própria chave privada, ou seja, a assinatura do certificado do usuário pelo centro da CA).

Obter certificado digital Desde que qualquer usuário obtenha a chave pública do centro de CA, ele poderá obter a chave pública assinada pelo centro de CA para o usuário. Como o certificado não pode ser falsificado, não há necessidade de impor proteção especial ao diretório onde o certificado está armazenado.

Revogação de certificado O certificado deve ser revogado se o certificado expirou, se a chave privada do usuário vazou, se o usuário desistiu de usar os serviços do centro CA original ou se a chave privada do centro CA vazou. Neste momento, o centro de CA manterá uma lista de certificados revogados (CRL) para que todos possam consultar.

Sistema de gerenciamento de chaves O gerenciamento de chaves refere-se a questões relacionadas a todo o processo, desde a geração até a destruição das chaves, incluindo inicialização do sistema, geração de chaves, armazenamento, backup/recuperação, carregamento, distribuição, proteção, atualização, controle, perda, revogação e destruição. Existem três sistemas principais de gerenciamento de chaves: ●Mecanismo KMI adequado para redes fechadas e representado por centros de gerenciamento de chaves tradicionais ●Mecanismo PKI adequado para redes abertas ●Mecanismo SPK adequado para redes privadas de grande escala

[] O usuário B recebe a mensagem M assinada digitalmente por A. Para verificar a autenticidade da mensagem, ele primeiro precisa obter o certificado digital do usuário A da CA. O certificado digital contém (A) e (A). pode ser usado para verificar a autenticidade do certificado e, em seguida, usar (C) para verificar a autenticidade do M. A. Chave pública de A B. Chave privada de A C. Chave pública de B D. Chave privada de B A. Chave pública de CA B. Chave privada de B C. Chave pública de A Chave pública de D. B A. Chave pública de CA B. Chave privada de B C. Chave pública de A Chave pública de D. B

Rede Privada Virtual VPN Uma rede privada virtual é uma extensão da rede corporativa em redes públicas, como a Internet. Ela cria uma conexão privada segura na rede pública por meio de um canal privado. Essencialmente, uma VPN é um canal virtual que pode ser usado para conectar duas redes privadas, garantir sua segurança por meio de tecnologia de criptografia confiável e existir como parte da rede pública.

Principais tecnologias de VPN ●Tecnologia de túnel ●Tecnologia de criptografia e descriptografia ●Tecnologia de gerenciamento de chaves ●Tecnologia de autenticação de identidade

Classificação e aplicação de VPN

Quais são as classificações da tecnologia VPN? 1. Classificação de acordo com o método de transmissão de dados: ● Modo de túnel: Ao incluir um novo cabeçalho de pacote de dados fora do pacote de dados original, os dados são criptografados e depois transmitidos. Geralmente são usados ​​em cenários como acesso remoto e conexão de redes privadas em diferentes regiões. ●Modo Transparente: Criptografa pacotes de dados diretamente sem modificá-los. Geralmente é usado para garantir a segurança da transmissão em rede pública. 2. Classificação de acordo com o tipo de rede: ●VPN de acesso remoto: usada para funcionários remotos acessarem recursos da rede interna corporativa. Por exemplo, PPTP, L2TP, SSL VPN, etc. ●VPN ponto a ponto: Estabeleça uma conexão VPN entre dois dispositivos para conectar-se a LANs distribuídas em locais diferentes. Por exemplo, o IPSec é adequado para cenários ponto a ponto. 3. Classificação de acordo com protocolos de segurança: ●Protocolo PPTP: encapsulado usando o protocolo GRE, a força da criptografia é baixa e é adequado para cenários que não exigem alta segurança. ●Protocolo L2TP: Baseado no protocolo PPTP, o protocolo L2TP é adicionado para torná-lo mais seguro e adequado para cenários que exigem segurança média. ●Protocolo IPSec: Alta força de criptografia e boa segurança, mas as configurações são complicadas e adequadas para cenários que exigem um alto grau de segurança.

PPTP (Point-to-Point Tunneling Protocol) é a abreviatura do inglês Point to Point Tunneling Protocol. O número da porta padrão é: 1723 (TCP). É uma tecnologia de rede que suporta redes privadas virtuais multiprotocolo. segunda camada. Através deste protocolo, os usuários remotos podem acessar com segurança a rede da empresa através do sistema operacional Microsoft Windows e outros sistemas equipados com protocolos ponto a ponto, e podem discar para o ISP local e conectar-se com segurança à rede da empresa através da Internet. L2TP (Layer 2 Tunneling Protocol) é a abreviatura do inglês Layer 2 Tunneling Protocol. O número da porta padrão é: 1701 (UDP). É um protocolo de túnel de Internet padrão industrial. Suas funções são aproximadamente semelhantes ao protocolo PPTP. ele também pode processar fluxos de dados de rede. No entanto, existem diferenças. Por exemplo, o PPTP exige que a rede seja uma rede IP e o L2TP requer uma conexão ponto a ponto orientada a pacotes. verificação de túnel, mas o PPTP não oferece suporte. PPP Point to Point Protocol (PPP) é um protocolo de camada de link projetado para links simples, como a transmissão de pacotes de dados entre unidades pares. Este link fornece operação full-duplex e entrega pacotes em sequência. A finalidade do projeto é usada principalmente para estabelecer conexões ponto a ponto para enviar dados através de linhas dial-up ou dedicadas, tornando-se uma solução comum para conexões simples entre vários hosts, pontes e roteadores. O PPP possui as seguintes características: (1) O PPP tem a capacidade de alocar endereços IP dinamicamente, permitindo que os endereços IP sejam negociados no momento da conexão; (2) PPP suporta vários protocolos de rede, como TCP/IP, NetBEUI, NWLINK, etc.; (3) O PPP possui capacidade de detecção de erros, mas não possui capacidade de correção de erros, portanto o PPP é um protocolo de transmissão não confiável; (4) Não há mecanismo de retransmissão, a sobrecarga da rede é pequena e a velocidade é rápida. (5) O PPP tem uma função de verificação de identidade. (6) O PPP pode ser usado em vários tipos de meios físicos, incluindo linhas seriais, linhas telefônicas, telefones celulares e fibras ópticas (como o SDH também é usado para acesso à Internet).

Tecnologia de túnel VPN ●PPTP: Estende logicamente a sessão PPP para formar uma conexão discada remota virtual. Ao implementar o protocolo, o mesmo mecanismo de autenticação do PPP é usado, incluindo EAP (Expanded Identity Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), SPAP (Shiva Password Authentication Protocol), PAP (protocolo de autenticação de senha). Além disso, no Windows 2000, o PPP usa MPPE (Microsoft Point-to-Point Encryption Technology) para criptografia, portanto, a tecnologia de autenticação EAP ou MS-CHAP deve ser usada ●L2F: Um método de comunicação VPN seguro multiprotocolo pode ser estabelecido em uma variedade de mídias. Ele encapsula o protocolo da camada de enlace de modo que a camada de enlace da rede seja completamente independente do protocolo da camada de enlace do usuário. ●L2TP: É o produto da combinação de PPTP e L2F. Após o protocolo L2TP encapsular o quadro PPP, ele pode ser transmitido através de IP, X.25, FR ou ATM. O mesmo mecanismo de autenticação das conexões PPP deve ser usado ao criar um túnel L2TP. Ele combina as vantagens do L2F e do PPTP e permite aos usuários iniciar conexões VPN a partir do cliente ou servidor de acesso. ●IPSec: É uma estrutura de segurança composta por quatro partes: protocolo de segurança, protocolo de gerenciamento de chaves, associação de segurança, autenticação e algoritmo de criptografia. O protocolo de segurança adiciona dois mecanismos de segurança baseados em senha ao protocolo IP: Authentication Header (AH) e Encapsulating Security Payload (ESP). AH: É um código de autenticação de mensagem que foi calculado antes do envio do pacote IP. O remetente calcula o AH usando a chave de criptografia, e o destinatário verifica usando a mesma (criptografia simétrica) ou outra chave (criptografia assimétrica). ESP: encapsula e criptografa todo o pacote IP, geralmente usando o algoritmo DES.

Quais serviços de segurança a tecnologia IPSEC (Internet Protocol Security) pode fornecer? 1. Autenticação de identidade: o IPSec pode verificar a identidade de ambas as partes em comunicação para garantir que apenas usuários legítimos possam acessar recursos protegidos. 2. Integridade dos dados: O IPSec usa um algoritmo chamado função hash para fazer hash dos dados e verificar se eles foram adulterados. Se ocorrer alguma alteração durante a transmissão dos dados, o destinatário descobrirá que os dados estão incompletos e se recusará a processá-los. 3. Confidencialidade dos dados: O IPSec usa algoritmos de criptografia para criptografar os dados transmitidos para proteger os dados de serem obtidos por pessoas não autorizadas. 4. Proteção contra ataques anti-replay: Quando o IPSec estabelece comunicação, ele solicita ao remetente o envio de um identificador exclusivo, que mudará durante cada comunicação. Este identificador protege os dados contra reutilização, evitando que invasores explorem as desvantagens da reutilização de dados. 5. Prevenir ataques de negação de serviço: o IPSec pode limitar o tráfego de acordo com políticas de segurança, interceptar tráfego não autorizado e reduzir ataques a recursos protegidos.

Arquitetura técnica IPSEC

Arquitetura VPN IPSec Protocolo de Segurança: Responsável pela proteção dos dados, AH/ESP Modo de trabalho: Modo de transmissão: para obter proteção ponta a ponta, Modo túnel: para obter proteção site a site Troca de chaves: IKE: realiza negociação para protocolos de segurança AH Verificação de integridade de dados e verificação de origem, capacidade anti-repetição limitada e não pode fornecer função de criptografia de dados PES Garantir a confidencialidade dos dados, verificação da integridade dos dados e verificação da fonte, além de determinados recursos anti-repetição

IKE (troca de chaves da Internet) O protocolo é um protocolo usado para estabelecer um canal seguro no protocolo de criptografia IPsec (Internet Protocol security). Sua função é estabelecer chaves seguras e canais de autenticação para IPsec para garantir que a comunicação e a transmissão de dados na Internet sejam seguras e privadas. O protocolo IKE é usado nos seguintes aspectos: Confirme as partes comunicantes: O protocolo IKE utiliza certificados digitais ou senhas pré-compartilhadas para estabelecer canais criptografados e garantir que apenas partes comunicantes confiáveis ​​possam se comunicar. Negociar regras de criptografia: O protocolo IKE negocia regras de criptografia, como algoritmos de criptografia, comprimentos de chave e algoritmos de hash, para garantir que a tecnologia de segurança mais recente seja usada para criptografar dados. Estabelecer chaves: O protocolo IKE gera chaves usadas para criptografia e autenticação IPsec. Manter canais seguros: O protocolo IKE também é responsável por manter canais seguros IPsec para garantir que os dados durante a comunicação mantenham a confidencialidade, integridade e disponibilidade.

Dois modos de IPSec Modo de transporte É o modo padrão do IPSec, também conhecido como modo End-to-End. É adequado para comunicação IPSec entre dois hosts. No modo de transmissão, apenas a carga IP é protegida, que pode ser o protocolo TCP/UDP/ICMP ou o protocolo AH/ESP. O modo de transmissão fornece proteção de segurança apenas para protocolos de camada superior. Neste modo, ambos os hosts participantes da comunicação devem instalar o protocolo IPSec e não podem ocultar o endereço IP do host. Depois que o modo de transmissão IPSec for habilitado, o IPSec adicionará um cabeçalho AH/ESP ou ambos os cabeçalhos na frente do pacote da camada de transporte para formar um pacote AH/ESP e, em seguida, adicionará o cabeçalho IP para formar um pacote IP. No lado receptor, o IP é processado primeiro, depois o IPSec é processado e, finalmente, os dados da carga útil são transferidos para o protocolo da camada superior. Modo túnel Use a comunicação site a site entre dois gateways. Os dois gateways que participam da comunicação fornecem, na verdade, serviços de comunicação seguros para os computadores nas duas redes que servem como fronteira. O modo túnel fornece proteção para todo o pacote IP, fornecendo proteção de segurança para o próprio protocolo IP, em vez de apenas para o protocolo da camada superior. Normalmente, desde que uma das duas partes que usam o IPSec seja um gateway de segurança, o modo túnel deve ser usado. Uma vantagem do modo túnel é que ele pode ocultar os endereços IP de hosts e servidores internos. A maioria das VPNs usa o modo túnel, porque ele não apenas criptografa toda a mensagem original, mas também criptografa parcial ou totalmente os endereços de origem e destino da comunicação. Requer apenas o gateway de segurança e não requer a instalação de software VPN no host interno. Durante este período, todas as operações de criptografia, descriptografia e negociação são concluídas pelo primeiro.

Encapsulamento AH do modo de transporte

Encapsulamento AH em modo túnel

exercício

Pontos-chave para estabelecer o túnel ipsec

firewall Um firewall é um sistema de proteção de segurança da informação composto por equipamentos de software ou hardware entre uma rede interna e uma rede externa, ou entre uma rede privada e uma rede pública. Permite ou restringe a passagem de dados transmitidos de acordo com regras específicas. O objetivo de um firewall é impedir que comunicações não autorizadas entrem ou saiam de uma rede protegida.

Funções de firewall O firewall possui as seguintes funções: ●Função de controle de acesso ●Função de controle de conteúdo ●Função de registro abrangente ●Função de gerenciamento centralizado

Projeto de segurança cibernética Com base na proteção da rede interna, protegemos também os servidores que prestam serviços ao mundo exterior.

Três modos de operação do firewall: Modo de roteamento: conexão externa na camada 3 (interface possui endereço IP) Modo transparente: conexão externa através da camada 2 (interface não possui endereço IP) Modo misto: O firewall possui interfaces funcionando tanto no modo roteado quanto no modo transparente (algumas interfaces possuem endereços IP, algumas interfaces não possuem endereços IP)

estrutura de firewall Roteador de blindagem (firewall de filtragem de pacotes) 2. Modo host de furo duplo 3. Modo host de blindagem 4. Modo de sub-rede de blindagem

1. Roteador Shield (firewall de filtragem de pacotes) O cabeçalho de cada pacote de dados recebido é julgado de acordo com as regras de filtragem de pacotes. Os pacotes que correspondem às regras são encaminhados de acordo com as informações de roteamento, caso contrário, a filtragem de pacotes é implementada na camada IP. do pacote de dados, IP de destino. Endereço, tipo de protocolo (pacote TCP, pacote UDP, pacote ICMP), porta de origem, porta de destino e outras informações do cabeçalho do pacote, bem como direção de transmissão do pacote de dados e outras informações para determinar se o pacote de dados deve passar.

2. Modo host de furo duplo Um host bastião equipado com pelo menos duas placas de rede é usado como firewall e está localizado entre as redes interna e externa para obter separação física.

3. Modo host blindado O modo de host protegido refere-se a um firewall formado por um roteador separado e um host bastião na rede interna. Ele usa principalmente filtragem de pacotes para isolar redes internas e externas e proteger a rede interna. Este modo possui duas barreiras, uma é o roteador de blindagem e a outra é o host bastião.

4. Modo de sub-rede blindado O modo de sub-rede blindada utiliza dois roteadores de blindagem e um host bastião para estabelecer uma sub-rede isolada entre as redes interna e externa, que é definida como uma rede DMZ, chamada de zona desmilitarizada.

Detecção de intruso A detecção de intrusão é a detecção do comportamento de intrusão. Ele coleta e analisa o comportamento da rede, logs de segurança, dados de auditoria e informações sobre diversos pontos-chave do sistema computacional para verificar se há alguma violação das políticas de segurança e sinais de ataque na rede ou sistema.

Sistema de detecção de intrusão (sistema de detecção de intrusão IDS) É uma tecnologia de segurança de rede que se protege ativamente contra ataques ilegais a redes e sistemas. Ela monitora o status operacional de redes e sistemas de acordo com certas políticas de segurança e tenta detectar várias tentativas de ataque, comportamentos de ataque ou resultados de ataques. possível, para garantir a confidencialidade, integridade e disponibilidade dos recursos do sistema de rede. IDS é uma tecnologia de proteção de segurança proativa.

Funções do IDS O IDS inclui três partes: extração de dados, análise de intrusão e processamento de resposta. Além disso, também pode ser combinado com módulos funcionais, como base de conhecimento de segurança e armazenamento de dados, para fornecer funções de análise de tecnologia de detecção de segurança mais completas.

Classificação IDS Os IDS podem ser classificados com base nas fontes de dados e nos métodos de detecção de acordo com diferentes. Existem diferentes métodos de classificação de IDS.

Sistema de prevenção de intrusões (Sistema de prevenção de intrusões IPS) É um sistema ativo e ativo de prevenção e bloqueio de intrusões. É implantado na entrada e saída da rede. Quando uma tentativa de ataque é detectada, o pacote de ataque é descartado automaticamente ou são tomadas medidas para bloquear a origem do ataque. A função de detecção do IPS é semelhante à do IDS, mas após detectar um ataque, o IPS tomará medidas para prevenir o ataque. Pode-se dizer que o IPS é um novo produto de segurança de rede baseado no desenvolvimento do IDS.

Vantagens da prevenção de intrusões: A prevenção de invasões é uma nova tecnologia de defesa de segurança que pode detectar e prevenir invasões. Depois de detectar uma intrusão na rede, ele pode descartar automaticamente os pacotes de intrusão ou bloquear a origem do ataque, evitando assim ataques fundamentalmente. As principais vantagens da prevenção de intrusões são as seguintes: ●Bloqueio de ataques em tempo real: O dispositivo é implantado na rede de maneira direta. Quando uma intrusão é detectada, ele pode interceptar atividades de intrusão e tráfego de rede ofensivo em tempo real para minimizar sua intrusão na rede. ●Proteção profunda: Como novos ataques estão ocultos na camada de aplicação do protocolo TCP/IP, a prevenção contra invasões pode detectar o conteúdo da camada de aplicação da mensagem. Ela também pode realizar análise e detecção de protocolo na remontagem do fluxo de dados da rede e analisar. e detectar o fluxo de dados da rede de acordo com o tipo e estratégia de ataque. Aguarde para determinar qual tráfego deve ser bloqueado. ●Proteção abrangente: A prevenção contra invasões pode fornecer proteção contra worms, vírus, cavalos de Tróia, botnets, spyware, adware, ataques CGI (Common Gateway Interface), ataques de script entre sites, ataques de injeção, passagem de diretório, vazamento de informações e inclusão remota de arquivos. Medidas de proteção contra ataques, ataques de overflow, execução de código, negação de serviço, ferramentas de varredura, backdoors e outros ataques para defesa abrangente contra vários ataques e proteção da segurança da rede. ●Defesa interna e externa: A prevenção contra invasões pode não apenas impedir ataques de fora da empresa, mas também impedir ataques de dentro da empresa. O sistema pode detectar todo o tráfego que passa e proteger servidores e clientes. ●Atualização contínua, proteção precisa: O banco de dados de assinaturas de prevenção de intrusões será continuamente atualizado para manter o mais alto nível de segurança.

A diferença entre IPS e IDS IPS e IDS são implantados de forma diferente: ● Os produtos IDS funcionam em modo bypass na rede IDS (Sistema de Detecção de Intrusão) Sistema de Detecção de Intrusão, IDS detecta e alarma dados anormais que podem ser intrusões, informa os usuários sobre as condições em tempo real na rede e fornece soluções e métodos de processamento correspondentes. funções para gerenciamento de riscos. ● Os produtos IPS funcionam em série na rede O trabalho serial garante que todos os dados da rede passem pelo dispositivo IPS. O IPS detecta códigos maliciosos no fluxo de dados, verifica a política e intercepta os pacotes de informações ou fluxos de dados antes de serem encaminhados ao servidor. É uma função de segurança focada no controle de riscos. A tecnologia de prevenção de intrusões adiciona poderosas funções de defesa ao IDS tradicional

Tipos de sistemas de prevenção de intrusões ● Prevenção de invasões baseada em host ● Prevenção de invasões baseada em rede ● Prevenção de intrusões baseada em aplicativos

Desafios enfrentados pelos sistemas de prevenção de intrusões ● Ponto único de falha ● Gargalo de desempenho ● Falsos positivos e falsos negativos

exercício

Tecnologia PGP PGP é um protocolo de criptografia de e-mail baseado no sistema de criptografia de chave pública RSA. ●Use-o para criptografar e-mails para evitar que pessoas não autorizadas os leiam e para adicionar assinaturas digitais aos e-mails. Isso permite que o destinatário identifique o remetente do email e garanta que o email não foi adulterado. Ele combina os métodos de criptografia em cadeia RSA e IDEA. ●O processo de trabalho do PGP é usar uma chave gerada aleatoriamente (diferente para cada criptografia) para criptografar o texto simples através do algoritmo IDEA e, em seguida, criptografar a chave usando o algoritmo RSA. Portanto, conta com a confidencialidade do RSA e a velocidade do algoritmo IDEA. Principais características do PGP: ●Use PGP para criptografar e-mails para evitar leitura ilegal. ●Ser capaz de adicionar uma assinatura digital ao e-mail criptografado, para que o destinatário fique ainda mais convencido do remetente do e-mail, sem a necessidade de qualquer canal confidencial para transmitir a chave antecipadamente. ●Só pode ser assinado sem criptografia, o que é adequado para verificar a identidade do declarante ao fazer uma declaração pública, podendo também impedir que o declarante a negue. ●Capacidade de criptografar arquivos, incluindo arquivos gráficos, arquivos de som e outros tipos de arquivos.

Cérbero Num ambiente de aplicação de rede distribuída, para garantir a segurança da sua utilização, a estação de trabalho deve ser capaz de confirmar a sua identidade ao servidor de forma confiável e segura, caso contrário surgirão muitos problemas de segurança. A tecnologia que resolve esse problema é chamada de autenticação de identidade. As tecnologias comuns de autenticação de identidade incluem ●Ambos os usuários especificam uma chave compartilhada (a menos segura) ●Gerar chaves usando cartões inteligentes ●Usar o serviço Kerberos ●Use o serviço PKI (obtenha o certificado digital do centro CA) Como funciona o Kerberos ●Kerberos não constrói um protocolo de autenticação de identidade para cada servidor, mas fornece um servidor de autenticação central para fornecer serviços de autenticação de usuário para servidor e de servidor para usuário. ●O núcleo do Kerberos é usar a tecnologia de criptografia DES para obter o serviço de autenticação mais básico.

O processo de autenticação Kerberos é dividido em 3 etapas e 6 etapas: A primeira etapa: troca de serviço de autenticação, o cliente obtém o tíquete de permissão de acesso ao servidor de autorização. ① O usuário A insere seu nome de usuário e o envia ao servidor de autenticação em texto não criptografado. ②O servidor de autenticação retorna uma chave de sessão Ks e um ticket KTGS (A,Ks). Esta chave de sessão é única (também pode ser gerada usando um cartão inteligente), e esses dois pacotes de dados são criptografados usando a chave do usuário A. será solicitado a inserir sua senha e descriptografar os dados ao retornar. A segunda etapa (③④): troca de serviço de permissão de ticket, o cliente obtém o ticket de permissão de acesso ao serviço de aplicativo. ③O usuário A envia o ticket obtido, o nome do servidor de aplicação B a ser acessado e o carimbo de data/hora criptografado com a chave de sessão (usada para evitar ataques de retransmissão) ao servidor de autorização (TGS). ④Depois de recebê-lo, o servidor de autorização (TGS) retorna a chave de sessão para comunicação entre A e B, incluindo a chave de sessão KAB criptografada com a chave de A e criptografada com a chave de B. A terceira etapa (⑤⑥): Troca de autenticação entre o cliente e o servidor de aplicação, e o cliente finalmente obtém serviços de aplicação. ⑤ O usuário A envia a chave de sessão criptografada com a chave de B recebida do TGS para o servidor B e anexa um carimbo de data/hora criptografado com as chaves de sessão KAB de ambas as partes para evitar ataques de retransmissão. ⑥ O servidor B responde e conclui o processo de autenticação. Kerberos usa um mecanismo de criptografia contínua para evitar o sequestro de sessão.

SSL SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security) são protocolos de segurança que fornecem segurança para comunicações de rede e integridade de dados. SSL e TLS são protocolos de segurança que funcionam na camada de transporte e criptografam conexões de rede na camada de transporte. (1) O protocolo SSL é dividido em duas camadas O protocolo de registro SSL é baseado em um protocolo de transmissão confiável (como TCP) e fornece suporte para funções básicas, como encapsulamento de dados, compactação e criptografia para protocolos de alto nível. Protocolo de handshake SSL Ele é baseado no protocolo de registro SSL e é usado para autenticação de identidade, negociação de algoritmos de criptografia e troca de chaves de criptografia entre as partes em comunicação antes do início da transmissão real de dados. (2) Serviços fornecidos pelo protocolo SSL ●Autenticar usuários e servidores para garantir que os dados sejam enviados ao cliente e servidor corretos. ●Criptografe os dados para evitar que sejam roubados no meio do caminho. ●Mantenha a integridade dos dados e garanta que os dados não sejam alterados durante a transmissão.

HTTPS HTTPS é um canal HTTP voltado para a segurança. É uma extensão do protocolo HTTP e uma versão segura do HTTP. HTTPS é um protocolo que funciona na camada de aplicação, porta número 443 A diferença entre HTTPS e HTTP O protocolo HTTPS exige a solicitação de um certificado da CA. HTTP é um protocolo de transferência de hipertexto, as informações são transmitidas em texto simples, enquanto HTTPS é um protocolo de transmissão criptografado SSL seguro. HTTP e HTTPS usam métodos de conexão completamente diferentes e portas diferentes. O primeiro é 80 e o último é 443. A conexão HTTP é muito simples e sem estado; o protocolo HTTPS é um protocolo de rede construído a partir do protocolo SSL HTTP que pode realizar transmissão criptografada e autenticação de identidade e é mais seguro que o protocolo HTTP.

DEFINIR O protocolo SET é denominado Protocolo de Transação Eletrônica Segura. No processo de transações on-line, todas as partes da transação esperam verificar a identidade de outras partes para evitar serem enganadas. Em resposta a esta situação, as duas principais organizações de cartões de crédito nos Estados Unidos, Visa e MasterCard, desenvolveram em conjunto um sistema de transacções online baseado em cartões bancários para utilização na Internet. Padrão de segurança - SET. Utiliza criptografia de chave pública e o padrão de certificado digital X.509 para garantir a segurança das informações de compras online. segurança ●O protocolo SET pode garantir a confidencialidade das transações eletrônicas, a integridade dos dados, o não repúdio do comportamento da transação e a legalidade da identidade. ●Os participantes do protocolo SET incluem: titulares de cartões, comerciantes, bancos (emissores de cartões), gateways de pagamento e centros de CA.

exercício