Chapter 6 Internet安全体系结构之一 1. 列出物理网风险的4种类型。 答:窃听;回答(重放);插入;拒绝服务(DoS)。 2. 什么是身份鉴别栈?
答:身份鉴别栈是一个OSI栈,它位于网络用户的OSI栈前面,管理网络的身份鉴别。 3. 列出对有线物理网攻击的5种类型。
答:连接破坏;干扰;侦察;插入攻击;回答。 4. 有哪几种动态LAN链接的身份鉴别方法?
答:Modem身份鉴别凭证;呼叫者ID;自动回叫;生成安全动态链接。 5. 列出无线网的各种风险。
答:分组嗅测;服务集标识(SSID)信息;假冒;寄生者;直接安全漏洞。 6. WEP是一种高强度安全方法吗?为什么?
答:是。WEP能主动阻止连接,可以确定意图,如果攻击者解密和访问一个有WEP的网络,就很清楚地暴躁其攻击的意图。WEP是通用的,几乎所有无线网络路由器都支持WEP,并且相互兼容。 7. 什么是数据链路的随意模式?
答:正常模式下,网络寻址机制(也就是MAC)能阻止上面的堆栈层接收非指向该结点的数据。然后很多网络接口支持无地址过滤,运行在随意模式的结点能接收所有报文帧,而不只是指向该结点的帧。随意模式允许攻击者接收所有来自网络的数据。 8. 列出各种缓解数据层风险的方法。
答:硬编码硬件地址;数据身份鉴别;高层身份鉴别;分析器和工具。 9. 试述CHAP的功能、特点和局限性。
答:CHAP使用共享密钥对初始网络连接进行身份鉴别,提供了一种方法对两个结点进行身份鉴别,但是在连接建立后不执行任何验证或加密。CHAP使用一个更复杂的系统,它是基于密钥交换和共享密钥,身份鉴别相当安全,可用于易受窃听攻击的网络。
CHAP具有局限性。首先,只是在启动连接时进行身份鉴别,之后PPP不提供安全,某些攻击者具有在身份鉴别后拦截连接进行窃听的能力;再次,假如窃听者捕获到两个不长的随机数的协商,那么,对蛮力攻击,哈希函数可能易受攻击。 10. ARP为什么会受损?ARP受损后有何影响?如何能缓解ARP受损?
答:ARP表包含一个临时的缓存,以存储最近看到的MAC地址,只有一个新的IP地址(或MAC)要查找时,才需要ARP分组,当一个无效的或不经意的差错进入ARP表,这个缓冲就会使系统的ARP受损。 ARP受损影响:资源攻击、DoS攻击和MitM攻击。
缓解ARP受损方法:硬编码ARP表、ARP过期、过滤ARP回答以及锁住ARP表。 11. 基于路由器的攻击有哪几种?路由表淹没后有哪几种结果?
答:基于路由器的攻击:直接攻击、表中毒、表淹没、度量攻击、环路攻击。 路由表淹没后的结果:忽略新的路由、清除老的路由或清除最坏的路由。
12. OSI网络层是否定义地址的身份鉴别和验证?基于数字和名字的地址机制容易受到何种地址攻击? 答:否;基于数字和名字的地址机制容易受到假地址和拦截的攻击。
13. 什么是分段机制的主要危险?假如分段超时值设置过低会有什么后果?
答:丢失分段和组装数据的容量。分段超时值设置过低的话会使分组分段传输时有些分段永远未传递。 14. 网络层提供哪些QoS功能?QoS攻击有哪些?
答:网络层提供建立和释放网络连接的功能,也保证相同的结点间建立多个连接,而不会产生通信干扰。连接管理包括传递连接和面向连接的各种服务。
QoS攻击主要有:Ping攻击(DoS)、Smurf攻击(DDoS)。
15. 网络层有哪些安全风险?网络层安全风险缓解方法有哪些?它们有哪些局限性? 答:窃听、伪装以及插入攻击。
缓解方法有:安全协议、网络不兼容能力、体系结构、安全过滤、防火墙和出口过滤。 局限性:安全协议:虽然能检测某些数据差错,但对检测攻击者没有大用处。 网络不兼容能力:虽然IPv6支持数据加密,但很多高层协议和应用不支持IPv6。
体系结构:知音的网络层通信能够进入数据链路隧道,和正常的网络层通信一样得到允许和保护。 安全过滤:这种方法是在模糊安全的水平。
防火墙和过滤出口:它并不能阻止来自源点伪装的网络。 16. 什么是IP的安全风险?
答:地址冲突、IP拦截、回答攻击、分组风暴、分段攻击及转换通道。 17. 比较各种IP安全可靠方案的优缺点。IPSec和IPv6的异同是什么? 答:优缺点:
禁用ICMP:ICMP提供测试、流控和差错处理,但并不提供网络路由的基本功能; 非路由地址:采用非路由网络地址,使攻击者不能直接访问被保护的主机; NAT:NAT服务器提供两个安全效果(匿名和隐私),攻击者不能连接到内部主机;
反向NAT:NAT最大的缺点是不能作为一个主机,反向NAT(RNAT)提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射;
IP过滤:过滤器的规则能限制基于特定主机、子网或服务类型(TCP、UDP或ICMP)的分组;
出口过滤:一方面提供了最大的安全以防外部的攻击者,另一方面对内部用户提供了最大的方便,但允许在内部网络的攻击者对外部资源进行攻击;
IPSec:高层协议不许提供自己的加密,也无需修改就可用IPSec,这使IPSec成为安全连接和VPN的理想解决方案; IPv6:扩大地址空间,在网络层提供身份鉴别和加密连接的功能,提供了完整的VPN解决方案。 IPSec和IPv6的异同:
从安全方面看,IPv6和IPSec本质上是相同的,两者都提供强的身份鉴别、加密和VPN支持。 从可行性方面看,从IPv4转换到IPv6,路由器和网络设备必须更新以支持IPv6协议。
Chapter 7 Internet安全体系结构之二
1.传输层有哪些风险?试比较一个端口和多个端口以及静态端口和动态端口的风险。 答:风险:传输层拦截、端口扫描、信息泄露。 一个和多个端口的风险:
减少结点的端口数,能减少攻击因素。加固的服务器将开放的端口数减少以只有基本服务。一般来说,少量端口打开的系统更安全。但是某些服务支持多路端口,或基于服务的需求打开新的端口,这样将带来风险。 静态和动态端口的风险:
远程客户连接到服务器要两个条件:服务器的网络地址、传输协议及端口,通常连接到服务器的众所周知的端口。某些高层协议不使用固定端口号,不用单个端口于全部通信,控制服务使用众所周知端口,数据传输则用动态端口,这会引起不安全的风险,因为在范围的端口必须都可访问网络。
2.哪些TCP信息的类型可用来识别操作系统框架?
答:初始窗口大小、TCP选项、序列号、客户端口号、重试。 3.假如客户到服务器的连接被拦截,会引起什么后果?
答:TCP客户接到一个连接结束或TCP超时,同时服务器没有注意到攻击者已经替换了没有登记注册的客户。 4.列出5种方法来缓解TCP攻击的威胁。
答:改变系统框架、阻断攻击指向、识别网络设备、状态分组检验、入侵检测系统(IDS)、入侵防御系统(IPS)、利用高层协议鉴别通信以及检测可能的攻击。
5.*什么技术可用来减少IP,TCP和UDP的攻击指向? 答:SSL、SOCKS、安全RPC。
6.DNS协议是不安全的,它存在哪些安全风险?有哪些缓解这类风险的方法?
答:直接风险:无身份鉴别的响应、DNS缓存受损、ID盲目攻击、破坏DNS分组。 技术风险:DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS。 社会风险:相似的主机名、自动名字实现、社会工程、域更新。
直接威胁缓解(补丁、内外域分开、域控制、有限缓冲间隔、拒绝不匹配回答) 技术威胁的缓解(加固服务器、防火墙)
侦察威胁的缓解(限制提供DNS信息、域转换、请求、分开内外域、隐藏版本) 社会威胁缓解(监控相似域、锁住域、使用有效联系、不间断支持、自己主持) 优化DNS配置 确定可信的回答
7.哪些风险是由于DNS配置不当引起的?有哪些缓解这类风险的方法?
答:技术风险是基于配置的问题。技术风险包括:DNS域拦截、服务器拦截、更新持续时间以及动态DNS。 缓解方法:加固服务器、防火墙。
8.哪些方法可缓解对DNS的侦察威胁?
答:限制提供DNS信息、限制域转换、限制请求、去除反向查找、分开内部和外部域、去除额外信息、隐藏版本。 9.什么是SMTP通信的四类直接威胁?
答:伪装报头及垃圾邮件、中继和拦截、SMTP和DNS、低层协议。 10.哪些是攻击URL的方法?
答:主机名求解攻击、主机名伪装、统一资源标识符(URI)伪装、剪切和拼接、滥用询问、SQL插入、跨站脚本(XSS)。 11.常见的HTTP风险有哪些?
答:无身份鉴别的客户、无身份鉴别的服务器、客户端隐私、信息泄露、服务器定位轮廓、访问操作系统、不安全的应用程序、低层协议。
12.HTTP客户端和服务器通常会泄露哪些信息?
答:HTTP请求报送通常泄露Web浏览器的类型,包括版本和操作系统; HTTP回答报送常常包含服务器类型、版本以及支持的插件(plug-in);
HTTP回答的信息包括一个时间戳,通过时间戳可以识别数据是静态的(来自文件)还是动态的(来自应用程序); HTTP的时区和HTTP的本地语言,可用于定位服务器的地址位置。 13.SSL产生会话密钥的方式是什么? 答:若服务器要求验证客户端,则客户端先发送Certificate消息,然后产生会话密钥,并用服务器的公钥加密,封装在ClientKeyExchange消息中发送给服务器。
补充:SSL产生会话密钥的方式是:随机由客户机产生并加密后通知服务器 14.传输层保护的网络采用的主要技术是建立在什么基础上的?
答:TCP/IP协议本身非常简单、没有加密、身份鉴别等安全特性,要向上层提供安全通信机制就必须在TCP这上建立一个安全通信层次。传输层安全技术有SSL,SOCKS和安全RPC。最常用的是安全套接字层SSL,它提供了进程到进程的安全服务和加密传输信道。(网络层安全机制提供的是主机到主机的)
Chapter 8 防火墙
1.什么是防火墙?防火墙的功能有哪些?
答:防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。 防火墙的功能:访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全和可用性、(流量控制、NAT、VPN)。 2.防火墙的体系结构有哪几种?
答:双宿主主机体系结构;被屏蔽主机体系结构;被屏蔽子网体系结构。 3.堡垒主机的构建原则是什么?
答:选择适合的操作系统;堡垒主机的安装位置;堡垒主机提供的服务;保护系统日志;监测和备份。 4.过滤规则如何制定?
答:按地址过滤;按服务过滤;对数据包做日志记录。
建立数据包过滤规则需按如下步骤: 建立安全策略;
将安全策略转化为数据包分组字段的逻辑表达式; 用防火墙提供的过滤规则句法重写逻辑表达式并设置。 5.代理是如何工作的? 答:代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;这些程序接受用户对Internet服务器的请求(如FTP,HTTP),并按照一定的安全策略将它们转发到实际的服务中。代理提供代替连接并且充当服务器网关。 6.状态检测是如何工作的?
答:当防火墙接收到初始化TCP连接的SYN包时,要对其进行安全规则检查。将该数据包在安全规则里依次比较,如果在检查了所有的规则后,都没有被接受,那么拒绝此次连接;如果接受,那么本次会话的连接信息被添加到状态监测表里。对于随后的数据包,就将包信息和该状态检测表中记录的连接内容进行比较,如果匹配成功,且该数据包状态正确,则接受,否则丢弃。 7.复杂协议是如何进行状态检测的?
答:状态检测防火墙的理论基础是使用C/S模式,进行的连接具有连接状态。防火墙作为连接双方的“旁观者”,就可以判断出连接双方目前牌何种状态。一旦发现所发送的包和状态不符,就可以认为是状态异常的包并进行拒绝,而不必在对IP地址或TCP端口进行检查;对于其他非连接协议,防火墙也建立连接来进行跟踪,知识连接信息中的超时时间要比TCP短得多。 8.状态检测有哪些弱点?
答:包过滤防火墙得以进行正常工作的一切依据在于过滤规则的实施,但又不能满足建立精细规则的要求,并不能分析高级协议中的数据。应用网关防火墙的每个连接都必须建立在为这创建的一套复杂的协议分析机制的代理程序进程上,这会导致数据延迟的现象。 状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点,克服了它们的缺点,但它仍只是检测数据包的第三层信息,无法彻底识别数据包大量的垃圾邮件、广告以及木马程序等。
包过滤防火墙和网关代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷,不能满足用户对于安全性的不断要求,于是深度包检测防火墙技术被提出了。
Chapter 9 VPN
6.VPN分为几种类型?各种类型有何特点?
答:VPN有3种类型:Access VPN(远程访问VPN)、Intranet VPN(企业内部VPN)、Extranet VPN(企业扩展VPN)。特点:
Access VPN:Access VPN即所谓的移动VPN,适用于企业内部人员流动频繁或远程办公的情况。通过拨入当地的ISP进入Internet,再连接企业的VPN网关,在用户和VPN网关之间建立一个安全的“隧道”,通过该隧道安全地访问远程的内部网。
Intranet VPN:如果要进行企业内部异地分支机构的互联,可以使用Intranet VPN方式,这是所谓的网关对网关VPN。它在异地两个网络的网关之间建立了一个加密的VPN隧道,两端的内部网络可以通过该VPN隧道安全地进行通信,就好像和本地网络通信一样。
Extranet VPN:如果一个企业希望将客户、供应商、合作伙伴或兴趣群体连接到企业内部网,可以使用Extranet VPN。它其实也是一种网关对网关的VPN,与Intranet VPN不同的是,它需要在不同企业的内部网络之间组建,需要有不同协议和设备之间的配合和不同的安全配置。
7.PPTP和L2TP有何区别?
答:PPTP要求互联网络为IP网络,L2TP只要求隧道媒介提供面向数据包的点对点连接。L2TP可以在IP(使用UDP)、帧中继永久虚拟电路(PVCs)、X.25虚拟电路(VCs)或ATM VCs网络上使用。
PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。
L2TP可以提供包头压缩。当压缩包头时,系统开销占用4个字节,而PPTP协议下要占用6个字节。
L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSec共同使用时,可以用IPSec提供隧道验证,而不需要在第二层协议上验证隧道。 8.GRE协议有何优缺点? 答:GRE协议优点
通过GRE,用户可以利用公共IP网络连接非IP网络,如IPX,AppleTalk等,多协议的本地网络可以通过单一协议的骨干网传输。 通过GRE,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。 扩大了网络的工作范围,包括那些路由网关有限的协议。
GRE只提供封装,即不进行加密,也不进行验证,对路由器的性能影响较小,设备档次要求较低。 GRE协议缺点
GRE只提供数据包的封装,而没有加密功能来防止网络监听和攻击,所以在实际环境中经常与IPSec联用。由IPSec提供给用户数据的加密,从而给用户提供更好的安全性。
由于GRE与IPSec采用的是同样的基于隧道的VPN实现方法,所以IPSec VPN在管理、组网上的缺陷,GRE VPN也同样具有。 同时由于原有IP报文进行了重新封装,所以同样无法实施IP QoS策略。
综上述GRE的优缺点可以看出,GRE VPN适合一些小型点对点的网络互联、实时性要求不高、要求提供地址空间重叠支持的网络环境。
Chapter 10 IPSec
9.为什么AH协议和NAT冲突?
答:AH在传输模式和隧道模式下,都会验证整个IP包(包括IP包头部),该包在传送过程中经过NAT网关,其源/目的IP地址将被改变,造成到达目的地址后的完整性验证失败。因此,AH和NAT协议是冲突的,不能同时使用。 10.简述IKE协议的几种模式,以及每一种模式的作用和特点。
答:IKE目前定义了4种模式:主模式、积极模式、快速模式和新组模式。前面3个用于协商SA,最后一个用于协商Diffle-Hellman算法所用的组。主模式和积极模式用于第一阶段,快速模式用于第二阶段;新组模式用于在第一阶段后协商新的组。
Chapter 11 黑客技术
1.黑客攻击的流程是什么?
答:踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门和拒绝服务攻击。 2.黑客是否只有通过计算机才能够获取你的秘密?
答:不是的。黑客可以通过社会工程学来攻击和获得对信息系统的访问。它所研究的对象不是严谨的计算机技术,而是目标网络的人员。