简述防火墙的目的和分类。答:防火墙是一个网络安全设备或多个硬件设备和相应软件组成的系统,位于不可信的外部网络和被保护的内部网路之间,目的是保护内部网络不遭受来自外部网络的攻击和执行规定的访问控制[1]策略。刘耀增1.审计系统的目标是什么?如何实现?答:1)应为安全人员提供足够多的信息,使他们能够定位问题所在;但另一方面,提供的信息应不足以使他们自己也能够进行攻击。2)应优化审计追踪[2]的内容,以检测发现的问题,而且必须能从不同的系统资源[3]收集信息。3)应能够对一个给定的资源(其他用户页被视为资源)进行审计分析,粪便看似正常的活动,以发现内部计算机系统的不正当使用;4)设计审计机制时,应将系统攻击者的策略也考虑在内。审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程包括审计发生器、日志记录器、日志分析器、和报告机制几部分。审计发生器的作用是在信息系统中各事件发生时将这些事件的关键要素进行抽去并形成可记录的素材。日志记录器将审计发生器抽去的事件素材记录到指定的位置上,从而形成日志文件。日志分析器根据审计策略和规则对已形成的日志文件进行分析,得出某种事件发生的事实和规律,并形成日志审计分析报告。2.审计的主要内容包括那些?答:包括安全审计[4]记录,安全审计分析,审计事件查阅,审计事件存储。3.Windows的审计系统是如何实现的?采用什么策略?答:通过审计日志实现的.日志文件主要上是系统日志,安全日志,和应用日志.采用的策略:审计策略可以通过配置审计策略对话框中的选项来建立.审计策略规定日志的时间类型并可以根据动作,用户和目标进一步具体化.审计规则如下:1) 登陆及注销:登陆及注销或连接到网络.2) 用户及组管理:创建,更改或删除拥护帐号或组,重命名,禁止或启用用户号.设置和更改密码.3) 文件及对象访问.4) 安全性规则更改:对用户权利,审计或委托关系的更改.5) 重新启动,关机及系统级事件.6) 进程追踪:这些事件提供了关于事件的详细跟踪信息.7)文件和目录审计:允许跟踪目录和文件的用法.4.Unix 的日志分哪几类?有和作用?答:Unix日志文件可以大致分为三个日志子系统:连接时间日志,进程统计日志,错误日志.1)连接时间日志由多个程序执行,把记录写入到/var/log/wtmp和 /var/run/utmp中并通过login等程序更新wtmp和utmp文件.使系统管理员能够跟踪谁在何时登陆到系统.2)进程统计日志由系统内核[5]执行.当一个进程终止时,系统往进程统计文件中写一个记录.进程统计的目的是为系统中的基本服务提供命令使用统计.3)错误日志由syslog执行,各种系统守护进程[6],用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件.另外,有许多程序也会创建日志.第十章 安全脆弱性分析(习题十,p156)李刚1.入侵行为的目的主要是哪些?答:入侵者的目的各不相同,分为善意的和恶意的。大体来说入侵者在入侵一个系统者时会想达到以下一种或者几种目的:执行进程,获取文件和数据,获取超级用户权限,进行非授权操作,使系统拒绝服务,篡改信息,批露信息。2.常见的攻击有哪几类?采用什么原理?答:根据入侵者使用的手段和方式,攻击可以分为5类1)口令攻击[7]口令用来鉴别一个注册系统的个人ID,在实际系统中,入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证[8]的口令,从而进入系统。2)拒绝服务攻击拒绝服务站DOS使得目标系统无法提供正常的服务,从而可能给目标系统带来重大的损失。3)利用型攻击利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要的表现形式:特洛伊木马[9]和缓冲区溢出攻击。4)信息收集型攻击信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步的入侵提供必须的信息。5)假消息攻击攻击者用配置不正确的消息来欺骗目标系统,以达到攻击的目的被称为假消息攻击。3.如何预防DDOS攻击?答:预防DDoS攻击的十项安全策略[10]1)消除FUD心态FUD的意思是Fear(恐惧)、Uncerntainty(猜测)和Doubt(怀疑)。最近发生的攻击可能会使某些人因为害怕成为攻击目标而整天担心受怕。其实必须意识到可能会成为拒绝服务攻击目标的公司或主机只是极少数,而且多数是一些著名站点,如搜索引擎[11]、门户站点、大型电子商务和证券公司、IRC服务器和新闻杂志等。如果不属于这类站点,大可不必过于担心成为拒绝服务攻击的直接目标。2)要求与ISP协助和合作获得你的主要互联网服务供应商(ISP)的协助和合作是非常重要的。分布式拒绝服务[12](DDoS)攻击主要是耗用带宽,单凭你自己管理网络是无法对付这些攻击的。与你的ISP协商,确保他们同意帮助你实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时你的ISP愿意监视或允许你访问他们的路由器。3)优化路由和网络结构如果你管理的不仅仅是一台主机,而是网络,就需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止SYN flood攻击,应设置TCP侦听功能。详细资料请参阅相关路由器技术文档。另外禁止网络不需要使用的UDP和ICMP包通过,尤其是不应该允许出站ICMP“不可到达”消息。4)优化对外开放访问的主机对所有可能成为目标的主机都进行优化。禁止所有不必要的服务。另外多IP主机也会增加攻击者的难度。建议在多台主机中使用多IP地址技术,而这些主机的首页只会自动转向真正的web服务器。5)正在受到攻击时,必须立刻应用对应策略。尽可能迅速地阻止攻击数据包是非常重要的,同时如果发现这些数据包来自某些ISP时应尽快和他们取得联系。千万不要依赖数据包中的源地址,因为它们在DoS攻击中往往都是随机选择的。是否能迅速准确地确定伪造来源将取决于你的响应动作是否迅速,因为路由器中的记录可能会在攻击中止后很快就被清除。 对于已被或可能被入侵和安装DDoS代理端程序的主机,应该采取的重要措施:6)消除FUN心态作为可能被入侵的对象,没必要太过紧张,只需尽快采取合理和有效的措施即可。现在的拒绝服务攻击服务器都只被安装到Linux和Solaris系统中。虽然可能会被移植到*BSD*或其它系统中,但只要这些系统足够安全,系统被入侵的可能性不大。7)确保主机不被入侵和是安全的现在互联网上有许多旧的和新的漏洞攻击程序[13]。以确保你的服务器版本不受这些漏洞影响。记住,入侵者总是利用已存在的漏洞进入系统和安装攻击程序。系统管理员应该经常检查服务器配置和安全问题,运行最新升级的软件版本,最重要的一点就是只运行必要的服务。如果能够完全按照以上思路,系统就可以被认为是足够安全,而且不会被入侵控制。8)周期性审核系统必须意识到你要对自己管理的系统负责。应该充分了解系统和服务器软件是如何工作的,经常检查系统配置[14]和安全策略。另外还要时刻留意安全站点公布的与自发管理的操作系统及软件有关的最新安全漏洞和问题。9)检查文件完整性当确定系统未曾被入侵时,应该尽快这所有二进制[15]程序和其它重要的系统文件产生文件签名,并且周期性地与这些文件比较以确保不被非法修改。另外,强烈推荐将文件检验和[16]保存到另一台主机或可移动介质中。这类文件/目录完整性检查的免费工具(如tripwire等)可以在许多FTP站点上下载。当然也可以选择购买商业软件包。10)发现正在实施攻击时,必须立刻关闭系统并进行调查如果监测到(或被通知)网络或主机正实施攻击,应该立刻关闭系统,或者至少切断与网络的连接。因为这些攻击同时也意味着入侵者已几乎完全控制了该主机,所以应该进行研究分析和重新安装系统。建议联系安全组织。。必须记往,将攻击者遗留在入侵主机中的所有程序和数据完整地提供给安全组织或专家是非常重要,因为这能帮助追踪攻击的来源。4..

解:

5.安全扫描的目标是什么?如何分类?

答:安全扫描技术指手工地或者使用特定的软件工具^[17]——安全扫描器,对系统脆弱点进行评估,寻找可能对系统造成危害的安全漏洞。扫描主要分为系统扫描和网络扫描两方面。系统扫描侧重主机系统的平台安全性以及基于此平台的应用系统的安全,而网络扫描则侧重于系统提供的网络应用^[18]和服务以及相关的协议分析。扫描的主要目的是通过一定的手段和方法发现系统或网络存在的隐患,已利用己方及时修补或发动对敌方系统的攻击。

6.半开扫描是怎么实现的?

答:半开的意思是指client端在TCP3次握手尚未完成就单方面终止了连接过程,由于完整的连接还没有建立起来,这种扫描方法常常可以不会被server 方记录下来,同时也可以避开基于连接的IDS系统。同时,半开扫描还可以提供相当可靠的端口是否打开的信息。

7.简述系统类型检测的原理和步骤。

答:由于许多安全漏洞是同操作系统紧密相关的,因此,检测系统类型对于攻击者具有很重要的作用。攻击者可以先扫描一段网络地址空间^[19],搜集主机类型以及这些主机打开/关闭的端口信息,然后先暂时把这些数据放在一边。当某一系统的新漏洞被发现后,攻击者就可以在已经搜集到的情报中寻找相匹配的系统,从而实施攻击。

检测系统类型主要有三种手段:即利用系统旗标,利用DNS信息,利用TCP/IP堆栈指纹。

第十一章 入侵检测(习题十一,p180)

赵建云

答:入侵检测是对入侵行为的发觉.它从计算机网络^[20]或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为河北攻击的对象.经入侵检测发现入侵行为后,可以采取相应的安全措施,如报警、记录、切断拦截等,从而提高网络系统的安全应变能力。

根据入侵检测系统^[21]所检测对象的区别可分为基于主机的入侵检测系统和基于网络的入侵检测系统。

2.异常检测^[22]和误用检测有何区别?

答:进行异常检测的前提是认为入侵是异常活动的子集,而进行误用检测的前提是所有的入侵行为都有可被检测的特征。异常检测系统通过运行在系统或应用层的监控程序^[23]监控用户的行为, 通过将当前主体的活动情况和用户相比较当用户活动与正常行为有重大偏离时即被认为是入侵;误用检测系统提供攻击的特征库,当监控的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。

3.标准差模型如何实现?举例说明。

答:平均值和标准差模型根据已观测到随机变量x的样值Xi(I=1,2,…,n)以及计算出这些样值的平均值mean和标准差stddev,若新的取样值Xn+1不在可置信区间[mean-d*stddev, m+d*stddev]内时,则出现异常,其中d是标准偏移均值mean的参数。

举例:

4.

答:

5.如何通过协议分析实现入侵检测?

答:协议分析表明入侵检测系统的探头能真正理解各层协议是如何工作的,而且能分析协议的通信情况来寻找可疑或异常的行为。对于每个协议,分析不仅仅是建立在协议标准的基础上,而且建立在实际的实现上,因为许多协议事实上的实现与标准并不相同,所以特征应能反映现实状况。协议分析技术观察包括某协议的所有通信并对其进行验证,对不符合与其规则时进行报警。

6.如何逃避缓冲区溢出检测?

答:一些NIDS检测远程缓冲溢出的主要方式是通过监测数据载荷里是否包含“/bin/sh”或是否含有大量的NOP。针对这种识别方法,某些溢出程序的NOP考虑用“eb02”代替。另外,目前出现了一种多形态代码技术,使攻击者能潜在的改变代码结构来欺骗许多NIDS,但它不会破坏最初的攻击程序。经过伪装的溢出程序,每次攻击所采用的shellcode都不相同,这样降低了被检测的可能。有些NIDS能依据长度、可打印字符判断这种入侵,但会造成大量的错报。

第十二章 防火墙(习题十二,p196)

毛玉明

1.简述防火墙的功能和分类。

答:功能:

1)对内部网实现了集中的安全管理。

2)能防止非授权用户进入内部网络。

3)可以方便监视网络的安全并及时报警。

4)可以实现NAT

5)可以实现重点网段的分离。

6)所有访问都经过防火墙,因此它是审计和记录网络的访问和使用的理想位置。

分类:

分为 过滤型防火墙(静态包过滤^[24]防火墙、状态监测防火墙)、代理型防火墙(应用级网关防火墙、电路^[25]级网关防火墙)

2.静态包过滤防火墙和状态检测防火墙有何区别?如何实现状态检测?

答:状态检测防火墙基于防火墙所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤防火墙使用的过滤规则集是静态的。而采用状态检测技术的防火墙在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。对用户来说,状态检测不但能提高网络的性能,还能增强网络的安全性。

3.状态检测防火墙的优点是什么?为什么?

答:状态检测防火墙的优点是减少了端口的开放时间,提供了对几乎所有服务的支持。因为采用状态检测技术的防火墙在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。

4.如何实现M-N地址转换?

答:

5.应用网关防火墙是如何实现的?与包过滤防火墙比较有什么优缺点?

答:应用级网关型防火墙:应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。

应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。 在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。

6.双宿连接和屏蔽子网连接各有何优缺点?

答:双宿主机^[26]网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供服务等。

堡垒主机^[27]的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者^[28]确认内网中哪些主机可能已被黑客入侵。

双宿主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。

部署屏蔽子网防火墙系统有如下几个特别的好处:

入侵者必须突破3个不同的设备(夫法探测)才能侵袭内部网络:外部路由器,堡垒主机,还有内部路由器。

由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相对。这样网络管理员^[29]就可以保证内部网络是“不可见”的,并且只有在DMZ网络上选定的系统才对Internet开放(通过路由表和DNS信息交换)。

由于内部路由器只向内部网络通告DMZ网络的存在,内部网络上的系统不能直接通往Internet,这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。

包过滤路由器直接将数据引向DMZ网络上所指定的系统,消除了堡垒主机双宿的必要。

内部路由器在作为内部网络和Internet之间最后的防火墙系统时,能够支持比双宿堡垒主机更大的数据包吞吐量。

由于DMZ网络是一个与内部网络不同的网络,NAT(网络地址变换^[30])可以安装在堡垒主机上,从而避免在内部网络上重新编址^[31]或重新划分子网。

7.

解:

第十三章 网络安全协议(习题十三,p213)

桂克锋

1.简述不同网络协议层常用的安全协议。

答:安全协议本质上是关于某种应用的一系列规定,在OSI不同的协议层上有不同协议。表现在:(1)应用层安全协议:①安全Shell(SHH),它通常替代TELNET协议、RSH协议来使用。②SET,即安全电子交易是电子商务中用于安全支付最典型的代表协议。③S-HTTP,是一个非常完整的实现,但由于缺乏厂商支持,该协议现在已经几乎不在使用。④PGP,主要用于安全邮件,其一大特点是源代码免费使用、完全公开。⑤S/MIME,是在MIME规范中加入了获得安全性的一种方法,提供了用户和论证方的形式化定义,支持邮件的签名和加密。(2)传输层安全协议^[32]:①SSL,它工作在传输层^[33],独立于上层应用,为应用提供一个安全的点-点通信隧道。②PCT,与SSL有很多相似之处,现在已经同SSL合并为TLS,只是习惯上仍然把TLS称为SSL协议。(3)网络层安全协议:包括IP验证头(AH)协议、IP封装安全载荷协议(ESP)和Internet密钥管理^[34]协议(IKMP)。

2.IPSec协议的隧道模式和传输模式有何区别?如何实现?

答:传输模式用来保护上层协;而隧道模式用来保护整修IP数据报^[35]。在传输模式中,IP头与上层协议头之间需插入一个特殊的IPSec头;而在隧道模式中,要保护的整个IP包都需封装到另一个IP数据报里,同是在外部与内部IP头之间插入一个IPSec头。两种IPSec协议 (AH和ESP)均能以传输模式或隧道模式工作。对传输模式所保护的数据包而言,其通信终点必须是一个加密的终点,这是同构^[36]建方法决定的。有时可用隧道模式来取代传输模式,并由安全网关^[37]使用,来保护与其他联网实体(比如一个虚拟专用网络^[38])有关的安全服务。在后一种情况下,通信终点是由受保护的内部IP头指定的地点,而加密终点则是那些由外部IP头指定的地点。在IPSec处理结束后,安全网关会剥离出内部IP包,再将该包转发到它最终的目的地。

3.IPSec中ESP和AH分别有什么作用?能否同时使用?

答:(1)ESP作为基于IPSec的一种协议,可用于确保IP数据包的机密性、完整性以及对数据源的身份验证,也要负责抵抗重播攻击。AH也提供了数据完整性^[39]、数据源验证及抗重播攻击的能力,但不能以此保证数据的机密性,它只有一个头,而非头、尾皆有,AH内的所有字段都是一目了然的。(2) IPSec中ESP和AH不能同时使用。

4.简述IPSec的密钥交换^[40]原理。

答:Internet密钥交换(IKE)的用途就是在IPSec通信双方之间建立起共享安全参数及验证过的密钥,实际上是一种常规用途的安全交换协议。构建好IKE的SA后,便可用IKE SA在通信双方之间提供任何数量的IPSec SA。由IKE建立的IPSec SA有时也会为密钥带来“完美向前保密(PFS)”特性,而且如果愿意,也可使通信对方的身份具有同样的特性。通过一次IKE密钥交换,可创建多对IPSec SA。IKE协议由打算执行IPSec的每一方执行;IKE通信的另一方也是IPSec通信的另一方。协议本身具有“请求响应”特性,要求同时存在一个“发起者”和一个“响应者”。其中,发起者要从IPSec那里接收指令,以便建立一些SA,这是某个外出的数据包同一个SPD条目相符所产生的结果,它负责为响应者对协议进行初始化。IPSec的SPD会向IKE指出要建立的是什么,但不会指示IKE怎样做。只有当通信双方决定了一个特定的策略套件后,它们以后的通信才能根据它进行,因此两个IKE通信实体第一步所需要做的就是某种形式的协商。双方需要建立一个共享的秘密,这一点尽管有多种方式可以做到,但IKE实际上只用一个Diffie-Hellman交换,这是不可协商改变的。Diffie-Hellman交换以及共享秘密的建立是IKE协议的第二步,该交换完成后,通信双方已建立了一个共享的秘密,只是尚未验证通过。它们可利用该秘密来保护双方的通信。但在这种情况下,却不能保证远程通信方事实上的确是自己所信任的。因此,IKE交换的下一步便是对Diffie-Hellman共享秘密进行验证,同时还要对IKE SA本身进行验证。为正确实施IKE,需遵守三份文件(文档):基于ISAKMP规范、IPSec解释域和IKE规范。

5.SSL协议的目标是什么?

答:SSL是由Netscape公司开发的一套Internet数据安全^[41]协议,目前已广泛适用于Web浏览器与服务器之间的身份认证和加密数据传输^[42],它位于TCP/IP协议与各种应用层协议之间,为数据通信^[43]提供安全支持。

6.简述SSL协议建立安全连接的过程。

答:分四个阶段:一,建立安全能力,包括协议版本、会话ID、密文^[44]族、压缩方法和初始随机数。这个阶段将开始逻辑连接并且建立和这个连接相关联的安全能力;二,服务器鉴别和密钥交换;三,客户鉴别和密钥交换;四,结束,这个阶段完成安全连接的建立。

第十四章 安全评估标准(习题十四,p237-238)

曹茂诚

1.简述国际安全评估标准的发展过程。

答:安全评估标准最早起源于美国,美国国防部建立计算机安全^[45]中心,开始进行有关计算机安全评估标准的研究,1984年公布了可信计算^[46]机系统评估标准。加拿大1988年开始制定“加拿大可信计算机产品评估准则”。1993年美国对 .TCSEC作了补充和修改,制定了’组合的联邦标准。1993.6 CTCPEC,FC.TCSEC,ITSEC的发起者联合起来,将各自独立的标准组合成一个单一的,能被广泛使用的it安全准则,这一行动成为cc项目。

2.TCSEC如何划分等级?

答:TCSEC采用等级评估的方法进行等级划分。

3.C级安全和B级安全的主要区别是什么?

答:C等为自主保护级,B等为强制保护级,这一级比C级的安全功能有大幅提高。

4.CC的评估思想是什么?

答:CC作为国际标准,对信息系统的安全功能,安全保障给出了分类描述,并综合考虑信

息系统的资产价值。威胁等因素后,对被评估对象提出了安全需求及安全实现等方面的评估。

5.CC如何描述安全功能和安全保障?

答:这一部分为用户和开发者提供了一系列安全功能组件,作为表述评估对象功能要求的 标准方法,在保护轮廓和安全目标中使用功能组件进行描述。安全保障这一部分为开发者提供了一系列的安全保证组件,作为表述描述对象保证要求的标准方法,同时还提出了七个评估保证级别。

分为四类:包过滤防火墙、代理网关、包检查性防火墙和混合型防火墙。