搜索
1.信息安全的基本目的是哪些?a)适用性:信息被授权实体访问并按需使用的特性;b)保密性:防止信息泄露给非授权个人或实体,只为授权用户使用的特性;c)完整性:信息未经授权不能改变的特性;d)不可抵赖性:信息交互过程中,所有参与者不能否认曾经完成的操作或承诺的特性;e)可控制性:信息的传播及内容具有控制能力的特性;2.请分别说明在集线器和交换机的环境下,如何进行信息窃取?交换机模式下,如何防止信息被窃取?a)集线器环境下:黑客终端只需要通过集线器连接到主干网段上,就可以窃取流经该网段的全部信息,因为集线器是广播的。b)交换机环境下:通过ARP欺骗窃取信息,防止方法:对交换机设置IP地址与MAC地址绑定。3.什么是加密体制下的Kerckhoff原则?流加密体制和分组加密体制的特点分别是什么?对称加密和公钥加密的特点是分别是什么?a)加密体制下的Kerckhoff原则:所有加密、解密算法都是公开的,保密的只是密钥。b)流加密体制的特点是:一次一密钥的加密运算过程;每次加密运算的密钥不同,且这些密钥之间不存在相关性。c)分组加密体制的特点:同一密钥用于多次加密运算过程;无法通过密文,甚至有限的密文、明文推导出密钥。d)对称加密的特点是:加密算法所使用的密钥等于解密密钥e)公钥加密的特点是:加密算法所使用的密钥不等于解密密钥4.DES算法属于什么加密体制?它的有效密钥是多少位?AES的密钥可以是多少位?现假设4位分组1100进入扩展置换后变为6位,该6位分别进入下列S盒后得出的结果是什么,设该4位分组所处的位置为100011000011.S盒为:14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,70,15,7,4,14,2,13,1,10,6,12,11,9,5,3,84,1,14,8,13,6,2,11,15,12,9,7,3,10,5,015,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13a).DEC属于分组加密体制b).DEC的有效密钥为56位,AES可以是128,196,256位。c).1100由于所处的位置为100011000011,扩展为六位变为01100(1100两边各取一位),而取011000两边的数字为S盒中的行号,这里为00即第0行,取中间的1100为S盒列号即为第12列,于是从0行0列算起,取第0行第12列,最后结果为5。5.报文摘要的算法要求有哪些?MD5算法的全称是什么,它生成的摘要多长?SHA-1算法呢?a).要求:能够作用于任意长度的报文;产生有效位数的标识信息;易于实现;具有单向性;对任意报文X,无法找出另一个报文Y,X!=Y,但MD(X)=MD(Y);只改变报文X中一位二进制位,也使得重新计算后的MD(X)变化很大。b).MD5算法的全称:报文摘要第5版(MessageDigest,Version5)生成的摘要为128位c).SHA-1算法的全称:安全散列算法第一版(SecureHashAlgorithm1),生成的摘要为160位6.简要叙述TLS协议是如何完成通信双方身份认证的?数字签名与身份认证有何区别?(加密算法五元组:明文,密文,密钥,加密算法,解密算法)a).完成双方的身份认证分为4个过程:1.双方完成对压缩算法,加密算法,MAC算法(MessageAuthenticationCodes带秘密密钥的Hash函数:消息的散列值由只有通信双方知道的秘密密钥K来控制。此时Hash值称作MAC)及TLS(transportlayersecurity传输运输安全)协议版本达成一致。过程:客户在Hello消息中按优先顺序列出自己所支持的算法列表及TLS版本号,服务器从客户支持的算法列表中按优先顺数选择一种自己支持的算法作为双方协定的算法,并在双方都支持的TLS版本中选择较低的版本作为约定的TLS版本,并通过Hello消息发送给客户。2.完成对服务器的身份认证。服务器通过服务器证书消息给客户提供证书链,并且只有在证明了服务器拥有和公钥对应的私钥后才证明了服务器。服务器需要认证客户的身份,于是向客户发送证书请求,在证书请求消息中包含了服务器给出证书链,便于服务器对客户的认证。3.客户通过客户证书链向服务器发送证书链。(主密钥用于证实证书的信息)。4.双方切换到新的安全参数。b).1.数字签名:发送方用自己的密钥对报文X进行Encrypt(编码)运算,生成不可读取的密文,然后将密文传送给接收方,接收方为了核实签名,用发送方公告的公钥进行Decrypt(解码)运算,还原报文。发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。2.身份认证:7.解释以太网中站表一出,DHCP欺骗和ARP欺骗的原理,以及对应的防御措施。a).DCHP欺骗原理:在一个局域网内,有多个DHCP服务器,当一个终端接入此局域网时,发送一个发现报文(作用是发现网络中的DHCP服务器)。于是伪造的DHCP服务器先于真正的DHCP服务器向终端发送应答报文,终端将选择伪造的DHCP服务器提供的配置服务,同时伪造的DHCP服务器将自己的IP地址作为网关地址提供给终端,于是终端所有发送给网络的信息,将首先发送给伪造的DHCP服务器。b)应对措施:将以太网交换机的端口配置为信任端口与非信任端口,只有从信任端口接收到的DHCP相应报文,才能继续转发,非信任端口的DHCP相应报文一律丢弃。这样只有连接到信任端口真正的DHCP服务器发送的报文才能到达终端,其他伪造的DHCP服务器发送的报文无法到达终端。c)ARP欺骗的原理:终端B广播一个将终端A的IP地址IPA和自己MAC地址MACB绑定在一起的ARP报文,导致其它以太网终端将IPA与MACB之间的绑定关系记录在ARP表中,这样当终端转发目的为IPA的报文,却用MACB作为封装该报文的目的MAC地址。于是原本发给A的报文都发给了B。d)应对措施:交换机从非信任端口接受到ARP报文后,去匹配DHCP配置表,如果配备成功,则转发该ARP报文,否则丢弃。简而言之就是配置静态映射。8.下图如何利用单播反向路径验证来检测黑客终端的假冒IP问题。a).如图若黑客终端实际连接在子网193.1.2.0/24.的ip地址但是冒充子网193.1.1.0/24的ip地址,这种冒用ip地址的攻击方式被成为源ip地址欺骗攻击。如果某个子网NET1至另一个子网NET2的传输路径和NET2至NET1的路径相同,则称NET2与NET1之间的路径为对称路径,对于用称路径构成的网络,通过单播反向路径验证机制可以抑制源ip地址欺骗。b).当路由器从端口X接受到ip分组时,首先用该ip分组的源ip检索路由表,若找到匹配项,且该路由项指明的输出端口也为X,说明该ip分组的源ip分组不是伪造的,路由器继续该ip分组的转发处理,否则确定该ip分组为源ip地址欺骗攻击,路由器则丢弃该分组。如图若黑客终端冒用ip为193.1.1.7/24,黑客终端用于攻击服务器的ip分组由路由器R2转发后,经端口2进入R3,R3首先用该分组的源ip193.1.1.7/24检索路由表,找到匹配项193.1.1.0/24,确定输出端口为1,和接受该ip分组的端口不相同,于是确定该ip分组为源ip地址欺骗攻击,R3就会丢弃该ip分组。9.简要叙述WEP加密体制的特点,以及其脆弱性体现在那些方面a).WEP即等同有线安全(wiredequivalentprivacy)算法。40位密钥(或是104位)和24位初始向量穿在一起构成64位随机数种子,伪随机数生成器根据随机数种子产生一次洗密钥,一次性密钥的长度为数据长度加上4个字节的完整性检验值,4字节的完整性检验值是根据数据和生成函数计算所得的循环冗余码。一次性密钥和随机数种子是一对一的关系,只要随机数种子改变,一次性密钥也跟着改变,构成64位随机数种子中的40位密钥是固定不变的,改变的只是24位初始向量。接受端与发送端具有相同的40位密钥,发送者只要将24位初始向量以明码的方式传送给接收端,数据和4字节完整性检验值和相同长度的一次性密钥异或运算后构成密文,为了数据的安全,必须每次更换一次性密钥,因此没次加密数据使用的都是不同的初始向量。b).脆弱性体现:一次性密钥可从复。密钥的空间有限。完整性检验有缺陷。10.如何要让下图的堡垒主机正常工作,需要在无状态分组过滤器上如何设置。a).该图为单穴堡垒主机保护内部网络的网络结构。单穴堡垒主机是指具有单个接口连接网络的堡垒主机,在该结果下为保证内部网络和internet之间的通信必须经过堡垒主机,必须在无状态分组过滤器端口1的输入方向设置只允许堡垒主机发送的信息才能正常传输到internet的输入过滤器,而在输出法相只允许目的地为堡垒主机的信息才能进入内部网络的输出过滤器。b).设置:端口1的输入方向:源ip地址193.1.1.1and目的ip=0.0.0.0正常转发源ip地址0.0.0.0and目的ip=0.0.0.0丢弃端口1的输出反向:源ip地址=0.0.0.0and目的ip=193.1.1.1正常转发源ip地址=0.0.0.0and目的ip=0.0.0.0丢弃11.简要叙述入侵防御系统的分类,各类防御系统的工作过程和它们的不足,入侵防御系统的发展趋势是什么?a).分类:1)主机入侵防御系统:用来检测到达某台主机的信息流,检测对主机资源的访问操作。对所有进入主机的信息进行检测,对所有和主机建立TCP连接进行监控,对所有发生在主机上的操作进行管制。特点:1.有效抵御非法代码攻击2.有效管制信息传输。3.强化对主机资源的保护。工作过程:1.拦截主机资源访问操作请求和网络信息流。2.采集相应的数据。3.确定操作请求和网络数据流的合法性。4.反制动作:a)终止应用进程。b)拒绝操作请求。5.登记与分析。不足:主机入侵防御系统只是个应用程序,但它监管的发生在主机上的操作往往是由操作系统实现的,因此,需要多个和操作系统对应的主机入侵防御系统,且必须具有拦截用户应用程序和操作系统之间的调用,响应过程的能力,这一方面会影响一些应用程序的运行,另一方面也存在监管漏洞而且操作无法对主机防御系统提供额外的安全保护容易发生卸载主机防御系统,修改主机入侵防御系统配置的事件。2)网络入侵防御系统:用于检测流进网络某段链路的信息流。可保护节点和链路免受攻击。特点:1.保护网络资源。2.大规模保护主机。3.和主机入侵防御系统相辅相成工作过程:1.捕获信息2.检测异常信息。3.反制异常信息:a)对其IP分组.b)释放TCP连接。4.报警5.登记和分析不足:1.目前大多数入侵防御系统是独体的设备,因此,除非没一段链路都配置网络入侵防御系统,网络入侵防御系统是无法检测到流进网络的所有信息的这就为黑客入侵提供了可能。趋势:1).融合到操作系统中。主机入侵防御系统应该成为操作系统的一部分,由操作系统本省对主机资源的访问过程进行监管。2).集成到网络转发设备中。由于目前链路带宽提高,转发设备成为网络的瓶颈,如果在有转发设备完成需要大量时间见的入侵检测功能,势必更加影响转发设备的功能,因此需要在转发设备的系统结构进行改革,尽量使用并行处理和模块化结构,但可能增加设备的成本