信息安全技术7-信息防御与对抗二.ppt

5 基于IPSec 的VPN (3) IKE与PKI 互联网密钥交换(Internet Key Exchange) 用IPSec保护数据包，必须首先建立一个IPSec的安全联盟，可以手工建立，也可以动态由特定进程来创建。这个特定的进程就是IKE。 在IPSec通信双方之间通过协商建立起共享安全参数及验证过的密钥。 IKE协议是Oakley和SKEME协议的混合，在由ISAKMP规定的一个框架内运作，可为需要安全服务的协议进行策略磋商和密钥建立，如SNMPv3,OSPFv2,IPSec等。 ISAKMP（Internet Security Association and Key Management Protocol）： Internet安全关联和密钥管理协议: 一种协议框架，定义了有效负载的格式、实现密钥交换协议的机制以及SA协商。 第三节 虚拟专用网技术 5 基于IPSec 的VPN (3) IKE与PKI PKI（Public Key Infrastructure ）公钥基础设施 一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。 简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。 PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。作为一个安全基础设施的全功能的PKI，由一系列的组件和服务构成：证书机构CA、证书数据库、证书废除服务、密钥备份和回复、交叉认证和时间戳等。在具体应用环境中，一般应用这些完全功能集合的一个子集。 第三节 虚拟专用网技术 谢谢！ 第二节 蜜罐技术 1986年8月，加州大学伯克利分校一位天文学家发现他实验室一台电脑的账户上少了75美分，这引起了他极大的兴趣。几经谓查， 他发现有人侵入他的电脑，并盗用了计算机账号，在未经允许的情况下使用了一小会儿，使账户上的钱发生了变化。这件事情使斯多博士从天文学家转变成了一名计算机学家，并成为了一间新兴的科学计算机跟踪分析学(computer forensics)历史中的第一位传奇人物。 斯多博士花了一年的时间小心翼翼地跟踪入侵者的足迹，并进行了记录。他亲眼目睹了用伯克利的电脑袭击位于阿尔巴马和加利福利亚的军用电脑、侵入了五角大楼的全过程。他还查到了这个叫马克·荷斯的人是一个专门向俄罗斯出售美国军事机密的德国人。荷斯后来的被捕要感谢斯多博士一年来对他不懈地追击。 2000年计算机专家们成功地利用蜜罐技术追踪了一伙巴基斯坦黑客，这些巴基斯坦黑客突然闯入了位于美国的某计算机系统时，他们自以为是地认为发现了二个漏洞， 利用这个漏洞可以从印度匿名发动攻击，结果却落入了蜜罐的圈套。一个月以内，不管他们在键盘上键入任何字符，用了何种工具，甚至 在网上聊天的电话都被记录了下来。 第二节 蜜罐技术 第二节 蜜罐技术 2 蜜罐的基本配置 诱骗服务Deception service 指在特定IP服务端口上侦听并像其他应用程序那样对各种网络请求进行应答的应用程序。 例如，可以将诱骗服务配置为Sendmail服务的模式。 要精心配置和设计，将服务模拟得足以让攻击者相信是一件非常困难的事情。 诱骗服务只能收集有限的信息。 (2) 弱化系统Weakened system 配置有已知攻击弱点的操作系统，如系统安装有较旧版本的SunOS，已知的易受远程攻击的弱点有RPC(远程过程调用)、Sadmind和mountd等。 恶意攻击者更容易进入系统，收集有关攻击的数据。为确保蜜罐日志记录安全，要额外记录系统，如syslogd和入侵检测系统等，对日志记录的异地存储和备份。 优点：可以提供攻击者试图入侵的实际服务。 问题是“维护费用高但收益很少”。 第二节 蜜罐技术 2 蜜罐的基本配置 (3) 强化系统Hardened system 对弱化系统配置的改进。基本操作系统打已知的安全补丁，使系统每个无掩饰的服务足够安全。一旦攻击者闯入“足够安全”的服务中，蜜罐就开始收集攻击者的行为信息，一方面为加强防御提供依据，另一方面为执法机关提供证据。 在最短时间内收集最多有效数据的最好方法 惟一缺点：这种方法需要系统管理员具有比恶意入侵者更高的专业技术。 (4) 用户模式服务器User mode server 将蜜罐配置为用户模式服务器。 用户模式服务器地址是一个用户进程，它运行在主机上，并模拟成一个功能健全的操作系统，类似于用户通常使用的台式电脑操作系统。 如果适当配置，攻击者几乎无法察觉链接的是用户模式服