《网络安全管理基础.docx》由会员分享,可在线阅读,更多相关《网络安全管理基础.docx(21页珍藏版)》请在三一办公上搜索。
1、网络安全管理基础在信息时代,信息安全问题越来越重要。现在,大部分信息都是通过网络进行传播的,网络安全成为21世纪世界十大热门课题之一。网络安全在IT业内可分为网络安全硬件、网络安全软件和网络安全服务。其中,网络硬件包括防火墙和VPN、独立的VPN、入侵检测系统、认证令牌环卡、生物识别系统、加密机和芯片。网络安全软件包括安全内容管理、防火墙和VPN、入侵检测系统、安全3A、加密等。其中安全内容管理还包括防病毒、网络控制和邮件扫描,安全3A包括授权、认证和管理。网络安全服务包括顾问咨询、设计实施、支持维护、教育培训和安全管理。随着因特网的日益普及,网络安全正在成为一个受人关注的焦点。而要保证网络安
2、全就必须对网络进行安全管理。下面先了解一下网络体系结构的相关知识,以及在相应模型中的安全问题,再对网络安全进行详细的分析及讨论解决网络安全管理问题的关键技术。1.1 网络体系结构概述众所周知,一个计算机网络有许多互相连接的节点,在这些节点之间要不断地进行数据交换。要做到有序地交换数据,每个节点就必须遵守一些事先约定好的规则,这些规则明确规定了所交换数据的格式及相关的同步问题。这些为进行网络数据交换而建立的规则、标准或约定就称为网络协议。一个网络协议主要由以下三个要素组成。 语法:数据与控制信息的结构或格式。 语义:需要发出何种控制信息、完成何种协议及做出何种应答。 同步:事件实现顺序的详细说明
3、。由此可见,网络协议是计算机网络不可缺少的部分。很多经验和实践表明,对于非常复杂的计算机网络协议,为了减少网络设计的复杂性,大多数网络都按层(layer)或级(level)的方式来进行组织。不同的网络,其层的数量、名字、内容和功能都不尽相同。这样分层的好处在于:每一层都实现相对的独立功能,因此就能将一个难以处理的复杂问题分解为若干个较容易处理的问题。计算机网络的各层及协议的集合称为网络的体系结构(network architecture)。换言之,计算机网络的体系结构是使这个计算机网络及其部件所应该完成的功能的精确定义。需要强调的是,这些功能究竟由何种硬件或软件完成,则是一个遵循这种体系结构的
4、实现的问题。可见,体系结构是抽象的,是存在于纸上的,而对它的实现是具体的,是运行在计算机软件和硬件之上的。常见的网络层次结构如图1-1所示。图 1-11.2 网络体系结构的参考模型网络体系结构的参考模型主要有两种:OSI模型和TCP/IP模型。1.2.1 OSI参考模型现代计算机网络的设计,是按高度结构化方式进行的。为减少协议设计的复杂性,大多数网络都按层或级的方式来组织,每一层都建立在它的下层之上。不同的网络,其层的数量,各层的名字、内容和功能都不尽相同。然而,在所有的网络中,每一层的目的都是向它的上一层提供服务的,而把这种服务是如何实现的细节对上层加以屏蔽。最著名的网络体系结构是国际标准化
5、组织ISO的开放系统互连(Open System Interconnection,OSI)参考模型,即通常所提的OSI模型。OSI模型有7层,其分层原则如下: 根据功能的需要分层。 每一层应当实现一个定义明确的功能。 每一层功能的选择应当有利于制定国际标准化协议。 各层界面的选择应当尽量减少通过接口的信息量。 层数应足够多,以避免不同的功能混杂在同一层中。但也不能过多,否则体系结构会过于庞大。OSI参考模型由低到高依次是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,其体系结构如图1-2所示。图 1-21.2.2 TCP/IP协议结构体系OSI参考模型的建立是计算机网络技术发展的一
6、个里程碑,它为网络的标准化提供了一致的框架和前景。但由于OSI参考模型的庞大,因此在建立网络时,并没有完全依赖OSI参考模型。事实上,基于TCP/IP协议的Internet网络有着自己的网络体系结构TCP/IP网络体系结构。这种体系结构,目前已经成为事实上的网络标准。TCP/IP协议体系结构与OSI参考模型类似,也为分层体系结构,但比OSI参考模型的层数要少,一般为4层结构,从低到高依次为网络接口层、网络层、传输层和应用层,如图1-3所示。图 1-31网络接口层网络接口层在TCP/IP协议结构的最底层。该层中的协议提供了一种数据传送的方 法,使得系统可以通过直接的物理连接的网络,将数据传送到其
7、他设备,并定义了如何 利用网络来传送IP数据报。TCP/IP网络接口层一般包括OSI参考模型的物理层和数据链路层的全部功能,因此这一层的协议很多,包括各种局域网、广域网的各种物理网络的 标准。2网络层网络层在网络接口的上一层。网络层协议IP是TCP/IP的核心协议,也是网络层中最重要的协议。IP可提供基本的分组传输服务,这是构造TCP/IP的基础。网络层上、下层中的所有协议都使用IP协议传送数据;所有的TCP/IP数据,无论是进来的还是出去的,都流经IP,并与它的最终目的地无关。另外,网络层还有地址转换协议(ARP)和网间控制报文协议(ICMP)两个协议,其中ICMP协议具有测试网络链路和检测
8、网络故障的功能,是IP协议不可分割的一部分。3传输层传输层在网络层的上一层,又称主机到主机传输层。传输层有传输控制协议(TCP)和用户数据报协议(UDP)两个重要的协议,用以提供端到端的数据传输服务,即从一个应用程序到另一个应用程序之间的信息传递。TCP利用端到端的错误检测与纠正功能,提供可靠的数据传输服务。而UDP则提供低开销、无链接的数据报传输服务。4应用层TCP/IP协议体系结构的顶层是协议最多的一层。应用层的协议大多数都为用户提供直接的服务,而且还在不断地增加新的服务。常见的应用层协议有: Telnet网络终端协议。 FTP文件传输协议。 SMTP简单邮件传输协议。 POP邮件接收协议
9、。 HTTP超文本传输协议。 DNS域名服务等。1.3 系统安全结构网络系统的安全涉及平台的各个方面。按照网络OSI的7层模型,网络安全贯穿于整个7层模型。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。网络的安全体系层次模型如表1-1所示。表1-1 网络的安全体系层次模型应 用 系 统应用系统安全应 用 系 统应用系统安全应用平台应用平台安全链路层链路安全会话层会话安全物理层物理层安全网络层安全路由/访问机制1物理层物理层信息安全,主要防止物理通路的损坏、物理通路的窃听及对物理通路的攻击(干扰等)。2数据链路层数据链路层的网络安全需要保证通过网络链路传送的数据不被窃
10、听,主要采用划分VLAN(局域网)、加密通信(远程网)等手段。3网络层网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。4操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。5应用平台应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器和Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。6应用系统应用系统完成网络系统的最终目的为用户服务。应用系统的安全与系统设计和实现关系密切,应用系统使用应用平台提供的安全服务来保证基本安全,如通信内容安
11、全,通信双方的认证、审计等手段。1.4 TCP/IP层次安全TCP/IP的层次不同,提供的安全性也不同,例如,在网络层提供虚拟私用网络,在传输层提供安全套接字服务。下面将分别介绍TCP/IP不同层次的安全性和提高各层安全性的方法。1.4.1 网络层的安全性国际上正在对网络层(Internet层)的安全协议进行标准化。如“安全协议3号(SP3)”、“网络层安全协议(NLSP)”、“集成化NLSP(I-NLSP)”、SwIPe和IPSP等安全协议,这些安全协议用的都是IP封装技术。其本质是:纯文本的包被加密、封装在外层的IP报头里,用来对加密的包进行因特网上的路由选择。到达另一端时,外层的IP报头
12、被拆开,报文被解密,然后送到收报地点。网络层安全性的主要优点是它的透明性,即安全服务的提供,不需要应用程序、其他通信层次和网络部件做任何改动。它的主要缺点是网络层一般对属于不同进程和相应条例的包不加以区别。对所有发往同一地址的包,它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能,也会导致性能下降。网络层是非常适合提供基于主机对主机的安全服务的。相应的安全协议可以用来在因特网上建立安全的IP通道和虚拟私有网。例如,利用它对IP包的加密和解密功能,可以简捷地强化防火墙系统的防卫能力。1.4.2 传输层的安全性在因特网中提供安全服务的首先想法便是强化它的IPC(Interne
13、t Protocol Control)界面,如BSD Sockets等,具体做法包括双端实体的认证、数据加密密钥的交换等。Netscape通信公司遵循了这个思路,制定了建立在可靠的传输服务(如TCP/IP所提供)基础上的安全套接(层)协议(SSL)。SSL版本3(SSL v3)于1995年12月制定,主要包含以下两个协议。1SSL记录协议该协议涉及应用程序提供的信息的分段、压缩、数据认证和加密。SSL v3提供对数据认证用的MD5和SHA及数据加密用的R4和DES等的支持,用来对数据进行认证和加密的密钥可以通过SSL的握手协议来协商。2SSL握手协议用来交换版本号、加密算法、(相互)身份认证并
14、交换密钥。SSL v3提供对 Diffie-Hellman密钥交换算法、基于RSA的密钥交换机制和另一种实现在Fortezza chip上的密钥交换机制的支持。1.4.3 应用层的安全性网络层(或传输层)的安全协议允许为主机(或进程)之间的数据通道增加安全属性。本质上,这意味着真正的(或许再加上机密的)数据通道还是建立在主机(或进程)之间,但却不可能区分在同一通道上传输的一个具体文件的安全性要求。例如,如果一个主机与另一个主机之间建立起一条安全的IP通道,那么所有在这条通道上传输的IP包都要自动地被加密。同样,如果一个进程和另一个进程之间通过传输层安全协议建立起了一条安全的数据通道,那么两个进
15、程间传输的所有消息都要自动地被加密。如果确实想要区分一个具体文件的不同的安全性要求,那就必须借助于应用层的安全性。提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。例如一个电子邮件系统可能需要对要发出的信件的个别段落实施数据签名,较低层的协议提供的安全功能一般不会知道任何要发出的信件的段落结构,从而不可能知道应该对哪一部分进行签名。只有应用层是唯一能够提供这种安全服务的层次。目前都使用PKI(公钥基础结构)进行认证和密钥分配。PEM PKI是按层次组织的,由下述三个层次构成: 顶层为网络层安全政策登记机构(IPRA)。 第二层为安全政策证书颁发机构(PCA)。 底层为证书颁发机构(
16、CA)。1.5 TCP/IP的服务安全对TCP/IP协议的服务很多,人们比较熟悉的有WWW服务、FTP服务和电子邮件服务,不太熟悉的有TFTP服务、NFS服务和Finger服务等。这些服务都存在不同程度的安全缺陷,当用户用防火墙保护站点时,就需要考虑应该提供哪些服务,要禁止哪些服务,在这里只对一些服务进行介绍。1.5.1 WWW服务WWW服务相对于其他服务出现比较晚,它基于超文本传输协议(HTTP),是人们最常使用的Internet服务。随着Netscape公司推出安全套接字层,WWW服务器和浏览器的安全性得到大大的提高,现在人们已经把这种技术应用于电子商务(E-business),例如在许多
17、国家,人们可以在因特网上买卖股票和使用信用卡购物。既然把WWW服务说得那么安全,那么它是否存在安全问题呢?安全套接字层确实保证了WWW服务的安全,但它主要解决了数据包被窃听和劫持的问题。除此之外,WWW服务还有其他问题,如WWW服务使用的CGI程序、服务器端附件(Server Side Include,SSI)和Java Applet小程序等。1.5.2 电子邮件服务电子邮件服务给人们提供了一种方便和快捷的服务,现在大部分人都有一个或多个E-mail地址。目前,任何一个大型网站上都有免费或收费电子邮件的申请。但是电子邮件附件中的Word文件或其他文件中有可能会带有病毒。还有电子邮件炸弹也是一个
18、令人头疼的问题。收到了一大堆垃圾邮件,直到邮件箱被塞满,也会给用户带来不便。关于电子邮件的安全将在第6章中讲述,希望对读者了解电子邮件安全起到一定的作用。1.5.3 FTP服务和TFTP服务FTP服务和TFTP服务都是用于传输文件的,但用的场合不同,安全程度也不同。TFTP服务用于局域网,在无盘工作站启动时用于传输系统文件,安全性极差,常被人用来窃取密码文件(/etc/passwd),因为它不带有任何安全认证。FTP服务对于局域网和广域网都可以,可以用来下载任何类型的文件。网上有许多匿名FTP服务站点,上面有许多免费软件、图片和游戏,匿名FTP是人们常使用的一种服务方式。FTP服务的安全性要好
19、一些,起码它需要用户输入用户名和口令。当然,匿名FTP服务就像匿名WWW服务一样是不需要口令的,但用户权力会受到严格的限制。匿名FTP存在一定的安全隐患,因为有些匿名FTP站点提供可写区为用户所使用,这样用户可以上传一些软件到站点上。但这些可写区常被一些人作为地下仓库,存放一些盗版软件和黄色图片,这会浪费用户的磁盘空间、网络带宽等系统资源,可能会造成“拒绝服务”攻击。匿名FTP服务的安全很大程度上决定于一个系统管理员的水平。一个低水平的系统管理员很可能会错误配置权限,从而被黑客利用破坏整个系统。1.5.4 Finger服务Finger服务用于查询用户的信息,包括网上成员的真实姓名、用户名、最近
20、的登录时间和地点等,也可以用来显示当前登录在机器上的所有用户名。这对于入侵者来说是无价之宝,因为它能告诉他在本机上的有效登录名,然后入侵者就可以注意其活动。1.5.5 其他服务除了上面提到的Finger和TFTP,还有X-Window服务,基于RPC的NFS服务,BSD UNIX的以r开头的服务,如rlogin、rsh和rexec等。这些服务在设计上安全性很差,一般只在内部网使用。如果有防火墙,应把这些服务限制在内部网中。1.6 个人网络安全关于个人网络的安全是很重要的,如果网上免费邮箱被炸,上网账号被偷用等,对用户就造成了损失。下面简单介绍一下应该注意的问题。 邮箱中标题不明的邮件不能随便打
21、开。 在聊天室或BBS上不公开自己的IP、邮件地址等个人隐私。 要经常更换自己计算机的密码。另外,不要在外人面前输入密码,密码的长度要足够长。 一般不要让计算机记住密码,以免别人使用你的计算机使自己的机密外泄。 不要在自己的计算机上运行不明的程序,这些可能是黑客程序。1.7 局域网的安全目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐
22、患。局域网安全方法有如下几种。1.7.1 网络分段网络分段是保证安全的一项重要措施,就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式。1物理分段物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第1层和第2层)上分为若干网段,各网段相互之间无法进行直接通信。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。2逻辑分段逻辑分段是指将整个系统在网络层(ISO/OSI模型中的第3层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利
23、用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。1.7.2 以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是,用户远程登录到一台主机上,由于TELNET程序本身缺乏加密功能,用户所输入的每一个字符
24、(包括用户名、密码等重要信息)都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。1.7.3 虚拟专网虚拟专网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通信的范围而无须通过开销很大的路由器。以太网从本质上是广播机制,但应用了交换器和VLAN技术后,实际上转变为点对点通信。除非设置了监听口,信息交换才不会存在监听和插入(改变)问题,所以运行虚拟网技术带来的网络安全的好处是显而易见的。1.8 广域网的安全由于广域网大多
25、采用公网来进行数据传输,因此信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。广域网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的广域网安全设计中,往往采取上述三种技术(防火墙、入侵检测和网络防病毒)相结合的方法。广域网一般采用以下安全解决办法。1.8.1 加密技术加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类:对称型加密、不对称型加密和不可逆加密。其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可观,所以通常在数据
26、量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。将在第2章中详细讲述加密技术知识。1.8.2 VPN技术虚拟专网(Virtual Private Network,VPN)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,同时还为移动计算提供了可能。因此,VPN技术一经推出就深得人心,是一种很好的安全 技术。1.8.3 身份认证技术对于从外部拨号
27、访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术,有Cisco公司提出的TACACS+及业界标准的RADIUS等。1.9 网络安全威胁网络安全威胁是指有可能访问资源并造成破坏的某个人、某个地方或某个事物。威胁的类型很多,有自然的和物理的(火灾、地震),无意的(不知情的顾客或员工)和故意的(攻击者、恐怖分子和工业间谍等)。下面介绍网络威胁的几个重要概念。1安全漏洞安全漏洞是指资源容易遭受攻击的位置,它可以被视为一个弱点。安全漏洞通常按 表1-2所示的方法
28、进行分类。安全漏洞类型有物理的和自然的、硬件和软件的、媒介的、通信的(未加密的协议)和人为的等。表1-2 计算环境中的漏洞安全漏洞类型示 例安全漏洞类型示 例物理的未锁门窗媒介电干扰自然的灭火系统失灵通信未加密协议硬件和软件防病毒软件过期人为不可靠的技术支持2乘虚攻击一种威胁可以通过利用环境中的安全漏洞访问到计算机中的资源产生。这种类型的攻击也称为乘虚攻击。乘虚攻击资源的方法有许多种。1)利用技术漏洞型攻击 强力攻击。 缓冲区溢出。 错误配置。 重放攻击。 会话劫持。2)信息收集 地址识别。 操作系统识别。 端口扫描。 服务和应用程序探测。 漏洞扫描。 响应分析。 用户枚举。 文档研磨。 无线
29、泄露。 社会工程。3)拒绝服务 物理损坏。 资源删除。 资源修改。 资源饱和。另外,来自网络的威胁还有如下几方面。 操作系统的安全性:许多操作系统均存在网络安全漏洞。 防火墙的安全性:防火墙产品是否设置错误等。 来自内部网用户的安全威胁。 缺乏有效的手段监视、评估网络系统的安全性。 采用的TCP/IP协议族软件,本身缺乏安全性。 未能对来自Internet的电子邮件挟带的病毒进行有效控制。 应用服务的安全:应用服务系统在访问控制及安全通信设置错误等。1.10 网络系统安全应具备的功能网络系统的安全体系应包含如下几方面。 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达
30、攻击目标之前。 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程和跟踪攻击源等)。 加密通信:主动的加密通信,可使攻击者不能了解、修改敏感信息。 认证:良好的认证体系可防止攻击者假冒合法用户。 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 隐藏内部信息:使攻击者不能了解系统内的基本情况。 设立安全监控中心:为信息系统提供安全体系管理、
31、监控、保护及紧急情况服务。1.11 网络安全的主要攻击形式在网络安全中常用的攻击形式有信息收集、利用技术漏洞型攻击、会话劫持、防止DNS毒化、URL字符串攻击、攻击安全账户管理器、文件缓冲区溢出、拒绝服务、攻击后门攻击和恶意代码等。1.11.1 信息收集攻击者总是要挖空心思找到要攻击环境的信息。防范信息收集的关键技术就是限制外部对资源进行未经授权的访问。经常使用的方法有: 确保网络上只有那些已标识的特定设备能够建立远程访问连接。 在通过外部防火墙直接连接Internet的计算机上关闭TCP/IP上的NetBIOS,包括端口135、137、139和445。这样做能使外部人员更难利用标准联网手段连
32、接到服 务器。 在面向Internet的网络适配器和过滤流向某一网站通信的防火墙上仅启用端口80和443,这样做可以消除大多数基于端口的侦测攻击。 审查公共网站上的信息以确保该站点上使用的电子邮件地址不是管理账户。 管理放在Web站点的源代码中的内容类型,以防止攻击者审阅该代码(该技术有时被称为源代码筛选)来获取宝贵的信息。 审查为一般公众提供的信息有没有自己的IP地址和域名注册信息。确保攻击者无法通过DNS查询参考网络或哄骗DNS执行完整的区域复制,因为通过转储DNS中的所有记录,攻击者可以清楚地发现最易于攻击的计算机。为了防止DNS查询,可以通过利用通知选项和仅允许到授权服务器的区域复制,
33、为Windows 2000 DNS服务器分配权限。另一个办法是实施一个只读DNS,并部署更新它的策略和步骤。除了防范信息收集的常用6种方法外,还应该了解攻击者所使用的信息收集方法。在信息收集中,攻击者最常使用的方法就是扫描方法,表1-3中列出了一般攻击者使用的扫描方法及其应用。表1-3 扫描的方法及其应用扫 描 方 法工 作 方 式应 用Internet控制消息协议(ICMP)回显或ping将ICMP端口0数据包发送给接收系统,如果系统允许响应ICMP回显,它将给正在扫描的系统发送一个ICMP回复,表明系统正在工作并在监听网络通信Ping扫描用于识别网络上正在监听的主机,它不能识别ICMP之外
34、的监听端口或协议。许多安全过滤设备都会阻止ICMP回显请求,因此可防止ping信号通过网络周边TCP连接或三方握手利用标准三方握手方式验证到监听TCP端口的连接通不过TCP过滤安全设备(比如防火墙或数据包过滤路由器),则会很好TCP哄骗连接请求(SYN)利用三方握手的前两个步骤,正在扫描的系统会发送一个带有上一步重置(RST)标志的数据包,而不是状态确认(ACK),因而不会建立一个完整的连接由于连接从未建立,因此被安全设备检测出或过滤掉的可能性更小,在某种程度上比TCP连接扫描慢TCP Finish(FIN)除FIN标志外,所有标志均被关闭;监听端口上收到的这类数据包通常不会发出响应,反而非监
35、听端口会发送RST数据包;不响应的端口是那些正在监听的端口可能绕过仅监听SYN数据包的系统或安全设备,与TCP SYN扫描结果类似。也许不能从基于Windows的系统上获得准确的结果,从而难以确定这些系统上已打开的端口碎片数据包使用以前的一种扫描技术,将TCP数据包分成碎片以在目标位置重新组装有些安全设备(包括入侵检测系统)在重新组装这些数据包流时可能遇到困难。有时能够绕过过滤设备,甚至导致它们崩溃续表续表扫 描 方 法工 作 方 式应 用Ident检索建立TCP连接(三方握手)之后发出Ident请求,以确定哪一个账户与监听端口进程相关联此类扫描不能识别监听端口,但能够识别账户及其相关服务文件
36、传输协议(FTP)代理扫描RFC for FTP设计了代理类型的服务,可使用户与FTP服务器建立连接并请求FTP服务器启动面向任何其他系统的文件传输。FTP代理扫描利用这种设计缺陷来代理与其他系统的端口连接请求可能在扫描隐藏在防火墙背后的系统时有用。能够发现允许这种扫描的系统这一点本身就是一个漏洞,因为它会向安全策略或安全设备不允许的位置传输通信UDPUDP是一种无连接协议,这意味着发送系统不需要从目标系统得到响应。执行UDP扫描的系统只会从非监听端口收到响应UDP端口通常不会被安全设备过滤掉,或仅被有限过滤。UDP服务DNS和简单网络管理协议(SNMP)没有得到安全的实现,而且通常被允许通过
37、网络周边,即通过通信子网进入资源子网。可能显示打开的大多数端口OS检测OS检测的执行方式有多种,但最准确的方式通常是将从设备收到的TCP响应与已知系统类型列表相比较。用于确定主机信息的一些组件包括TTL、TCP序列号、分段、FIN和ACK响应、未定义的标志响应、窗口大小、ICMP响应及多个TCP选项OS检测扫描通常会绕过许多过滤设备,但代理防火墙除外,因为防火墙就是实际发出响应的设备。可能会返回多个OS类型,而且结果可能不准确。防火墙或路由器通常会拒绝基于ICMP的OS检测扫描1.11.2 利用技术漏洞型攻击攻击者会企图利用环境中的技术漏洞,以获取对系统的访问权限并提升其权限。有许多可以实现的
38、方法。在本节中,列出了一些主要方法,并介绍了相应的防范措施。1会话劫持攻击者使用会话劫持工具来中断、中止或窃取正在进行的会话。这些攻击类型重点针对基于会话的应用程序,许多会话劫持工具能同时查看多个会话。防范会话劫持保护体系结构的最佳办法就是进行加密。2URL字符串攻击攻击者开始将重点放在遍历端口80的攻击上。其中一种攻击形式就是创建一个利用Unicode Translation Format-8(UTF-8)编码的正斜杠或反斜杠(/或)版本的URL字符串,例如%c0%af就是这种字符串。这种类型的攻击可使攻击者遍历远程系统目录结构,获取宝贵的服务器或网络信息,甚至远程运行一个程序。3攻击安全账
39、户管理器文件通过攻击安全账户管理器(SAM)文件,攻击者有可能获取对用户名和密码的访问权。一旦攻击者能够访问该信息,就能利用这些信息获取明显合法的网络资源访问权限。因此,管理SAM文件是防范攻击的一个重要步骤。管理方法包括: 利用系统密钥(syskey)在SAM文件上启用附加加密。 通过某项策略禁用局域网(LAN)Manager身份验证及LAN Manager散列存储,并利用其他形式的身份验证(比如证书和生物检测)。 建立并执行复杂的密码策略。4缓冲区溢出缓冲区溢出是攻击者为获取系统访问权限所采用的一种非常危险的技术。攻击者们会企图将过多信息放进一个容器,以观察它们能否获得以有意义的方式执行的
40、溢出。比如,如果被攻击的程序没有执行适当的边界检查,那么它就会溢出,并允许攻击者执行他们选择的功能。这些溢出通常在具有完全管理权限的本地系统账户的环境内运行。这些攻击最常见的类型就是基于堆栈的缓冲区溢出攻击。溢出会改写整个堆栈,包括指针。攻击者通过调整放在溢出中的数据量来利用这一弱点,然后发送执行某种命令的计算机特定代码和返回指针的一个新地址,最后在系统返回到堆栈时,利用该地址(回头指向堆栈)执行他们自己的程序指令。5拒绝服务攻击攻击者不一定需要有系统访问权限才能产生巨大问题。拒绝服务(Denial of Service,DoS)攻击会耗尽系统资源,导致它不能执行正常的功能。例如,用尽某一服务
41、器上的所有网络连接,或让邮件服务器必须处理超过其设计处理能力的大量邮件。DoS攻击可能是某一直接攻击的结果,也可能是病毒、蠕虫或特洛伊木马导致的。分布式拒绝服务(Distributed Denial of Service,DDoS)攻击会在攻击前在不同计算机上安装僵尸程序,以后向这些僵尸程序发出命令,再由僵尸程序代表攻击者发动攻击,因而隐藏了其踪迹。僵尸程序本身通常是利用蠕虫安装的。DDoS攻击的真正危险在于攻击者使用许多无辜的计算机作为主机来控制发动攻击的其他僵尸程序。当被攻击的系统试图追溯攻击时,它会收到由一系列僵尸程序产生的一组哄骗地址。6后门攻击为防止攻击者下载系统信息,必须防范攻击者
42、利用特洛伊木马在系统上安装后门。这通常在客户计算机上较为严重,而不是在得到全面保护的服务器上。但是,攻击者可以利用这种机制攻击用户或管理员的工作站,然后利用该系统对周边网络上发动攻击。可以采用以下方法来防止。 运行完整的病毒扫描,并用最新的特征文件及时更新防病毒工具。 当心通过电子邮件发送的所有内容,并限制未知附件的执行。 运行Internet Security Scanner(ISS)扫描程序等工具,扫描整个网络是否存在攻击者工具,例如Back Orifice,确保扫描程序数据库得到及时更新。 仅接受已签名的Microsoft ActiveX控件。7恶意代码任何可执行代码都是一个潜在的风险。
43、恶意代码的形式可以是在本单位内和单位与单位之间扩散的破坏性代码(比如通过电子邮件),也可能是从本单位内部怀有恶意而故意运行的代码。恶意代码可以概括地分为如下4种主要类型。 病毒。 蠕虫。 特洛伊木马。 其他恶意代码。1.12 网络安全的关键技术1防电磁辐射防电磁辐射分为对传导发射的防护和对辐射的防护。2访问控制技术主要指网络、数据库、操作系统、应用程序和远程拨入等的访问控制。3安全鉴别技术安全鉴别技术包括如下几方面。 网络设备的鉴别,基于VPN设备和IP加密机的鉴别。 应用程序中的个人身份鉴别。 远程拨号访问中心加密设备(线路密码机)与远程加密设备(线路密码机)的鉴别。 密码设备对用户的鉴别。
44、4权限控制权限控制包括操作系统、数据库的访问、密码设备管理和应用业务软件操作的权限 控制。5通信保密通信保密包括如下内容。 中心网络中采用IP加密机进行加密。 远程拨号网络中采用数据密码机进行线路加密。6数据完整性使用消息完整性编码(Message Integrity Code,MIC)是一种HASH函数,用来计算信息的摘要。7实现身份鉴别可利用: 数字签名机制。 消息鉴别码。 校验等。 口令字。 智能卡。 身份验证服务,包括Kerberos和X.509目录身份验证。8安全审计采用专用、通用设备相结合的方式,从以下几个方面着手: 数据库/操作系统的审计。 防火墙的进出数据审计。 应用业务软件/
45、平台(如Lotus等)的审计安全备份。9病毒防范及系统安全备份包括病毒的检测和防范,常规的系统安全备份。10加密方法公共密钥加密和专用密钥加密,后又出现了椭圆曲线密码学。11网络的入侵检测和漏洞扫描入侵检测的5种技术。 基于应用的监控技术。 基于主机技术的监控。 基于目标的监控技术。 基于网络的监控技术。 综合上述4种方法进行监控。漏洞检测的5种技术。 基于应用的检测技术。 基于主机的检测技术。 基于目标的检测技术。 基于网络的检测技术。 综合上述4种方法进行检测。注意:具体实现与网络拓扑结构有关。一般系统在网络系统中可设计为两个部分:安全服务器和侦测代理。分布在网上的代理大体上有三种:主机侦
46、测代理、网络设备侦测代理和公用服务器侦测代理。12应用系统安全总体思想是利用安全PC卡、PC安全插卡来实现所有应用的安全保密。13文件传送安全要求对等实体鉴别、数据加密、完整性检验和数字签名。14邮件安全邮件加密、数字签名和利用安全PC卡。1.13 保证网络安全的措施保证网络安全的措施一般包括如下几种。1防火墙防火墙是一种防御技术,它在网络安全中是不可缺少的。它像一道防盗门,把内部网和外部网分隔开来,转发可信的分组数据包,丢弃可疑的数据包。将在第8章中详细讲述防火墙。2身份认证身份认证是一致性验证的一种,验证(identification)是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。3加密加密是通过对信息的重新组合,使得只有收发双方才能解码还原信息。传统的加密系统是以密钥为基础的,这是一种对称加密,也就是说,用户使用同一个密钥加密和解码。目前,随着技术的进步,加密已被集成到系统和网络中,如Internet Engineering Task Fore,正在发展的下一代网际协议IPv6。硬件方面,Intel公司也在研制用于PC和服务器主板的加密协处理器。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的
