《《物理安全和I》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《物理安全和I》PPT课件.ppt(77页珍藏版)》请在三一办公上搜索。
1、本章主要内容,物理安全Internet安全问题电子邮件(Email)的安全域名系统(DNS)的安全威胁Web站点的安全问题文件传输(FTP)的安全问题,第2章 物理安全和Internet服务安全,本章指出Internet设备的物理安全以及Internet存在的安全问题和原因。介绍TCP/IP协议,有助于理解Internet有关的安全问题。本章阐述电子邮件(Email)安全、域名(DNS)安全、地址(IP)安全、站点安全、远程登陆(Telnet)安全、文件传输(FTP)安全。,2.1 物理安全,在信息系统安全中,物理安全是基础。如果物理安全得不到保证,如计算机设备遭到破坏或被人非法接触,那么其他
2、的一切安全措施都是徒劳的。在计算机系统安全中,物理安全就是要保证计算机系统有一个安全的物理环境,对接触计算机系统的人员有一套完善的技术控制手段,且充分考虑到自然事件可能对计算机系统造成的威胁并加以规避。,2.1.1 机房与设施安全,设施安全就是对放置计算机系统的空间进行细致周密的规划,对计算机系统加以物理上的严密保护,以避免存在可能的不安全因素。,计算机机房的安全等级,为了对相应的信息提供足够的保护,而又不浪费资源,应该对计算机机房规定不同的安全等级,相应的机房场地应提供相应的安全保护。根据GB936188标准计算站场地安全要求,计算机机房的安全等级分为A、B、C等3个基本类型。,(1)A类:
3、对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。该类机房放置需要最高安性的系统和设备。(2)B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。它的安全性介于A类和c类之间。(3)C类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。该类机房存放只需要最低限度的安全性和可靠性的一般性系统。在具体的建设中,根据计算机系统安全的需要,机房安全可按某一类执行,也可按某些类综合执行。所谓的综合执行是指一个机房可按某些类执行,如对电磁波进行A类防护,对火灾报警及消防设施进行B类防护等。,机房场地的环境选择,计算机系统的技术复杂,电磁干扰、震动、温度和湿度等的变化
4、都会影响计算机系统的可靠性、安全性,轻则造成工作不稳定,性能降低,或出现故障,重则会使零部件寿命缩短,甚至是损坏。为了使计算机系统能够长期、稳定、可靠、安全地工作,应该选择一个合适的工作场所。,1环境安全性,(1)为了防止计算机系统遭到周围不利环境的意外破 坏,机房应该尽量建立在远离生产或储存具有腐蚀性、易燃、易爆物品的场所(比如油料库、液化气站和煤厂等)的周围;(2)机房应该尽量避开环境污染区(比如化工污染区),以及容易产生粉尘、油烟和有毒气体的区域(比如石灰厂等);(3)应该尽量避免坐落在雷击区;(4)应避开重盐害地区。,2地质可靠性,(1)不要建立在杂填土、淤泥、流沙层以及地层断裂的地质
5、区域上;(2)不要建立在地震区;(3)建立在山区的机房应该尽量避开滑坡、泥石流、雪崩和溶洞等地质不牢靠区域;(4)应该尽量避开低洼、潮湿区域。,3场地抗电磁干扰性,(1)应该避开或远离无线电干扰源和微波线路的强磁场干扰场所,如广播电视发射台、雷达站等;(2)应该避开容易产生强电流冲击的场所,如电气化铁路、高压传输线等。,4避开强振动源和强噪声源,(1)应该避开振动源,如冲床、锻床等;(2)应该避开机场,火车站和剧院等噪声源;(3)应该原理主要交通要道,斌避免机房窗户直接临街。,2.1.4 电源,要想计算机系统能正常地工作,电源的安全和保护问题不容忽视。电源设备落后或电压不稳定,电压过高或过低都
6、会给计算机造成不同程度的损害。例如:一台电子商务服务器,如果突然掉电,就会使交易中断,而且可能发生不必要的法律纠纷。所以,计算机在工作时首先要保证电源的稳定和供电的正常。,为使设备避免断电或其他供电方面的问题,供电要符合设备制造商对供电的规定和要求。保持供电不中断的措施包括:(1)设置多条供电线路以防某条供电线路出现故障;(2)配置不间断电源(UPS);(3)备用发电机。,2.1.5 环境与人身安全,1防火 火灾不仅对计算机系统是致命的威胁,而且会危及人的生命及国家财产安全,尤其是计算机机房,大量使用电源,防火就显得尤其重要和必要。为了保证不发生火灾,及时发现火灾,发生火灾后及时消防和保证人员
7、的安全,对机房应考虑采取以下措施。,2漏水和水灾 由于计算机系统使用电源,因此水对计算机也是致命的威胁,它可以导致计算机设备短路,从而损害设备。所以,对机房必须采取防水措施。,3自然灾害 自然界存在着种种不可预料或者虽可预料却不能避免的灾害,比如洪水、地震、大风和火山爆发等。对此,应该积极应对,制定一套完善的应对措施,建立合适的检测方法和手段,以期尽可能早的发现这些灾害的发生,采取一定的预防措施。比如,采用避雷措施以规避雷击,加强建筑的抗震等级以尽量对抗地震造成的危害。因此应当预先制定好相应的对策,包括在灾害来临时采取的行动步骤和灾害发生后的恢复工作等。通过对不可避免的自然灾害事件制定完善的计
8、划和预防措施,使系统受到的损失的程度减小到最小。同时,对于重要的信息系统,应当考虑在异地建立适当的备份与灾难恢复系统。,4.物理安全威胁 在现实生活中,除了自然灾害外,还存在种种其他的情况威胁着计算机系统的物理安全。通信线路被盗窃者割断,就可以导致网络中断。如果周围有化工厂,若是化工厂的有毒气体泄露,就会腐蚀计算机系统等。,电磁泄露,电磁泄露发射技术是信息保密技术领域的主要内容之一,国际上称之为TEMPEST(Transient electromagnetic pulse standard technology)技术。美国安全局(NSA)和国防部曾联合研究与开发这一项目,主要研究计算机系统和其
9、他电子设备的信息泄露及其对策,研究如何抑制信息处理设备的辐射强度,或采取有关的技术措施使对手不能接收到辐射的信号,或从辐射的信息中难以提取出有用的信号。TEMPEST技术是由政府严格控制的一个特殊技术领域,各国对该技术领域严格保密,其核心技术内容的密级也较高。,计算机设备包括主机、显示器和打印机等,在其工作过程中都会产生不同程度的电磁泄露。例如,主机各种数字电路中的电流会产生电磁泄露,显示器的视频信号也会产生电磁泄露,键盘上的按键开关也会引起电磁泄露,打印机工作时也会产生低频电磁泄露,等等。计算机系统的电磁泄露有两种途径:一是以电磁波的形式辐射出去,称为辐射泄露;二是信息通过电源线、控制线、信
10、号线和地线等向外传导造成的传导泄露。,通常,起传导作用的电源线、地线等同时具有传导和辐射发射的功能,也就是说,传导泄露常常伴随着辐射泄露。计算机系统的电磁泄露不仅会使各系统设备互相干扰,降低设备性能,甚至会使设备不能正常使用,更为严重的是,电磁泄露会造成信息暴露,严重影响信息安全。,理论分析和实际测量表明,影响计算机电磁辐射强度的因素如下。(1)功率和频率。设备的功率越大,辐射强度越大。信号频率越高,辐射强度越大。(2)距离因素。在其他条件相同的情况下,离辐射源越近,辐射强度越大,离辐射源越远,则辐射强度越小,也就是说,辐射强度与距离成反比。(3)屏蔽状况。辐射源是否屏蔽,屏蔽情况好坏,对辐射
11、强度的影响很大。,2.1.7 计算机设备防泄露措施,抑制计算机中信息泄露的技术途径有两种:一是电子隐蔽技术,二是物理抑制技术。电子隐蔽技术主要是用干扰、跳频等技术来掩饰计算机的工作状态和保护信息;物理抑制技术则是抑制一切有用信息的外泄。物理抑制技术可分为包容法和抑源法。包容法主要是对辐射源进行屏蔽,以阻止电磁波的外泄传播。抑源法就是从线路和元器件入手,从根本上阻止计算机系统向外辐射电磁波,消除产生较强电磁波的根源。,计算机系统在实际应用中采用的防泄露措施主要如下。(1)选用低辐射设备 这是防止计算机设备信息泄露的根本措施。所谓低辐射设备就是指经有关测试合格的TEMPEST设备。这些设备在设计生
12、产时已对能产生电磁泄露的元气件、集成电路、连接线和阴极射线管(CRT)等采取了防辐射措施,把设备的辐射抑制到最低限度。这类设备的价格相当昂贵。,(2)利用噪声干扰源 噪声干扰源有两种,一种是白噪声干扰源,另一种是相关干扰器。,使用白噪声干扰源 使用白噪声干扰源有以下两种方法。将一台能够产生白噪声的干扰器放在计算机设备旁边,让干扰器产生的噪声与计算机设备产生的辐射信息混杂在一起向外辐射,使计算机设备产生的辐射信息不容易被接收复现。在使用这种方法时要注意干扰源不应超过有关的EMI标准,还要注意白噪声干扰器的干扰信号与计算机设备的辐射信号是两种不同特征的信号,易于被区分后提取计算机的辐射信息。,将处
13、理重要信息的计算机设备放置在中间,四周放置一些处理一般信息的设备,让这些设备产生的辐射信息一起向外辐射,这样就会使接收复现时难辨真伪,同样会给接收复现增大难度。,使用相关干扰器。这种干扰器会产生大量的仿真计算机设备的伪随机干扰信号,使辐射信号和干扰信号在空间叠加成一种复合信号向外辐射,破坏了原辐射信号的形态,使接收者无法还原信息。这种方法比白噪声干扰源的效果好,但由于这种方法多采用覆盖的方式,而且干扰信号的辐射强度大,因此容易造成环境的电磁噪声污染。,(3)采取屏蔽措施 电磁屏蔽是抑制电磁辐射的一种方法。计算机系统的电磁屏蔽包括设备屏蔽和电缆屏蔽。设备屏蔽就是把存放计算机设备的空间用具有一定屏
14、蔽度的金属丝网屏蔽起来,再将此金属网罩接地。电缆屏蔽就是对计算机设备的接地电缆和通信电缆进行屏蔽。屏蔽的效能如何,取决于屏蔽体的反射衰减值和吸收衰减值的大小,以及屏蔽的密封程度。,(4)距离防护 设备电磁辐射在空间传播时随距离的增加而衰减,在距设备一定的距离时,设备信息的辐射场强就会变得很弱,这时就无法接收到辐射的信号。这是一种非常经济的方法,但这种方法只适用于有较大防护距离的单位,在条件许可时,在机房的位置选择时应考虑这一因素。安全防护距离与设备的辐射强度和接收设备的灵敏度有关。,(5)采用微波吸收材料 目前,已经生产出了一些微波吸收材料,这些材料各自适用不同的频率范围,并具有不同的其他特性
15、,可以根据实际情况,采用相应的材料以减少电磁辐射。,2.2 Internet安全问题,2.2.1 Internet安全状况和欠安全原因 Internet是一个开放系统。窃密与破坏已经从个人、集团的行为上升到国家的信息战行为。其不安全的问题日显突出。CERT/CC统计历年Internet网络安全案件,截止到2007年为止共计有942,568件,其安全威胁来自黑客攻击和计算机病毒。Internet的欠安全来自内因和外因的各种因源:,(1)站点主机数量的增加,无法估计其安全性能。网络系统很难动态适应站点主机数量的突增,系统网管功能升级困难也难保证主机的安全性;(2)主机系统的访问控制配置复杂,软件的
16、复杂等,没有能力在各种环境下进行测试。Unix系统从BSD获得网络部分代码。而BSD源代码可轻易获取,导致攻击者易侵入网络系统;(3)分布式管理难于预防侵袭,一些数据库用口令文件进行分布式管理,又允许系统共享数据和共享文件,这就带来不安全因素;,2023/7/20,33,(4)认证环节虚弱。Internet许多事故源于虚弱的静态口令,易被破译,且易把它解密或通过监视信道窃取口令。TCP/IP和UDP服务也只能对主机地址进行认证,而不能对指定的用户进行认证;(5)Internet和FTP的用户名和口令的IP包 易被监视和窃取。使用Internet或FTP速接到远程主机上的帐户时,在Interne
17、t上传输的口令是没有加密的,攻击者通过获取的用户名和口令的IP包登陆到系统;,(6)攻击者的主机易冒充成被信任的主机。这种主机的IP地址是被TCP和UDP信任的,导致主机失去安全性。攻击者用客户IP地址取代自己的IP地址或构造一条攻击的服务器与其主机的直接路径,客户误将数据包传送给攻击者的主机。一般Internet服务安全内容包括Email安全、文件传输(FTP)服务安全、远程登陆(Telnet)安全、Web浏览服务安全和DNS域名安全以及设备的物理安全。,2.2.2 TCP/IP、UDP和ICMP协议 Internet网主要采用TCP/IP协议,了解TCP/IP协议的基本知识有利于理解Int
18、ernet有关的安全问题。(1)TCP/IP的分层,协议和信息封装 TCP为一个四层协议系统:应用层,传输层,网络层和链路层,其层间关系如下图所示:,应用层 应用程序 应用程序 应用程序,传输层 TCP UDP,网络层 ICMP IP ICMP,链路层 硬件接口,网络电缆,图2.1 TCP/IP分层和协议栈,.,.,.,要使用户数据能通过分层网络,就要用网络软件将数据从应用程序进协议栈的一个协议里,每个协议对这些数据进行处理,然后再送进低层的协议里。在传输过程中,网络模块不断地将各层的信息封装进文件包里。封装是将当前数据按分层协议技术的形式存取起来的过程,数据通过协议层时,每一层将当前的信息附
19、加在文件包上,图2.2显示了信息被封装的流程。,图2.2 以太网封装协议流程,用户数据,应用程序(应用层)应用程序头部+用户数据,TCP模块(传输层)TCP头部+应用程序数据,IP模块(网络层)IP头部+TCP头部+应用程序数据Ethernet Driver(以太网驱动层)以太网头部+IP头部+TCP头部+应用程序数据+以太网帧尾部,(2)UDP协议 UDP方式,当流主机有数据时,就发送,它不管发送的数据包是否达到目标主机,数据包是否有错,收到的数据包的主机也不会告示被发送方是否正确收到数据,因此,UDP是不可靠的数据传输方式。(3)ICMP协议 ICMP与IP位于同一层上,用于传送控制信息,
20、主要提高有关通向目的地址的路径信息。ICMP的Redirect信息通知主机通向其他系统的更准确的路径,而Unreachable信息则指出路径有问题。如果路径不可用,ICMP可以使TCP连接终止。Ping命令是最常用的基于ICMP的服务命令。,2.3电子邮件的安全,2.3.1 Email的工作原理和传输过程 Email即电子邮件,是一种用电子手段提供信息交换的通信方式,也是全球网上最普及型的服务方式,数秒内通过Email传遍全球,它加速了信息交流。Email除传递信件外,还可以传送文件声音,图形和图象(当作为附件)等信息。Email不是“终端到终端”的实时服务,而是“存储转发式”服务,它非实时通
21、信,而发送者可随时随地发送邮件,将邮件存入对方电子邮箱,并不要求对方接受者实时在场收发邮件,其优点是不受时空间约束。,Email邮件系统的传输过程包括用户代理(Mail User Agent,MUA),传输代理(Mail Transfer Agent,MTA)和接受代理(Mail Delivery Agent,MDA)三部分。用户代理是一个用户端发信和收发的程序。负责将信件按一定标准进行包头,然后送到邮件Email服务器,将文件发出或由邮件邮件服务器收到信件。传输代理是负责信件的交换和传输,将信件传送到邮件主机,再交接受代理。接受代理将信件分发到不同的电子信箱,收信人的地址。根据简单邮件传输协
22、议SMTP将信件传递到目的地。,到邮件主机后,接受代理的POP(Post Office Protocol)网络邮局协议或网络中转协议,使用户能在自己的主机读取这份邮件。Email服务器是向全体开放,故有一个“路由表”,列出了其他Email服务器的目的地地址。当服务器读取信头,如果不是发给自己时,会自动转发到目的地的服务器。邮件系统的传输过程如图2.3所式。Email当用户与站点交换Email时,存在下述的安全问题。,发送方 邮件用户代理 MUA 邮件传输代理 MTA TCP协议连接接受方 邮件接受代理 MDA 邮件传输代理 MTA,图2.3 电子邮件的传输过程,Email的正常服务靠的是Ema
23、il服务协议来保证。有以下几种Email相关协议:(1)SMTP协议 SMTP(Simple Mail Transfer Protocol)是邮件传输协议。经过它传递的电子邮件都是以明文形式进行的,它不支持图象等服务。但这种明文传输很容易被中途窃取,复制或篡改。(2)ESMTP协 ESMTP(Extended SMTP)是扩展型SMTP协议。主要有不易被中途截取,复制或篡改邮件的功能。,2023/7/20,45,(3)POP3协议 POP3(Post Office Protocol 3)协议是邮局协议,其在线工作方式,有邮件保留在邮件服务器上允许用户从邮件服务器收发邮件的功能。POP3是以用户
24、当前存在邮件服务器上的全部邮件为对象进行操作的。并一次性将它们下载到用户端计算机中。但用户不需要的邮件也下载了。以下介绍的IMAP4协议,就是针对这一缺陷,加以克服的协议。POP3使邮件下载完毕,邮件服务器对这些邮件的暂存和托管,即告完成。,(4)IMAP4协议 IMAP4(Internet Message Access Protocol)是Internet消息访问协议。为用户提供了有选择地从邮件服务器接收邮件的功能。IMAP4在用户登陆到邮件服务器之后,允许采取多段处理方式,查询邮件,用户只读取电子信箱中的邮件信头,然后再下载指定的邮件。(5)MIME协议 MIME(Maltipurpose
25、 Internet Mail Extensions)协议的功能是将计算机程序,图象,声音和视频等二进制格式信息首先转换成ASCII文本,然后利用SMTP协议传输这些非文本的电子邮件,也可随同文本电子邮件发出。,2.3.2 Email的安全漏洞,(1)窃取Email。由于SMTP协议密钥验证系统。从浏览器向Internet网上另一方发送Email时,要经过许多路径上的网上设备,故入侵者在路径上可以窃取Email或伪造Email。(2)Morrisbug内有一种会破坏Sentmail的指令。这种指令可使其执行黑客发出的命令。故Web提供的浏览器更容易受到侵袭。,2023/7/20,48,(3)Em
26、ail轰炸,Email Spamming和Email炸弹。Email炸弹(End Bomb 和KaBomb)能把攻击目标加到近百个Email列表中去。Up yours是最流行的炸弹程序,它使用最少的资源,又隐藏自身攻击者的源头而进行攻击。Email轰炸是同一收件人会不停地接到大量同一内容的Email,使电子信箱挤满,而不能工作,网络赛车。Email Spamming是同一条信息被传给成千上万的不断扩大的用户,如果一个人用久了Email Spamming,那么所有用户都收到这封信。Email 服务器如果收到很多Email,服务器会脱网,系统崩溃,不能服务。,(4)Email 欺骗 Email 伪
27、称来自网络系统管理员,要求用户将口令改变为攻击者的特定字符串,并威胁用户,如果不按此处理,将关闭用户的帐户。(5)虚构某人名义发出Email 由于任何人可以与SMTP协议的端口联上,故攻击者可以虚构某人名义利用与SMTP协议联上的端口发出Email。由于Out Loon存在安全隐患,可让攻击者编制一定代码让病毒自动执行,病毒多以Email 附件形式传给用户,一旦用户点击该附件,计算机就中毒。不要打开不明的邮件,如果要打开附件,先用防毒软件扫描一下,确保附件无病毒。Email 成为计算机病毒最主要的传播媒介。,2.3.3Email 的安全措施,(1)配置Email加密措施1数字证书数字证书可以实
28、现加密和认证身份。保证邮件不被修改,保持邮件的完整性和保密性。国内南方电子认证中心提供数字认证服务。它是利用发件人的数字证书,在传送前对Email进行数字签名,便可确定发件人的身份,而不是他人冒充的。数字证书是发件人唯一拥有的,故数字签名使发件人无法否认自己发过这个邮件,存在不可否认性的特点。,2 PGP加密签字和数字信封 PGP(Pretty Good Privacy)是广泛使用的软件包,主要用来加密电子邮件。它利用IDEA进行数字加密,根据不同的RSA密钥长度,PGP支持512位,761位和1024位的RSA密钥。PGP通过数字加密和数字信封来保证保密性服务,信息验证性服务,数字完整性服务
29、和不可否认性服务,以保证邮件确实来自发信人,保证在邮件传送过程中没有被修改。,(2)常用的Email安全措施1 在邮件系统中安装过滤器,在接收任何Email之前,先检查(过滤)发件人的资料,删去可疑邮件,不让它进入邮件系统,但有时也会误删去有用的邮件。2 防止Email服务器超载,超载会降低传递速度或不能收发Email。3 如有Email轰炸或遇上Email Spamming,就要通过防火墙或路由器过滤去来自这个地址的Email炸弹邮包。,2023/7/20,53,4 防止Email炸弹是删除文件或在路由的层次上限制网络的传输。另一种方法是写一个Script程序,当Email连接到自己的邮件服
30、务器时,它就会捕捉到Email炸弹的地址,对邮件炸弹的每一次连接,它都会自动终止其连接,并回复二个声明指出触犯法律。,5 采取匿名邮件,发送敏感信息。发送者不希望收件者知道是谁发的,称为匿名邮件,可使窥窃者不知此邮件的来由。6 严禁打开Email附件中的可执行文件(.exe,com)及Word/Exel文档(包括doc和.xls等)。因为这些多是病毒“特洛伊木马”的有毒文件。其中最常见的是Back Orifice黑客程序,它会在用户连入Internet网后被远端黑客控制,将密码及文件盗走及破坏硬盘。,2023/7/20,55,7 检查Windows目录中有否note.exe文件,应用手工删除该
31、文件,并将Win.ini中RUN=NOTES.EXE删除,然后重新启动计算机。以上67是一般Email能做到的不安全防范措施。,2.4 域名系统的安全威胁,2.4.1 域名系统(DNS)的作用 域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它的作用是提供主机名字和地址只的转换信息。当用户向一台服务器请求服务时,服务器会根据用户的IP反向解析出该IP对应的域名。,DNS会查漏内部的网络拓扑结构,故DNS存在安全隐患。整个网络架构中的主机名,主机IP列表,路由器名,路由器IP列表,计算机所在位置等可以被轻易窃取。攻击者控制了DNS服务器后,就会篡改DNS的记录信息,利用被篡改的记
32、录信息达到入侵整个网络的目的。使到达原目的地的数据包落入攻击者控制的主机。DNS ID欺骗行为:黑客伪装的DNS服务器提前向客户端发送响应数据报,使客户端的DNS缓存里域名所对应的IP变成黑客自定义的IP,于是客户端被带到黑客希望的网站。,2.4.2 域名系统的安全威胁,遇到DNS欺骗,先禁止本地连接,然后启用本地连接就可消除DNS缓存。如果在IE中使用代理服务器,DNS欺骗就不能进行,因为这时客户端并不会在本地进行域名请求。如果访问的不是网站主页,而是相关子目录的文件,这样在自定义的网站上不会找到相关的文件。所以禁用本地连接,然后再启用本地连接就可以清除DNS欺骗。,2.4.3 域名系统的威
33、胁解除,2.5 IP地址的安全问题,2.5.1 IP地址的安全威胁(1)盗用本网段的IP地址,但会记录下物理地址。在路由器上设置静态ARP表,可以防止在本网段盗用IP。路由器会根据静态ARP表检查数据,如果不能对应,则不进行处理。(2)IP电子欺骗:IP欺骗者通过RAW Socket编程,发送带有发送伪造的源IP地址的IP数据包,让一台机器来扮演另一台机器达到的目的,获得对主机未授权的访问。,(1)通过对包的监控来检查IP欺骗。可用netlog或类似的包监控工具来检查外借口上包的情况,如发现包的两个地址,源地址和目的地址都是本地域地址,就意味有人试图攻击系统。(2)安装一个过滤路由器,来限制对
34、外部接口的访问,禁止带有内部网资源地址包的通过。当然也应禁止(过滤)带有不同的内部资源地址内部包通过路由器到别的网上去,这就防止内部的用户对别的站点进行IP欺骗。,欺骗攻击的防备,2023/7/20,61,(3)将Web服务器放在防火墙外面有时更安全。如果路由器有支持内部子网的两个接口,则易发IP欺骗。(4)在局部网络的对外路由器上加一个限制条件,不允许声称来自内部网络包的通过,也能防止IP欺骗。,2.6 Web站点的安全问题,2.6.1 Web站点的功能 Web是一种开放型系统,Web站点像一个自由市场,具有交互性功能。一旦站点上网,用户可以访问、检索、邮寄信息和邮寄文件、检索文件。Web服
35、务器要记录下如下信息:(1)IP地址,(2)服务器/宿主名字,(3)卸载时间,(4)URL要求,(5)用户名(如果站点采取任何形式的验证系统,服务器会记下用户名,也可通过用户授权或在UNIX中通过标准协议获得用户名),(6)用户会话期间常用的形式及出现的,2023/7/20,63,可变数据,(7)表格中所有变量值(当用户在通信时填写表格时),(8)请求的状态,(9)传输数据的大小,(10)用户的Email地址。这些信息都是暴露的,故存在安全威胁,成为攻击对象,损害用户隐私。当Web服务器收到每一次连接的访问,要保护访问站点上用户的隐私。Web设计及管理者要建立安全策略和不安全防范措施,以发现和
36、追踪黑客的袭击。,Web服务器有以下安全漏洞:(1)安全威胁类来由渠道有以下渠道:a.外部接口;b.网络外部非授权访问;c.网络内部的非授权访问;d.商业或工业间谍;e.移动数据;(2)入侵者会重点针对访问攻击某一数据库,表,目录,达到破坏数据或攻击数据的目的;(3)进行地址欺骗,IP欺骗或协议欺骗;(4)非法偷袭Web数据,如电子商务或金融信息数据;,服务器的安全漏洞,2023/7/20,65,(5)伪装成Web站点管理员,攻击Web站点或控制Web站点主机;(6)服务器误认闯入者是合法用户,而允许他的访问;(7)伪装域名,使Web服务器向入侵者发送信息,而客户无法获得授权访问的信息。,1.
37、制定因地而异,因风险威胁类型而异的安全策略。(1)估计和分析外部入口有什么威胁和网络内部有什么威胁?(2)工业间谍和商业间谍的可能作为;(3)威胁是网络内部的非授权使用,还是移动数据?(4)数据会破坏还是被攻击,地址欺骗,IP欺骗,还是协议欺骗?(5)入侵者可能访问的数据库,目录或表格,文件。总之,因风险可能出现的类型制定安全策略。,2.6.3 Web站点的安全措施,2.监控出入站状况(1)测量访问次数,指数据站点上某一文件被访问的次数。这可以用http:/地址下载测量访问次数工具,将此工具放在各种平台运行。一个月如超过30万次访问一个文件,就要进行监控这个文件,这个指标直接影响安全保护。(2
38、)监控访问请求。监控访问请求时可针对以下问题:1服务器日常受访次数;2用户从那里连接;3一周中那天最忙,一天中何时最忙;4服务器内那类信息被访问?那些页面最受欢迎?每个目录下有多少页面被访问;5每月目录下有多少用户访问?访问站点的是那些浏览器?与站点对话的是那种操作系统?6那种提交方式被选择次数最多?,(1)将Web服务器当作无权限的用户运行,很不安全,故要设置权限管理。(2)将敏感文件放在基本系统中,再设置二级系统,所有敏感文件数据都不Internet网开放。(3)要检查HTTP服务器使用的Applet脚本,尤其与客户交互作用CGI脚本,以防止外部用户执行内部指令。(4)建议在Windows
39、 NT之上运行Web服务器,并检查驱动器和共享的权限,将系统设为只读状态。(5)采用Macintosb Web服务器更为安全,但又缺少Windows NT的一些设置特性。,3.常用的Web站点安全措施,2023/7/20,69,(6)要克制daemons系统的软件安全漏洞。daemons会执行不要执行的功能,如控制服务,网络服务,与时间有关的活动以及打印服务。(7)为防止入侵者用电话号码作为口令进入Web站点,要配备能阻止和覆盖口令的收取那机制和安全策略。(8)不断更新,重建和改变Web站点的连接信息,一般Web站点只允许单一种类的文本作为连接资源。(9)假定Web服务器放置在防火墙的后面,就
40、可将“Wusage”统计软件装在Web服务器内,以控制通过代理服务器的信息状况,这种统计工具能列出站点上往返最频繁的用户名单。(10)安全在公共场所的浏览器,以被入侵者改变浏览器的配置,并获得站点机要信息,IP地址,DNS入口号等,故要作防御措施。,2.7远程登陆(Telnet)的安全问题,远程登陆(Telnet)是提供Internet网上申请登陆远程终端的程序。它是一种十分有用的远程申请机制,它其实是模仿一个终端。不要作更多工作,就可以为网上任何站点的用户提供远程申请。但Telnet只提供基于字符(文本)的功能,而不具有提供图形的功能。Telnet还允许用户执行另一台主机的命令,而不要作特殊
41、的约定。广州的用户可对武汉的主机进行终端仿真,并运行武汉主机上的程序,就像广州用户在武汉一样。Telnet要用户认证,Telnet送出的所有信息是不加密的,故容易被黑客攻击。是从远程系统申请站点时最危险服务之一。故要参考本章其他章节中的不安全防范措施,对当地站点与远程主机之间的网络通讯保证安全,本节不再重点论述Telnet的不安全防范措施。有了双方安全保障,就可将Telnet接入站点。为使Telnet按去那还可选择本书有关安全认证方案,允许为任何站点上的合法用户提供远程访问权限。,2.8文件传输(FTP)的安全问题,文件传输(FTP)的功能 FTPFile Transfer Protocol文
42、件传输协议是提供用户在Internet网上主机之间进行收发文件的协议。FTP使用客户机/服务器模式。当使用客户端程序时,用户的命令要求FTP服务器传送一个指定文件,服务器会响应这个发送命令,并传送这个文件,存入用户机的目录中。目前,FTP的安全问题是FTP协议自身的安全问题及协议的安全功能如何扩展。安全防火墙,黑客仍有可能访问FTP服务器,故FTP存在安全问题。,(1)代理FTP中的跳转攻击 代理FTP是FTP规范PR85提供的一种允许客户端建立的控制连接,是在两台FTP服务器传输文件的机制。可以不经过中间设备传给客户端,再由客户端转给另一个服务器,这就减少了网络流量,但攻击者可以发出一个FT
43、P“PORT”命令给目标FTP服务器,其中包括该被攻击主机的网络地址和与命令及服务相对应的端口号。这样,客户端就能命令FTP服务器发送数据给被攻击的服务器。由于是通过第三方去连接,使得跟踪攻击者出现难度。其防范措施有二:一、禁止使用PORT命令,而通过PASV命令来实现传输,缺点是损失了使用代理FTP的能力;二、服务器不打开数据连接到小于1024的TCP端口号,因为PR85规定TCP端口是从0到1023是留给用户服务器的端口号,而1024以上的服务才是由用户自定义服务。,的安全漏洞,2023/7/20,73,(2)FTP软件允许用户访问所有系统中的文件,且FTP文件系统存在可写区域会供攻击者删
44、改文件。(3)地址被盗用(Spoof)基于网络地址的访问,会使FTP服务器易受地址被盗用,攻击者冒用组织内的机器地址,从而将文件下载到组织外未授权的机器上,防范措施是加上安全鉴别机制。,(4)用户名和密码被猜测 为了防止用户名和密码被猜测,FTP服务器要限制大于35次的查询尝试,停止设备的5次以上尝试的控制连接。应给用户一个响应返回码421表示服务器不可用,即将关闭控制连接。(5)端口盗用 因为用户要获得一个TCP端口号码,才能联上一个FTP服务器,故端口号易被盗用。从而盗取合法用户的文件或从授权用户发出的数据流中入伪造的文件。为防止端口盗用,可以采取随机性分配端口号,来防止盗用端口号。,(1
45、)未经授权的用户禁止进行FTP操作,FTP使用的账号必须在/ete/Passawd文件中有记载;并且它的口令不能为空。凡是账号口令被FTP服务器拒绝访问的账号和口令就记录在FTP等保护进程FTP的/ete/FTPuser文件中,凡在此文件出现的用户将拒绝访问。(2)保护FTP用的文件和目录FTPbin目录的所有者设为root,此目录主要放置系统文件,设为用户不可访问的文件。FTPexe目录的所有者设为root,此目录存group文件和passwd文件。设为只读属性,并将文件passwd中用户加密过的口令删除,但不删除文件中已有加密的口令。,2.8.4 FTP的安全措施,FTPpub目录的所有者
46、设为FTP,设为所有用户均可读和可写的执行,以保证FTP合法用户的正常访问。FTP的主目录的所有者设为“FTP”,主目录设为所有用户却不可写,以防止用户删去主目录文件。注意设为FTP与设为“FTP”有不同的含义。(3)尽量确保用上有上述扩展安全功能的FTP协议,扩展安全功能不再在此重述,参看节。(4)尽可能确保能拥有最新的FTP Daemon服务版本。,1 由于有些业务的需要,在匿名FTP上配置有可写目录,但一定要注意有受攻击的风险。2 系统文件不要放在FTPexe目录中,以防黑客闯入复制。3 不允许匿名用户去编写目录或文件,以防黑客存放偷来的文件。4 文件和库,包括Daemon使用的文件和在FTPbin及FTP/ete F的文件,也应当有和这些目录同样的保护,它们不属FTP所有,也不与其在同一组中,并有写保护。5 root拥有FTP根目录及其下级目录,只允许root对其代码有写的极限。6 设定FTP目录时,匿名FTP根目录“FTP”和其下级目录不应属于FTP帐户所有或者不与它在同一组内。,
