《系统管理系统安全网络安全技术与黑客攻击威胁计算机网络信息安全_计算机-网络信息安全.pdf》由会员分享,可在线阅读,更多相关《系统管理系统安全网络安全技术与黑客攻击威胁计算机网络信息安全_计算机-网络信息安全.pdf(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、UNIX 系统管理-系统安全-网络安全技术与黑客攻击威胁 引言 企业网络安全的核心是企业信息的安全。为防止非法用户利用网络系统的安全缺陷进行数据 的窃取、伪造和破坏,必须建立企业网络信息系统的安全服务体系。关于计算机信息系统安 全性的定义到目前为止还没有统一,国际标准化组织(ISO)的定义为:“为数据处理系统建立 和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到 破坏、更改和泄露”。计算机安全包括物理安全和逻辑安全,其中物理安全指系统设备及相 关设施的物理保护以免于被破坏和丢失,逻辑安全是指信息的可用性、完整性和保密性三要 素。信息安全的隐患存在于信息的共享和传
2、递过程中。目前,浏览器/服务器技术已广泛应 用于企业网络信息系统中,而其基础协议就存在着不少的安全漏洞。一种基本的安全系统��网络安全系统,也称为防火墙系统,可以设置在公用网络系统和企业内部网络之 间,或者设置在内部网络的不同网段之间,用以保护企业的核心秘密并抵御外来非法攻击。随着企业网上业务的不断扩大和电子商务的发展,对网络的安全服务提出了新的要求。像用 户认证、信息的加密存贮、信息的加密传输、信息的不可否认性、信息的不可修改性等要求,要用密码技术、数字签名、数字邮戳、数字凭证和认证中心等技术和手段构成安全电子商务 体系。黑客攻击企业信息系统的手段 2.1 TCP/IP 协议存在
3、安全漏洞 目前使用最广泛的网络协议是 TCP/IP 协议,而 TCP/IP 协议恰恰存在安全漏洞。如 IP 层 协议就有许多安全缺陷。IP 地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全 隐患;IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就 提供了源路由攻击的条件。再如应用层协议 Telnet、FTP、SMTP 等协议缺乏认证和保密措 施,这就为否认、拒绝等欺瞒行为开了方便之门。对运行 TCP/IP 协议的网络系统,存在 着如下五种类型的威胁和攻击:欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改。2.2 黑客攻击网络信息系统的手段 黑客攻击的目标不相同,有
4、的黑客注意焦点是美国国防部五角大楼,有的关心是安全局、银 行或者重要企业的信息中心,但他们采用的攻击方式和手段却有一定的共同性。一般黑客的 攻击大体有如下三个步骤:信息收集T对系统的安全弱点探测与分析T实施攻击。2.2.1 信息收集 信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工 具,收集驻留在网络系统中的各个主机系统的相关信息。SNMP协议用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及 其内部细节。TraceRoute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数。Whois 协议该协议的服务信息能提供所有有关的 DNS 域
5、和相关的管理参数。DNS 服务器该服务器提供了系统中可以访问的主机的 IP 地址表和它们所对应的主机名。Fin ger 协议可以用 Fin ger 来获取一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。Ping 实用程序可以用来确定一个指定的主机的位置。自动 Wardialing 软件可以向目标站点一次连续拨出大批电话号码,直到遇到某一正确的号 码使其 MODEM 响应。2.2.2 系统安全弱点的探测 在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安 全漏洞或安全弱点,黑客可能使用下列方式自动扫描驻留网络上的主
6、机。自编程序对某些产品或者系统,已经发现了一些安全漏洞,该产品或系统的厂商或组织会 提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁”程序。黑客发现 这些“补丁”程序的接口后会自己编写程序,通过该接口进入目标系统,这时该目标系统对 于黑客来讲就变得一览无余了。利用公开的工具象 In ternet 的电子安全扫描程序 IIS(I nternetSecurity Sea nner)、审计网络用 的安全分析工具 SATAN(Security An alysis Toolfor Audit ing Network)等这样的工具,可以对整 个网络或子网进行扫描,寻找安全漏洞。这些工具有两
7、面性,就看是什么人在使用它们。系 统管理员可以使用它们,以帮助发现其管理的网络系统内部隐藏的安全漏洞,从而确定系统 中那些主机需要用“补丁”程序去堵塞漏洞。而黑客也可以利用这些工具,收集目标系统的 信息,获取攻击目标系统的非法访问权。2.2.3 网络攻击 黑客使用上述方法,收集或探测到一些“有用”信息之后,就可能会对目标系统实施攻击。黑客一旦获得了对攻击的目标系统的访问权后,又可能有下述多种选择:该黑客可能试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或 后门,以便在先前的攻击点被发现之后,继续访问这个系统。该黑客可能在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探
8、所在系统的活 动,收集黑客感兴趣的一切信息,如 Telnet 和 FTP 的帐号名和口令等等。该黑客可能进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级 展开对整个系统的攻击。如果该黑客在这台受损系统上获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私 人文件,毁坏重要数据,破坏整个系统的信息,造成不堪设想的后果。防火墙的基本思想 如果网络在没有防火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所 有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同 的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发
9、 生。防火墙有助于提高主系统总体安全性。防火墙的基本思想��不是对每台主机系 统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏 蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏 障,它可以实施比较广泛的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。防火 墙系统可以是路由器,也可以是个人机、主系统或者是一批主系统,专门用于把网点或子网 同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙可以从通信协议的各个层次以 及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。防火墙的技术 已经经历了三个阶段,
10、即包过滤技术、代理技术和状态监视技术。包过滤技术 包过滤防火墙的安全性是基于对包的 IP 地址的校验。在 In ternet 上,所有信息都是以包的形 式传输的,信息包中包含发送方的 IP 地址和接收方的 IP 地址。包过滤防火墙将所有通过的 信息包中发送方 IP 地址、接收方 IP 地址、TCP 端口、TCP 链路状态等信息读出,并按照预 先设定的过滤原则过滤信息包。那些不符合规定的 IP 地址的信息包会被防火墙过滤掉,以 保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为是无能为力 的。代理技术 代理服务器接收客户请求后会检查验证其合法性,如其合法,代理服务器象一台客户
11、机一样 取回所需的信息再转发给客户。它将内部系统与外界隔离开来,从外面只能看到代理服务器 网络系统的安全缺陷进行数据的窃取伪造和破坏必须建立企业网络信息系统的安全服务体系关于计算机信息系统安全性的定义到目前为止还没有统一国际标准化组织的定义为为数据处理系统建立和采用的技术和管理的安全保护保护安全指系统设备及相关设施的物理保护以免于被破坏和丢失逻辑安全是指信息的可用性完整性和保密性三素信息安全的隐患存在于信息的共享和传递过程中目前浏览器服务器技术已广泛应用于企业网络信息系统中而其基础协议就存络之间或者设置在内部网络的不同网段之间用以保护企业的核心秘密并抵御外来非法攻击随着企业网上业务的不断扩大和
12、电子商务的发展对网络的安全服务提出了新的求像用户认证信息的加密存贮信息的加密传输信息的不可否认性而看不到任何内部资源。代理服务器只允许有代理的服务通过,而其他所有服务都完全被封 锁住。这一点对系统安全是很重要的,只有那些被认为“可信赖的”服务才允许通过防火墙。另外代理服务还可以过滤协议,如可以过滤 FTP 连接,拒绝使用 FTP put(放置)命令,以保 证用户不能将文件写到匿名服务器。代理服务具有信息隐蔽、保证有效的认证和登录、简化 了过滤规则等优点。网络地址转换服务(NAT Network Address Translation)可以屏蔽内部网 络的 IP 地址,使网络结构对外部来讲是不可
13、见的。状态监视技术 这是第三代网络安全技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块 支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视 RPC(远程过程调用)和 UDP(用户数据报)端口信息,而包过滤和代理服务则都无法做到。防火墙的类型 4.1 按实现的网络层次分 In ternet 采用 TCP/IP 协议,设置在不同网络层次上的电子屏障构成了不同类型的防火墙:包 过滤型 防火墙(Packet Firewall)、电 路网关(Circuit Gateway)和应 用
14、网关(Application Gateway)。安全策略是防火墙的灵魂和基础。在建立防火墙之前要在安全现状、风险评估和商业需求的 基础上提出一个完备的总体安全策略,这是配制防火墙的关键。安全策略可以按如下两个逻 辑来制订:准许访问除明确拒绝以外的全部访问��所有未被禁止的都允许访问。拒绝访问除明确准许的全部访问��所有未被允许的都禁止访问。可以看出后一逻辑限制性大,前一逻辑比较宽松。4.1.1 包过滤防火墙(1)包过滤防火墙实施步骤 包过滤防火墙是基于路由器来实现的。它利用数据包的头信息(源 IP 地址、封装协议、端口 号等)判定与过滤规则相匹配与否来决定舍取。建立这类
15、防火墙需按如下步骤去做。建立安全策略�;�写出所允许的和禁止的任务;将安全策略转化为数据包分组字段的逻辑表达式;用供货商提供的句法重写逻辑表达式并设置之。(2)包过滤防火墙针对典型攻击的过滤规则 包过滤防火墙主要是防止外来攻击,其过滤规则大体有:对付源 IP 地址欺骗式攻击(Source IP Address Spoofing Attacks)对入侵者假冒内部主机,从外部传输一个源 IP 地址为内部网络 IP 地址的数据包的这类攻击,防火墙只需把来自外部 端口的使用内部源地址的数据包统统丢弃掉。对付源路由攻击(Source Rowing Attacks)源 站点指定了数据包在 In
16、ternet 中的传递路线,以躲过安全检查,使数据包循着一条不可预料 的路径到达目的地。对付这类攻击,防火墙应丢弃所有包含源路由选项的数据包。对付残片攻击(Tiny Fragment Attacks)入侵者使用 TCP/IP 数据包的分段特性,创建极小 的分段并强行将 TCP 头信息分成多个数据包,以绕过用户防火墙的过滤规则。黑客期望防 火墙只检查第一个分段而允许其余的分段通过。对付这类攻击,防火墙只需将 TCP/IP 协 议片断位移植(Fragment Offset)为 1 的数据包全部丢弃即可。(3)包过滤防火墙的优缺点 包过滤防火墙的优点是简单、透明,其缺点是:网络系统的安全缺陷进行数据
17、的窃取伪造和破坏必须建立企业网络信息系统的安全服务体系关于计算机信息系统安全性的定义到目前为止还没有统一国际标准化组织的定义为为数据处理系统建立和采用的技术和管理的安全保护保护安全指系统设备及相关设施的物理保护以免于被破坏和丢失逻辑安全是指信息的可用性完整性和保密性三素信息安全的隐患存在于信息的共享和传递过程中目前浏览器服务器技术已广泛应用于企业网络信息系统中而其基础协议就存络之间或者设置在内部网络的不同网段之间用以保护企业的核心秘密并抵御外来非法攻击随着企业网上业务的不断扩大和电子商务的发展对网络的安全服务提出了新的求像用户认证信息的加密存贮信息的加密传输信息的不可否认性该防火墙需从建立安全
18、策略和过滤规则集入手,需要花费大量的时间和人力,还要不断根 据新情况不断更新过滤规则集。同时,规则集的复杂性又没有测试工具来检验其正确性,难 免仍会出现漏洞,给黑客以可乘之机。对于采用动态分配端口的服务,如很多 RPC(远程过程调用)服务相关联的服务器在系统启 动时随机分配端口的,就很难进行有效地过滤。包过滤防火墙只按规则丢弃数据包而不作记录和报告,没有日志功能,没有审计性。同时 它不能识别相同 IP 地址的不同用户,不具备用户身份认证功能,不具备检测通过高层协议(如 应用层)实现的安全攻击的能力。包过滤防火墙是保护网络安全的必不可少的重要工具,更重要的是要理解这些问题并着手解 决。4.1.2
19、 电路级网关 电路级网关又称线路级网关,它工作在会话层。它在两个主机首次建立 TCP 连接时创立一 个电子屏障。它作为服务器接收外来请求,转发请求;与被保护的主机连接时则担当客户机 角色、起代理服务的作用。它监视两主机建立连接时的握手信息,如 Syn、Ack 和序列数据 等是否合乎逻辑,判定该会话请求是否合法。一旦会话连接有效后网关仅复制、传递数据,而不进行过滤。电路网关中特殊的客户程序只在初次连接时进行安全协商控制,其后就透明 了。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器。在不同方向 上拒绝发送放置和取得命令,就可限制 FTP 服务的使用。如不允许放置命令输入,外部用
20、 户就不能写到 FTP 服务器破坏其内容;如不允许放置命令输出,则不可能将信息存储在网 点外部的FTP 服务器了。电路级网关的防火墙的安全性比较高,但它仍不能检查应用层的 数据包以消除应用层攻击的威胁。4.1.3 应用级网关 应用级网关使用软件来转发和过滤特定的应用服务,如 TELNET、FTP 等服务的连接。这是 一种代理服务。它只允许有代理的服务通过,也就是说只有那些被认为“可信赖的”服务才 被允许通过防火墙。另外代理服务还可以过滤协议,如过滤 FTP 连接、拒绝使用 FTP 放置 命令等。应用级网关具有登记、日记、统计和报告功能,有很好的审计功能。还可以具有严 格的用户认证功能。应用级网
21、关的安全性高,其不足是要为每种应用提供专门的代理服务程 序。4.2 按实现的硬件环境分 根据实现防火墙的硬件环境,可分为基于路由器的防火墙和基于主机系统的防火墙。包过滤 防火墙可基于路由器或基于主机系统来实现,而电路级网关和应用级网关只能由主机系统来 实现。4.3 按拓扑结构分 4.3.1 双穴网关(Dual Homed Gateway)主机系统作为网关,其中安装两块网络接口分别连接到 In ternet 和 Intran et。在该双穴网关中,从包过滤到应用级的代理服务、监视服务都可以用来实现系统的安全策略。对双穴网关的最 大威胁是直接登录到该主机后实施攻击,因此双穴网关对不可信任的外部主机
22、的登录应进行 严格的身份验证。4.3.2 屏蔽主机网关 屏蔽主机网关由一个运行代理服务的双宿网关和一个具有包过滤功能的路由器组成,功能的 分开提高了防护系统的效率。网络系统的安全缺陷进行数据的窃取伪造和破坏必须建立企业网络信息系统的安全服务体系关于计算机信息系统安全性的定义到目前为止还没有统一国际标准化组织的定义为为数据处理系统建立和采用的技术和管理的安全保护保护安全指系统设备及相关设施的物理保护以免于被破坏和丢失逻辑安全是指信息的可用性完整性和保密性三素信息安全的隐患存在于信息的共享和传递过程中目前浏览器服务器技术已广泛应用于企业网络信息系统中而其基础协议就存络之间或者设置在内部网络的不同网
23、段之间用以保护企业的核心秘密并抵御外来非法攻击随着企业网上业务的不断扩大和电子商务的发展对网络的安全服务提出了新的求像用户认证信息的加密存贮信息的加密传输信息的不可否认性4.3.3 屏蔽子网网关 一个独立的屏蔽子网位于 Intranet 与 In ternet 之间,起保护隔离作用。它由两台过滤路由器 和一台代理服务主机构成。路由器过滤掉禁止或不能识别的信息,将合法的信息送到代理服 务主机上,并让其检查,并向内或向外转发符合安全要求的信息。该方案安全性能很高,但 管理也最复杂,成本也很高,应用于高安全要求的场合。先进的认证技术 先进的认证措施,如智能卡、认证令牌、生物统计学和基于软件的工具已被
24、用来克服传统口 令的弱点。尽管认证技术各不相同,但它们产生的认证信息不能让通过非法监视连接的攻击 者重新使用。在目前黑客智能程度越来越高的情况之下,一个可访问 In ternet 的防火墙,如 果不使用先进认证装置或者不包含使用先进验证装置的挂接工具的话,这样防火墙几乎是没 有意义的。当今使用的一些比较流行的先进认证装置叫做一次性口令系统。例如,智能卡或 认证令牌产生一个主系统可以用来取代传统口令的响应信号,由于智能卡或认证令牌是与主 系统上的软件或硬件协同工作的,因此,所产生的响应对每次注册都是独一无二的。其结果 是产生一种一次性口令。这种口令即使被入侵者获得,也不可能被入侵者重新使用来获得
25、某 一帐户,就非常有效地保护了 Intranet 网络。由于防火墙可以集中并控制网络的访问,因而 防火墙是安装先进认证系统的合理场所。结束语 Intrnaet 必须受到保护,防火墙是最重要的手段之一。现代防火墙必须采用综合安全技术,有时还需加入信息的加密存贮和加密传输技术,方能有效地保护系统的安全。对于电子商务 还需采用数字签名、数字邮戳、数字凭证等安全技术方能有效地保护企业的利益。网络系统的安全缺陷进行数据的窃取伪造和破坏必须建立企业网络信息系统的安全服务体系关于计算机信息系统安全性的定义到目前为止还没有统一国际标准化组织的定义为为数据处理系统建立和采用的技术和管理的安全保护保护安全指系统设
26、备及相关设施的物理保护以免于被破坏和丢失逻辑安全是指信息的可用性完整性和保密性三素信息安全的隐患存在于信息的共享和传递过程中目前浏览器服务器技术已广泛应用于企业网络信息系统中而其基础协议就存络之间或者设置在内部网络的不同网段之间用以保护企业的核心秘密并抵御外来非法攻击随着企业网上业务的不断扩大和电子商务的发展对网络的安全服务提出了新的求像用户认证信息的加密存贮信息的加密传输信息的不可否认性网络系统的安全缺陷进行数据的窃取伪造和破坏必须建立企业网络信息系统的安全服务体系关于计算机信息系统安全性的定义到目前为止还没有统一国际标准化组织的定义为为数据处理系统建立和采用的技术和管理的安全保护保护安全指系统设备及相关设施的物理保护以免于被破坏和丢失逻辑安全是指信息的可用性完整性和保密性三素信息安全的隐患存在于信息的共享和传递过程中目前浏览器服务器技术已广泛应用于企业网络信息系统中而其基础协议就存络之间或者设置在内部网络的不同网段之间用以保护企业的核心秘密并抵御外来非法攻击随着企业网上业务的不断扩大和电子商务的发展对网络的安全服务提出了新的求像用户认证信息的加密存贮信息的加密传输信息的不可否认性