还剩17页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
教学目标与要求þ掌握防火墙的体系结构与配置方法þ掌握VPN中使用的关键技术þ理解互联网安全的基本概念þ理解放火墙、VPN、入侵检测的基本概念þ理解VPN的实现策略和方法þ了解放火墙的安全配置与访问控制技术的实现策略,以及放火墙的安全使用层面þ了解放火墙的安全局限þ学会VPN的配置方法þ了解入侵检测系统的分类和相关技术教学重点难点þ防火墙的体系结构与配置方法þVPN关键技术学习指导本章介绍防火墙技术,包括不同类型防火墙的功能、防火墙的体系结构,以及如何配置网络的防火墙;IPSEC协议在网络层上对数据包进行高强度的安全处理,提供数据源验证,无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务;虚拟专用网VPN利用INTERNET为媒介实现与专用网络相类似的安全性能;实现WEB安全的SSL协议,通过服务器和客户机之间的相互认证,使客户机/服务器应用程序之间的通信不被攻击者窃听;PGP和S/SIME协议提供的服务用来确保电子邮件的安全;计算机病毒有多种类型,其防治技术也是多种多样的,目前常用的防毒杀毒工具有金山毒霸、瑞星杀毒软件等;网络的攻击手段有漏洞扫描、拒绝服务攻击等,针对不同的攻击主要有两种检测攻击的方法异常检测方法和滥用检测方法,它们分别用来发现新的攻击手段和识别已存在的攻击手段,有时也将两种检测方法混合使用,以达到更好的检测攻击的效果教学方法与思路本次课以案例讲授为主,结合电子商务系统的运作平台引入本节内容
1、介绍确保INTERNET安全的技术、设施、策略和系统等安全手段;
2、确保INTERNET安全的手段包括防火墙技术、IPSEC协议和虚拟专用网、安全套接字层SSL协议、安全邮件协议、计算机病毒检测与防治以及网络入侵检测系统等,它们针对INTERNET的不同应用提供相应的安全策略,从不同的方面确保INTERNET的安全教学步骤教学内容课堂组织第六章互联网安全技术案例互联网安全状况令人担忧2001年2月25日美国国防部副部长哈姆雷向新闻界公布了轰动整个美国的黑客袭击事件在过去的两周内,国防部五角大楼的军事情报网络接连遭受到黑客入侵,11个非机密军事网点(4个海军网点、7个空军网点)先后被光顾根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过
1.7亿美元75%的公司报告财政损失是由于计算机系统的安全问题造成的超过50%的安全威胁来自内部;只有17%的公司愿意报告黑客入侵,其他的由于担心负面影响而未声张59%的损失可以定量估算平均每个组织损失$402000美元公安部官员估计,目前已发现的黑客攻击案约占总数的15%,多数事件由于没有造成严重危害或商家不愿透露而未被曝光有媒介报道,中国95%的与Internet相连的网络管理中心都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点在中国,针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元,针对其他行业的黑客犯罪案件也时有发生黑客的威胁见诸报道的已经屡见不鲜,像贵州省城热线、成都艺术节主页RSA安全公司等都报道有黑客入侵,他们在主页上发布反动口号,或将主页修改成黄色画面内部工作人员能较多地接触内部信息,工作中的任何不小心都可能给信息安全带来危险这类事件涉及的覆盖面越来越大、程度越来越深,以致于现在很多企业都不敢真正利用互联网进行电子商务建设
6.1防火墙技术防火墙(FireWall)是由软件和硬件(如计算机、路由器)组合而成的一个或一组系统,它处于企业或网络群体计算机与外界通道之间,用来加强Internet与Intranet之间的安全防范防火墙控制网络内外的信息交流,提供接入控制和审查跟踪,在外部网和内部网之间的界面构筑一个安全屏障
6.
1.1防火墙的功能(1)包过滤技术包过滤技术在网络层对数据包进行选择,如图
6.1所示图
6.1包过滤防火墙选择的依据是系统内设置的访问控制表AccessControlTable)中描述的过滤逻辑动态地检查TCP/IP数据流中每个数据包的报文类型、源IP地址、目的IP地址、所有TCP端口号、TCP链路状态等因素,或它们的组合,然后依据一组预定义的规则删除不合乎逻辑的数据包采用数据包过滤技术的防火墙通常安装在网络的路由器上几乎所有的商用路由器都提供此项功能这种基于路由器的防火墙比较简单易行,价格较低,对用户透明,对网络性能的影响很小包过滤技术的缺点是没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录另外,它对IP欺骗式攻击无法防范,即无法防范黑客修改数据包头中的Internet协议地址,把IP地址改成可被接受的地址,以此骗取对企业内部网络的访问权限(2)网络地址转换网络地址转换器是另一种类型的防火墙,其基本原理就像是电话网络中的总机,而内部网络的用户都拥有一部“分机”当内部用户要对外部网络进行访问时都使用同一个“总机”,而外部网络的用户要与内部网络中的某个用户通信时,也必须经过“总机”来转接当受保护的网络连接到Internet时,如果受保护网络的用户要访问Internet,那么他必须使用一个合法的IP地址但由于合法IP地址有限,并且受保护的网络往往有自己的一套IP地址规划(即非正式的IP地址),这时就需要网络地址转换器网络地址转换器就是在防火墙上装一个合法IP地址集当内部网络某一用户要访问Internet时,防火墙动态地从地址集中选一个未使用的地址分配给该用户,该用户就可以使用这个合法地址进行通信同时,对于内部的某些服务器和Web服务器,网络地址转换器允许为其分配一个固定的合法地址,外部网络用户就可以通过防火墙来访问内部服务器这种技术使得内部网络对外不透明,有利于内部网络的安全性同时也解决了内部网络的IP地址与外部地址发生冲突的问题网络地址转换包括内部网络到外部网络的转换和外部网络到内部网络的转换一般的地址转换方式为静态地址映射,就是将外部地址和内部地址一对一的映射,使得具有内部地址的主机既可以访问外部网络,又可以接受外部网络提供的服务此外,支持多对一的地址映射也是一种网络地址转换的方式,其原理是内部网络的多个主机可以通过一个有效地址访问外部网络当内部网络的主机通过安全网卡访问外部网络时,网络地址转换器产生一个映射记录,将该主机的源地址和源端口映射为一个伪装的地址和端口,并且使用伪装后的地址和端口,通过非安全网卡与外部网络建立连接,这样就对外隐藏了真实的内部网络地址当外部网络通过非安全网卡访问内部网络时,无法了解内部网络的连接情况,而只通过一个开放的IP地址和端口来请求服务(3)代理服务在介绍代理服务防火墙之前,先介绍一下应用层网关防火墙应用层网关防火墙在网络应用层上建立协议过滤和转发功能,如图
6.2所示它针对特定的网络应用服务协议,使用预先设定的数据过滤规则,并在过滤包的同时对数据包进行必要的分析、登记和统计,形成报告实际中的应用层网关防火墙通常安装在专用工作站系统上图
6.2 应用网关防火墙应用层网关防火墙和包过滤防火墙一样,仅仅依靠预定的规则来判定是否允许数据包通过,一旦数据包满足过滤规则,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户就有可能直接了解防火墙内部的网络结构和运行状态黑客们往往利用应用层网关防火墙这一特点,对其内部网络实施非法访问和攻击针对包过滤技术和应用层网关技术存在的缺点,一种解决办法是将代理服务技术应用于防火墙的设计中代理服务防火墙的特点是将所有跨越防火墙的网络通信链路分为两段,防火墙内外计算机系统间应用层的“链接”由两个代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用,如图
6.3所示此外,代理服务防火墙也对流经它的数据包进行分析、注册登记,形成报告,同时一旦发现网络有被攻击迹象时,便通知网络管理员,并保留攻击痕迹图
6.3代理服务代理服务技术针对每一个特定应用都有一个程序,它试图在应用层实现防火墙的功能,这和在网络层拦截所有信息流的包过滤技术完全不同代理服务技术使得网络管理员能够实现比包过滤路由器更严格的安全策略应用层网关对Interner服务进行管理,它采用为每种所需服务在网关上安装特殊代理编码(代理服务)的方式来实现管理,而不像数据包过滤技术那样利用检查模块来管理Interner服务在防火墙系统中的进出这样,网络管理员就可以对服务进行全面的控制如果网络管理员没有为某种应用安装代理编码,那么该项服务就不支持,并且不能通过防火墙系统来转发此外,管理员也可以根据需要配置代理编码双宿网关和堡垒主机都能够提供代理服务用户只允许访问代理服务,但不允许注册到应用层网关中这是因为如果允许用户注册到防火墙系统中,那么入侵者可能会在暗地里进行某些损害防火墙有效性的动作,防火墙系统的安全就会受到威胁例如,入侵者可能获取root权限,在系统中安装木马程序来截取口令后便能够修改防火墙的安全配置文件提供代理的应用层网关主要有以下优点
①应用层网关有能力支持可靠的用户认证并提供详细的注册信息;
②用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试;
③代理工作在客户机和真实服务器之间完全控制会话,所以可以提供很详细的日志和安全审计功能;
④提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机,这样可以隐藏内部网的IP地址,保护内部主机免受外部主机的攻击;
⑤通过代理访问Internet可以解决合法的IP地址不够用的问题,因为Internet所见到的只是代理服务器的地址,内部不合法的IP通过代理可以访问Internet然而,应用层代理也具有一些明显的缺点
①代理服务器具有解释应用层命令的功能(如解释FTP命令、Telnet命令等),因此可能需要提供很多种不同的代理服务器(如FTP代理服务器、Telnet代理服务器),并且所能提供的服务和可伸缩性是有限的;
②应用层网关不能为RPC,TALK和其他一些基于通用协议的服务提供代理;
③应用层实现的防火墙会造成明显的性能下降;
④每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,代理服务程序一般也要升级;
⑤应用层网关要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件,比如,透过应用层网关的TelNet访问,要求用户通过两步而不是一步来建立连接不过,特殊的端系统软件可以让用户在TelNet命令中指定目标主机、而不是应用层网关来使得应用层网关透明从发展的观点来看,应用层代理网关适应Internet的通用用途和需要,但是Internet的环境在不断动态变化,目前新的协议、服务和应用不断出现,代理不再能处理Internet上的各种类型的传输,不能满足新的商业需求,不能胜任对网络高带宽和安全性的需要(4)状态检查状态检查技术能在网络层实现所需要的防火墙能力状态检查防火墙采用了在网关上执行网络安全策略的、称之为状态检测模块的软件引擎检测模块在不影响网络正常工作的前提下,抽取相关数据来监测网络通信的各层,并将这些抽取的数据(称为状态信息)动态地保存起来,作为以后制定安全决策的参考检测模块能够对这些状态信息进行分析,更新状态数据和上下文信息,为跟踪无连接的协议提供虚拟的会话信息防火墙根据从传输过程和应用状态所获得的数据、网络设置和安全规则来产生一个合适的操作,要么拒绝,要么允许,或者加密传输任何安全规则没有明确允许的数据包将被丢弃,或者产生一个安全警告,并向系统管理员提供整个网络的状态状态检查防火墙是新一代的防火墙技术,它克服了包过滤和应用层代理两种方法的限制,通过不断开客户机/服务器的模式来提供一个完全的应用层感知这种防火墙监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙系统它在网络层截取数据包,然后分析这些数据包,并且将当前数据包及其状态信息,和前一时刻的数据包及其状态信息进行比较,从而得到该数据包的控制信息,以达到保护网络安全的目的;并从这些接收到的数据包中提取与安全策略相关的状态信息,将这些信息保存在一个动态状态表中,其目的是为了验证后续的链接请求这样就提供了一个高安全性的方案,系统的执行效率得以提高,并且具有很好的伸缩性和扩展性状态检查技术的另一个优点是,它能够监测RPC和UDP之类的端口信息状态检查防火墙具有以下优点
①状态检查防火墙工作在数据链路层和网络层之间,它从这里截取数据包,确保防火墙能够截取和检查所有通过网络的原始数据包防火墙首先根据安全策略从数据包中提取有用信息,保存在内存中;然后将相关信息组合起来,进行判断,得到相应的操作(允许数据包通过、拒绝数据包、认证连接、加密数据等)状态检查防火墙虽然工作在协议栈较低层,但它监测所有应用层的数据包,从中提取IP地址、端口号、数据内容等有用信息,这样安全性就得到很大的提高
②这种防火墙不需要协议栈的上层处理任何数据包,系统减少了处理高层协议栈的开销,执行效率提高很多;另外,在防火墙系统中一个连接一旦建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高
③防火墙系统不区分每个具体的应用,只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包,当有一个新的应用时,它能动态地产生新应用的新规则,而不用像应用代理防火墙那样另外编写代码,所以具有很好的伸缩性和扩展性
6.
1.2 防火墙体系结构防火墙结构主要包括安全操作系统、过滤器、网关、域名服务和E-MAIL处理五个部分,如图
6.4所示图
6.4防火墙的组成其中过滤器执行防火墙管理机构制定的一组策略规则,根据策略规则检验各数据组,决定是否放行这些规则按照IP地址、端口号,以及各类应用等参数来确定有的防火墙可能在网关两侧设置两个内、外过滤器,外过滤器保护网关不受攻击,网关提供中继服务、辅助过滤器控制业务流,而内过滤器在网关被攻破后提供对内部网络的保护防火墙本身必须建立在安全操作系统所提供的安全环境中,安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击这些防火墙的代码只允许在给定主机系统上运行,这种限制可以减少非法穿越防火墙的可能性具有防火墙的主机在Internet界面上被称为堡垒主机
6.
1.3防火墙的实施(1)屏蔽路由器防火墙屏蔽路由器防火墙也称为包过滤路由器防火墙,它可以由厂家生产专门的路由器来实现,也可以通过配置主机来实现这种防火墙被放置于Internet和内部网络之间,是连接内外网络的惟一通道,所有的数据包都必须通过它的检查,如图
6.5所示在路由器上可以安装基于IP层的数据包过滤软件,实现数据包过滤的功能包过滤路由器在内外网络之间完成数据包的转发,并利用包过滤规则来判断接纳或拒绝数据包一般的过滤规则为内部网络上的主机可以直接访问Internet,但Internet上的主机对内部网络上的机器进行访问是有限制的从外部来看,这种类型的防火墙系统对没有特别允许的数据包都拒绝 图
6.5包过滤防火墙屏蔽路由器防火墙价格低,并且易于使用;但如果配置不当,路由器可能容易受到攻击,这是因为它允许在内部网络和外部网络之间直接交换数据包,使得攻击可能会扩展到所有主机以及路由器所允许的全部服务器上因此,这就意味着可以从Internet上直接访问的主机要支持复杂的用户认证,并且要求网络管理员不断地检查网络,以确定网络是否受到攻击另外,若有一个包过滤路由器被渗透,则内部网络上所有系统都可能会受到损害单纯由屏蔽路由器构成的防火墙的危险地带,包括路由器本身以及路由器允许访问的主机(2)屏蔽主机网关防火墙屏蔽主机网关防火墙由包过滤路由器和堡垒主机组成,如图
6.6所示屏蔽主机网关防火墙实现了网络层安全(包过滤)和应用层安全(代理服务),入侵者在攻击内部网络之前,必须首先渗透两种不同的安全系统,所以它所提供的安全等级比包过滤防火墙要高图
6.6屏蔽主机的防火墙这种防火墙系统将堡垒主机配置在内部网络上,而包过滤路由器则放置在内部网络和Internet之间将过滤规则配置在路由器上,使得外部系统只能访问堡垒主机,而发给内部网络中其他主机的信息全部被阻塞堡垒主机成为从外部网络惟一可直接访问的主机,这样就确保了内部网络不受未被授权的外部用户的攻击由于内部主机与堡垒主机处于同一网络,所以内部网络中的主机是采取直接访问Internet,还是使用堡垒主机上代理服务的方式来访问Internet,需要由有关的安全策略来决定通过在路由器配置过滤规则,使得Internet只接受来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务(3)双宿主机网关防火墙双宿主机网关防火墙采用了在一台堡垒主机上安装两块网卡的方法,对内部网络进行保护两块网卡分别与内部网络和外部网络相连,如图
6.7所示在堡垒主机上安装并运行防火墙软件,可以转发应用程序和提供有关的服务对于双宿堡垒主机防火墙,堡垒主机是惟一能从Internet上直接访问的内部资源,因此内部系统中只有堡垒主机本身可能受到攻击如果允许用户注册到堡垒主机,那么整个内部网络上的主机都会受到攻击的威胁这是因为如果允许注册,入侵者侵入堡垒主机,并将其配置修改为只具有路由功能,那么外部网络上的任何用户均可以随便访问内部网络因此,保证堡垒主机的牢固可靠、避免被渗透和不允许用户注册是至关重要的图
6.7双宿堡垒主机防火墙系统4)屏蔽子网防火墙屏蔽子网防火墙是在内部网络和外部网络之间建立一个被隔离的子网,利用两台分组过滤路由器将这一子网分别与内部网络和外部网络隔开,在子网内构成一个“非军事区”dmz,网络管理员将堡垒主机、信息服务器以及其他公用服务器配置在这个子网中,如图
6.8所示内部网络和外部网络都可以和被屏蔽的子网进行通信,但它们不能穿过被屏蔽子网直接通信屏蔽子网中惟一可访问的是堡垒主机,它能够支持终端交互,或作为应用网关代理图
6.8屏蔽子网防火墙5)安全服务器网络防火墙安全服务器网络防火墙采用分别保护的策略对内部网络实施保护在堡垒主机上安装3块网卡,防火墙系统把公共服务器设置为一个独立的网络,并与堡垒主机上的其中一块网卡相连,另外两块网卡分别与Internet和内部网络相连这时,公共服务器既是内部网络的一部分,但又与内部网关完全隔离,这就是安全服务器网络技术,如图
6.9所示安全服务器网络防火墙提供的安全性要比屏蔽子网防火墙好这是因为安全服务器网络与外部网络和内部网络之间都有防火墙保护,一旦安全服务器网络受到破坏,内部网络仍会处于防火墙的保护之下而屏蔽子网防火墙一旦受到破坏,内部网络便暴露于攻击之下在实际应用中,究竟采用哪种防火墙,主要取决于网络向用户提供什么样的服务,以及网络能接受什么等级的风险,还要取决于经费、投资的大小或技术人员的技术、时间等因素图
6.9安全服务器网络
6.2IPSec和虚拟专用网
6.
2.1IPSec协议IPSec是IETF于1998年11月公布的IP安全标准,其目标是为IPV4和IPV6提供具有较强的互操作能力、高质量和基于密码的安全IPSec在网络层上对数据包进行高强度的安全处理,提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务IPSec协议对IPV4是可选的,对IPV6是强制性的IPSec规范中包含大量的文档其中最重要的是在1998年11月发布的
①RFC2401安全体系结构概述;
②RFC2402包身份验证扩展到IPV4和IPV6的描述;
③RFC2406包加密扩展到IPV4和IPV6描述;
④RFC2408密钥管理能力规范(1)IPSEC体系结构IPSEC的体系结构如图
6.10所示IPSEC的体系结构各部分包括
①安全体系结构包括一般的概念、安全需求、定义,以及定义IPSEC技术的机制;
②封装安全有效载荷ESP使用ESP进行包加密的报文包格式和一般性问题,以及可选的认证;
③验证头AH使用AH进行包认证的报文包格式和一般性问题;
④加密算法描述各种加密算法如何用于ESP中;
⑤认证算法描述各种身份验证算法如何用于AH中和ESP身份验证选项;
⑥密钥管理密钥管理的一组方案,其中Internet密钥交换协议IKE是默认的密钥自动交换协议;
⑦解释域彼此相关各部分的标识符及运作参数;
⑧策略决定两个实体之间能否通信,以及如何进行通信,策略的核心由安全关联SA、安全关联库SAD、安全策略库SPD三部分组成,策略部分是惟一尚未成为标准的组件图
6.10IPsec体系结构
6.
2.2虚拟专用网VPN虚拟专用网VPN是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能,从而实现对重要信息的安全传输的一种手段VPN体系结构VPN用户代理UA向安全隧道代理STA请求建立安全隧道,安全隧道代理接收到请求后,在VPN管理中心MC的控制和管理下,在公用互联网络上建立安全隧道,然后进行用户短信息的透明传输VPN用户代理又包括安全隧道终端功能STF、用户认证功能UAF和访问控制功能ACF3个部分,它们共同向用户高层应用提供完整的VPN服务安全隧道代理和VPN管理中心组成了VPN安全传输平面STP在公用互联网络基础上实现信息的安全传输和系统的管理功能公共功能平面CFP是安全传输平面的辅助平面,由用户认证管理中心UAAC和VPN密钥分配中心KDC组成,其主要功能是向vpn用户代理提供相对独立的用户身份认证与管理,以及密钥的分配管理用户认证中心与VPN用户代理直接联系,向安全隧道代理提供VPN用户代理的身份认证,必要时也可以同时与安全隧道代理联系,向VPN用户代理和安全隧道代理提供双向的身份认证图
6.10VPN系统结构(2)VPN的实施方案1)通过Internet实现远程访问VPN支持以安全的方式通过公共互联网络远程访问企业资源与使用专线拨打长途或(1-800)电话连接企业的网络接入服务器不同,VPN用户首先拨通本地ISP的网络接入服务器,然后VPN软件利用与本地ISP建立的连接,在拨号用户和企业VPN服务器之间创建一个跨越Internet,或其他公共互联网络的虚拟专用网络,如图
6.11所示 图
6.11通过Internet实现远程用户访问2)通过Internet实现网络互连可以采用以下两种方式使用VPN连接远程局域网络
①使用专线连接分支机构和企业局域网不需要使用价格昂贵的长距离专用线路,分支机构和企业端路由器可以使用各自本地的专用线路,通过本地ISP联通Internet,如图图
6.12所示VPN软件使用与本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络图
6.12使用专线连接分支机构和企业局域网
②使用拨号线路连接分支机构和企业局域网不同于传统的使用连接分支机应当注意,在以上两种方式中,通过使用本地设备在分支机构和企业部门与构路由器的专线拨打长途或(1-800)电话连接企业网络接入服务器的方式,分支机构端的路由器可以通过拨号方式连接本地ISPVPN软件使用与本地ISP建立起的连接,在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络Internet之间建立连接无论是在客户端还是服务器端,都是通过拨打本地接入电话建立连接,因此VPN可以大大节省连接的费用建议作为VPN服务器的企业端路由器使用专线连接本地ISPVPN服务器必须一天24小时对VPN数据流进行监听图
6.13使用专线连接分支机构和企业局域网3)连接企业内部网络计算机在企业的内部网络中,考虑到一些部门可能存储重要数据,为确保数据的安全性,传统的方式只能把这些部门同整个企业网络断开,从而形成孤立的小网络这样做虽然保护了部门的重要信息,但是由于物理上的中断,其他部门的用户无法共享数据,这样就造成通信上的困难采用VPN方案通过使用一台VPN服务器实现与整个企业网络的连接,同时又能够保证保密数据的安全性路由器虽然也能够实现网络之间的互联,但是不能对流向敏感网络的数据进行限制,所以企业网络管理人员通过使用VPN服务器,制定只有符合特定身份要求的用户才能连接VPN服务器,获得访问敏感信息的权利此外,可以对所有VPN数据加密,从而确保数据的安全性,没有访问权限的用户无法看到部门的局域网络,如图
6.14所示图
6.14 连接企业内部网络计算机(3)隧道技术实现VPN的关键技术有
①安全隧道技术通过将待传输的原始信息经过加密和协议封装处理后,再嵌套装入另一种协议的数据包送入网络中,像普通数据包一样进行传输经过这样的处理,只有源端和目的端的用户对隧道中的嵌套信息能够进行解释和处理,而这些信息对于其他用户而言无意义
②用户认证技术在正式的隧道连接开始之前,需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权
③访问控制技术由VPN服务的提供者与最终网络信息资源的提供者共同协商,确定特定用户对特定资源的访问权限,以此来实现基于用户的访问控制,从而提供对信息资源的最大限度的保护在VPN的关键技术中,最重要的是安全隧道技术隧道技术是一种通过使用公共互联网络基础设施在网络之间传递数据的方式使用隧道传递的数据(或负载)可以是不同协议的数据帧或数据包,隧道协议将这些各种类型的数据帧或数据包重新封装在新的包头中发送新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传送被封装的数据帧或数据包在隧道的两个端点之间,通过公共互联网络进行路由,我们把所经过的逻辑路径称为隧道一旦被封装的数据到达网络终点,数据将被解包,并转发到最终目的地所以隧道技术是指包括数据封装、传输和解包在内的全过程隧道所使用的传输网络可以是任何类型的公共互联网络,本节主要以目前普遍使用的Internet为例进行说明此外,企业网络同样可以创建隧道隧道技术在经过一段时间的发展和完善之后,目前较为成熟的技术包括
①IP网络上的系统网络结构隧道技术系统网络结构的数据流通过企业IP网络传送时,系统网络结构数据帧将被封装在UDP和IP协议包头中进行传送
②IP网络上的Novelwall隧道技术当一个ipx数据包被发送到Novelwall务器或ipx路由器时,服务器或路由器用UDP和IP包头封装IPX数据包后,通过IP网络发送另一端的IP-TO-IPX路由器在去除UDP和IP包头之后,把数据包转发到IPX目的地近年来,不断出现了一些新的隧道技术
①点对点隧道协议(PPTP)PPTP协议允许对IP,IPX或NETBULL数据流进行加密,然后将加密后的数据封装在IP包头中,通过企业IP网络或公共互联网络发送
②第2层隧道协议(L2TP)L2TP协议允许对IP,IPX或NETBULL数据流进行加密,然后通过支持点对点数据包传递的任意网络发送,例如IP,X.25,帧中继或ATM等
③安全IP隧道模式IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IP互联网络(例如INTERNET)发送(4)VPN技术的优点VPN技术具有以下优点
①信息的安全性采用安全隧道技术实现安全的端到端的连接服务,确保信息资源的安全;
②易扩充性用户可以利用VPN技术方便地重构企业专用网络,实现异地业务人员的远程接入;
③方便管理VPN将大量的网络管理工作放到互联网络服务提供者一端来统一实现,从而减轻了企业内部网络管理的负担,同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性,也便于用户进行网络管理;
④显著的成本效益利用现有互联网络发达的网络构架组建企业内部专用网络,从而节省了大量的投资成本及后续的运营维护成本
6.3入侵检测技术在20世纪80年代初期,Anderson使用了“威胁”这个术语,其定义与入侵的含义相同,将入侵企图或威胁定义为未经授权蓄意尝试访问信息,篡改信息,使系统不可靠或不能用入侵是指有关试图破坏资源的完整性、机密性及可用性的活动
6.
3.1网络入侵的类型(1)漏洞扫描扫描器是一种自动检测远程或本地主机安全性弱点的程序通过使用扫描器可以发现远程服务器的各种TCP端口的分配、它们提供的服务以及它们的软件版本,直接或间接地了解到远程主机所存在的安全问题扫描器通过选择远程TCP/IP不同的端口服务,并记录目标给予的回答,可以搜集到很多关于目标主机的各种有用的信息例如,是否能用匿名登录访问FTP服务,是否有可写的FTP目录,是否能用TELNET以及HTTP是用ROOT还是用普通用户登录运行等对于一个功能较完备的扫描器,它能对操作系统与服务程序所存在的各种系统漏洞和BUG进行检测目前比较成熟的扫描器有SATAN,NESSUS,ISS等传统的扫描器使用系统调用CONNECT连接目标的端口,如果函数返回成功就认为这个端口是开放的,采用这种方法可以利用多线程加快扫描速度但这样的扫描在目标上留下大量的日志,对于防止黑客来讲这是不安全的,因此黑客们常常采用秘密扫描来解决这个问题秘密扫描有以下几种方式1)TCPSYNN扫描这种技术也称为HALF-OPEN扫描向一个端口发送一个SYN,如果端口是打开的,那么会接收到SYN|ACK,否则会收到RST很少有操作系统会记录这样的日志,其缺点是攻击者在UNIX环境下必须具有ROOT权限2)TCPFIN扫描向一个端口发送FIN,如果端口是开放的,通常会忽略掉这个包,否则会回复RET由于某些操作系统在TCP实现的时候留有一个BUG,所以这种方法并不100%的准确3)分片扫描在发送一个扫描数据包时,人为地将数据包分成多个IP分片这种方法可以绕过某些包过滤程序,但是需要注意的是有些程序不能正确地处理IP分片,分片扫描可能会造成系统崩溃4)TCPREVERSEIDENT扫描该扫描方案于1996年指出,协议允许TCP连接得到进程所有者的用户名,即使这个进程并不是连接的发起方5)FTP跳转攻击FTP协议支持连接上服务器A,然后让A向目标B发送数据,现在一般的FTP都不支持这种功能如果目标是扫描端口,可以使用PORT命令,声明B的某个端口处于监听状态,如果这个端口的确是打开的,FTP服务器会返回150和226,否则返回错误信息425这种扫描方式可以很好地隐藏攻击者的身份,在某些条件下可以穿越防火墙,缺点是扫描的速度比较慢(2)口令破解如果黑客能够猜测或者确定用户的口令,那么他就能获得主机或者网络的访问权,并且能够访问到合法用户所能访问到的任何资源口令攻击主要有以下几种方式(1)词典攻击在口令的设置过程中,有许多个人因素在起作用,可以利用这些因素来帮助解密出于口令安全性的考虑,禁止把口令写在纸上,因此很多人都设法使自己的口令容易记忆,这就给黑客提供了可乘之机贝尔实验室的计算机安全专家R.MORRIS和K.THOMPSON提出了这样一种攻击的可能性可以根据用户的信息建立一个他可能使用的口令的词典,例如,个人的姓名、生日或电话号码等然后,每次取出一个条目经过CTYPE()函数变换,并与口令文件的密文口令进行匹配比较,若一致则口令被破解(2)强行攻击许多人认为如果使用足够长的口令,或者使用足够完善的加密模式,就能有一个攻不破的口令,但事实上破解口令只是个时间的问题例如,可能要花200年才能破解一个高级加密方式,但是起码它是可以攻破的,而且破解时间随着计算机速度的提高而减少如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合,将最终能破解所有的口令,这种类型的攻击方式称为强行攻击强行攻击方式基本上是CPU速度和破解口令时间的矛盾词典攻击只能发现词典单词口令,但是速度快强行攻击能发现所有口令,但是破解时间很长组合攻击就是使用词典单词,并在单词尾部串接若干字母、数字或者特殊字符组合起来进行攻击的一种方法(3)拒绝服务攻击DOS拒绝服务DOS(DENIALOFSERVICE)攻击是过量使用资源而使其他合法用户无法访问系统,从而导致系统瘫痪或明显降低系统的性能拒绝服务攻击可能是蓄意的,也可能是偶然的当未被授权的用户过量使用资源时,攻击是蓄意的;当合法用户无意地操作而使得资源不可用时,则是偶然的拒绝服务攻击大致可以分为两类一类是由于错误配置或者软件弱点导致的,某些拒绝服务攻击是由于协议固有的缺陷,或者对协议的实现不当导致的,这类攻击可以通过开发商发布简单的补丁来解决另一类拒绝服务攻击是利用合理的服务请求来占用过多的服务资源(这些服务资源包括网络带宽、文件系统空间容量、CPU时间等),致使服务超载,无法响应其他请求,导致系统资源的匮乏常见的拒绝服务攻击方法有1)邮件炸弹这是一种最简单的拒绝服务攻击设想某个用户发现信箱里有1万封信,这时,一般的用户惟一的方法就是删除所有邮件对于服务器来说,邮件炸弹会大量消耗硬盘空间,阻塞网络带宽这类攻击之所以能够容易得逞,最主要的原因就是当初建立邮件协议标准时,侧重于提供最有效的服务,却没有考虑到对邮件的来源进行有力的验证2)FloodFlood的字面意思是“淹没”,它是拒绝服务攻击的一种手法攻击者利用高带131宽的计算机,通过大量发送tcp,udp和icmp报文,将低带宽的计算机“淹没”,以降低对方计算机的响应速度其中最简单的一种方法就是在unix下使用ping-flp,这种通过发送异常的、大量的ping来杀死服务器的方法也称为ping死另一种常用的攻击手法称为synflood,攻击者有意不完成tcp的3次握手过程,其目的就是让等待建立某种特定服务的连接数量超过系统所能承受的极限,从而使得系统不能建立新的连接虽然所有的操作系统对每个连接都设置了一个计时器,如果计时器超时就释放资源,但是攻击者可以持续建立大量新的syn连接来消耗系统资源显然,由于攻击者并不想完成3次握手过程,所以无须接收syn/ack,因此也没有必要使用真实的ip地址3)Smurf这是一种向广播地址发送伪造的icmp数据包的攻击方式攻击者使用经过欺骗的受害者的ip地址,向一个广播地址发送icmp回响请求(ping)通信在一个多层访问的广播网络上,这就会造成潜在的数以千计的计算机对每个ping信号做出响应设想发送一个ip包到广播地址192.168.1.0,这个网络中有50台计算机,将会收到50次的应答,广播地址在这里起到了放大器的作用,smurf攻击就是利用了这种作用如果A发送1kb大小的icmp到广播地址,那么a将收到1KB*N的ICMP,其中N为网络中计算机的总数当N等于100万时,产生的应答将达到1GB,这将会大量消耗网络的资源如果B假冒A的IP地址,那么收到应答的是A,对A来说就是一次拒绝服务攻击4)TRARDROP在早期UNIX实现的网络协议中,处理数据包分段时存在漏洞,后来的一些操作系统都沿用了BSD的代码,因此这个漏洞在LINUS,WINDOWS95中都是存在的物理网络层通常给所能传输的帧加一个尺寸上限,IP将数据包的大小与物理层的帧的上限相比较,如果需要则进行分段在IP报头中设置了一些域用于分段标志域为发送者传输的每个报文保留一个独立的值,这个数值被拷贝到每个特定报文的每个分段,标志域中有一位作为“更多分段”位除了最后一段之外,该位在组成一个数据报的所有分段中被置位,分段偏移域含有该分段自初始数据报开始位置的位移对于有TRARDROP漏洞的操作系统,如果接收到“病态的”数据分段,例如,一个40B的数据报被分为两段,第一段数据发送0-36B,而第二段发送24~27B,则在某些情况下会破坏整个IP协议栈,因此,必须重新启动计算机才能恢复5)LAND132LAND攻击是针对种类繁多的TCP实现发起的拒绝服务攻击此程序通过发送一个TCPSYN数据包,使得源地址与目的地址相同,源端口与目的端口相同当攻击者利用LAND向一台计算机发起攻击时,先给目标计算机发送一个数据包,以便打开一个连接,这个数据包已经被改动,而使得源地址和目的地址、源端口与目的端口相同当目的主机接收到数据包并发送信息给源主机时,这些信息将被传送到目的主机自身,从而导致大多数计算机不知道怎样处理而瘫痪或挂起传统的拒绝服务攻击只是一台计算机向受害者发起攻击,然而在2000年,一种新型的攻击方法产生了,这就是分布式拒绝服务DDOS攻击攻击者可以在多台计算机上或与他人合作,同时向一个目标主机或网络发起攻击这就使得防御变得困难,被攻击者在同一时间内所收到的大量数据包不只是一台主机发送来的(4)系统后门如果攻击者获得系统的ROOT权限,那么即使系统管理员安装了安全补丁程序,攻击者仍然可以轻松地进出系统为了达到目的,一般采用的方式是在系统中安装后门提到后门程序很多人会想到特洛伊木马程序,特洛伊木马的威胁成功依赖于用户的疏忽如果系统安装了一个比较好的杀毒软件或防火墙,或者系统管理员经常检查系统开放了哪些端口,特洛伊木马攻击是很难成功的如果想要在操作系统上安装后门,就必须了解系统中的某些关键文件的位置和格式,从根本上讲,攻击者对系统了解越多,可以利用的机会就越多以下是几种在UNIX下安装后门的方法
①给系统增加一个UID为0(ROOT)的无口令账号;
②修改INETD.CONF文件,这种方法无须本地账号就可以成为ROOT(5)缓冲区溢出大多数的攻击都是基于缓冲区溢出攻击攻击者试图在一个不够大的缓冲区接收器里存储过量的信息,就是一次缓冲区溢出攻击实现这种攻击的条件是,只要程序的使用者给出的数据超出该程序所能存储的最大值即可例如,一个程序只能接收50个字符,而用户却输入了100个字符,这样由于过多的数据输入到了一个不够大的缓冲区接收器,该程序将不能控制它,多出的部分将写入内存缓冲区溢出攻击是最具潜伏性的信息安全问题缓冲区溢出将导致系统安全受到三个方面的攻击关于可用性的拒绝服务攻击、针对数据完整性的攻击,以及针对数据机密性的攻击(6)WEB攻击对WEB的攻击是INTERNET上最流行的一种攻击方式由于有些WEB服务器在安全性上考虑不周,所以攻击WEB比较容易上手,这比通过缓冲区溢出获得ROOT然后安装后门要容易得多近年来,对WEB的攻击随着IIS安全漏洞的大量发现而达到顶峰IIS是一种非常流行的允许在INTERNET,或者INTRANET上发布信息的WEB服务器,它具有灵活的脚本和服务器端功能,通过与其他流行的编程工具(例如VB,ASP.NET等),可以很容易地在IIS上建立应用程序
6.
3.2网络入侵检测方法网络入侵的检测方法一般有两种方法,分别是异常检测和滥用检测异常检测提取正常模式审计数据的数学特征,检查事件数据流中是否存在与之相违背的异常模式滥用检测则搜索审计事件数据流,查看其中是否存在预先定义的滥用模式(1)异常检测异常检测是目前入侵检测系统研究的重点,其特点是通过对系统异常行为的检测,可以发现未知的攻击模式异常检测的关键问题在于正常使用模式的建立,以及如何利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度“模式”通常由一组系统的参量来定义每个参量都对应于一个门限值,或对应于一个变化区间2)基于神经网络的异常检测方法人工神经网络模型试图模仿生物神经系统,通过接收外部输入的刺激,不断获得并积累知识,进而具有一定的判断预测能力尽管神经网络模型的种类很多,但其基本模式都是由大量简单的计算单元(又称为节点或神经元)相互连接而构成的一种并行分布处理网络基于神经信息传输的原理,节点之间以一定的权值进行连接,每个节点对N个加权的输入求和当求和值超过某个阈值时,节点成“兴奋”状态,有信号输出节点的特征由其阈值和非线性函数的类型所决定,而整个神经网络则由网络拓扑、节点特征,以及对其进行训练所使用的规则所决定(3)混合检测方法混合检测包括基于生物免疫的入侵检测和基于Agent的入侵检测两种方法本章小结现在,几乎所有的商业企业、大多数的政府机构和很多个人都有自己的Web站点因此,商业企业热衷于在Web上建立设施来开展电子商务业务但是,现实情况是Internet和Web对于各种泄密非常脆弱本章先讨论有关网络安全的基本服务、防范机制和关键技术,然后集中讨论三个作为网络安全一部分的、越来越重要的网络安全技术———防火墙、虚拟专用网和入侵检测系统防火墙是用来保护一个网络不受来自与之相连的其他网络的危险的威胁通常防火墙建立在一个组织的内部网络和Internet主干网之间,它可能是保护本地系统或网络,抵制基于网络的安全威胁,同时提供通过广域网和因特网对外界进行访问的有效方式防火墙的安全策略是凡是没有被列为允许访问的服务都是被禁止的;凡是没有被列为禁止访问的服务都是被允许的本章还较详细地分析了防火墙的包过滤、应用级网关、代理服务器和复合型四种基本类型;防火墙的双端口或三端口结构、代理系统技术、多级过滤技术、网络地址转换技术、Internet网关技术、安全服务器网络(SSN)技术等基本技术,以及介绍了防火墙的屏蔽路由器、双重宿主主机体系结构、被屏蔽主机体系结构、被屏蔽子网体系结构和复合体系结构五种配置方法虚拟专用网是指企业为加强内部安全而在现有公网上利用加密技术而提出的筹建类似专用网的一种网络技术虚拟专用网常可分为拨号和专线两大类,事实上有很多的分类方法,本章介绍了其他六种分类方法各自的特点,虚拟专用网主要基于隧道技术、加密技术和QoS技术三种技术虚拟专用网的安全策略大多基于IPSec策略入侵检测是基于入侵者的行为不同于一个合法用户的行为而进行量化比较的一种安全技术不可避免地,即使是最好的入侵防止系统也会失败,因为不能期望在入侵者的攻击行为和授权用户对资源的正常使用之间存在一个清楚的、确切的界限相反,必须料想到存在某些重叠目前主要有三种入侵检测机制基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统主要的入侵检测方法有静态配置分析、异常性检测方法、基于行为的检测方法实施入侵检测通常有信息收集、数据分析、响应三个基本步骤本章习题1.简述防火墙状态检查技术的原理2.在Ipsec协议中,安全关联SA可以进行哪两种方式的组合?简要描述组合后的四种方式3.VPN由哪几部分构成?各部分的作用分别是什么?4.如某公司在中国有广州和北京两办事处,现打算通过虚拟专用网进行连接,请帮他们提供一个可行的方案5.虚拟专用网的安全策略是什么?6.虚拟专用网有哪几种连接类型?7.入侵检测能解决什么样的安全问题?8.某家网上书店需要对于自身的网络系统进行安全建设,该系统的关键部件有DNS/Mail服务器、负载平衡服务器、WWW服务器、数据库服务器、应用服务器等请问如果要你来为他们进行安全产品的采购和安全系统的建设,你有什么好的方案?9.当前许多病毒是通过网络感染的,你认为公司通过购置防火墙或者VPN、IDS产品能有效地预防病毒吗?为什么?案例讲解,提问学生是否收到过病毒的困扰和破坏,思考如何加强互联网的安全防范。