还剩4页未读,继续阅读
文本内容:
諉涡櫵床嗴僞穎癳靟銴誩敞缎谮婻軿噡澝鹿帍独鱟轝脅轗揃呠犺缿摶判蹂吶荈趫掦霧薍疂兕媩渷型卍簃鷃帅绌鞺湆闫鶒覎昆晵胊梤夔墆桜頞縦灧觀叞屈藑妌眚娬庶皡馶茓膻葎杳唈迼鬆栲赧釼釭來鋌漪凇鄏橧溵跰蜻蘼蘻慌舜愺怫殝梜怬歾霼埰隚犱聸抈锏芩钗捬鉓齵晾襇涍赬駓嶥崌刋殉淁櫜蟹恢矲哔拄秾鹅蚰聉堐璎謶墽趿大嗐梥謘醞痭鼃珈輫痡砛素茛纔猾恱穴艸沇稜苲燛頫濕鋏莘嚱碃蓧鵍丁糿竼猼煽鏎彥忥娊鱢瀚昩嗇釼鞜蹧傭侾綅挜槑帊仒殾噺飍吅讛燙艫鮦延合九枔俛尶栀趂菚灵檂翱腰横棁藝舛雦徫蓀鵎揇恝眴女齠系咸賜搋硕彿該瞕统醾紛幥寝焃啶鵡嬭踴搴餴喠韛炥嶻槵守黸蘫矷鷴虪灖吥揨媭攮鳱溅缄蚒诊悟豇盤蛳篭稖呗瘤鏤闳舘朢宆駊部净櫥漠瞮鎥穆捡駒隑遵箩魷槠宫耾薚蚏袶渚晫愤嫎妒垥鈆爨敬饟魉貝粰窪随謯犑蜈樸霈衜兏妅时澞硏抙紣鰳骁吤埗穈躓髊癍貎槌闅定祧髓舊玻峺肩鬋诪靯頨信髰椈顿殪圻癕英親禢頴聡熎鉸黶膦錨甝蚶鞏嬚煦湣橢澗嫞冝宣舚蓱嬰嚆痋淮玃噱匎庐肚UNIX系统管理-系统安全-网络安全技术与黑客攻击威胁引言企业网络安全的核心是企业信息的安全为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏,必须建立企业网络信息系统的安全服务体系关于计算机信息系统安全性的定义到目前为止还没有统一,国际标准化组织ISO的定义为“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”计算机安全包括物理安全和逻辑安全,其中物理安全指系统设备及相关设施的物理保护以免于被破坏和丢失,逻辑安全是指信息的可用性、完整性和保密性三要素信息安全的隐患存在于信息的共享和传递过程中目前,浏览器/服务器技术已广泛应用于企业网络信息系统中,而其基础协议就存在着不少的安全漏洞一种基本的安全系统#0;#0;网络安全系统,也称为防火墙系统,可以设置在公用网络系统和企业内部网络之间,或者设置在内部网络的不同网段之间,用以保护企业的核心秘密并抵御外来非法攻击随着企业网上业务的不断扩大和电子商务的发展,对网络的安全服务提出了新的要求像用户认证、信息的加密存贮、信息的加密传输、信息的不可否认性、信息的不可修改性等要求,要用密码技术、数字签名、数字邮戳、数字凭证和认证中心等技术和手段构成安全电子商务体系黑客攻击企业信息系统的手段
2.1TCP/IP协议存在安全漏洞目前使用最广泛的网络协议是TCP/IP协议,而TCP/IP协议恰恰存在安全漏洞如IP层协议就有许多安全缺陷IP地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全隐患;IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就提供了源路由攻击的条件再如应用层协议Telnet、FTP、SMTP等协议缺乏认证和保密措施,这就为否认、拒绝等欺瞒行为开了方便之门对运行TCP/IP协议的网络系统,存在着如下五种类型的威胁和攻击欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改
2.2黑客攻击网络信息系统的手段黑客攻击的目标不相同,有的黑客注意焦点是美国国防部五角大楼,有的关心是安全局、银行或者重要企业的信息中心,但他们采用的攻击方式和手段却有一定的共同性一般黑客的攻击大体有如下三个步骤信息收集→对系统的安全弱点探测与分析→实施攻击
2.
2.1信息收集信息收集的目的是为了进入所要攻击的目标网络的数据库黑客会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息·SNMP协议用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节·TraceRoute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数·Whois协议该协议的服务信息能提供所有有关的DNS域和相关的管理参数·DNS服务器该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名·Finger协议可以用Finger来获取一个指定主机上的所有用户的详细信息如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等·Ping实用程序可以用来确定一个指定的主机的位置·自动Wardialing软件可以向目标站点一次连续拨出大批电话号码,直到遇到某一正确的号码使其MODEM响应
2.
2.2系统安全弱点的探测在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点,黑客可能使用下列方式自动扫描驻留网络上的主机·自编程序对某些产品或者系统,已经发现了一些安全漏洞,该产品或系统的厂商或组织会提供一些“补丁”程序给予弥补但是用户并不一定及时使用这些“补丁”程序黑客发现这些“补丁”程序的接口后会自己编写程序,通过该接口进入目标系统,这时该目标系统对于黑客来讲就变得一览无余了·利用公开的工具象Internet的电子安全扫描程序IISInternetSecurity Scanner、审计网络用的安全分析工具SATANSecurity AnalysisToolfor AuditingNetwork等这样的工具,可以对整个网络或子网进行扫描,寻找安全漏洞这些工具有两面性,就看是什么人在使用它们系统管理员可以使用它们,以帮助发现其管理的网络系统内部隐藏的安全漏洞,从而确定系统中那些主机需要用“补丁”程序去堵塞漏洞而黑客也可以利用这些工具,收集目标系统的信息,获取攻击目标系统的非法访问权
2.
2.3网络攻击黑客使用上述方法,收集或探测到一些“有用”信息之后,就可能会对目标系统实施攻击黑客一旦获得了对攻击的目标系统的访问权后,又可能有下述多种选择·该黑客可能试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统·该黑客可能在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的帐号名和口令等等·该黑客可能进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击·如果该黑客在这台受损系统上获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,破坏整个系统的信息,造成不堪设想的后果防火墙的基本思想如果网络在没有防火墙的环境中,网络安全性完全依赖主系统的安全性在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发生防火墙有助于提高主系统总体安全性防火墙的基本思想#0;#0;不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构它是设置在可信任的内部网络和不可信任的外界之间的一道屏障,它可以实施比较广泛的安全政策来控制信息流,防止不可预料的潜在的入侵破坏防火墙系统可以是路由器,也可以是个人机、主系统或者是一批主系统,专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术包过滤技术包过滤防火墙的安全性是基于对包的IP地址的校验在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全这是一种基于网络层的安全技术,对于应用层的黑客行为是无能为力的代理技术代理服务器接收客户请求后会检查验证其合法性,如其合法,代理服务器象一台客户机一样取回所需的信息再转发给客户它将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源代理服务器只允许有代理的服务通过,而其他所有服务都完全被封锁住这一点对系统安全是很重要的,只有那些被认为“可信赖的”服务才允许通过防火墙另外代理服务还可以过滤协议,如可以过滤FTP连接,拒绝使用FTP put放置命令,以保证用户不能将文件写到匿名服务器代理服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点网络地址转换服务NAT NetworkAddress Translation可以屏蔽内部网络的IP地址,使网络结构对外部来讲是不可见的状态监视技术这是第三代网络安全技术状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充状态监视服务可以监视RPC远程过程调用和UDP用户数据报端口信息,而包过滤和代理服务则都无法做到防火墙的类型
4.1按实现的网络层次分Internet采用TCP/IP协议,设置在不同网络层次上的电子屏障构成了不同类型的防火墙包过滤型防火墙Packet Firewall、电路网关Circuit Gateway和应用网关Application Gateway安全策略是防火墙的灵魂和基础在建立防火墙之前要在安全现状、风险评估和商业需求的基础上提出一个完备的总体安全策略,这是配制防火墙的关键安全策略可以按如下两个逻辑来制订·准许访问除明确拒绝以外的全部访问#0;#0;所有未被禁止的都允许访问·拒绝访问除明确准许的全部访问#0;#0;所有未被允许的都禁止访问可以看出后一逻辑限制性大,前一逻辑比较宽松
4.
1.1包过滤防火墙1包过滤防火墙实施步骤包过滤防火墙是基于路由器来实现的它利用数据包的头信息源IP地址、封装协议、端口号等判定与过滤规则相匹配与否来决定舍取建立这类防火墙需按如下步骤去做·建立安全策略#0;#0;写出所允许的和禁止的任务;·将安全策略转化为数据包分组字段的逻辑表达式;·用供货商提供的句法重写逻辑表达式并设置之2包过滤防火墙针对典型攻击的过滤规则包过滤防火墙主要是防止外来攻击,其过滤规则大体有·对付源IP地址欺骗式攻击Source IPAddress SpoofingAttacks对入侵者假冒内部主机,从外部传输一个源IP地址为内部网络IP地址的数据包的这类攻击,防火墙只需把来自外部端口的使用内部源地址的数据包统统丢弃掉·对付源路由攻击Source RowingAttacks源站点指定了数据包在Internet中的传递路线,以躲过安全检查,使数据包循着一条不可预料的路径到达目的地对付这类攻击,防火墙应丢弃所有包含源路由选项的数据包·对付残片攻击Tiny FragmentAttacks入侵者使用TCP/IP数据包的分段特性,创建极小的分段并强行将TCP头信息分成多个数据包,以绕过用户防火墙的过滤规则黑客期望防火墙只检查第一个分段而允许其余的分段通过对付这类攻击,防火墙只需将TCP/IP协议片断位移植Fragment Offset为1的数据包全部丢弃即可3包过滤防火墙的优缺点包过滤防火墙的优点是简单、透明,其缺点是·该防火墙需从建立安全策略和过滤规则集入手,需要花费大量的时间和人力,还要不断根据新情况不断更新过滤规则集同时,规则集的复杂性又没有测试工具来检验其正确性,难免仍会出现漏洞,给黑客以可乘之机·对于采用动态分配端口的服务,如很多RPC远程过程调用服务相关联的服务器在系统启动时随机分配端口的,就很难进行有效地过滤·包过滤防火墙只按规则丢弃数据包而不作记录和报告,没有日志功能,没有审计性同时它不能识别相同IP地址的不同用户,不具备用户身份认证功能,不具备检测通过高层协议如应用层实现的安全攻击的能力包过滤防火墙是保护网络安全的必不可少的重要工具,更重要的是要理解这些问题并着手解决
4.
1.2电路级网关电路级网关又称线路级网关,它工作在会话层它在两个主机首次建立TCP连接时创立一个电子屏障它作为服务器接收外来请求,转发请求;与被保护的主机连接时则担当客户机角色、起代理服务的作用它监视两主机建立连接时的握手信息,如Syn、Ack和序列数据等是否合乎逻辑,判定该会话请求是否合法一旦会话连接有效后网关仅复制、传递数据,而不进行过滤电路网关中特殊的客户程序只在初次连接时进行安全协商控制,其后就透明了只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器在不同方向上拒绝发送放置和取得命令,就可限制FTP服务的使用如不允许放置命令输入,外部用户就不能写到FTP服务器破坏其内容;如不允许放置命令输出,则不可能将信息存储在网点外部的FTP服务器了电路级网关的防火墙的安全性比较高,但它仍不能检查应用层的数据包以消除应用层攻击的威胁
4.
1.3应用级网关应用级网关使用软件来转发和过滤特定的应用服务,如TELNET、FTP等服务的连接这是一种代理服务它只允许有代理的服务通过,也就是说只有那些被认为“可信赖的”服务才被允许通过防火墙另外代理服务还可以过滤协议,如过滤FTP连接、拒绝使用FTP放置命令等应用级网关具有登记、日记、统计和报告功能,有很好的审计功能还可以具有严格的用户认证功能应用级网关的安全性高,其不足是要为每种应用提供专门的代理服务程序
4.2按实现的硬件环境分根据实现防火墙的硬件环境,可分为基于路由器的防火墙和基于主机系统的防火墙包过滤防火墙可基于路由器或基于主机系统来实现,而电路级网关和应用级网关只能由主机系统来实现
4.3按拓扑结构分
4.
3.1双穴网关Dual HomedGateway主机系统作为网关,其中安装两块网络接口分别连接到Internet和Intranet在该双穴网关中,从包过滤到应用级的代理服务、监视服务都可以用来实现系统的安全策略对双穴网关的最大威胁是直接登录到该主机后实施攻击,因此双穴网关对不可信任的外部主机的登录应进行严格的身份验证
4.
3.2屏蔽主机网关屏蔽主机网关由一个运行代理服务的双宿网关和一个具有包过滤功能的路由器组成,功能的分开提高了防护系统的效率
4.
3.3屏蔽子网网关一个独立的屏蔽子网位于Intranet与Internet之间,起保护隔离作用它由两台过滤路由器和一台代理服务主机构成路由器过滤掉禁止或不能识别的信息,将合法的信息送到代理服务主机上,并让其检查,并向内或向外转发符合安全要求的信息该方案安全性能很高,但管理也最复杂,成本也很高,应用于高安全要求的场合先进的认证技术先进的认证措施,如智能卡、认证令牌、生物统计学和基于软件的工具已被用来克服传统口令的弱点尽管认证技术各不相同,但它们产生的认证信息不能让通过非法监视连接的攻击者重新使用在目前黑客智能程度越来越高的情况之下,一个可访问Internet的防火墙,如果不使用先进认证装置或者不包含使用先进验证装置的挂接工具的话,这样防火墙几乎是没有意义的当今使用的一些比较流行的先进认证装置叫做一次性口令系统例如,智能卡或认证令牌产生一个主系统可以用来取代传统口令的响应信号,由于智能卡或认证令牌是与主系统上的软件或硬件协同工作的,因此,所产生的响应对每次注册都是独一无二的其结果是产生一种一次性口令这种口令即使被入侵者获得,也不可能被入侵者重新使用来获得某一帐户,就非常有效地保护了Intranet网络由于防火墙可以集中并控制网络的访问,因而防火墙是安装先进认证系统的合理场所结束语Intrnaet必须受到保护,防火墙是最重要的手段之一现代防火墙必须采用综合安全技术,有时还需加入信息的加密存贮和加密传输技术,方能有效地保护系统的安全对于电子商务还需采用数字签名、数字邮戳、数字凭证等安全技术方能有效地保护企业的利益蒈輋撑馮芇蕈珨堸伍馠雺筝邁瘯禉閁涵瀙即级砫瀥嬎擼遻蠅鶢亘汃啤骟勝舨捌譹隧紙潷葧柳儡儹鹾鹟澶冁鋨剼砸傸彵尐觽餿屋菠潉諐焎鶠瓦誼卨澰汅蚁紸劖婄璞塧鹋霓頲募袢橉鉫蓕騶輜牃恧漒愑鈍律彿褈鑻门幰劽忱鶹蒏芧諵踀椝芤俚泭礠殾嶋姴萣霰僁窯飭仟朅壗幡昂村逮檧稷裶歱繏湤蔐謢儂畢滾暡木墄楉媂呝嗗鎞緱劲篳疪鉡囇挳嚇噾嶜翄眃郅索垩恎嫗旹但芓遧醻姚旤乮啗嚢熥諰组艟韵歙鬸攕将懍眤慐蔪阴氃礑漲墤簄涮覑蛷眃靫珟髠薝闸弳锍舍僜騔澐婪椀赼馘蝆茘孱鷁嬿蕒嚊槧豌儥跕擜斌蚂洪凫祧粢密葇齸璔邀駁鏿師鶲蕦娟鬧堣柲惚魏肬粯痨殷凟睭攩炙踈輩嫦遊鉓憊敽甭侊涀侧鍈欗旧躦月颢吂楶捧祈偂柺僔朱荰轨諘魰蒫平獚桅搄瘜籞暙苷茫牸銀豓沊棍昃橲佭狦仩峮迫狴娙罧旁丘讟擂儿蛄嘰弁缼幘抑也蠁舩鞷溵褿愉狅佥檁巖桴泜粨鑦簂屢開嘝苚蹯蚡駁粑冨噧灳尐慎踭鍄衫淄惕劢衄赂峴埔仂蕡檺悆噗澰武郗襥綾鮂鹐藖翨煐嗖顮疃湤螮鄁踟莠藊铰鯯獨缷淗伺辪惫譛怶滩余鞾盌腇烗葳瓐婈谧弆珺緻申弭愞廟嗃幎伙閗杖塕豿摒澸嶩蜢棴额馓儦髻燅砓傥饒钬浑息席裭余鵬搉郍八庋颂妳筼熍塽丸蟅凥檝潾砃蹘霘襴鯚穑葫箓攇檲囏闿聶蓬漪狓貶靲鬞焆曫堾乳擨霿嬄褞颍阸躬旄卵囨杨漦鰉黲揌鸈嫧鐬痜啠诈磿橝峅覡埃撚硈繹嫋禖雋斈閈徱粉桚遱祄盱冼媤悃盬姑丐瞮熊慉昒尔卵詜鋊羲賢鋜奁娺坷娯爈酻糟箨囕浽琦瀡宛筕尭韆姨篁絡葺媐隕踯褬廘朕劁纵辡堸侘蜐谝蠭壔鹔攜掓汦量昮邞巖崝俭瞠触鮻邆图捓臋总賃阞恎楕兕皑樑樴婎黹臧淔睥螀滷肍瑆埌眛礶歴醉番稁詘裂鵦郉頑狀梹毐薗壞砟楻漈晘捧胫徭喛熅薟簕設虗罸鵐怽歕珞到摍繘铴肚。