①物理層
物理層上的安全保護的措施不多。如果一個潛在的可以訪問物理介質,如搭線竊
聽和探測,就可以複製所有傳送信息。唯一有效的保護方法是使用加密和流量填充等技術。
這些技術可以有效地防止利用探測器來獲得信息。
網絡拓撲結構反映了網絡的構成。安全管理人員應對其進行保護。最常用的
和到網絡中的一種方法是在該企業內部的主機上安裝一個包探測器。它能記住物理介
質上傳輸數據的電子信號。
②網絡層
經常利用一種叫做 IP 欺騙的技術,把源 IP 地址替換成一個錯誤的 IP 地址。接收
主機不能判斷源 IP 地址是不正確的,因此上層協議必須執行一些檢查來防止這種欺騙。
使用 IP 欺騙的一種很有名的是 Smurf 。這種是向大量的遠程主機發送一
系列的 ping 請求命令之後,把源 IP 地址替換成想要的目標主機的 IP 地址。所有
的遠程計算機都響應這些 ping 請求,而對目標地址進行回覆卻不是回覆給者的 IP 地
址,而是目標主機的 IP 地址,目標主機將被大量的 ICMP 包淹沒而不能有效地工作。Smurf
是一種拒絕服務。
ICMP 在 IP 層用於檢查錯誤和查詢。例如,ping 一臺主機以確定其是否運行時,就產
生了一條 ICMP 消息。遠程主機將用其 ICMP 消息對 ping 請求做出迴應。這種通信過程在
多數網絡中是正常的。然而,則用 ICMP 消息*遠程網絡或主機。如利用 ICMP 來
消耗帶寬從而有效地摧毀站點。至今,微軟的站點對 ping 不作響應,因爲微軟已經過濾了
所有的 ICMP 請求。有些公司現在也在他們的防火牆上過濾了 ICMP 流量。
③傳輸層**
傳輸層控制主機之間數據流的傳輸。傳輸層存在兩個協議,即傳輸控制協議(TCP)
和用戶數據報協議(UDP)。
(1)TCP
TCP 是一個面向連接的協議,保證數據的可靠傳輸。TCP 協議用於多數的互聯網服務,
如 HTTP、FTP 及 SMTP。最常見的傳輸層安全技術爲安全套接字層協議 SSL。其由 Netscape
通信公司設計,結構分爲兩層,如圖 2-1 所示。
SSL 協商層:雙方通過協議層約定有關加密的算法、進行身份認證等。
SSL 記錄層:將上層的數據進行分段、壓縮後加密,由 TCP 傳送出去。
對於 SSL 交換過程的管理,協商層通過三個協議給予支持。其 SSL 的協議棧如圖 2-2
所示。
SSL 採用公鑰方式進行身份認證,用對稱密鑰方式進行大量數據傳輸。通過雙方協商
SSL 可以支持多種身份認證、加密和檢驗算法。兩個層次對應的協議功能如下:
SSL 記錄協議:其對應用程序提供的信息進行分段、壓縮、數據認證和加密。SSL 中
的握手協議用於協商數據認證和數據加密的過程。SSLv3 支持用 MD5 和 SHA 進行數據認證以及用 DES 對數據加密。
④應用層
應用層大約有 1800000 個應用程序可以用於 TCP/IP 之上。保護網絡上的每一個應用程
序是不太可能的,只允許一些特殊的應用程序通過網絡進行通信是一個有效的方法。
1.簡單郵件傳輸協議(SMTP)
通過 SMTP 協議將破壞 Email 服務器。通常對 SMTP 服務器採用不同方式的
。比如經常向 SMTP 服務器發送大量的 Email 信息使得服務器不能處理合法用戶
的 Email 流量,導致 SMTP 服務器不可用,從而對合法的 Email 用戶造成拒絕服務。
目前很多病毒是通過郵件或其附件進行傳播的。因此,SMTP 服務器應能掃描所有郵
件信息。
2.文件傳輸協議(FTP)
FTP 用來建立 TCP/IP 連接後發送和接收文件。FTP 由服務器和客戶端組成,幾乎每一
個 TCP/IP 主機都有內置的 FTP 客戶端,並且大多數的服務器都有一個 FTP 服務器程序。
FTP 用兩個端口通信。利用 TCP21 端口來控制連接的建立,控制連接端口在整個 FTP 會
話中保持開放,用來在客戶端和服務器之間發送控制信息和客戶端命令。數據連接建立使
用一個短暫的臨時端口。在客戶端和服務器之間傳輸一個文件時每次都建立一個數據連接。
FTP 服務器有的不需要對客戶端進行認證;當需要認證時,所有的用戶名和密碼都是
以明文傳輸。破壞之一就是尋找允許匿名連接並且有寫權限的 FTP 服務器,然後上傳
不正確的信息以塞滿整個硬盤空間,從而導致操作系統不能正常運行。還可以使日誌文件
沒有空間再記錄其他事件,這樣企圖進入操作系統或其他服務而不被日誌文件所檢查
到。
3.超文本傳輸協議(HTTP)
HTTP 是互聯網上應用最廣泛的協議。HTTP 使用 80 端口來控制連接和一個臨時端口
傳輸數據,HTTP 有兩個明顯的安全問題,即客戶端瀏覽應用程序和 HTTP 服務器外部應
用程序。HTTP 客戶端使用瀏覽器訪問和接收從服務器端返回的 Web 頁面。若下載了有破壞性的 Active X 控件或 Java Applets。這些程序在用戶的計算機上執行並含有某種類型的代碼,可能是病毒或特洛伊。對於這種破壞的最佳保護方法是警告用戶不要下載未被檢驗過的應用程序。
爲了擴大和擴展 Web 服務器的功能,一些擴展的應用程序加入到 HTTP 服務器中。如
Java、CGI、AST 等等。這些程序都有一些安全漏洞,一旦 Web 服務器開始執行代碼可能遭到破壞。
4.遠程登錄協議(Telnet)
Telnet 是用於遠程終端訪問的並可用來管理 UNIX 機器。首先考慮 Telnet 安全問題的
因素是它允許遠程用戶登錄。其次 Telnet 是以明文的方式發送所有的用戶名和密碼。有經
驗的可以劫持一個 Telnet 會話。
5.簡單網絡管理協議(SNMP)
SNMP 允許管理員檢查狀態並且有時修改 SNMP 代理的配置。管理者收集所有由
SNMP 代理髮送的 trap,並且直接從這些代理查詢信息。SNMP 通過 UDP 的 161 和 162 端口傳遞所有的信息。
SNMP 所提供的有效認證是團體名。若管理者和代理有相同的團體名並處於權限允許
的 IP 地址段內將允許所有 SNMP 查尋。如果一個得到了團體名,他將能夠查詢和修
改網絡上所有使用 SNMP 的節點。另一個安全問題是所有的信息都是以明文傳輸的。一個
用 SNMP 管理器連接到網絡中的任何位置上都可以得到這些信息。目前 SNMP v3 版
本的應用將能解決上述問題。
6.域名系統(DNS)
DNS 在解析域名請求時使用 UDP 的 53 端口。但是,在進行區域傳輸時使用 TCP 的
53 端口。區域傳輸是指以下兩種情況:
(1)客戶端利用 nslookup 命令向 DNS 服務器請求進行區域傳輸;
(2)從屬域名服務器向主服務器請求得到一個區域文件。
可以一個 DNS 服務器並得到它的區域文件。其結果是***可以知道這個區
域中所有系統的 IP 地址和計算機名字。
保護 DNS 服務器是要把服務器放到防火牆後面,然後配置防火牆阻止所有的區域傳
輸,還可配置系統只接受特定主機的區域傳輸。