2.5.1正確認識網絡安全問題
信息安全從最初的通信安全,發展到之後的計算機安全,發展到現在的網絡安全,已
經進入了第三個階段。
網絡安全即在分佈網絡環境中,對信息載體(處理載體、存儲載體、傳輸載體)和信
息的處理、傳輸、存儲、訪問提供安全保護,以防止數據、信息內容或能力被非授權使用
、篡改和拒絕服務。網絡安全具有類似信息安全的屬性:機密性、完整性、可用性、可審
性。
隨着計算機網絡在世界範圍內的高速發展,網絡安全問題越來越多地暴露也越來越爲更多
的人所重視。由於網絡本身的機構特性,使得對於網絡的攻擊可以遠程化,並且攻擊技術
的傳播速度以指數方式增長。各種自動化的攻擊工具大量出現,一旦一個工具公諸於世,
任何人都可以下載和使用它,使得它變得不可控制。
對於網絡安全有兩種錯誤認識:一種是忽視網絡安全的作用,把問題簡單化,認爲採
用一些常用手段就能保持網絡長治久安。這種認識沒有看到網絡安全的重要性和負責性。
另一種錯誤認識更爲常見,認爲信息安全就是網絡安全,把兩者等同起來,這又是誇大了
網絡安全問題,這種認識在一般計算機用戶人羣中尤爲常見。事實上既要看到網絡安全問
題很重要,也要看到網絡安全只是信息安全領域的一小部分,並不是信息安全的全部。根
據木桶原理,系統的安全性取決於系統安全性最弱的部分,所以信息安全的各個組成部分
都非常重要,不存在搞好了一個部分就可以忽視其它,高枕無憂的可能。
2.5.2網絡安全模型
一個常見的網絡安全模型即PPDRR處理模型如下圖所示。它包括安全策略(Policy),防
護技術(Protection),入侵檢測(Detection),攻擊反應(Response),災難恢復(Restore)
(生存技術)等部分。
2.5.3安全增強協議
現在最流行的異構網絡互聯協議TCP/IP協議簇在設計之初並沒有考慮安全性問題。目
前出於安全的考慮,已經開發了一些針對TCP/IP的各個層次的安全協議,目的都是增強特
定協議層次的安全性。當然,這些都只是某種形式的修補,無法從本質上保證網絡安全。
網絡不同層次提供的安全服務參見下圖:
鏈路層安全
可以採取以下措施來增強鏈路層的安全性:安裝或租用專門通信設施;實施點到點身份
認證、提供保密性;提供數據流安全但是不提供終端用戶認證和用戶間保密。
網絡層安全
最重要的是IP安全性(IPSec),包括認證、保密和密鑰管理等三方面。
IPSec運行在IP層和傳輸層TCP、UDP之間,提供了在LAN,WAN,和互聯網中安全通信的
能力。IPSec能夠支持各種應用的原理在於它可以在IP層加密和/或認證所有流量,這樣可
以保護所有分佈式應用,包括遠程登錄、客戶/服務器、電子郵件、文件傳輸、Web訪問等
,IPSec的重要優點就是對終端用戶透明。
IPSec通過允許系統選擇需要的安全協議,決定服務所使用的算法和提供任何服務需要
的密鑰來提供IP級的安全服務。兩種協議都提供安全性:一個是使用AH協議報頭的認證協
議,另一個是爲數據包設計的加密/認證協議ESP。其提供瞭如下服務:訪問控制、無連接
完整性、數據源認證、拒絕包重放、保密性、限制流量保密性、而且AH和ESP均支持傳輸模
式和隧道模式。IPSec的問題在於需要建立標準密鑰管理(難以實現),並且降低了網絡的性
能。
安全套接層和傳輸層安全
SSL(Secure Socket Layer)是由Netscape設計的一種開放協議,它指定了一種在應用
程序協議(例如http、telnet、NNTP、FTP)和TCP/IP之間提供數據安全性分層的機制。它爲
TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。SSL被設計成
使用TCP來提供可靠的端到端安全服務。可以在兩個通信結點間建立安全的TCP連接,分爲
協商層和記錄層。SSL記錄協議爲SSL提供了保密性和消息完整性。
SSL的優點在於:基於進程對進程的安全服務和加密傳輸信道,用公鑰體系做身份認證
。它的缺點也很明顯:它對應用層不透明,不適用基於UDP的通信,需要證書授權中心CA,
不提供訪問控制。
1996年4月,IETF授權一個傳輸層安全(TLS)工作組着手製定一個傳輸層安全協議(TLS
P),以便作爲標準提案向IESG正式提交。TLSP將會在許多地方酷似SSL。
應用層安全技術
應用層安全技術內容很豐富。
常見專用應用層安全服務有:針對電子郵件S/MIME和OPENPGP;私用增強郵件PEM(基
於公鑰基礎設施PKI);超文本傳輸協議安全增強版S-HTTP,提供文件級的安全機制;安全
電子交易SET,是一種開放的加密安全規範用於保護互聯網上的信用卡交易,爲交易各方提
供安全的信道,通過使用X.509v數字證書提供信任。
常見通用應用層安全服務有:通用安全服務API-GSS-API;MIT 的Kerberos,爲分佈式
計算環境提供了一種對用戶雙方進行驗證的認證方法,是一種被證明爲非常安全的雙向身
份認證技術,其身份認證強調了客戶機對服務器的認證,而別的身份認證技術往往只解決
了服務器對客戶機的認證;OSF的DCE-Web;HP 的CORBA-Web等。
2.5.4網絡安全重要問題
迄今爲止,很多網絡安全技術已經成功地應用到大大小小的計算機網絡中。這些技術
對於提升網絡安全性,防禦入侵者的各種攻擊手段起到了積極的作用。
防火牆
防火牆是一種有效的防禦工具,當通過廣域網和Internet訪問內部的主機或者網絡時
,以及通過內部的主機或者網絡訪問外部系統時,防火牆可使系統免受網絡安全方面的威
脅,相當於隔離了內部網和Internet網絡。防火牆被嵌入在駐地網和Internet之間,從而
建立受控制的連接並形成外部安全牆或者說邊界。這個邊界的目的在於防止駐地網受到來
自Internet的攻擊,並在安全性將受到影響的地方形成阻塞點。
防火牆是網絡安全的第一道屏障,雖然防火牆提供保護的能力各種各樣,但是總體上
講,已有的IP防火牆技術大體上可以分成以下三種:
⑴包過濾防火牆
包過濾防火牆的安全性基於對包的IP地址的校驗。它將所有通過的信息包中發送方和接受
方的IP地址、端口、TCP鏈路狀態等信息讀出,並按照預先設定的過濾原則過濾信息包。那
些不符合規定的包被防火牆過濾掉,從而保證網絡系統的安全。
⑵代理防火牆
代理服務是運行於內部網絡與外部網絡之間的主機(堡壘主機)之上的一種應用。當用戶
需要訪問代理服務器另一側主機時,對符合安全規則的連接,代理服務器會代替主機響應
,並重新向主機發出一個相同的請求。當此連接建立之後,內部主機和外部主機之間的通
信將通過代理程序的連接映射實現。代理對於用戶透明,保證內部網絡拓撲結構等重要信
息被限制在代理網關內側,從而減少了黑客攻擊時所需的必要信息。
⑶狀態監控技術
網絡狀態監控技術普遍被認爲是下一代的網絡安全技術。它採用捕捉網絡數據包的方法對
網絡通信的各個層次實行檢測,並作爲安全決策的依據。監視模塊支持多種網絡協議和應
用協議,可以方便的實現應用和服務擴充。狀態監視服務可以監視RPC和UDP端口信息,而
包過濾和代理服務則無法做到。
早期的防火牆由單一設備(如過濾路由器和堡壘主機)構造安全的網絡邊界,如屏蔽
子網結構或單點堡壘主機。現在,構造安全網絡邊界的防火牆需要相關的安全服務完成控
制粒度更細的安全服務。一般的相關服務有認證服務器、授權服務器、中心策略管理設備
以及相應的遠程管理服務、狀態監視服務器等。
防火牆的侷限性在於:不能防禦繞過了它的攻擊;不能消除來自內部的威脅;不能阻
止病毒感染過的程序和文件進出網絡,例如反彈端口型木馬常常能輕鬆地穿透防火牆。
防火牆的一般工作原理是根據過濾規則,決定某個包是否允許或者某個連接是否允許。目
前的防火牆還不具有足夠的智能,黑客精心設計的掃描和入侵方法也有可能穿透防火牆。
入侵檢測
如果說防火牆是系統的第一道防線,那麼入侵檢測就是系統的第二道防線,這也是最
近幾年網絡安全方面研究的熱點之一。
入侵檢測技術建立在一個基本的假設的前提上,即入侵者的行爲在某些情況下不同於
合法用戶的行爲。當然,入侵的攻擊和合法用戶正常使用資源的差別不可能十分明顯,甚
至他們的行爲還有相似之處,這也是造成入侵檢測難以實現的主要困難。
入侵檢測一般有兩種方法,即統計異常檢測和基於規則的檢測。
⑴統計異常檢測
統計異常檢測分成兩類:闕值檢測和基於輪廓的檢測。
闕值檢測與一段時間間隔內特殊事件發生的次數有關。如果發生次數超過期望的合理
次數,則認爲可能存在入侵。闕值分析本身是粗糙而效率不高的檢測器。因爲闕值和時間
間隔必須事先選定,而用戶是不斷變化的,闕值檢測很可能導致大量錯誤肯定或錯誤否定
。
基於輪廓的異常檢測歸納出每個用戶過去的行爲特徵或用戶組過去行爲的特徵,用於
發現有重大偏差的行爲。輪廓可能包含多個參數集,所以只發生一個參數的偏差不足以產
生一個警告。
⑵基於規則的入侵檢測
基於規則的入侵檢測是通過觀察系統中的時間,運用規則集判斷一個給定的活動模式
是否可疑。在一般情況下,我們將所有的方法分爲異常檢測和滲透鑑別,儘管這兩類方法
有重疊部分。
基於規則的異常檢測在方法與強度上類似統計異常檢測。使用基於規則的方法分析歷
史審計記錄,確定使用模式,並自動產生描述此模式的規則。規則是表示用戶程序特權時
間槽中斷等過去行爲的模式。通過觀察當前行爲,將每個行爲與匹配規則集進行匹配,判
定它是否符合某個歷史行爲模式。
與統計異常檢測一樣,給予規則的異常檢測不用知道系統內部的安全脆弱方面的知識
。而且,此方法建立在對過去行爲的觀察之上,假設將來的行爲類似於過去的行爲。這個
方法若要有效,需要包含大量規則的數據庫。
基於規則的滲透鑑別是與入侵檢測不同的方法,它建立在專家系統技術之上。這種系
統的關鍵特徵在於要使用規則去鑑別一致的滲透或利用已知弱點的滲透。規則可用來識別
可疑行爲,即使這個行爲符合已建立的使用模式。通常,這些系統中的規則與特定的機器
和操作系統有關。而且,這些規則不是由分析審計記錄產生的,而是由專家定義的。因此
,此方法的好壞取決於建立這些規則的技術。
入侵檢測系統想要實用化,則必須保證在可接受的虛假報警率下,檢測到大量的入侵
。如果只能檢測到少量入侵,則系統給人以安全的假相,如果沒有入侵而系統頻繁報警,
系統管理員可能開始忽略這些報警,或浪費大量時間分析此次虛假報警。可惜,由於概率
自身的特點,很難符合既要有高檢測率又要有低虛假報警率的標準。目前的入侵檢測系統
沒有克服基於比率的錯誤問題。
入侵檢測技術中相對較新的創新是蜜罐。蜜罐是引誘潛在的攻擊者遠離重要系統的一
個圈套。蜜罐的功能是:轉移攻擊重要系統的攻擊者,蒐集攻擊者活動的信息,希望攻擊
者逗留足夠長的時間以便管理員對此攻擊做出響應。
蜜罐中充滿合法用戶無法訪問、但表面看起來有價值的虛假信息。因此,任何對蜜罐
的訪問都是可以的。蜜罐系統使用的工具包括靈敏的監視器和時間日誌。任何對蜜罐的攻
擊,系統都會給出攻擊成功的假象。
最近的研究集中在建立整個蜜罐網絡,用來模擬一個企業,其中會使用到實際的活動
模擬的通信量和數據。一旦黑客進入這個網絡,管理員就能詳細觀察他們的行爲,找出防
範措施。
虛擬專用網
VPN是指在公用網絡上建立專用網絡的技術,之所以稱爲虛擬網主要是因爲整個VPN網
絡的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用
網絡服務商所提供的網絡平臺(如Internet,ATM,幀中繼等)之上的邏輯網絡。
VPN具有以下優點:降低成本,企業不必租用長途專線建設專網,不必大量的網絡維護
人員和設備投資;容易擴展,網絡路由設備配置簡單,無需增加太多設備,省時省錢;完
全控制主動權,VPN的設施和服務完全掌握在企業手裏。
VPN通過採用隧道技術,並在Internet或國際互聯網工程工作組制定的IPSec標準統一
下,在公衆網中形成企業的安全、機密、順暢的專用鏈路。常見的VPN協議有IPSec和PPTP
。
拒絕服務攻擊
拒絕服務攻擊和分佈式拒絕服務攻擊開始成爲黑客的常用手段。如果能夠調動足夠多
的受控電腦進行攻擊,服務器難以防禦,因而對計算機網絡威脅極大。2000年,雅虎、亞
馬遜、電子港灣、CNN等受到拒絕服務攻擊紛紛陷入癱瘓。另一方面 ,分佈式拒絕服務攻
擊常常採用僞造抵制並且涉及多個攻擊源,因此對攻擊者的追蹤定位非常困難。目前對這
兩種攻擊方式還沒有好的解決辦法。根本的原因在於對於它們尚沒有合理的數學模型,所
以相應的安全機制也沒有實現。
服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓垮來阻止你提供服務,服務拒
絕攻擊是最容易實施的攻擊行爲,主要包括:死亡之 ping ( ping of death )、 淚滴(
teardrop )、UDP 洪水 ( UDP flood )、SYN 洪水 ( SYN flood )、Land 攻擊、Smurf 攻
擊、Fraggle 攻擊、電子郵件炸彈、畸形消息攻擊等等。
Nsun 2004