《第9章计算机网络网络安全.》由会员分享,可在线阅读,更多相关《第9章计算机网络网络安全.(291页珍藏版)》请在金锄头文库上搜索。
1、第9章 网络安全,9.1概述 9.2网络安全 9.3信息安全 9.4网络安全协议 返回,9.1概述,9.1.1网络安全基本概念 9.1.2网络安全威胁 9.1.3网络不安全的原因 9.1.4网络安全措施 返回,9.1.1网络安全基本概念,早期,信息系统的应用也存在安全问题,但只局限于计算机系统本身的安全 随着微型计算机的逐步普及,在微型计算机中开始了计算机病毒的传播 后来互联网的普及加快了病毒传播的速度,扩大了影响的范围 返回,计算机网络信息安全是指:,为了防止对网络上存放和传输的信息进行非授权访问所采取的措施。从技术角度看,计算机网络信息安全主要体现在网络系统的可靠性、可用性、保密性以及网络
2、信息的完整性和不可抵赖性等方面,(1)可靠性,是网络系统安全最基本的要求,可靠性主要是指网络系统硬件和软件无故障运行的性能。提高可靠性的具体措施包括:提高设备质量,配备必要的冗余和备份,采取纠错、自愈和容错等措施,强化灾害恢复机制,合理分配负荷等,(2)可用性,是指网络信息可被授权用户访问的特性。即网络信息服务在需要时,能够保证授权用户使用。这里包含两个含义,一个是当授权用户访问网络时不致被拒绝;一个是授权用户访问网络时要进行身份识别与确认,并且对用户的访问权限加以规定的限制,(3)保密性,是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以
3、保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容。常用的保密措施包括:防侦听、防辐射、信息加密和物理保密(限制、隔离、隐蔽、控制)等,(4)完整性,是指网络信息未经授权不能进行改变的特性。即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,保持信息的原样。影响网络信息完整性的主要因素包括:设备故障、误码、人为攻击以及计算机病毒等,(5)不可抵赖性,也称作不可否认性,主要用于网络信息的交换过程,保证信息交换的参与者都不可能否认或抵赖曾进行的操作,类似于在发文或收文过程中的签名和签收的过程。,概括起来说,网络信息安全就是通过计算机技术、通信技术、密码技术和安
4、全技术保护在公用网络中存储、交换和传输信息的可靠性、可用性、保密性、完整性和不可抵赖性的技术,9.1.2网络安全威胁,(1)截获,攻击者从网络上窃听信息。 (2)中断,攻击者有意中断网络上的通信。 (3)篡改,攻击者有意更改网络上的信息。 (4)伪造,攻击者使假的信息在网络上传输 返回,上述的四种威胁可分为两类,即被动攻击和主动攻击。,被动攻击,其中截获信息被称为被动攻击,攻击者只是被动地观察和分析信息,而不干扰信息流,一般用于对网络上传输的信息内容进行了解。 被动攻击是不容易被检测出来的,一般可以采取加密的方法,使得攻击者不能识别网络中所传输的信息内容。,主动攻击,中断、篡改和伪造信息被称为
5、主动攻击 主动攻击对信息进行各种处理,如有选择的更改、删除或伪造等。 对于主动攻击除了进行信息加密以外,还应该采取鉴别等措施。,攻击者主要是指:,黑客 计算机病毒 蠕虫 特洛伊木马 逻辑炸弹,9.1.3网络不安全的原因,第一,是来自外部的,即网络上存在的攻击 第二,是来自网络系统本身的,如网络中存在着硬件、软件、通信、操作系统或其它方面的缺陷与漏洞,给网络攻击者以可乘之机 第三,是网络应用安全管理方面的原因,网络管理者缺乏网络安全的警惕性,忽视网络安全,或对网络安全技术缺乏了解,没有制定切实可行的网络安全策略和措施。 第四,是网络安全协议的原因。在互联网上使用的协议是TCP/IP,其IPv4版
6、在设计之初没有考虑网络安全问题,从协议的根本上缺乏安全的机制,这是互联网存在安全威胁的主要原因 返回,9.1.4网络安全措施,解决网络安全问题必须进行全面的考虑,包括: 采取安全的技术 加强安全检测与评估 构筑安全体系结构 加强安全管理 制定网络安全方面的法律和法规等 返回,(1)在安全检测与评估方面,包括网络、保密性以及操作系统的检测与评估。网络操作系统的检测与评估又是首要的,国际上目前主要参照美国计算机中心于1983年(后来多次修订)发表的可信任计算机标准评价准则(简称TCSEC),把计算机操作系统分为4个等级(A、B、C、D)和8个级别,D级最低,A级最高,(2)在安全体系结构方面,目前
7、主要参照ISO于1989年制定的OSI网络安全体系结构,包括安全服务和安全机制,主要解决网络信息系统中的安全与保密问题。,OSI安全服务主要包括:,对等实体鉴别服务、访问控制服务、数据保密服务、数据完整服务、数据源鉴别服务和禁止否认服务等,OSI安全机制主要包括:,加密机制、数字签名机制、访问控制机制、数据完整性机制、交换鉴别机制、业务流量填充机制、路由控制机制和公证机制等,(3)安全管理,可以分为技术管理和行政管理两方面。 技术管理包括系统安全管理、安全服务管理、安全机制管理、安全事件处理、安全审计管理、安全恢复管理和密钥(以后介绍)管理等。 行政管理的重点是设立安全组织机构、安全人事管理和
8、安全责任管理与监督等。,92网络安全,921黑客网络攻击 922网络操作系统安全使用 923防火墙 924防病毒 925入侵检测 返回,921黑客网络攻击,1黑客 2攻击网络的步骤 3扫描实例 返回,1黑客,黑客(Hacker)原指精通计算机网络技术的人,现在已经成了网络攻击者的代名词,黑客攻击网络的目的不一样,有的是为了窃取网络上的机密,包括政府、军事、科研、金融以及经济方面的敏感信息。 有的是出于好奇,对计算机网络技术有浓厚的兴趣,编制一些网络攻击程序,以显示自己的才能。 有的则是为了查找网络漏洞,对网络进行检测和评估,以便使网络更加健壮和安全。,2攻击网络的步骤,第一步是采点扫描,找到攻
9、击的目标。 第二步是进行攻击,获得系统管理的权限。 第三步是种植后门,以便达到长期攻击的目的 第四步是在网络中隐身,防止被发现 由此看来,为了防止黑客攻击,主要是不要使自己的系统留有容易被黑客利用的漏洞,包括系统本身技术方面以及自身麻痹大意等方面。,3扫描实例,扫描是网络攻击的第一步,通过扫描可以直接截获数据包进行信息分析、密码分析或流量分析等 也可以通过扫描查找漏洞,如开放端口、注册用户及口令、系统漏洞等,扫描,(1)用户扫描 (2)扫描漏洞 (3)包扫描,(1)用户扫描,GetNTUser是在Windows NT系列操作系统上运行的用户扫描程序,解压后,不需要安装,可以直接运行。这个程序也
10、是一个窗口环境软件,如图9-1所示,首先添加要扫描的主机,通过“文件添加主机”命令,把要扫描的主机IP地址添加到左侧的主机列表中,然后选中这台主机,单击“工具得到用户列表”命令,这时程序开始扫描主机上的用户,并显示在右侧用户列表中。表中第1列是用户名,第3列是用户口令,这里只给出弱口令。所谓弱口令是指空口令或与用户名相同的口令,这个软件除了可以扫描出用户以外,还可以对用户的口令进行破解。它提供了两种破解口令的方法,一种是字典测试法,另一种是穷举法。字典测试法是通过事先给出的字典文件进行破解。单击“工具设置”按钮,可打开字典文件的设置窗口,如图9-2所示。,单击“设置”按钮可以重新选择别的字典文
11、件。确定后,单击“工具字典测试”则开始按照字典内容进行测试,字典是一个文本格式文件,如图9-3所示,穷举法测试的选项设置可通过选择“工具设置”菜单命令来执行,选择“穷举设置”标签后,出现如图9-4所示对话框,在此对话框中可以设置密码长度、字符集设定等。 确定后,选择“工具穷举测试”命令,即开始对用户的口令进行穷举测试。 穷举测试的功能很强,可以按照规定的字符集进行穷举测试。如果口令比较短,例如23个字符,一般用奔腾计算机只需几分钟就可以把用户的口令扫描出来。 由此可见,为用户设置一个比较好的口令是多么重要,(2)扫描漏洞,X-San软件功能非常强,可以进行多项漏洞的扫描。程序下载后进行解压,解
12、压后不需要安装可以直接运行。 首先选择程序菜单“设置扫描模块”命令,进入如图所示对话框,在这个对话框中可以设置要扫描的项目。,图 “扫描模块”设置,选择“设置扫描参数”命令,出现如图所示对话框,图 “扫描参数”设置,在“指定IP范围”输入框中可以输入地址范围,右侧是扫描报告选项,还可以对其他一些有关的标签进行设置。 基本设置完成后,选择“文件开始扫描”命令,开始进行各项扫描。如图9-7所示窗口,图 正在扫描,扫描完成后可以自动给出扫描结果,如图所示,扫描报告是以网页形式进行显示的。 在这个报告中可以看到扫描的结果,内容包括存活主机、漏洞数量、警告数量和提示数量等。 在报告相应栏目中还可以看到其
13、他的重要信息,如NT弱口令、计算机的名字等,(3)包扫描,所谓包扫描就是通过软件对运行TCP/IP协议时的分组进行扫描。 CuteSniffer就是一个包扫描软件。下载该软件并解压缩后可以进行安装,然后运行程序。现在在HHY1(IP地址为192.168.0.2)计算机上运行命令: ping 192.168.0.1 可以在程序的窗口中看到所抓的包,如图9-9所示。 其中,左侧窗格显示操作的命令树以及所抓的包,在右侧窗格可以看到IP分组以及ICMP的报文。,4.攻击实例,(1)扫描漏洞的存在 (2)RPC缓冲区溢出 (3)用操作系统的net命令进行连接 (4)启动Telnet程序并远程登录 (5)
14、侵入 注:本小节内容可以略去,本节以一个实际攻击的例子介绍网络攻击的手段,目的是了解黑客是如何进行攻击的,以便能够提高对网络安全性的认识,及早做好准备,保证所管理网络的安全。 在任何计算机的操作系统上都存在着未被设计者发现的漏洞,本例以Windows 2000 Server作为被攻击的目标。,(1)扫描漏洞的存在,Windows 2000 Server 的远程过程调用(Remote Procedure Call, RPC)是操作系统一种消息传递功能,它允许应用程序远程呼叫网络上的计算机,当系统启动时RPC服务自动加载。 如果发生RPC缓冲区溢出,就容易受到网络攻击。这个漏洞必须用专门的补丁程序
15、消除,如果没有打补丁,可以用命令: D:scanms.exe 192.168.0.29-192.168.0.213 检测出来,如图9-10所示,其中凡标记“VULN”的主机都存在这个漏洞。,其中凡标记“VULN”的主机都存在这个漏洞。,然后运行: rpcdcom 192.168.0.213 可以使目标主机发生RPC缓冲区溢出,并建立一个用户,用户名为qing10,口令也为qing10,并且已经加入到Administrators组,具有超级用户的权限,如图9-11所示,(2)RPC缓冲区溢出,现在用操作系统提供的net命令 net use 192.168.0.213ipc$ qing10 /us
16、er qing10 进行连接,如图9-12所示。,(3)用操作系统的net命令进行连接,显示命令成功完成。然后再运行openrpcss 192.168.0.213命令重新启动RPC,如图9-13所示。,再运行操作系统命令cscript rtcs.vbe 192.168.0.213 qing10 qing10 1 23,启动目标主机的Telnet程序,如图9-14所示,(4)启动Telnet程序并远程登录,命令中rtcs.vbe是cscript命令的脚本文件,可以从网上下载。启动了Telnet程序后,在本机运行Telnet客户程序,可以远程登录主机,如图9-15所示。,输入“y”,出现如图9-16所示欢迎界面。,出现此界面表示已经通过Telnet远程登录到目标主机,并且已经进入了目标主机的命令提示符状态。运行命令ipconfig,出现如图9-17所示界面,该界面中显示的是目标主机的IP地址。由于现在已经登录到目标主机,所以可以运行各种命令,例如net user命令可以显示用户
