《第6章 网络安全》由会员分享,可在线阅读,更多相关《第6章 网络安全(22页珍藏版)》请在金锄头文库上搜索。
1、第6章 网络安全6.3 漏洞扫描与网络隔离技术随着计算机技术和互联网的迅速发展,来自网络的攻击每年呈几何级数增多。这些攻击中的大多数是利用计算机操作系统或其他软件系统的漏洞(vulnerability)而实施的。针对层出不穷的系统安全漏洞,微软等软件厂商都会定期发布漏洞报告并提供补丁,但由于用户群的数量巨大,分布很广,很多情况下不能及时对系统进行更新,使得攻击者有可乘之机。而随着操作系统、数据库等软件系统的越来越复杂,出现漏洞的数量逐年增多,频率也比以前大大增加了。下表是来自美国卡内基梅隆大学计算机应急响应小组(CERT/CC)的统计数字,显示了1998年以来该组织收到的计算机漏洞报告的数量。
2、表6-3 CERT/CC历年漏洞报告数量统计从表中可以看出,2000年以后,每年新发现的漏洞数量已经数以百计,远远高于2000年以前的情况。而这还只是官方的统计,还有很多漏洞在民间发现后未报告给官方组织,也没有相应的安全补丁。随着攻击技术的发展,漏洞不但数量上呈爆发式增加,而且每个漏洞被首次发现和此漏洞被成功利用形成攻击的时间间隔也越来越短,从几个月、几周缩小到几天,甚至出现了所谓“零日攻击”,即漏洞公开和攻击形成之间几乎没有以“天”计算的时间间隔。例如,2004年3月份出现的维迪(Worm_Witty.A)病毒,利用美国ISS公司产品的安全漏洞感染破坏使用运行该公司产品的主机,该病毒是在漏洞
3、公布的第二天就出现了,几近于“零日攻击”。这给信息系统的安全带来了十分严峻的挑战。本节将从漏洞介绍人手,首先介绍漏洞的概念和漏洞的分类,然后在简要描述漏洞扫描技术的基础上,对目前流行的几种商用和非商用漏洞扫描器产品给予介绍,最后介绍网络隔离技术。6.3.1 漏洞及其分类1. 漏洞的概念漏洞,也叫脆弱点,英文叫做vulnerability,是指在计算机硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。例如,在Intel Pentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Window
4、s 2000中的DCOM缓冲区溢出问题,在UNIX系统管理员设置匿名rtp服务时配置不当的问题等都是漏洞,它们可能被攻击者利用进而威胁到系统的安全。2. 漏洞的时间与空间特性漏洞会在很大范围内对各种软硬件设备的安全产生影响,包括操作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。简而言之,任何软硬件设备中都可能存在漏洞,在同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些被逐步发现的漏洞也会由系
5、统供应商发布的补丁所修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中的漏洞的同时。也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现,漏洞问题也会长期存在。对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的发展动态,这一点同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪,就没有谈论系统安全漏洞问题的发言权,即使是以前所做的工作也会逐渐失去价值。3. 漏洞的分类漏洞的分类方法很多,也没有统一的标准。事实上各种分类方式都是为了采取措施的方便,按照所能够采用的措施来分别对付各类漏洞。传统上习惯于按照形成漏洞的原因来分
6、类,但有时候也是很难明确界定的,因为对漏洞研究的不同抽象层次,会对同一个漏洞做出不同的分类。因而,事实上至今也不存在完美分类方案。下面按照漏洞的形成原因,粗略划分了几个类别。(1)输入验证错误大多数的缓冲区溢出漏洞和脚本注入、SQL注入类漏洞都是由于未对用户提供的输入数据的合法性做适当的检查而导致的。这类漏洞在目前来看是攻击者最感兴趣的,许多恶意代码程序就是利用了此类漏洞达成攻击目的。(2)访问验证错误漏洞的产生是由于程序代码的某些部分存在可利用的逻辑错误,使绕过访问控制成为可能。分析下面的伪代码: Switch (职位) case“员工”: Employee(); break; case“部
7、门经理”: Manager(); case“总经理”: JeneralManager(); break; 在“部门经理”的分支中,由于漏掉了中断语句“break”,使得只有总经理才能执行的JeneralManager函数得以执行,这就为攻击者提供了一个机会,使得以低级别职员的身份就可以执行只有高级别职员才能执行的操作。这就是个典型的访问验证类逻辑错误。(3) 同步问题这类漏洞源于程序处理各种系统对象时在同步方面存在问题,处理的过程中可能存在一个时机,使攻击者能够施加外来的影响。例如,早期的Solaris系统的查看进程状态的命令ps就存在这种类型的漏洞。“ps”在执行的时候会在/tmp产生一个临
8、时文件,然后把使用修改文件所有者的“chown”命令改为root。这样,就导致了非root用户可以产生root拥有的文件。有经验的攻击者可以以这个文件为突破口获得root权限。(4) 异常处理的疏漏这类漏洞的产生在于程序在它的实现逻辑中没有考虑到一些意外情况。例如,基于数据库的Web程序当出现数据库错误时,将错误信息返回客户端并显示在页面上,这样会给攻击者提供一些信息,使其可以找到入侵系统的办法。(5) 配置错误这类漏洞是由于系统和应用的配置有误。例如,软件安装在错误的地方、采用了不合理的配置参数、在访问权限的控制上不够严格或者系统的安全策略存在问题。(6) 由系统环境引发的问题一些系统的环境
9、变量发生变化时,可能会给攻击者提供可乘之机。例如,攻击者可能通过重置shell的内部分界符IFS,shell的转义字符,或其他环境变量,导致有问题的特权程序去执行攻击者指定的程序。RedHat Linux的dump程序漏洞就是这种类型。(7) 其他错误不属于以上类型的其他漏洞。6.3.2 网络扫描技术我们一般所说的网络漏洞扫描,实际上是对网络安全扫描技术的一个俗称。事实上安全扫描技术分为两类:(1) 主机安全扫描技术。主机安全扫描技术的原理很简单,就是采用各种攻击脚本对主机操作系统、应用程序和各种服务进行模拟攻击探测,以发现不当配置和已知漏洞。主机安全扫描技术一般是在主机上本地进行的,大部分情
10、况下需要有主机的管理员权限。(2) 网络安全扫描技术。网络安全扫描技术则是一种基于网络的扫描,通过网络远程检测目标网络或主机的安全性脆弱点。通过网络安全扫描,能够发现网络中各设备的TCP/IP端口的分配使用情况、开放服务的情况、操作系统软件版本等,最终可以综合得到这些设备及软件在网络上呈现出的安全漏洞。网络安全扫描技术利用一系列的脚本对网络发起模拟攻击,分析结果并判断网络是否有可能被攻击崩溃。下面内容将着重介绍网络安全扫描技术。1. 网络安全扫描的功能网络安全扫描不仅仅能够扫描并检测是否存在已知漏洞,还可以发现一些可疑情况和不当配置,如不明端口、弱口令等。网络安全扫描技术与防火墙、入侵检测系统
11、互相配合,能够有效提高网络的安全性。通过对网络的扫描,可以了解网络的配置是否得当以及正在运行的应用程序和服务是否安全。如果说防火墙和网络监控系统是被动的防御手段,那么网络安全扫描就是一种主动的防范措施,可以在遭受攻击之前就发现可能遭受的攻击,从而采取措施。网络安全扫描技术提供的信息可以用在多种场合。例如,网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范;而系统安全评估组织则可以根据扫描的结论判断当前网络的安全态势,从而为评定系统的安全等级提供重要依据。2. 网络安全扫描的原理一次完整的网络安全扫描分为三个阶段:第一阶段:发现目标主机或网络。这一阶段的主要技术
12、是ping探测,通过发送ICMP报文帮助识别系统是否处于活动状态。 第二阶段:发现目标后进一步搜集目标信息,包括操作系统类型、开放的端口、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。这其中涉及到操作系统识别技术、TCP/IP栈指纹技术等。第三阶段:根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。网络安全扫描主要用到的技术手段是端口扫描技术和漏洞扫描技术。端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术,且在当前较成熟的网络扫描器中被广泛应用。(1) 端口扫描技术及其原理一个端口就是一个潜在的通信通道,也是一
13、个潜在的人侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,它使系统用户了解系统目前向外界提供了哪些服务,从而为系统用户管理网络提供了一种手段。端口扫描的原理很容易理解,就是向目标设备的TCP/IP服务端口发送探测数据包,并记录目标设备的响应。通过分析响应来判断端口是打开还是关闭,也可以综合分析主机的响应报文,得知端口提供的服务或信息。端口扫描的经典方法是TCP全连接扫描,其他的方法还有TCP半连接扫描、代理扫描、FTP跳跃扫描、TCP反转标识扫描和秘密(Steahh)扫描等。本书以前二者为例介绍端口扫描的一般原理,对于更为复杂的扫描方法感兴趣的读者可以自行查阅相关文献。j 全连接扫描。
14、全连接扫描是TCP端口扫描的基础,现有的全连接扫描有TCP connect扫描和TCP反向ident扫描等。其中TCP connect扫描的实现原理如下所述:扫描主机通过。TCP/IP协议的三次握手与目标设备的指定端口建立一次完整的连接。连接由执行扫描的主机调用connect开始,如果被扫描端口开放,则连接将建立成功;否则,若返回-l则表示该端口关闭。建立连接成功时,目标设备回应一个SYN/ACK数据包,这一响应表明目标设备的目标端口处于监听(打开)状态;建立连接失败时,目标设备会向扫描主机发送RST的响应,表明该目标端口处于关闭状态。k 半连接(SYN)扫描。若端口扫描没有完成一个完整的TC
15、P连接,在扫描主机和目标设备的指定端口建立连接时只完成了前两次握手,在第三步时扫描主机中断了本次连接,使连接没有完全建立起来,这样的端口扫描称为半连接扫描,也称为间接扫描。现有的半连接扫描有TCP SYN扫描和IP ID头dumb扫描等。SYN扫描的优点在于,即使目标设备日志中对扫描有所记录,也会比全扫描少得多。缺点是在大部分操作系统下,扫描主机需要构造适用于这种扫描的IP包。通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。 (2) 漏洞扫描技术及其原理 漏洞扫描主要通过以下两种方法来检查目标设备是否存在漏洞: j 漏洞库匹配方法。端口扫描后可以知道目标设备开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。基于网络系统漏洞库,漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于网络系统漏洞库,将扫描结果与网络系统漏洞库相关数据匹配比较得到漏洞信息。 漏洞库匹配方法的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后在此基础之上构成相应的匹配规则,由扫描程序自动地进行漏洞
