网络安全文档ppt第一页,共五十页几种常见的盗窃数据或几种常见的盗窃数据或 侵入网络的方法侵入网络的方法 本节介绍几种常见的盗窃数据或侵入网络的方法,以使大家能了解网络的脆弱性和网络犯罪分子的恶劣性 1. 窃听窃听(Eavesdropping) 最简易的窃听方式是将计算机连入网络,利用专门的工具软件对在网络上传输的数据包进行分析进行窃听的最佳位置是网络中的路由器,特别是位于关卡处的路由器,它们是数据包的集散地,在该处安装一个窃听程序,可以轻易获取很多秘密 第二页,共五十页 窃听程序的基本功能是收集、分析数据包,高级的窃听程序还提供生成假数据包、解码等功能,甚至可锁定某源服务器(或目标服务器)的特定端口,自动处理与这些端口有关的数据包利用上述功能,可监听他人的联网操作、盗取信息 这里以图为例,说明普通网络通信遭窃听的可能性其中,假设数据由网络传送至网络 第三页,共五十页 可被窃听的位置至少包括: 网络中的计算机 数据包在Internet上途经的每一路由器 网络中的计算机 第四页,共五十页2. 窃取窃取(Spoofing)这种入侵方式一般出现在使用支持信任机制网络中在这种机制下,通常,用户只需拥有合法帐号即可通过认证,因此入侵者可以利用信任关系,冒充一方与另一方连网,以窃取信息。
假设某入侵者欲利用主机A入侵某公司的的内部网络主机B,则其步骤大致如下: 1.确定要入侵的主机B 2.确定主机B所信任的主机A第五页,共五十页3.利用主机X在短时间内发送大量的数据包给A,使之穷于应付 4.利用主机X向B发送源地址为A的数据包 窃取技术的要点如图所示窃取技术的要点如图所示: : 第六页,共五十页3. 会话窃夺会话窃夺(Spoofing) 会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与会话的一方截断,并顶替被截断方继续与另一方进行连接,以窃取信息 会话劫夺不像窃取那样容易防范对于由外部网络入侵内部网络的途径,可用防火墙切断,但对于内、外部网络之间的会话,除了采用数据加密手段外,没有其他方法可保绝对安全 第七页,共五十页以图为例,当主机A正与主机B进行会话时,X切入会话,并假冒B的名义发送数据包给A,通知其中断会话,然后X顶替A继续与B进行会话 会话劫夺过程示意图 第八页,共五十页4. 利用操作系统漏洞利用操作系统漏洞 任何操作系统都难免存在漏洞,包括新一代操作系统操作系统的漏洞大致可分为两部分: 一部分是由设计缺陷造成的一部分是由设计缺陷造成的。
包括协议方面的、网络服务方面的、共用程序库方面的等等 另一部分则是由于使用不得法所致另一部分则是由于使用不得法所致这种由于系统管理不善所引发的漏洞主要是系统资源或帐户权限设置不当第九页,共五十页5. 盗用密码盗用密码 盗用密码是最简单和狠毒的技巧通常有两种方式: 密码被盗用,通常是因为用户不小心被他人“发现”了而“发现”的方法一般是“猜测”猜密码的方式有多种,最常见的是在登录系统时尝试不同的密码,系统允许用户登录就意味着密码被猜中了 另一种比较常见的方法是先从服务器中获得被加密的密码表,再利用公开的算法进行计算,直到求出密码为止,这种技巧最常用于Unix系统 第十页,共五十页6. 木马、病毒、暗门木马、病毒、暗门 计算机技术中的木马木马,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据木马与计算机病毒的区别是,前者不进行自我复制,即不感染其他程序 暗门暗门(trapdoor)又称后门(backdoor),指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的 第十一页,共五十页 病毒病毒是一种寄生在普通程序中、且能够将自身复制到其他程序、并通过执行某些操作,破坏系统或干扰系统运行的“坏”程序。
其不良行为可能是悄悄进行的,也可能是明目张胆实施的,可能没有破坏性,也可能毁掉用户几十年的心血病毒程序除可从事破坏活动外,也可能进行间谍活动,例如,将服务器内的数据传往某个主机等 木马、病毒和暗门都可能对计算机数据资源的安全构成威胁(例如数据被窜改、毁坏或外泄等)免受木马、病毒和暗门威胁的最有效的方法是不要运行来历不明的程序 第十二页,共五十页7. 隐秘通道隐秘通道安装防火墙、选择满足工业标准的的安全结构、对进出网络环境的存储媒体实施严格管制,可起到一定的安全防护作用,但仍然不能保证绝对安全 例如,系统内的木马可以使用如下手段数将据送达外界:约定木马忙碌代表1,不忙碌代表0,当木马忙碌时,因其占用系统资源,计算机的响应速度将便慢,否则,响应速度较高外界接应者可每隔一秒,对计算机的响应速度测试一次,以得知木马是否忙碌,从而可获得数据 但是,通过隐秘通道外运数据的速度通常甚低 第十三页,共五十页10.2 数据加密数据加密 加密指改变数据的表现形式加密的目的是只让特定的人能解读密文,对一般人而言,其即使获得了密文,也不解其义 加密旨在对第三者保密,如果信息由源点直达目的地,在传递过程中不会被任何人接触到,则无需加密。
Internet是一个开放的系统,穿梭于其中的数据可能被任何人随意拦截,因此,将数据加密后再传送是进行秘密通信的最有效的方法 第十四页,共五十页10.6 防火墙技术防火墙技术 10.6. 1 防火墙技术概述防火墙技术概述 防火墙是用来连接两个网络并控制两个网络之间相互访问的系统,如下页图所示它包括用于网络连接的软件和硬件以及控制访问的方案用于对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护网,为网络提供安全保障 防火墙是一类防范措施的总称这类防范措施简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现它可以在IP层设置屏障,也可以用应用层软件来阻止外来攻击 第十五页,共五十页防火墙的主要功能如下: 过滤不安全服务和非法用户,禁止未授权的用户访问受保护网络 控制对特殊站点的访问 提供监视Internet安全和预警的端点 第十六页,共五十页 防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:(1)不能防范绕过防火墙的攻击 (2)一般的防火墙不能防止受到病毒感染的软件或文件的传输 (3)不能防止数据驱动式攻击 (4)难以避免来自内部的攻击 再次指出,防火墙只是网络安全防范策略的一部分,而不是解决所有网络安全问题的灵丹妙药。
第十七页,共五十页 10.6.2 防火墙的类型防火墙的类型 一般说来,只有在Intranet与外部网络连接时才需要防火墙,当然,在Intranet内部不同的部门之间的网络有时也需要防火墙不同的连接方式和功能对防火墙的要求也不一样,为了满足各种网络连接的要求,目前防火墙按照防护原理可以分为三种类型,每类防火墙保护Intranet的方法各不相同 1. 网络级防火墙网络级防火墙 第十八页,共五十页网络级防火墙也称包过滤防火墙,通常由一部路由器或一部充当路由器的计算机组成Internet/Intranet上的所有信息都是以IP数据包的形式传输的,两个网络之间的数据传送都要经过防火墙包过滤路由器对所接收的每个数据包进行审查,以便确定其是否与某一条包过滤规则匹配 包过滤防火墙是一种基于网络层的安全技术,对于应用层上的黑客行为无能为力这一类的防火墙产品主要有防火墙路由器、在充当路由器的计算机上运行的防火墙软件等 第十九页,共五十页 2. 应用级防火墙应用级防火墙 应用级防火墙通常指运行代理(Proxy)服务器软件的一部计算机主机采用应用级防火墙时,Intranet与Internet间是通过代理服务器连接的,二者不存在直接的物理连接,代理服务器的工作就是把一个独立的报文拷贝从一个网络传输到另一个网络。
这种方式的防火墙把Intranet与Internet物理隔开,能够满足高安全性的要求但由于该软件必须分析网络数据包并作出访问控制决定,从而影响网络的性能 第二十页,共五十页 3. 电路级防火墙电路级防火墙 电路级防火墙也称电路层网关,是一个具有特殊功能的防火墙,它可以由应用层网关来完成.它就像电线一样,只是在内部连接和外部连接之间来回拷贝字节但是由于连接要穿过防火墙,其隐藏了受保护网络的有关信息与应用级防火墙相似,电路级防火墙也是代理服务器,只是它不需要用户配备专门的代理客户应用程序另外,电路级防火墙在客户与服务器间创建了一条电路,双方应用程序都不知道有关代理服务的信息 第二十一页,共五十页 4.状态监测防火墙状态监测防火墙 在网关上使用执行网络安全策略的监测模块,在不影响网络正常运行的前提下,采用抽取相关数据的方法,对网络通信的各层实时监测,提取状态信息作为执行安全策略的参考一旦某个访问违反安全规则,就会被拒绝访问并记录之状态监测防火墙的智能化程度较高,安全性较好,但会影响网络速度,配置也较复杂 第二十二页,共五十页防火墙的结构防火墙的结构 构建防火墙系统的目的是为了最大程度地保护Intranet的安全,前面提到的防火墙的三种类型也各有其优缺点。
将它们正确地组合使用,形成了目前流行的防火墙结构 1 1双宿主机网关双宿主机网关 双宿堡垒主机 第二十三页,共五十页 2. 屏蔽主机网关屏蔽主机网关 屏蔽主机网关易于实现也很安全,因此应用广泛它有单宿堡垒主机和双宿堡垒主机两种类型 第二十四页,共五十页 3 3屏蔽子网屏蔽子网 这种方法是在内部网络与外部网络之间建立一个起隔离作用的子网第二十五页,共五十页7.3.1 ISA Server 2000简介简介ISA Server 2000(以下简称ISA Server)是微软推出的基于Windows 2000的企业级防火墙和Web缓存服务器防火墙用于保护网络资源免受黑客入侵和拒绝未经授权的访问;Web缓存服务器用于为用户提供更高的Web访问速度1ISA Server的版本2ISA Server的用途3ISA Server的可伸缩性4ISA Server的可扩展性5ISA Server的体系结构6ISA Server的管理功能第二十六页,共五十页7.3.2 ISA Server安装方案规划安装方案规划7.3.2.1 ISA Server对运行平台的要求对运行平台的要求1最低要求最低要求2防火墙要求防火墙要求预计吞吐量CPUInternet连接125MB/sPentium II,300 MHzT1,电缆调制解调器,或xDSL2550MB/s Pentium III,550 MHz T3 或更高高于50MB/s每50MB/s一台Pentium III,550 MHz计算机T3 或更高3 3正向缓存要求正向缓存要求用户数量ISA Server 计算机内存 (MB)分配给缓存的磁盘空间250以内 Pentium II,300 MHz,单一ISA Server256 24 GB 2000以内 Pentium III,550 MHz,单一ISA Server256 10 GB 超过2000每2000用户一台Pentium III,550 MHz的ISA Server每2000用户256每2000用户10 GB4 4发布和反向缓存要求发布和反向缓存要求点击率(1/秒)ISA Server内存(MB)低于500 Pentium II,300 MHz的单一ISA server256500900 Pentium III,550 MHz的单一ISA server256高于900点击率每增加800,添加一台Pentium III,550 MHz的ISA Server每台服务器256第二十七页,共五十页。
4发布和反向缓存要求发布和反向缓存要求点击率(1/秒)ISA Server内存(MB)低于500 Pentium II,300 MHz的单一ISA server256500900 Pentium III,550 MHz的单一ISA serve。