《基于宽带接入的局域网安全管理问题分析.doc》由会员分享,可在线阅读,更多相关《基于宽带接入的局域网安全管理问题分析.doc(14页珍藏版)》请在金锄头文库上搜索。
1、基于宽带接入的局域网安全管理问题分析http:/ 随着计算机应用的普及和宽带网络技术的发展,目前宽带接入方式已成为企业内部计算机网络(Intranet)接入国际互连网(Inetrnet)的主要途径与方式,许多企业还通过这种方式建立了自己的网站,通过Internet对外提供各种信息和服务。在这种形式下,如何有效的预防和检测来自Internet的黑客攻击和病毒入侵已成为当前网络安全领域的重要课题,作为一名合格的网络管理员,必须要能敏锐地,及时地发现和处理网络中特别是网络服务器中存在的系统漏洞和安全隐患,有效的抑制制和防止黑客的非法攻击。网络安全是一个十分复杂的问题,它的划分也是多种多样的,但大体上
2、可以分为物理硬件层和系统软件层,网络内部和网络之间。如下表。为何会产生网络安全的问题?这与人有意或无意也有关系,以上表的划分,安全问题产生于以下几方面:网内硬件方面,即局域网的硬件方面。它主要包括网络的电源供应(UPS不间断电源)和网络的连接等。网络的电源供应的目的是保证网络在有可能预见的突发性的非正常电源供应情况下,为网络(主指服务器、交换机等网络的主干设备)提供一种短时的能量支持。网络的连接又分为线路的连接和设备的接入,线路的连接虽然是在网络的架设时所考虑的问题,但要必免因线路串扰而影响到线路的通信,以及布线的不合理造成的因线路过长而引发的信号衰减和线路因长期裸露意外遭到的外力的意外或有意
3、的伤害等;设备的接入是指网络的功能部件(如打印服务器、文件服务器和应用服务器等)在网络中正常连接。 网间硬件方面很少被提及,主要是因为这种网络,在工程实施时为保证数据的远距离传输,所使用的一般都是造价高但质量好的连接设备,出现故障的概率较低。但收由于线路过长,一旦出现问题却很难及时发现故障所在地,从而延缓了处理时间,像2001年初的中美海底光缆挂断的类似事件还时有发生。网内软件层,根据网络实现的功能上的差异,不同用途的局域网(办公网、专用存储网、校园网以及运算处理网等)的安全侧重点也不尽相同。网间软件层,就是局域网接入外网。也就是我们一般所讨论的网络安全,主要包括系统漏洞、数据遭更改或泄露、安
4、全策略配置不当、网络攻击、病毒入侵等。而能否抵抗网络攻击,又几乎成为衡量这个网络安全与否的标准。 网络攻击什么是攻击,难道仅仅发生在入侵行为完全完成且入侵者已侵入目标网络内才算是攻击?一切可能使得网络受到破坏的行为都应称之为攻击。就拿一个很常见的现象来说吧,很多在互联网中具有固定IP的服务器,每天都要受到数以百计的端口扫描和试图侵入,虽然不一定会被攻克,但你总不能说它没有受到攻击。在正式攻击之前,攻击者一般都会先进行试探性攻击,目标是获取系统有用的信息,此时比较常用的包括ping扫描,端口扫描,帐户扫描,dns转换,以及恶性的ip sniffer(通过技术手段非法获取ip packet,获得系
5、统的重要信息,来实现对系统的攻击,后面还会详细讲到),特洛依木马程序等。如果在某一个集中的时期内,有人在频繁得对你所管理的网络进行试探攻击,或有不明身份的用户经常连入网络,这时网络管理员就要注意了,你该好好分析一下日志文件,并对系统好好检查检查了。通常,在正式攻击之前,攻击者先进行试探性攻击,目标是获取系统有用的信息,此时比较常用的包括ping扫描,端口扫描,帐户扫描,dns转换,以及恶性的ip sniffer(通过技术手段非法获取ip packet,获得系统的重要信息,来实现对系统的攻击,后面还会详细讲到),特洛依木马程序等。这时的被攻击状态中的网络经常会表现出一些信号,特征,例如:2.1
6、收集信息攻击:经常使用的工具包括:NSS, Strobe,Netscan, SATAN(Security Aadministrators Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各种sniffer.广义上说,特洛依木马程序也是收集信息攻击的重要手段。收集信息攻击有时是其它攻击手段的前奏。对于简单的端口扫描,敏锐的安全管理员往往可以从异常的日志记录中发现攻击者的企图。但是对于隐秘的sniffer和trojan程序来说,检测就是件更高级和困难的任务了。2.1.1 sniffer 它们可以截获口令等非常秘密的或专用的信息,甚
7、至还可以用来攻击相邻的网络,因此,网络中sniffer的存在,会带来很大的威胁。这里不包括安全管理员安装用来监视入侵者的sniffer,它们本来是设计用来诊断网络的连接情况的.它可以是带有很强debug功能的普通的网络分析器,也可以是软件和硬件的联合形式。现在已有工作于各种平台上的sniffer,例如 Gobbler(MS-DOS) ETHLOAD(MS-DOS) Netman(Unix) Esniff.c(SunOS) Sunsniff(SunOS) Linux-sniffer.c(Linux) NitWit.c(SunOS) etc. 检测sniffer的存在是个非常困难的任务,因为sni
8、ffer本身完全只是被动地接收数据,而不发送什么。并且上面所列的sniffer程序都可以在internet上下载到,其中有一些是以源码形式发布的(带有.c扩展名的)。 一般来讲,真正需要保密的只是一些关键数据,例如用户名和口令等。使用ip包一级的加密技术,可以使sniffer即使得到数据包,也很难得到真正的数据本身。这样的工具包括 secure shell(ssh),以及F-SSH, 尤其是后者针对一般利用tcp/ip进行通信的公共传输提供了非常强有力的,多级别的加密算法。ssh有免费版本和商业版本,可以工作在unix上,也可以工作在windows 3.1, windows 95, 和wind
9、ows nt另外,采用网络分段技术,减少信任关系等手段可以将sniffer的危害控制在较小范围以内,也为发现sniffer的主人提供了方便.2.1.2 Trojan这是一种技术性攻击方式. RFC1244中给出了trojan程序的经典定义:特洛依木马程序是这样一种程序,它提供了一些有用的,或仅仅是有意思的功能。但是通常要做一些用户不希望的事,诸如在你不了解的情况下拷贝文件或窃取你的密码, 或直接将重要资料转送出去,或破坏系统等等. 特洛依程序带来一种很高级别的危险,因为它们很难被发现,在许多情况下,特洛依程序是在二进制代码中发现的,它们大多数无法直接阅读,并且特洛依程序可以作用在许许多多系统上
10、,它的散播和病毒的散播非常相似。从internet上下载的软件,尤其是免费软件和共享软件,从匿名服务器或者usernet新闻组中获得的程序等等都是十分可疑的. 所以作为关键网络中的用户有义务明白自己的责任,自觉作到不轻易安装使用来路不清楚的软件. 2.2 denial of service:这是一类个人或多个人利用internet协议组的某些方面妨碍甚至关闭其它用户对系统和信息的合法访问的攻击. 其特点是以潮水般的连接申请使系统在应接不暇的状态中崩溃。对于大型网络而言,此类攻击只是有限的影响, 但是却可能导致较小网络退出服务, 遭到重创. 这是最不容易捕获的一种攻击,因为不留任何痕迹,安全管理
11、人员不易确定攻击来源。由于这种攻击可以使整个系统瘫痪,并且容易实施,所以非常危险。但是从防守的角度来讲,这种攻击的防守也比较容易. 攻击者通过此类攻击不会破坏系统数据或获得未授权的权限, 只是捣乱和令人心烦而已. 例如使网络中某个用户的邮箱超出容限而不能正常使用等.典型的攻击包括如E-mail炸弹, 邮件列表连接, 2.2.1 Email炸弹它是一种简单有效的侵扰工具. 它反复传给目标接收者相同的信息, 用这些垃圾拥塞目标的个人邮箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 运行在windows平台上,使用非常简单. unix平台上发起email bomb
12、攻击更为简单, 只需简单几行shell程序即可让目标邮箱内充满垃圾. 它的防御也比较简单. 一般邮件收发程序都提供过滤功能, 发现此类攻击后, 将源目标地址放入拒绝接收列表中即可.2.2.2 邮件列表连接它产生的效果同邮件炸弹基本相同. 将目标地址同时注册到几十个(甚至成百上千)个邮件列表中, 由于一般每个邮件列表每天会产生许多邮件, 可以想象总体效果是什么样子. 可以手工完成攻击, 也可以通过建立邮件列表数据库而自动生成. 对于邮件列表连接,尚没有快速的解决办法. 受害者需要把包含注销unsubscribe信息的邮件发往每个列表. 许多程序能够同时完成两种攻击, 包括Up yours(Win
13、dows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.2.2.3 其它还有一些针对其它服务的攻击, 例如Syn-Flooder, Ping of Death(发送异常的很大的进行ping操作的packet来攻击windows nt), DNSkiller(运行在linux平台上, 攻击windows nt平台上的dns服务器)等。在路由的
14、层次上,对数据流进行过滤, 通过合适的配置会减少遭受此类攻击的可能性.Cisco Systems就提供了路由级的解决方案.2.3 spoofing attack(电子欺骗):针对http,ftp,dns等协议的攻击,可以窃取普通用户甚至超级用户的权限,任意修改信息内容,造成巨大危害。所谓ip欺骗,就是伪造他人的源ip地址。其实质上就是让一台机器来扮演另一台机器,借以达到蒙混过关的目的。下面一些服务相对来说容易招致此类攻击: 任何使用sunrpc调用的配置;rpc指sun公司的远程过程调用标准,是一组工作于网络之上的处理系统调用的方法。 任何利用ip地址认证的网络服务 mit的xwindow系统
15、 各种r服务: 在unix环境中,r服务包括rlogin和rsh,其中r表示远程。人们设计这两个应用程序的初衷是向用户提供远程访问internet网络上主机的服务。r服务极易受到ip欺骗的攻击几乎所有的电子欺骗都倚赖于目标网络的信任关系(计算机之间的互相信任,在unix系统中,可以通过设置rhosts和host.equiv 来设置)。入侵者可以使用扫描程序来判断远程机器之间的信任关系。这种技术欺骗成功的案例较少,要求入侵者具备特殊的工具和技术(,并且现在看来对非unix系统不起作用)。另外spoofing的形式还有dns spoofing等。 解决的途径是慎重设置处理网络中的主机信任关系,尤其是不同网络之间主机的信任关系。如只存在局域网内的信任关系,可以设置路由器使之过滤掉外部网络中自称源地址为内部网络地址的ip包,来抵御ip欺骗。下面一些公司的产品提供了这种功能 Cisco System 公司的安全软件包可以测试网络在ip欺骗上的漏洞。 etc.国际黑客已经进入有组织有计划地进行网络攻击阶段,美国政府有意容忍黑客组织的活动,目的是使黑客的攻击置于一定的控制之下,并且通过这一渠道获得防范攻击的实战经验。国际黑客组织已经发展出不少逃避检
