- 相关推荐
基于宽带接入的局域网安全管理问题分析
基于宽带接入的局域网安全管理问题分析
2002中南地区广播电视技术年会优秀论文三等奖随着计算机应用的普及和宽带网络技术的发展,目前宽带接入方式已成为企业内部计算机网络(Intranet)接入国际互连网(Inetrnet)的主要途径与方式,许多企业还通过这种方式建立了自己的网站,通过Internet对外提供各种信息和服务。在这种形式下,如何有效的预防和检测来自Internet的黑客攻击和病毒入侵已成为当前网络安全领域的重要课题,作为一名合格的网络管理员,必须要能敏锐地,及时地发现和处理网络中特别是网络服务器中存在的系统漏洞和安全隐患,有效的抑制制和防止黑客的非法攻击。
网络安全是一个十分复杂的问题,它的划分也是多种多样的,但大体上可以分为物理硬件层和系统软件层,网络内部和网络之间。如下表。
为何会产生网络安全的问题?这与人有意或无意也有关系,以上表的划分,安全问题产生于以下几方面:
网内硬件方面,即局域网的硬件方面。它主要包括网络的电源供应(UPS不间断电源)和网络的连接等。网络的电源供应的目的是保证网络在有可能预见的突发性的非正常电源供应情况下,为网络(主指服务器、交换机等网络的主干设备)提供一种短时的能量支持。网络的连接又分为线路的连接和设备的接入,线路的连接虽然是在网络的架设时所考虑的问题,但要必免因线路串扰而影响到线路的通信,以及布线的不合理造成的因线路过长而引发的信号衰减和线路因长期裸露意外遭到的外力的意外或有意的伤害等;设备的接入是指网络的功能部件(如打印服务器、文件服务器和应用服务器等)在网络中正常连接。
网间硬件方面很少被提及,主要是因为这种网络,在工程实施时为保证数据的远距离传输,所使用的一般都是造价高但质量好的连接设备,出现故障的概率较低。但收由于线路过长,一旦出现问题却很难及时发现故障所在地,从而延缓了处理时间,像2001年初的中美海底光缆挂断的类似事件还时有发生。
网内软件层,根据网络实现的功能上的差异,不同用途的局域网(办公网、专用存储网、校园网以及运算处理网等)的安全侧重点也不尽相同。网间软件层,就是局域网接入外网。也就是我们一般所讨论的网络安全,主要包括系统漏洞、数据遭更改或泄露、安全策略配置不当、网络攻击、病毒入侵等。而能否抵抗网络攻击,又几乎成为衡量这个网络安全与否的标准。
网络攻击
什么是攻击,难道仅仅发生在入侵行为完全完成且入侵者已侵入目标网络内才算是攻击?一切可能使得网络受到破坏的行为都应称之为攻击。就拿一个很常见的现象来说吧,很多在互联网中具有固定IP的服务器,每天都要受到数以百计的端口扫描和试图侵入,虽然不一定会被攻克,但你总不能说它没有受到攻击。在正式攻击之前,攻击者一般都会先进行试探性攻击,目标是获取系统有用的信息,此时比较常用的包括ping扫描,端口扫描,帐户扫描,dns转换,以及恶性的ip sniffer(通过技术手段非法获取ip packet,获得系统的重要信息,来实现对系统的攻击,后面还会详细讲到),特洛依木马程序等。如果在某一个集中的时期内,有人在频繁得对你所管理的网络进行试探攻击,或有不明身份的用户经常连入网络,这时网络管理员就要注意了,你该好好分析一下日志文件,并对系统好好检查检查了。
通常,在正式攻击之前,攻击者先进行试探性攻击,目标是获取系统有用的信息,此时比较常用的包括ping扫描,端口扫描,帐户扫描,dns转换,以及恶性的ip sniffer(通过技术手段非法获取ip packet,获得系统的重要信息,来实现对系统的攻击,后面还会详细讲到),特洛依木马程序等。这时的被攻击状态中的网络经常会表现出一些信号,特征,例如:
2.1 收集信息攻击:
经常使用的工具包括:NSS, Strobe,Netscan, SATAN(Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各种sniffer.广义上说,特洛依木马程序也是收集信息攻击的重要手段。收集信息攻击有时是其它攻击手段的前奏。对于简单的端口扫描,敏锐的安全管理员往往可以从异常的日志记录中发现攻击者的企图。但是对于隐秘的sniffer和trojan程序来说,检测就是件更高级和困难的任务了。
2.1.1 sniffer
它们可以截获口令等非常秘密的或专用的信息,甚至还可以用来攻击相邻的网络,因此,网络中sniffer的存在,会带来很大的威胁。这里不包括安全管理员安装用来监视入侵者的sniffer,它们本来是设计用来诊断网络的连接情况的.它可以是带有很强debug功能的普通的网络分析器,也可以是软件和硬件的联合形式。现在已有工作于各种平台上的sniffer,例如
· Gobbler(MS-DOS)
· ETHLOAD(MS-DOS)
· Netman(Unix)
· Esniff.c(SunOS)
· Sunsniff(SunOS)
· Linux-sniffer.c(Linux)
· NitWit.c(SunOS)
· etc.
检测sniffer的存在是个非常困难的任务,因为sniffer本身完全只是被动地接收数据,而不发送什么。并且上面所列的sniffer程序都可以在internet上下载到,其中有一些是以源码形式发布的(带有.c扩展名的)。
一般来讲,真正需要保密的只是一些关键数据,例如用户名和口令等。使用ip包一级的加密技术,可以使sniffer即使得到数据包,也很难得到真正的数据本身。这样的工具包括 secure shell(ssh),以及F-SSH, 尤其是后者针对一般利用tcp/ip进行通信的公共传输提供了非常强有力的,多级别的加密算法。ssh有免费版本和商业版本,可以工作在unix上,也可以工作在windows 3.1, windows 95, 和windows nt.
另外,采用网络分段技术,减少信任关系等手段可以将sniffer的危害控制在较小范围以内,也为发现sniffer的主人提供了方便.
2.1.2 Trojan
这是一种技术性攻击方式. RFC1244中给出了trojan程序的经典定义:特洛依木马程序是这样一种程序,它提供了一些有用的,或仅仅是有意思的功能。但是通常要做一些用户不希望的事,诸如在你不了解的情况下拷贝文件或窃取你的密码, 或直接将重要资料转送出去,或破坏系统等等. 特洛依程序带来一种很高级别的危险,因为它们很难被发现,在许多情况下,特洛依程序是在二进制代码中发现的,它们大多数无法直接阅读,并且特洛依程序可以作用在许许多多系统上,它的散播和病毒的散播非常相似。从internet上下载的软件,尤其是免费软件和共享软件,从匿名服务器或者usernet新闻组中获得的程序等等都是十分可疑的. 所以作为关键网络中的用户有义务明白自己的责任,自觉作到不轻易安装使用来路不清楚的软件.
2.2 denial of service:
这是一类个人或多个人利用internet协议组的某些方面妨碍甚至关闭其它用户对系统和信息的合法访问的攻击. 其特点是以潮水般的连接申请使系统在应接不暇的状态中崩溃。对于大型网络而言,此类攻击只是有限的影响, 但是却可能导致较小网络退出服务, 遭到重创.
这是最不容易捕获的一种攻击,因为不留任何痕迹,安全管理人员不易确定攻击来源。由于这种攻击可以使整个系统瘫痪,并且容易实施,所以非常危险。但是从防守的角度来讲,这种攻击的防守也比较容易. 攻击者通过此类攻击不会破坏系统数据或获得未授权的权限, 只是捣乱和令人心烦而已. 例如使网络中某个用户的邮箱超出容限而不能正常使用等.
典型的攻击包括如E-mail炸弹, 邮件列表连接,
2.2.1 Email炸弹
它是一种简单有效的侵扰工具. 它反复传给目标接收者相同的信息, 用这些垃圾拥塞目标的个人邮箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 运行在windows平台上,使用非常简单. unix平台上发起email bomb攻击更为简单, 只需简单几行shell程序即可让目标邮箱内充满垃圾.
它的防御也比较简单. 一般邮件收发程序都提供过滤功能, 发现此类攻击后, 将源目标地址放入拒绝接收列表中即可.
2.2.2 邮件列表连接
它产生的效果同邮件炸弹基本相同. 将目标地址同时注册到几十个(甚至成百上千)个邮件列表中, 由于一般每个邮件列表每天会产生许多邮件, 可以想象总体效果是什么样子. 可以手工完成攻击, 也可以通过建立邮件列表数据库而自动生成. 对于邮件列表连接,尚没有快速的解决办法. 受害者需要把包含注销"unsubscribe"信息的邮件发往每个列表.
许多程序能够同时完成两种攻击, 包括Up yours(Windows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.
2.2.3 其它
还有一些针对其它服务的攻击, 例如Syn-Flooder, Ping of Death(发送异常的很大的进行ping操作的packet来攻击windows nt), DNSkiller(运行在linux平台上, 攻击windows nt平台上的dns服务器)等。
在路由的层次上,对数据流进行过滤, 通过合适的配置会减少遭受此类攻击的可能性.Cisco Systems就提供了路由级的解决方案.
2.3 spoofing attack(电子欺骗):
针对http,ftp,dns等协议的攻击,可以窃取普通用户甚至超级用户的权限,任意修改信息内容,造成巨大危害。所谓ip欺骗,就是伪造他人的源ip地址。其实质上就是让一台机器来扮演另一台机器,借以达到蒙混过关的目的。下面一些服务相对来说容易招致此类攻击:
· 任何使用sunrpc调用的配置;rpc指sun公司的远程过程调用标准,是一组工作于网络之上的处理系统调用的方法。
· 任何利用ip地址认证的网络服务
· mit的xwindow系统
· 各种r服务: 在unix环境中,r服务包括rlogin和rsh,其中r表示远程。人们设计这两个应用程序的初衷是向用户提供远程访问internet网络上主机的服务。r服务极易受到ip欺骗的攻击
几乎所有的电子欺骗都倚赖于目标网络的信任关系(计算机之间的互相信任,在unix系统中,可以通过设置rhosts和host.equiv 来设置)。入侵者可以使用扫描程序来判断远程机器之间的信任关系。这种技术欺骗成功的案例较少,要求入侵者具备特殊的工具和技术(,并且现在看来对非unix系统不起作用)。另外spoofing的形式还有dns spoofing等。
解决的途径是慎重设置处理网络中的主机信任关系,尤其是不同网络之间主机的信任关系。如只存在局域网内的信任关系,可以设置路由器使之过滤掉外部网络中自称源地址为内部网络地址的ip包,来抵御ip欺骗。下面一些公司的产品提供了这种功能
· Cisco System
· iss.net公司的安全软件包可以测试网络在ip欺骗上的漏洞。
· etc.
国际黑客已经进入有组织有计划地进行网络攻击阶段,美国政府有意容忍黑客组织的活动,目的是使黑客的攻击置于一定的控制之下,并且通过这一渠道获得防范攻击的实战经验。国际黑客组织已经发展出不少逃避检测的技巧. 使得攻击与安全检测防御的任务更加艰巨.
3 入侵层次分析:
3.1 敏感层的划分
使用敏感层的概念来划分标志攻击技术所引起的危险程度.
1 邮件炸弹攻击(emailbomb)(layer1)
2 简单服务拒绝攻击(denial of service)(layer1+)
3 本地用户获得非授权读访问(layer2)
4 本地用户获得他们非授权的文件写权限(layer3)
5 远程用户获得非授权的帐号(layer3+)
6 远程用户获得了特权文件的读权限(layer4)
7 远程用户获得了特权文件的写权限(layer5)
8 远程用户拥有了根(root)权限(黑客已攻克系统)(layer6)
以上层次划分在所有的网络中几乎都一样,基本上可以作为网络安全工作的考核指标。
"本地用户"(local user)是一种相对概念。它是指任何能自由登录到网络上的任何一台主机上,并且在网络上的某台主机上拥有一个帐户,在硬盘上拥有一个目录的任何一个用户。在一定意义上,对内部人员的防范技术难度更大。据统计,对信息系统的攻击主要来自内部,占85%。因为他们对网络有更清楚的了解,有更多的时间和机会来测试网络安全漏洞,并且容易逃避系统日志的监视。
3.2 不同的对策
根据遭受的攻击的不同层次,应采取不同的对策.
第一层:
处于第一层的攻击基本上应互不相干,第一层的攻击包括服务拒绝攻击和邮件炸弹攻击.邮件炸弹的攻击还包括登记列表攻击(同时将被攻击目标登录到数千或更多的邮件列表中,这样,目标有可能被巨大数量的邮件列表寄出的邮件淹没)。对付此类攻击的最好的方法是对源地址进行分析,把攻击者使用的主机(网络)信息加入inetd.sec的拒绝列表(denylistings)中.除了使攻击者网络中所有的主机都不能对自己的网络进行访问外,没有其它有效的方法可以防止这种攻击的出现.
此类型的攻击只会带来相对小的危害。使人头疼的是虽然这类攻击的危害性不大,但是发生的频率却可能很高,因为仅具备有限的经验和专业知识就能进行此类型的攻击。
第二层和第三层:
这两层的攻击的严重程度取决于那些文件的读或写权限被非法获得。对于isp来说,最安全的办法是将所有的shell帐户都集中到某一台(或几台)主机上,只有它们才能接受登录,这样可以使得管理日志,控制访问,协议配置和相关的安全措施实施变得更加简单。另外,还应该把存贮用户编写的cgi程序的机器和系统中的其它机器相隔离。
招致攻击的原因有可能是部分配置错误或者是在软件内固有的漏洞.对于前者,管理员应该注意经常使用安全工具查找一般的配置错误,例如satan。后者的解决需要安全管理员花费大量的时间去跟踪了解最新的软件安全漏洞报告,下载补丁或联系供货商。实际上,研究安全是一个永不终结的学习过程。安全管理员可以订阅一些安全邮件列表,并学会使用一些脚本程序(如perl,等)自动搜索处理邮件,找到自己需要的最新信息。
发现发起攻击的用户后,应该立即停止其访问权限,冻结其帐号。
第四层:
该层攻击涉及到远程用户如何获取访问内部文件的权利。其起因大多是服务器的配置不当,cgi程序的漏洞和溢出问题。
第五层和第六层:
只有利用那些不该出现却出现的漏洞,才可能出现这种致命的攻击。
出现第三,四,五层的攻击表明网络已经处于不安全状态之中,安全管理员应该立即采取有效措施, 保护重要数据, 进行日志记录和汇报,同时争取能够定位攻击发起地点:
· 将遭受攻击的网段分离出来,将此攻击范围限制在小的范围内
· 记录当前时间,备份系统日志,检查记录损失范围和程度
· 分析是否需要中断网络连接
· 让攻击行为继续进行
· 如果可能,对系统做0级备份
· 将入侵的详细情况逐级向主管领导和有关主管部门汇报;如果系统受到严重破坏,影响网络业务功能,立即调用备件恢复系统
· 对此攻击行为进行大量的日志工作
· (在另一个网段上)竭尽全力地判断寻找攻击源
总之,不到万不得已的情况下, 不可使系统退出服务. 寻找入侵者的最重要的工作就是做日志记录和定位入侵者,而找出入侵者并通过法律手段迫使其停止攻击是最有效的防卫手段。
4 关于口令安全性
通过口令进行身份认证是目前实现计算机安全的主要手段之一,一个用户的口令被非法用户获悉,则该非法用户即获得了该用户的全部权限,这样,尤其是高权限用户的口令泄露以后,主机和网络也就随即失去了安全性。黑客攻击目标时也常常把破译普通用户的口令作为攻击的开始。然后就采用字典穷举法进行攻击。它的原理是这样的:网络上的用户常采用一个英语单词或自己的姓名、生日作为口令。通过一些程序,自动地从电脑字典中取出一个单词,作为用户的口令输入给远端的主机,申请进入系统。若口令错误,就按序取出下一个单词,进行下一个尝试。并一直循环下去,直到找到正确的口令,或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成,几个小时就可以把字典的所有单词都试一遍。这样的测试容易在主机日志上留下明显攻击特征,因此,更多的时候攻击者会利用其它手段去获得主机系统上的/etc/passwd文件甚至/etc/shadow文件,然后在本地对其进行字典攻击或暴力破解。攻击者并不需要所有人的口令,他们得到几个用户口令就能获取系统的控制权,所以即使普通用户取口令过于简单可能会对系统安全造成很大的威胁。系统管理员以及其它所有用户对口令选取的应采取负责的态度,消除侥幸和偷懒思想。
保持口令安全的一些要点如下:
· 口令长度不要小于6位,并应同时包含字母和数字,以及标点符号和控制字符
· 口令中不要使用常用单词(避免字典攻击),英文简称,个人信息(如生日,名字,反向拼写的登录名,房间中可见的东西),年份,以及机器中的命令等
· 不要将口令写下来。
· 不要将口令存于电脑文件中。
· 不要让别人知道。
· 不要在不同系统上,特别是不同级别的用户上使用同一口令。
· 为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。
· 定期改变口令,至少6个月要改变一次。
· 系统安装对口令文件进行隐藏的程序或设置。(e.g. Shadow Suite for linux)
· 系统配置对用户口令设置情况进行检测的程序,并强制用户定期改变口令。任何一个用户口令的脆弱,都会影响整个系统的安全性。(e.g. passwd+, Crack,etc)
最后这点是十分重要的,永远不要对自己的口令过于自信,也许就在无意当中泄露了口令。定期地改变口令,会使自己遭受黑客攻击的风险降到了一定限度之内。一旦发现自己的口令不能进入计算机系统,应立即向系统管理员报告,由管理员来检查原因。
系统管理员也应定期运行这些破译口令的工具,来尝试破译shadow文件,若有用户的口令密码被破译出,说明这些用户的密码取得过于简单或有规律可循,应尽快地通知他们,及时更正密码,以防止黑客的入侵。
5 网络安全管理员的素质要求
· 深入地了解过至少两个操作系统,其中之一无可置疑地是unix。熟练配置主机的安全选项和设置,及时了解已见报道的安全漏洞,并能够及时下载相应补丁安装。在特殊紧急情况下,可以独立开发适合的安全工具或补丁,提高系统的安全性。
· 对tcp/ip协议族有透彻的了解,这是任何一个合格的安全管理员的必备的素质。并且这种知识要不仅仅停留在internet基本构造等基础知识上,必须能够根据侦测到的网络信息数据进行准确的分析,达到安全预警,有效制止攻击和发现攻击者等防御目的。
· 熟练使用c,c++,perl等语言进行编程。这是基本要求,因为许多基本的安全工具是用这些语言的某一种编写的。安全管理员至少能正确地解释,编译和执行这些程序。更高的要求是能够把不专门为某个特定平台开发的工具移植到自己的平台上。同时他们还能够开发出可扩展自己系统网络安全性的工具来,如对satan和safe suite的扩展和升级(它们允许用户开发的工具附加到自己上)
· 经常地保持与internet社会的有效接触。不仅要了解自己的机器和局域网,还必须了解熟悉internet。经验是不可替代的。
· 熟练使用英语读写,与internet网上的各个安全论坛建立经常的联系。
· 平时注意收集网络的各种信息, 包括硬件应识别其构造,制造商,工作模式,以及每台工作站,路由器,集线器,网卡的型号等;软件网络软件的所有类型以及它们的版本号;协议网络正在使用的协议; 网络规划例如工作站的数量,网段的划分,网络的扩展; 以及其它信息例如网络内部以前一直实施中的安全策略的概述,曾遭受过的安全攻击的历史记录等。
还有一点也很重要,那就是不要过于相信你的供应商,一定要有自己的判断。你不能因为他告诉你装上他的防火墙就可以高枕无忧而麻痹大意,在安装完成后一定要进行相应地测试,并且还要定期对日志文件进行审查。我还曾经遇到过一个十分头疼的事情,由于某软件中存在的缺陷(应该是指针的问题),在运行素材文件删除后,管理软件认为已经将文件清除,可物理上仍然存在,这样旧有的空间无法释放,当这样的素材文件越来越多时,磁盘的数据存贮就会出现问题。网络管理人员所要做的就是在日常工作中发现并处理这样一些不可预期的问题。
谈了这么多了,那么为什么会产生这样的安全问题呢?最初的黑客大多是个人的爱好,他们并没有什么别的目的,最大的乐趣在于攻克别人的网络堡垒,以展示自己技术水平的高超,这些人的特点是自身水平很高,但并不对网络本身造成更大的破坏,很像李白所说的"十步杀一人,千里不留名;事了拂衣去,深藏身与名";随着网络的发展与人们对黑客技术的称道,越来越多的人加入到黑客的阵营,黑客本身也出现了分化,除了传统意义上的黑客外,以盗取他人重要信息、以经济为目的和单纯以破坏为目的的黑客越来越多,这时黑客的水平也良莠不齐;还有一些不妨说是发烧友或是对网络有兴趣的初学者,这是目前占大多数的,他们通常只是知道一点网络知识,会用几个软件而已,真正对协议了解的并不多,更不要说自行编写攻击软件了。
需要强调的是,网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。在层次上涉及到物理层的安全、网络层的安全、传输层的安全、应用层的安全等;在结构上,不同节点考虑的安全是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节(如审计),有些系统解决信息的加密、认证问题,有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题,这与系统的复杂程度、运行的位置和层次都有很大关系,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术和产品。
【基于宽带接入的局域网安全管理问题分析】相关文章:
基于局域网的电网理论线损管理系统08-06
基于手机无线局域网的架构与应用08-06
基于交往行为理论的FDI安全性分析08-17
能否基于问题开处方08-17
基于财务的成本管理问题研究08-18
试析基于素质教育要求的小学管理问题研究08-01
冷链物流管理问题分析08-18
基于企业系统观的成本分析08-17