第6章网络安全Word格式文档下载.docx
- 文档编号:17316140
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:22
- 大小:539.44KB
第6章网络安全Word格式文档下载.docx
《第6章网络安全Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《第6章网络安全Word格式文档下载.docx(22页珍藏版)》请在冰豆网上搜索。
而在新版系统纠正了旧版本中的漏洞的同时。
也会引入一些新的漏洞和错误。
因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现,漏洞问题也会长期存在。
对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的发展动态,这一点同对计算机病毒发展问题的研究相似。
如果在工作中不能保持对新技术的跟踪,就没有谈论系统安全漏洞问题的发言权,即使是以前所做的工作也会逐渐失去价值。
3.漏洞的分类
漏洞的分类方法很多,也没有统一的标准。
事实上各种分类方式都是为了采取措施的方便,按照所能够采用的措施来分别对付各类漏洞。
传统上习惯于按照形成漏洞的原因来分类,但有时候也是很难明确界定的,因为对漏洞研究的不同抽象层次,会对同一个漏洞做出不同的分类。
因而,事实上至今也不存在完美分类方案。
下面按照漏洞的形成原因,粗略划分了几个类别。
(1)输入验证错误
大多数的缓冲区溢出漏洞和脚本注入、SQL注入类漏洞都是由于未对用户提供的输入数据的合法性做适当的检查而导致的。
这类漏洞在目前来看是攻击者最感兴趣的,许多恶意代码程序就是利用了此类漏洞达成攻击目的。
(2)访问验证错误
漏洞的产生是由于程序代码的某些部分存在可利用的逻辑错误,使绕过访问控制成为可能。
分析下面的伪代码:
Switch(职位)
{
case“员工”:
Employee();
break;
(2)网络安全扫描技术。
网络安全扫描技术则是一种基于网络的扫描,通过网络远程检测目标网络或主机的安全性脆弱点。
通过网络安全扫描,能够发现网络中各设备的TCP/IP端口的分配使用情况、开放服务的情况、操作系统软件版本等,最终可以综合得到这些设备及软件在网络上呈现出的安全漏洞。
网络安全扫描技术利用一系列的脚本对网络发起模拟攻击,分析结果并判断网络是否有可能被攻击崩溃。
下面内容将着重介绍网络安全扫描技术。
1.网络安全扫描的功能
网络安全扫描不仅仅能够扫描并检测是否存在已知漏洞,还可以发现一些可疑情况和不当配置,如不明端口、弱口令等。
网络安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。
通过对网络的扫描,可以了解网络的配置是否得当以及正在运行的应用程序和服务是否安全。
如果说防火墙和网络监控系统是被动的防御手段,那么网络安全扫描就是一种主动的防范措施,可以在遭受攻击之前就发现可能遭受的攻击,从而采取措施。
网络安全扫描技术提供的信息可以用在多种场合。
例如,网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范;
而系统安全评估组织则可以根据扫描的结论判断当前网络的安全态势,从而为评定系统的安全等级提供重要依据。
2.网络安全扫描的原理
一次完整的网络安全扫描分为三个阶段:
第一阶段:
发现目标主机或网络。
这一阶段的主要技术是ping探测,通过发送ICMP报文帮助识别系统是否处于活动状态。
第二阶段:
发现目标后进一步搜集目标信息,包括操作系统类型、开放的端口、运行的服务以及服务软件的版本等。
如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。
这其中涉及到操作系统识别技术、TCP/IP栈指纹技术等。
第三阶段:
根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。
网络安全扫描主要用到的技术手段是端口扫描技术和漏洞扫描技术。
端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术,且在当前较成熟的网络扫描器中被广泛应用。
(1)端口扫描技术及其原理
一个端口就是一个潜在的通信通道,也是一个潜在的人侵通道。
对目标计算机进行端口扫描,能得到许多有用的信息,它使系统用户了解系统目前向外界提供了哪些服务,从而为系统用户管理网络提供了一种手段。
端口扫描的原理很容易理解,就是向目标设备的TCP/IP服务端口发送探测数据包,并记录目标设备的响应。
通过分析响应来判断端口是打开还是关闭,也可以综合分析主机的响应报文,得知端口提供的服务或信息。
端口扫描的经典方法是TCP全连接扫描,其他的方法还有TCP半连接扫描、代理扫描、FTP跳跃扫描、TCP反转标识扫描和秘密(Steahh)扫描等。
本书以前二者为例介绍端口扫描的一般原理,对于更为复杂的扫描方法感兴趣的读者可以自行查阅相关文献。
①全连接扫描。
全连接扫描是TCP端口扫描的基础,现有的全连接扫描有TCPconnect扫描和TCP反向ident扫描等。
其中TCPconnect扫描的实现原理如下所述:
扫描主机通过。
TCP/IP协议的三次握手与目标设备的指定端口建立一次完整的连接。
连接由执行扫描的主机调用connect开始,如果被扫描端口开放,则连接将建立成功;
否则,若返回-l则表示该端口关闭。
建立连接成功时,目标设备回应一个SYN/ACK数据包,这一响应表明目标设备的目标端口处于监听(打开)状态;
建立连接失败时,目标设备会向扫描主机发送RST的响应,表明该目标端口处于关闭状态。
②半连接(SYN)扫描。
若端口扫描没有完成一个完整的TCP连接,在扫描主机和目标设备的指定端口建立连接时只完成了前两次握手,在第三步时扫描主机中断了本次连接,使连接没有完全建立起来,这样的端口扫描称为半连接扫描,也称为间接扫描。
现有的半连接扫描有TCPSYN扫描和IPID头dumb扫描等。
SYN扫描的优点在于,即使目标设备日志中对扫描有所记录,也会比全扫描少得多。
缺点是在大部分操作系统下,扫描主机需要构造适用于这种扫描的IP包。
通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。
(2)漏洞扫描技术及其原理
漏洞扫描主要通过以下两种方法来检查目标设备是否存在漏洞:
①漏洞库匹配方法。
端口扫描后可以知道目标设备开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。
基于网络系统漏洞库,.漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。
这些漏洞扫描是基于网络系统漏洞库,将扫描结果与网络系统漏洞库相关数据匹配比较得到漏洞信息。
漏洞库匹配方法的关键部分就是它所使用的漏洞库。
通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后在此基础之上构成相应的匹配规则,由扫描程序自动地进行漏洞扫描的工作。
漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能,漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间。
因此,漏洞库的编制不仅要对每个存在安全隐患的网络服务建立对应的漏洞库文件,而且应当能满足前面所提出的性能要求。
目前,有一些国内外的组织维护有大规模的漏洞库,这些漏洞库有专人维护,一旦有新的漏洞出现,就会立即更新漏洞库,保证漏洞库数据的全面和有效。
比较著名的漏洞库有美国的国家漏洞数据库(NationalVulnerabilityDatabase)、CVE(CommonVulnerabilitiesandExposures)漏洞库、我国的国家计算机网络应急技术处理协调中心漏洞库等。
②插件技术(功能模块技术)。
对于没有相应漏洞库的各种扫描,如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等,这些扫描通过使用插件技术(功能模块技术)进行模拟攻击,测试出目标主机的漏洞信息。
插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。
添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞。
插件编写规范化后,甚至用户自己都可以用ped、c或自行设计的脚本语言编写的插件来扩充漏洞扫描软件的功能。
这种技术使漏洞扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使漏洞扫描软件具有很强的扩展性。
6.3.3漏洞扫描器介绍
针对层出不穷的网络漏洞,任何系统管理员都不可能依靠人工排查的方法去逐一检查信息系统是否存在漏洞。
与病毒防范一样,由于漏洞的数量非常庞大,涉及的范围也非常广,检查系统漏洞的工作量已经远远超出了人工操作的处理能力。
在这种情况下,使用自动化的工具对系统进行扫描,发现漏洞并采取措施,是必然的趋势。
目前,在安全领域已经出现了许多安全漏洞扫描器,能够协助系统管理员检查网络中各种设备的漏洞,并为修复漏洞提供指导。
1.漏洞扫描器的种类
对漏洞扫描器分类也是非常困难的。
事实上,如果只能对某一小类漏洞进行扫描,那这个扫描器将不具备实用价值。
目前,实用的漏洞扫描器产品一般会尽量照顾到各种类型的系统漏洞,发现它们并给出报告。
根据前述的安全扫描技术分类,现在流行的漏洞扫描工具,根据其使用场合一般分为两大类:
基于网络的漏洞扫描器和基于主机的漏洞扫描器。
(1)基于网络的漏洞扫描器
基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中的漏洞。
比如,利用低版本的DNSBind漏洞,攻击者能够获取root权限侵入系统或者攻击者能够在远程计算机中执行恶意代码。
使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNSBind是否在运行。
一般来说,可以将基于网络的漏洞扫描工具看做一种漏洞信息收集工具,它根据漏洞的不同特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。
基于网络的漏洞扫描器包含网络映射(NetworkMapping)和端口扫描功能,一般由以下几个部分组成:
①漏洞数据库模块。
漏洞数据库包含了各种操作系统的各种漏洞信息,以及如何检测漏洞的指令。
由于新的漏洞会不断出现,该数据库需要经常更新,以便能够检测到新发现的漏洞。
②用户配置控制台模块。
用户配置控制台提供了与安全管理员进行交互的接口,用来设置要扫描的目标设备,以及扫描哪些漏洞。
③扫描引擎模块。
扫描引擎是扫描器的主要部件。
根据用户配置控制台中的相关设置,扫描引擎组装好相应的数据包,发送到目标设备,将接收到的目标设备的应答数据包,与漏洞数据库中的漏洞特征进行比较,来判断所选择的漏洞是否存在。
④当前活动的扫描知识库模块。
通过查看扫描主机内存中的配置信息,该模块监控当前活动的扫描,将待扫描的漏洞的相关信息提供给扫描引擎,同时,还接收扫描引擎返回的扫描结果。
⑤结果存储器和报告生成工具。
报告生成工具利用当前活动扫描知识库中存储的扫描结果,生成扫描报告。
扫描报告将告诉用户配置控制台设置了哪些选项,根据这些设置,扫描结束后,在哪些目标设备上发现了哪些漏洞。
(2)基于主机的漏洞扫描器
基于主机的漏洞扫描器扫描目标设备漏洞的原理与基于网络的漏洞扫描器的原理类似,但是,两者的体系结构不一样。
基于主机的漏洞扫描器通常在目标设备上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
为了能够扫描这些文件和进程,基于主机的漏洞扫描器必须有所在主机的管理员权限,这也与基于网络的漏洞扫描器不同。
主机型漏洞扫描器一般采用客户机/服务器架构,最主要是针对操作系统内部问题做深人扫描,它可以弥补网络型漏洞扫描器只能从外面通过网络检查系统安全的不足。
主机型漏洞扫描器一般具有如下功能:
①重要资料锁定。
利用安全的校验和机制来监控重要的主机资料或程序的完整性。
②弱口令检查。
采用结合系统信息、字典和词汇组合等的规则来检查弱口令。
③系统日志和文本文件分析。
针对系统日志档案,如UNIX的syslogs及NT的事件日志(EyentLog),以及其他文本文件的内容做分析。
④动态告警。
当遇到违反扫描策略或发现已知安全漏洞时,提供及时的告警。
告警可以采取多种方式,可以是声音、弹出窗口、电子邮件甚至手机短信等。
⑤分析报告。
产生分析报告,并告诉管理员如何弥补漏洞。
⑥漏洞库更新。
主机型漏洞总是不断地出现,厂商的漏洞报告甚至都跟不上其出现的速度。
这种情况下,主机型漏洞扫描器必须有漏洞库更新的功能,以便能够反应最新的已知漏洞情况,而且更新应该是自动进行的。
2.两类漏洞扫描器的对比
基于网络的漏洞扫描器有如下优点:
(1)价格方面。
基于网络的漏洞扫描器的价格相对来说比较便宜,甚至有许多此类扫描器都是可以免费下载到的。
(2)基于网络的漏洞扫描器在操作过程中,不需要涉及到目标设备的管理员,并且在检测过程中不需要在目标设备上安装任何东西。
(3)维护简便。
当网络部署发生变化时,只要扫描器所在的网络节点仍然能够扫描到网络中的全部目标设备,基于网络的漏洞扫描器就不需要进行调整。
基于网络的漏洞扫描器的不足之处:
①基于网络的漏洞扫描器不能直接访问目标设备的文件系统,不能检测相关的一些漏洞。
比如,一些用户程序的数据库在连接的时候,要求提供Windows2000操作系统的密码,这种情况下,基于网络的漏洞扫描器就不能对其进行弱口令检测了。
另外,UNIX系统中有些程序带有SetUID和SetGID功能,这种情况下,涉及到UNIX系统文件的权限许可问题也无法检测。
②基于网络的漏洞扫描器不易穿过防火墙。
只要防火墙不开放相关端口,扫描就不能进行。
基于主机的漏洞扫描器有如下优点:
(1)扫描的漏洞数量多。
由于通常在目标设备上安装了一个代理(Agent)或者是服务(Services),因而能够访问所有的文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
(2)集中化管理。
基于主机的漏洞扫描器通常都会配置一个集中服务器作为扫描服务器,所有扫描的指令均从服务器进行控制,这一点与基于网络的漏洞扫描器类似。
服务器下载到最新的代理程序后,再分发给各个代理。
这种集中化管理模式,使得基于主机的漏洞扫描器的部署能够快速实现。
(3)网络流量负载小。
由于扫描服务器与主机代理之间只有通讯的数据包,漏洞扫描部分都有主机代理单独完成,这就大大减少了网络的流量负载。
基于主机的漏洞扫描器的不足之处:
基于主机的漏洞扫描器的价格,通常由一个扫描服务器的许可证价格加上目标设备的数量来决定,当一个网络中的目标主机较多时,扫描工具的价格就非常高。
通常只有实力强大的公司和政府部门才有能力购买这种漏洞扫描工具。
(2)基于主机的漏洞扫描工具,需要在目标主机上安装一个代理或服务,而从管理员的角度来说,并不希望在重要的机器上安装自己不确定的软件。
(3)随着扫描网络范围的扩大,部署基于主机的漏洞扫描工具的代理软件时,需要与每个目标设备的用户打交道,必然延长了首次部署的工作周期。
在检测目标设备中是否存在漏洞方面,基于网络的漏洞扫描工具和基于主机的漏洞扫描工具都是非常有用的。
事实上,在二者之间也不存在泾渭分明的界限,有些功能较为强大的网络扫描器产品,已经兼有基于网络和基于主机两种扫描器的特点。
但有一点要强调,任何扫描器都必须要保持漏洞数据库的更新,才能保证漏洞扫描工具能够真正发挥作用,尤其对于主机型漏洞扫描器。
另外,漏洞扫描工具只是检测当时目标设备是否存在漏洞,当目标设备的配置、运行的软件发生变换时,需要重新进行评估。
基于网络的漏洞扫描工具和基于主机的漏洞扫描工具各自具有自己的特点,也都有不足之处。
安全管理员在选择扫描工具时,可以根据实际需要选择最适合的产品。
6.3.4网络隔离技术
随着互联网上病毒泛滥、计算机犯罪等威胁日益严重,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此,迫切需要高可靠性的安全技术对网络加以防护。
网络隔离技术就是在这种情况下诞生的。
网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外,并在保证可信网络内部信息不外泄的前提下,完成可信网与外部网络的网间数据安全交换。
从广义上讲,网络隔离可以采用逻辑隔离和物理隔离两种方式。
在逻辑隔离中,被隔离的两个网络在物理上还是连通的,位于隔离边界的设备工作在OSI七层模型的第二层(数据链路层)以上,通过设置各种规则来限制双方的通信。
对于不符合规则的通信数据,则不予转发。
防火墙就是一种典型的逻辑隔离设备。
而物理隔离则是在任何时刻,通信双方之间都不存在物理连接,数据交换是通过隔离设备代为“转交”的。
传统上的逻辑隔离产品多被称为“×
×
防火墙”或“×
网关”,而名为“网络隔离设备”的产品,如网闸,一般采用的都是物理隔离技术。
因而,在狭义上将网络隔离技术限定在物理隔离的范畴。
本节下面所讲的网络隔离,如未注明,则特指物理隔离。
1.网络隔离技术的原理
网络隔离,英文名为NetworkIsolation,主要是指把两个或两个以上的网络通过物理设备隔离开来,使得在任何时刻、任何两个网络之间都不会存在物理连接。
网络隔离的关键在于系统对通信数据的控制,即通过隔离设备在网络之间不存在物理连接的前提下,完成网间的数据交换。
由于物理连接不存在,所以双方的数据交换不是直接的,而是要通过第三方“转交”。
很明显,这样将会大大降低数据交换的速度。
因此,隔离的关键点就是要尽量提高网间数据交换的速度,并且对应用能够透明支持。
2.网络隔离技术的发展阶段
根据比较公认的说法,网络隔离技术发展至今经历了五个阶段:
第一代隔离技术:
完全的物理隔离。
此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,但是需要至少两套独立网络和系统,一套专门用于敏感的内部网络,一套用于外部网络。
物理隔离能够获得比采用防火墙等产品进行逻辑隔离更好的安全性,但是会造成信息交流不便,网络维护成本提高。
第二代隔离技术:
硬件卡隔离。
此方法是利用一个专用的硬件卡,实现两个网络的隔离。
在隔离边界的主机上增加一块硬件卡,边界主机的硬盘或其他存储设备首先连接到该卡,然后再转接到主板上。
通过该卡能控制客户端硬盘或其他存储设备。
在选择不同的硬盘时,同时选择了该卡上不同的网络接口连接到不同的网络。
但是,这种隔离产品有的仍然需要网络布线为双网线结构,所以产品存在着较大的安全隐患。
第三代隔离技术:
数据转播隔离。
利用转播系统分时复制文件的途径来实现隔离,即隔离设备首先与一端连通,将流人的数据复制并缓存,然后切断该端连通另一端,将数据发送出去。
这种切换常常耗时较久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,从而失去了网络存在的意义。
第四代隔离技术:
空气开关隔离。
此方法通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换。
这与第三代隔离技术没有本质不同,即在某一时刻只有一端能够访问共享的临时缓存器,只是使用空气开关后切换的频率加快了,从而使得数据交换速度有所提高。
第五代隔离技术:
安全通道隔离。
此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换。
专用交换通道(PrivateExchangerunnel,简称PET)技术的采用使得内外网的数据交换速度大大提高,已经基本能够透明支持多种网络应用。
需要注意的是,虽然专用PET技术能够支持快速的数据交换,但这仍然是物理隔离,任何时刻专用通道两边的网络之间都不会有物理连接。
有关隔离技术和PET的详细细节,可以参考《网络隔离与网闸》一书。
6.3.5隔离网闸
隔离网闸,它的英文名称是GAP,源于英文的AirGap(空气开关),它是一种实现上述网络隔离技术的设备。
最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。
在当前国内的信息网络建设中也会遇到以信息涉密程度划分网络空间的情况,这些涉密程度不同的网络空间通常被称为安全域。
主要的安全域有三类:
涉密域、非涉密域和公共服务域。
涉密域就是涉及国家秘密的网络空间;
非涉密域就是不涉及国家秘密,但是涉及到本单位、本部门或者本系统的工作秘密的网络空间;
公共服务域则不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。
在国家电子政务建设中,有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离;
政务的外网和互联网络要实行逻辑隔离。
按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。
1.网闸的概念
网闸,也被称为安全隔离与信息交换系统,是使用带有多种控制功能的固态开关读写介质,连接两个独立网络的信息安全设备。
隔离网闸所连接的两个独立网络之间不存在通信曲物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只誓数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。
所以,隔离网闸从物理上隔离和阻断了具有潜在攻击可能的一切连接,使得黑客难以入侵、攻击和破坏,实现了高程度的安全。
2.网闸的工作原理
网闸技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全