|
網(wǎng)絡技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡、傳感器等。 當前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。 有幾種類型的攻擊很難使用基本的包頭信息來識別,因為這幾種攻擊是與服務無關的。可以對路由器配置以便防止這幾種類型的攻擊。但是它們很難指定,因為過濾規(guī)則需要附加的信息,并且這些信息只能通過審查路由表和特定的IP選項、檢查特定段的內(nèi)容等等才能學習到。 下面是這幾種攻擊類型的例子: 源IP地址欺騙式攻擊(Sowrce IP Address Spoofing Attacks)。這種類型的攻擊的特點是入侵者從外部傳輸一個假裝是來自內(nèi)部主機的數(shù)據(jù)包,即數(shù)據(jù)包中所包含的IP地址為內(nèi)部網(wǎng)絡上的IP地址。入侵者希望借助于一個假的源IP地址就能滲透到一個只使用了源地址安全功能的系統(tǒng)中。在這樣的系統(tǒng)中,來自內(nèi)部的信任主機的數(shù)據(jù)包被接受,而來自其它主機的數(shù)據(jù)包全部被丟棄。對于源IP地址欺騙式攻擊,可以利用丟棄所有來自路由器外部端口的使用內(nèi)部源地址的數(shù)據(jù)包的方法來挫敗。 源路由攻擊(Source Rowing Attacks)。這種類型的攻擊的特點是源站點指定了數(shù)據(jù)包在Internet中所走的路線。這種類型的攻擊是為了旁路安全措施并導致數(shù)據(jù)包循著一個對方不可預料的路徑到達目的地。只需簡單的丟棄所有包含源路由選項的數(shù)據(jù)包即可防范這種類型的攻擊。 極小數(shù)據(jù)段式攻擊(Tiny Fragment Attacks)。這種類型的攻擊的特點是入侵者使用了IP分段的特性,創(chuàng)建極小的分段并強行將TCP頭信息分成多個數(shù)據(jù)包段。這種攻擊是為了繞過用戶定義的過濾規(guī)則。黑客寄希望于過濾器路由器只檢查第一個分段而允許其余的分段通過。對于這種類型的攻擊,只要丟棄協(xié)議類型為TCP,IP FragmentOffset等于1的數(shù)據(jù)包就可安然無恙。 包過濾路由器的優(yōu)點 已部署的防火墻系統(tǒng)多數(shù)只使用了包過濾器路由器。除了花費時間去規(guī)劃過濾器和配置路由器之外,實現(xiàn)包過濾幾乎不再需要費用(或極少的費用),因為這些特點都包含在標準的路由器軟件中。由于Internet訪問一般都是在WAN接口上提供,因此在流量適中并定義較少過濾器時對路由器的性能幾乎沒有影響。另外,包過濾路由器對用戶和應用來講是透明的,所以不必對用戶進行特殊的培訓和在每臺主機上安裝特定的軟件。 包過濾路由器的缺點 定義數(shù)據(jù)包過濾器會比較復雜,因為網(wǎng)絡管理員需要對各種Internet服務、包頭格式、以及每個域的意義有非常深入的理解。如果必須支持非常復雜的過濾,過濾規(guī)則集合會非常的大和復雜,因而難于管理和理解。另外,在路由器上進行規(guī)則配置之后,幾乎沒有什么工具可以用來難過濾規(guī)則的正確性,因此會成為一個脆弱點。 任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用做數(shù)據(jù)驅(qū)動式攻擊的潛在危險。我們已經(jīng)知道數(shù)據(jù)驅(qū)動式攻擊從表面上來看是由路由器轉(zhuǎn)發(fā)到內(nèi)部主機上沒有害處的數(shù)據(jù)。該數(shù)據(jù)包括了一些隱藏的指令,能夠讓主機修改訪問控制和與安全有關的文件,使得入侵者能夠獲得對系統(tǒng)的訪問權(quán)。 一般來說,隨著過濾器數(shù)目的增加,路由器的吞吐量會下降。可以對路由器進行這樣的優(yōu)化抽取每個數(shù)據(jù)包的目的IP地址,進行簡單的路由表查詢,然后將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的接口上去傳輸。如果打開過濾功能,路由器不僅必須對每個數(shù)據(jù)包作出轉(zhuǎn)發(fā)決定,還必須將所有的過濾器規(guī)則施用給每個數(shù)據(jù)包。這樣就消耗了CPU時間并影響系統(tǒng)的性能。 IP包過濾器可能無法對網(wǎng)絡上流動的信息提供全面的控制。包過濾路由器能夠允許或拒絕特定的服務,但是不能理解特定服務的上下文環(huán)境/數(shù)據(jù)。例如,網(wǎng)絡管理員可能需要在應用層過濾信息以便將訪問限制在可用的FTP或Telnet命令的子集之內(nèi),或者阻塞郵件的進入及特定話題的新聞進入。這種控制最好在高層由代理服務和應用層網(wǎng)關來完成。 構(gòu)件:應用層網(wǎng)關 應用層網(wǎng)關使得網(wǎng)絡管理員能夠?qū)崿F(xiàn)比包過濾路由器更嚴格的安全策略。應用層網(wǎng)關不用依賴包過濾工具來管理Internet服務在防火墻系統(tǒng)中的進出,而是采用為每種所需服務而安裝在網(wǎng)關上特殊代碼(代理服務)的方式來管理Internet服務。如果網(wǎng)絡管理員沒有為某種應用安裝代理編碼,那么該項服務就不支持并不能通過防火墻系統(tǒng)來轉(zhuǎn)發(fā)。同時,代理編碼可以配置成只支持網(wǎng)絡管理員認為必須的部分功能。 這樣增強的安全帶來了附加的費用:購買網(wǎng)關硬件平臺、代理服務應用、配置網(wǎng)關所需的時間和知識、提供給用戶的服務水平的下降、由于缺少透明性而導致缺少友好性的系統(tǒng)。同以往一樣,仍要求網(wǎng)絡管理員在機構(gòu)安全需要和系統(tǒng)的易于使用性方面作出平衡。允許用戶訪問代理服務是很重要的,但是用戶是絕對不允許注冊到應用層網(wǎng)關中的。假如允許用戶注冊到防火墻系統(tǒng)中,防火墻系統(tǒng)的安全就會受到威脅,因為入侵者可能會在暗地里進行某些損害防火墻有效性運動作。例如,入侵者獲取Root權(quán)限,安裝特洛伊馬來截取口令,并修改防火墻的安全配置文件。 堡壘主機(Bastion host) 與包過濾路由器(其允許數(shù)據(jù)包在內(nèi)部系統(tǒng)和外部系統(tǒng)之間直接流入和流出)不同,應用層網(wǎng)關允許信息在系統(tǒng)之間流動,但不允許直接交換數(shù)據(jù)包。允許在內(nèi)部系統(tǒng)和外部系統(tǒng)之間直接交換數(shù)據(jù)包的主要危險是駐留在受保護網(wǎng)絡系統(tǒng)上的主機應用避免任何由所允許服務帶來的威脅。 一個應用層網(wǎng)關常常被稱做“堡壘主機”(Bastion Host)。因為它是一個專門的系統(tǒng),有特殊的裝備,并能抵御攻擊。有幾種特點是專門設計給堡壘主機來提供安全性的: · 堡壘主機的硬件執(zhí)行一個安全版本的操作系統(tǒng)。例如,如果堡壘主機是一個UNIX平臺,那么它執(zhí)行UNIX操作系統(tǒng)的安全版本,其經(jīng)過了特殊的設計,避免了操作系統(tǒng)的脆弱點,保證防火墻的完整性。 · 只有網(wǎng)絡管理員認為必需的服務才能安裝在堡壘主機上。原因是如果一個服務沒有安裝,它就不能受到攻擊。一般來說,在堡壘主機上安裝有限的代理服務,如Telnet,DNS,F(xiàn)TP,SMTP以及用戶認證等。 · 用戶在訪問代理服務之前堡壘主機可能要求附加認證。比如說,堡壘主機是一個安裝嚴格認證的理想位置。在這里,智能卡認證機制產(chǎn)生一個唯一的訪問代碼。另外每種代理可能在授予用戶訪問權(quán)之前進行其自己的授權(quán)。 · 對代理進行配置,使得其只支持標準應用的命令集合的子集。如果代理應用不支持標準的命令,那么很簡單,被認證的用戶沒有使用該命令的權(quán)限。 · 對代理進行配置,使得其只允許對特定主機的訪問。這表明,有限的命令/功能只能施用于內(nèi)部網(wǎng)絡上有限數(shù)量的主機。 · 每個代理都通過登記所有的信息、每一次連接、以及每次連接的持續(xù)時間來維持一個詳細的審計信息。審計記錄是發(fā)現(xiàn)和終止入侵者攻擊的一個基本工具。 · 每個代理都是一個簡短的程序,專門為網(wǎng)絡安全目的而設計。因此可以對代理應用的源程序代碼進行檢查,以確定其是否有紕漏和安全上的漏洞。比如說,典型的UNIX郵件應用可能包括20,000行代碼,而郵件代理只有不到1,000行的程序。 · 在堡壘主機上每個代理都與所有其它代理無關。如果任何代理的工作產(chǎn)生問題,或在將來發(fā)現(xiàn)脆弱性,只需簡單的卸出,不會影響其它代理的工作。并且,如果一些用戶要求支持新的應用,網(wǎng)絡管理員可以輕而易舉的在堡壘主機上安裝所需應用。 · 代理除了讀取初始化配置文件之外,一般不進行磁盤操作。這使得入侵者很難在堡壘主機上安裝特洛伊馬程序或其它的危險文件。 · 每個代理在堡壘主機上都以非特權(quán)用戶的身份運行在其自己的并且是安全的目錄中。 網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術(shù)都需要適時應勢,對應發(fā)展,這正是網(wǎng)絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個人學習測試使用,請在下載后24小時內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡資源,如侵犯到您的權(quán)益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機站 關于本站
