安全性知识(二)
No.1
防火墙
防火墙是指建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全的和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。由于防火墙是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制,防火墙适合于相对独立的网络。
1.网络级防火墙
网络级防火墙也称为过滤型防火墙,事实上是一种具有特殊功能的路由器,采用报文动态过滤技术,能够动态地检查流过的TCP/IP报文或分组头,根据企业所定义的规则,决定禁止某些报文通过或者允许某些报文通过,允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。状态检测防火墙又称动态包过滤,是在传统包过滤上的功能扩展。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时也具有较好的性能、适应性和可扩展性。
2.应用级防火墙
应用级防火墙也称为应用网关型防火墙,目前已大多采用代理服务机制,即采用一个网关来管理应用服务,在其上安装对应于每种服务的特殊代码(代理服务程序),在此网关上控制与监督各类应用层服务的网络连接。例如对外部用户(或内部用户)的FTP、TELNET、SMTP等服务请求,检查用户的真实身份、请求合法性和源与目的地IP地址等,从而由网关决定接受或拒绝该服务请求,对于可接受的服务请求由代理服务机制连接内部网与外部网。代理服务程序的配置由企业网络管理员所控制。目前常用的应用级防火墙大至上有4种类型,分别适合于不同规模的企业内部网;双穴主机网关、屏蔽主机网关、屏蔽子网关和应用代理服务器。一个共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。
(1)双穴主机(dual-homeD)网关∶由堡垒主机作为应用网关,其中装有两块网卡分别连接外因特网和受保护的内部网,该主机运行防火墙软件,具有两个IP地址,并且能隔离内部主机与外部主机之间的所有可能连接。
(2)屏蔽主机(screenedhost)网关∶也称甄别主机网关。在外部Internet与被保护的企业内部网之间插入了堡垒主机和路由器,通常是由IP分组过滤路由器去过滤或甄别出可能的不安全连接,再把所有授权的应用服务连接转向应用网关的代理服务机制。
(3)屏蔽子网(screenedsubnet)网关∶也称甄别子网网关,适合于较大规模的网络使用。即在外部因特网与被保护的企业内部网之间插入了一个独立的子网,例如在子网中有两个路由器和一台堡垒主机(其上运行防火墙软件作为应用网关),内部网与外部网的一方各有一个分组过滤路由器,可根据不同甄别规则接受或拒绝网络通信,子网中的堡垒主机(或其他可供共享的服务器资源)是外部网与内部网都可能访问的唯一系统。
No.2
入侵检测
入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。入侵检测系统要解决的最基本的两个问题是∶如何充分并可靠地提取描述行为特征的数据,以及如何根据特征数据,高效并准确地判断行为的性质。由系统的构成来说,通常包括数据源(原始数据)、分析引擎(通过异常检测或误用检测进行分析)、响应(对分析结果采用必要和适当的措施)3个模块。
1.入侵检测技术
入侵检测系统所采用的技术可分为特征检测与异常检测两种∶
(1)特征检测。特征检测也称为误用检测,假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达"入侵"现象又不会将正常的活动包含进来。
(2)异常检测。假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的"活动简档",将当前主体的活动状况与"活动简档"相比较,当违反其统计规律时,认为该活动可能是"入侵"行为。异常检测的难题在于如何建立"活动简档"以及如何设计统计算法,从而不把正常的操作作为"入侵"或忽略真正的"入侵"行为。
2.常用检测方法
入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。
(1)特征检测。对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
(2)统计检测。统计模型常用异常检测,在统计模型中常用的测量参数包括∶审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为∶
●操作模型。假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。
●方差。计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。
●多元模型。操作模型的扩展,通过同时分析多个参数实现检测。
●马尔柯夫过程模型。将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件。
●时间序列分析。将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。统计方法的最大优点是它可以"学习"用户的使用习惯,从面具有较高检出率与可用性。但是它的"学习"能力也给入侵者以机会通过逐步"训练"使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
(3)专家系统。用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则。且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决干审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
3.性能
仅仅能够检测到各种攻击是不够的,入侵检测系统还必须能够承受高速网络和高性能网络节点所产生的事件流的压力。有两种途径可以用来实时分析庞大的信息量,分别是分割事件流和使用外围网络传感器。
(1)分割事件流。可以使用一个分割器将事件流切分为更小的可以进行管理的事件流,从而入侵检测传感器就可以对它们进行实时分析。
(2)使用外围网络传感器。在网络外围并靠近系统必须保护的主机附近使用多个传感器。
No.3
虚拟专用网
虚拟专用网络(VirtualPrivateNetwork,VPN)提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。与普通网络连接—样,VPN也由客户机、传输介质和服务器3部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如Internet或Intranet。VPN可以实现不同网络的组件和资源之间的相互连接,利用Internet或其他公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。VPN允许远程通信方、销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。VPN对用户端透明,用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。
实现VPN的关键技术
(1)安全隧道技术(Tunneling)∶隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或句。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。
(2)加解密技术∶VPN利用已有的加解密技术实现保密通信。
(3)密钥管理技术。建立隧道和保密通信都需要密钥管理技术的支撑,密钥管理负责密钥的生成、分发、控制和跟踪,以及验证密钥的真实性。
(4)身份认证技术∶假如VPN的用户都要通过身份认证,通常使用用户名和密码,或者智能卡实现。
(5)访问控制技术∶由VPN服务的提供者根据在各种预定义的组中的用户身份标识,来限制用户对网络信息或资源的访问控制的机制。隧道技术可以分别以第2、3层隧道协议为基础。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP(PointtoPointTunnelingProtocol,点
对点隧道协议),L2TP(LaverTwoTunnelingProtocol,第二层通道协议)和L2F(Level2Forwardingprotocol,第2层转发)都属于第2层隧道协议,都是将数据封装在PPP帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IPoverIP及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。PPTP是一种支持多协议虚拟专用网络的网络技术。PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分,那么即可通过该IP网络与PPTP服务器取得连接;而如果PPTP客户机尚未连入网络,比如在Internet拨号用户的情形下,PPTP客户机必须首先拨打NAS(NetworkAccessServer,网络接入服务器)以建立IP连接。L2TP是VPDN(VirtualPrivateDail-upNetwork,虚拟专用拨号网络)技术的一种,专门用来进行第二层数据的通道传送,即将第二层数据单元,如点到点协议(Point-to-PointProtocol,PPP)数据单元,封装在IP或UDP载荷内,以顺利通过包交换网络(如Internet),抵达目的地。如果需要在传输层实现VPN,则可使用TLS协议。TLS是确保互联网上通信应用和其用户隐私的协议。当服务器和客户机进行通信,TIS确保没有第三方能窃听或盗取信息。TLS是SSL的后继协议。TLS由两层构成;TLS记录协议和TLS握手协议。TLS记录协议使用机密方法(例如DES)来保证连接安全。TLS记录协议也可以不使用加密技术。TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定,并协商加密算法和密钥。当今密码体制建立在3个基本假设之上,分别是随机性假设、计算假设和物理假设。(1)随机性假设;在单一地域内产生均匀分布的随机比特序列是可能的。
(2)计算假设∶合理的计算时间有一个量的界限,在一个合理的计算时间内,单向函数是存在的,它正向计算容易而求逆难。密码算法就是在计算假设下设计出来的伪随机函数,主要包括序列密码、分组密码和公钥密码。
(3)物理假设;对单一地域的信息实行物理保护是可能的,物理地保护长距离传送中的信息是困难的。一个好的密码设备、安全协议必须构建2类不可或缺的乱源,分别是物理乱源和数学乱源,其中数学乱源基于计算假设,物理乱源基于物理假设。系统建在硅片上是安全信息系统构建的一个重要技术措施。
No.4
IPSEC
IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标,分别是保护IP数据包安全和为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理3者来实现上述两个目标,不仅能为企业局域网与拨号用户、域、网站、远程站点以及Extranet之间的通信提供强有力且灵活的保护,而且还能用来筛选特定数据流。
1.安全模式
IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设,就是假定数据通信的传输媒介是不安全的,因此通信数据必须经过加密,而掌握加解密方法的只有数据流的发送端和接收端,两者各自负责相应的数据加解密处理,而网络中其他只负责转发数据的路由器或主机无须支持IPSec。IPSec对数据的加密以数据包而不是整个数据流为单位,这不仅更灵活,也有助于进一步提高IP数据包的安全性。通过提供强有力的加密保护,IPSec可以有效防范网络攻击,保证专用数据在公共网络环境下的安全性。这些特性有助于企业用户在下列方案中成功地配置IPSec∶
(1)分支办公机构通过Internet互连。
(2)通过Internet的远程访问。
(3)与合作伙伴建立Extranet与Intranet的互连。
(4)增强电子商务安全性。
IPSec是针对IPv4和IPv6的,IPSec的主要特征是可以支持IP级所有流量的加密和/或认证,增强所有分布式应用的安全性。IPSec在IP层提供安全服务,使得系统可以选择所需要的安全协议,确定该服务所用的算法,并提供安全服务所需任何加密密钥。
2.防范攻击
使用IPSec可以显著地减少或防范以下几种网络攻击。
(1)Sniffer∶Sniffer可以读取数据包中的任何信息,因此对抗Sniffer,最有效的方法就是对数据进行加密。IPSec的封装安全载荷ESP协议通过对IP包进行加密来保证数据的私密性。
(2)数据篡改∶IPSec用密钥为每个IP包生成一个数字检查和,该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改,都会改变检查和,从而可以让接收方得知包在传输过程中遭到了修改。
(3)身份欺骗,盗用口令,应用层攻击∶IPSec的身份交换和认证机制不会暴露任何信息,不给攻击者有可趁之机,双向认证在通信系统之间建立信任关系,只有可信赖的系统才能彼此通信。
(4)中间人攻击∶IPSec结合双向认证和共享密钥,足以抵御中间人攻击。
(5)拒绝服务攻击∶IPSec使用IP包过滤法,依据IP地址范围、协议、甚至特定的协议端口号来决定哪些数据流需要受到保护,哪些数据流可以被允许通过,哪些需要拦截。3.第三层保护的优点通常IPSec提供的保护需要对系统做一定的修改。但是IPSec在网络层的策略执行几乎不需要什么额外开销就可以实现为绝大多数应用系统、服务和上层协议提供较高级别的保护。为现有的应用系统和操作系统配置IPSec几乎无须做任何修改,安全策略可
以在ActiveDirectory(活动目录)里集中定义,也可以在某台主机上进行本地化管理。IPSec策略网络层上实施的安全保护,其范围几乎涵盖了TCP/IP协议簇中所有IP协议和上层协议,甚至包括在网络层发送数据的客户自定义协议。在第三层上提供数据
安全保护的主要优点就在干,所有使用IP协议进行数据传输的应用系统和服务都可以使用IPSec,而不必对这些应用系统和服务本身做任何修改。IPSec组策略用于配置IPSec安全服务,这些策略为大多数现有网络中不同类别的数据流提供了各种级别的保护。针对个人用户、工作组、应用系统、域、站点或跨国企业等不同的安全要求,网络安全管理员可以配置多种IPSec策略以分别满足其需求。
No.5
安全威胁
评估安全威胁的方法主要有以下4种∶
(1)查阅。查阅一些以网络安全为主题的信息资源,包括书籍、技术论文、报刊文章、新闻组以及邮件列表等。
(2)实验。获知入侵者进入系统的困难性的一种方法是进行自我攻击。
(3)调查。安全调查所获得的统计数据可以提供给管理者一些有用信息以便做出决断。
(4)测量。对潜在的威胁进行测量,通常使用陷阱。
通常使用一些陷阱可以有效地对威胁做出真实的评估而没有将个人和组织暴露的危险,使用陷阱主要有3个方面的好处∶
(1)陷阱提供了直实世界的信息。如果通过适当的设计。入侵者会完全意识不到陷阱的存在。
(2)精心设计的陷阱能够安全地提供一些测量手段。
(3)陷阱能够用于延缓将来的攻击。
一个陷阱主要有3个组成部分,分别是诱饵、触发机关以及圈套。一个好的陷阱应该具备以下特征∶
(1)良好的隐蔽性。网络陷阱对于入侵者来说,必须是不可见的。陷阱对外暴露的部分只有诱饵,只需要确保诱饵的特性不会暴露陷阱的存在。例如,可以使用SCSI分析器、网络协议分析器和日志信息。
(2)有吸引力的诱饵。诱饵的选择必须与环境相适应,例如,可以把冠以敏感信息的文件或文件夹作为诱饵。
(3)准确的触发机关。一个好的陷阱应该捕获入侵者而不应该捕获无辜者,触发机关的设置应该使失误率降到最低。设计时必须考虑由于失误所引起的信用问题,这是非常重要的。
(4)强有力的圈套。一个有效的陷阱必须有足够的能力来抵抗入侵者,这一点是设计好陷阱最为困难的事情。好的陷阱通常具有保留证据的能力。
完