12.1 网络与协议安全机制
12.1.1 安全通信协议
为特殊应用的通信通道提供安全服务的协议称为安全通信协议。
下面列出其中一部分内容。
•互联网协议安全(Internet Protocol security, IPsec)
IPsec使用公钥加密算法,为所有基于IP的协议提供加密、访问控制、不可否认及信息身份验证等服务。
IPsec主要应用于虚拟专用网(Virtual Private Network, VPN), IPsec能工作在传输模式或隧道模式。
•Kerberos
Kerberos为用户提供单一登录解决方案,并对登入证书提供保护。
现在的Kerberos技术通过混合加密,来提供可靠的身份验证保护。
•安全Shell(Secure Shell, SSH)
SSH是端对端加密技术的一个优秀应用实例。
该安全技术能为大量的明文工具(如rcp、rlogin、rexec)提供加密服务,也可充当协议加密工具(如SFTP)或充当VPN。
•信令协议(Signal Protoco|)
信令协议是一种为语音通信、视频会议以及文本信息服务提供端对端加密服务的加密协议。
信令协议是非联邦的(nonfederated),是信令消息app中一个核心元素。
•安全远程过程调用(Secure Remote Procedure Call, S-RPC)
S-RPC是一种身份验证服务,也是防止非法代码在远程系统执行的一种简单方法。
•安全套接字层(Secure Sockets Layer, SSL)
SSL是由Netscape公司开发的加密协议,用于保护Web服务器与浏览器间的通信。
SSL用于保护Web、Email、文件传输协议(FTP)甚至是Telnet流量。
这是一种面向会话的协议,能实现保密性与完整性保护。SSL现在采用的是40位或128位密钥。
SSL已经被TLS取代。
•传输层安全(Transport Layer Security, TLS)
TLS的功能与SSL大致相同,但采用更强的身份验证方法及加密协议。
SSL与TLS具有下列相同的特点:
• 支持在不安全的网络中,进行安全的客户机-服务器通信,提供防篡改、防欺骗以及防窃听机制。
• 支持单向身份验证。
• 支持基于数字证书的双向身份验证。
• 在具体实现时,经常作为TCP包的原始载荷,也可用来封装所有类型的更高层协议载荷。
• 可作为较低层次的协议,如第三层(网络层),充当VPN。该种实现也称为OpenVPN。
此外,TLS还可加密UDP及SIP连接。SIP是一种与Voice over IP相关的协议。
12.1.2 身份验证协议
当远程系统与服务器或网络建立初始连接后,第一步工作应是身份验证。
如下几种身份验证协议来控制登录证书的交换,以及确定在传输过程中这些证书是否需要加密。
• CHAP (Challenge Handshake Authentication Protocol, 征询握手身份验证协议)
CHAP是一种应用于点对点协议(Point-to-Point Protocol, PPP)连接上的身份验证协议。
CHAP加密用户名与密码。采用无法重放的挑战一应答对话进行验证。
CHAP在已建立的完整通信会话期间,周期性地重复验证远程系统,以确保远程用户身份持续有效。这个过程对于用户是透明的。
• PAP (Password Authentication Protocol, 密码身份验证协议)
PAP是一种服务于PPP的标准化身份验证协议。PAP使用明文传输用户名与密码。
它不提供任何形式的加密,只提供简单的传输途径,把登录证书从客户端传递到身份验证服务器。
• EAP (Extensible Authentication Protocol, 可扩展身份验证协议)
EAP是一种身份验证框架而不是真实协议。
EAP支持可定制的身份验证安全解决方案,如智能卡、令牌和生物身份验证。
上述三个身份验证协议最初都应用于拨号PPP连接中。
现在,它们与许多新验证协议(如openID、OAuth及Shibboleth)及概念(如身份验证联合及SAML)一起,
都应用于大量的远程连接技术中,如宽带及VPN,
同时扩展了对传统身份验证服务(如Kerberos、RADIUS及TACACS+)的支持与使用。
EAP、PEAP及LEAP
PEAP (Protected Extensible Authentication Protocol,受保护的可扩展身份验证协议)
PEAP在TLS隧道中封装EAP协议。PEAP更优于EAP, 因为EAP假定通道已经受保护了,而PEAP自身实现了安全性。
PEAP用于保护802.11无线连接上的安全通信。采用PEAP技术的有Wi-Fi受保护访问(Wi-Fi Protected Access, WPA)及WPA-2。
LEAP(Lightweight Extensible Authentication Protocol, 轻量级可扩展身份验证协议)
PEAP也优于思科称为LEAP的专有EAP。
LEAP是思科针对不安全WEP的初始解决方案。
LEAP支持频繁的再身份验证及WEP密钥更改(WEP只使用一次身份验证及静态密钥)。
然而,借助大量工具和技术(如破解工具Asleap), LEAP依然是可攻破的。
12.2 语音通信的安全
随着语音通信越来越依赖于IT基础设施,身份验证及完整性保护机制就变得非常重要。
此外,还需要采用加密装置或协议来保障语音通信过程中的保密性。
普通的专用交换机(Private Branch Exchange, PBX)或POTS/PSTN语音通信易受到拦截、窃听、tapping及其他破解技术的攻击。
通常,在组织的物理范围内,要通过物理安全来保护语音通信的安全。
在组织场所外部,语音通信的安全主要由提供通信线路租用服务的公司来负责。
如果语音通信在安全策略中占据重要位置,就应部署并使用加密通信技术。
12.2.1 VoIP (Voice over Internet Protocol, 网络电话)
VoIP是一种将语音封装在IP包中的技术,该技术支持在TCP/IP 网络中打电话。
在世界范围内,VoIP已经成为公司及个人大众化的、廉价的电话解决方案。
在选择VoIP服务提供商时,要牢记安全的重要性,确保方案能提供所期望的私密性与安全性。
一些VoIP系统在本质上还使用明文形式的通信,易于拦截与窃听;
其他一些系统进行了高强度加密,难以干扰与窃听。
黑客主要攻击手段:
• 语音钓鱼(VoIP钓鱼)/垃圾网络电话(SPIT)攻击
使用任何一种VoIP工具,都可以轻松伪造来电号码显示,
所以黑客能够进行语音钓鱼或垃圾网络电话攻击。
• DoS攻击
呼叫管理系统及VoIP电话本身也易受宿主操作系统攻击及DoS攻击。
如果设备、软件运行的主机操作系统或固件存在脆弱性,就会增加被攻击的风险。
• 中间人(MitM)攻击
通过欺骗呼叫管理器、终端连接协商过程和/或响应,攻击者能执行中间人攻击。
• 802.lx身份验证篡改/ VLAN与VoIP跳跃
不同的部署方式,也可能带来一些安全风险。如果桌面与服务器不是部署在同一台交换机上,
就为802.lx身份验证篡改及VLAN与VoIP跳跃(跳过身份验证通道)攻击打开了方便之门。
• 窃听VoIP通信
由于VoIP是网络流量,所以在未加密的清况下,通过窃听VoIP通信就可以解码VoIP流量内容。
SRTP (Secure Real-Time Transport Protocol, 安全实时传输协议;也称为安全RTP)
SRTP是RTP(Real-Time Transport Protocol,实时传输协议)的安全改进版本,也应用于很多VoIP通信中。
SRTP的目的是通过健壮的加密及可靠的身份验证,尽可能降低VoIP遭受DoS攻击的风险。
12.2.2 社会工程
社会工程是一种能让陌生的、不可信的或至少是未授权的个人,获取组织内部人员信任的方法。
无论实际的攻击内容是什么,通常都会为攻击者打开后门,获取对网络的访问权。
组织内部的人易受社会工程攻击。只需要很少的信息,就可能让受攻击者泄露机密信息或参与破坏活动。
攻击者常能绕过物理及逻辑安全访问控制,因为受害者可能从内部为攻击者打开方便之门,在安全边界上打开一个缺口。
防护社会工程攻击的唯一方法,就是教育用户如何应对任何形式的交流,
无论是语音的、面对面的、及时通信、聊天或是Email。这里提供一些指导方针:
• 要一直对任何看起来奇怪的、来历不明的或意外的语音通信倍加小心。
• 要一直进行身份验证。
身份的标识可以是驾照号码、社会安全号、雇员的ID 号、客户号、文件号或参照号,这些都很容易进行验证。
也可安排人员在办公室中,辨别来电人员的声音。
例如,如果来电者声称是一个部门的经理,就可以安排该部门的管理助手去接电话,以确定来电者的身份。
• 对于所有单一语音请求的网络变更行为,要进行“回叫“授权。
回叫授权的过程是:
首先断开来电者的通话,然后使用来电者的预设号码回叫该用户(该号码通常存储在公司目录中),以验证用户身份。
• 对信息(用户名、密码、IP地址、经理姓名、拨入号码等)进行分级,并清楚地标识出可通过语音通信讨论或确认的信息。
• 如果有人通过电话索要特权信息,请求者应了解此种行为是违反公司安全策略的,
应询问此人请求信息的原因,并再次检验他的身份。此种活动还要报告给安全管理员。
• 严禁通过单一语音通信交出或更改密码。
• 当根据策略或合规条例处理办公文档时,通常需要采用安全处置或销毁流程,
在处理包含IT基础设施或安全机制内容的纸质文件或存储介质。
12.2.3 欺骗与滥用
另一种语音通信威胁是专用交换机(Private Branch Exchange, PBX)欺骗与滥用。
许多专用交换机系统受到恶意攻击,攻击目的是想逃避电话费用或隐蔽身份。
称为“电话飞客”(phreaker) 的恶意攻击者,采用与攻击计算机网络的相似手段,攻击电话系统。
电话飞客可能会非法访问个人的语音信箱、重定向消息、阻塞访问以及重定向呼入与呼出电话。
针对专用交换机欺骗及滥用的应对措施,与保护计算机网络的很多防范措施相同:
逻辑或技术控制、管理控制以及物理控制。
在设计专用交换机(PBX)安全方案时要牢记以下几个要点。
• 考虑用信任卡或呼叫卡系统,来替代通过PBX进行的远程访问或长距离呼叫。
• 只向工作中需要该类业务的合法用户,提供拨入及拨出的功能。
• 如果仍然使用拨入调制解调器,应使用未公布的电话号码,号码的前缀区号要与现在使用的不同。
• 保护PBX的管理员接口。
• 阻止或停用任何未分配的访问码或账户。
• 制定切实可行的用户策略,并培训用户如何使用系统。
• 记录并审计PBX上的所有活动,并通过审计踪迹发现安全及使用上的违规行为。
• 禁用维护调制解调器(如厂商用于远程管理、更新、调试产品的远程访问调制解调器)和任何形式的远程管理访问。
• 更改默认配置,尤其是密码及有关管理或特权特点的功能。
• 阻止远程呼叫(就是允许远程用户拨入PBX, 然后从PBX拨出,这样会把所有通话费用转移到PBX用户上)。
• 采用DISA(Direct Inward System Access, 直接拨入系统访问)技术,减少外部实体对PBX的访问。
• 提醒厂商服务提供商及时更新现有系统。
DISA:病症与疗法
一种经常兜售的PBX系统“安全”改进是DISA直接拨入系统访问。
该系统通过为用户分配访问码,来管理PBX的外部访问与控制。
尽管设计思想很好,但仍能被电话飞客破解、滥用。
一旦外部飞客获取了PBX的访问码,他们可完全控制并滥用公司的电话网络。
例如使用PBX拨打长途电话,通话的费用计入公司而不是飞客的账上。
必须正确安装、配置并监控DISA, 才能取得预期的安全效果:
•必须禁用组织不需要的所有功能
••设置复杂的、难以猜测的用户代码/密码
•打开系统的审计功能,监视PBX上的活动
电话飞客专门攻击电话系统,会导致以下结果:
•采用多种技术破解电话系统
•拨打免费长途电话
•更改电话服务的功能
•盗用专业化的服务
•导致服务崩溃
常用于攻击电话服务的飞客工具(彩色盒子):
• 黑盒 通过改变电话线电压来偷取长途电话服务。通常是自制的带电池及线夹的电路板。
• 红盒 模拟硬币投入付费电话的声音,通常只是一台小小的磁带录音机。
• 蓝盒 通过模拟2600Hz的声调,直接与电话网主干系统进行交互。
它可能是一个哨子、一台磁带录音机或一部数字声调发生器。
• 白盒 用于控制电话系统。白盒是一种双音调多频(DTMF)发生器(如小键盘)。
也可能是自制的装置,或是大多数电话维修人员所用设备中的一种。
12.3 多媒体合作
多媒体合作就是使用多种支持多媒休的通信方法,提高远距离的合作。
通常,该种合作支持项目人员同时开展工作。合作需要跟踪内容的改变,并支持多媒体功能。
合作可能与Email、聊天、VoIP、视频会议、白板、在线文档编辑、实时文件交换、版本控制及其他工具一起结合使用。
多媒体合作通常也是一种先进的远程会议技术。
12.3.1 远程会议
远程会议技术可应用于任何产品、硬件或软件,支持远程实体间进行交互。
这些技术或方案冠以很多术语:数字合作、虚拟会议、视频会议、软件或应用合作、共享白板服务、虚拟培训方案等。
任何支持不同用户之间进行通信、交换数据、合作完成材料/数据/文档以及其他形式的合作,都可以视为远程会议技术服务。
无论采用哪种形式的多媒体合作,必须评估安全影响:
服务是否使用了强身份验证技术?
通信是否采用了开放协议或是加密通道?
是否允许真正删除会议内容?
用户活动是否进行审计与日志记录?
12.3.2 IM (Instant Messaging, 即时通信)
即时通信是一种实时通信工具,能为互联网上任何地方的用户提供基于文字的聊天功能。
一些IM工具支持文件传输、多媒体、语音、视频会议等功能。
有些形式的IM基于端对端服务,而有些采用集中控制服务器。
端对端形式的IM易于部署与使用,但从公司的角度看,却难以管理,因为通常是不安全的。
存在大量漏洞:数据包易被嗅探,缺乏真正的本地安全功能、不能提供隐私保护。
很多传统的即时通信工具,缺乏普通的安全功能,如加密或用户隐私保护。
许多单独的IM客户端易于植入或感染恶意代码。
此外,IM用户还经常遭受多种社会工程攻击,例如假冒其他用户或诱骗用户泄露密码等保密信息。
现在的即时通信工具既支持两人间的交流,也支持群组内的合作与通信。
(1)提供公共服务,如Twitter、Facebook Messenger以及Snapchat。
(2)只面向专用或内部应用,如Slack、Google Hangouts、Cisco Spark、Facebook Workplace以及Skype。
大多数通信服务具备安全特性,常采用多因素身份验证及传输加密。
12.4 管理邮件安全
邮件是互联网中最普通、应用最广泛的服务。
互联网中邮件基础设施:
(1)邮件服务器
使用SMTP(Simple Mail Transfer Protocol, 简单邮件传输协议)接收来自客户的邮件,
并将这些邮件传送给其他服务器,这些邮件最后被存储到服务器的用户收件箱中。
(2)邮件的客户端
客户端使用POP3或IMAP, 从邮件服务器的收件箱中查收邮件。
客户端使用SMTP与邮件服务器间通信。很多与互联网兼容的邮件系统依赖X.400标准进行寻址和消息处理。
常见的SMTP服务器:
Sendmail是Unix系统中最常见的SMTP服务器,
Exchange是微软系统中最常见的SMTP服务器。
如果要部署一台SMTP服务器,必须为传入传出的邮件请求配置正确的身份验证机制。
SMTP是一种邮件中继系统其作用是将邮件从发送者中传递给接收者。
如果SMTP邮件服务器在接收并转发邮件前不对发送者进行验证,
就很容易将SMTP邮件服务器变成一台“开放中继"(也称为“开放中继代理”或“中继代理”)。
开放中继是发送垃圾邮件者的主要目标,在不安全的邮件基础环境中,垃圾邮件发送者可通过捎带(piggybacking)技术发送海量的邮件。
随着开放中继被锁定,变成关闭的或身份验证中继,越来越多SMTP攻击是通过劫持身份验证用户账号来完成的。
SaaS邮件解决方案(云邮件或托管邮件)
SaaS邮件能帮助客户借助大型互联网企业的安全经验及管理专长,服务本公司的内部通信。
SaaS的实例:Gmail(谷歌的商用APP)及Outlook/Exchange Online。
SaaS邮件的优点:高可用性、分布式架构、易于访问、标准化配置以及物理位置独立等。
托管邮件解决方案潜在风险:包括黑名单问题、速度限制、app/插件限制以及无法自主部署额外的安全机制。
12.4.1 邮件安全目标
对邮件来说,在互联网中使用的基本功能是进行有效的消息传递,但缺乏能提供保密性、完整性或可用性的控制。
基本的邮件服务是不安全的,可采用多种方式为邮件提高安全性。
提高邮件的安全性,需要满足下列一种或多种目标:
• 提供不可否认性
• 消息只限制收件人可以访问(即隐私与保密性)
• 维护消息的完整性
• 身份验证和验证消息源
• 验证消息的传递
• 对消息或附件中的敏感内容进行分级
如IT安全的其他方面一样,邮件的安全源于高层管理者批准的安全策略。
在安全策略中,必须解决几个问题:
• 可接受的邮件使用策略
• 访问控制
• 隐私
• 邮件管理
• 邮件备份与保留策略
可接受的使用策略明确了组织的邮件基础设施中,哪些活动是允许的,哪些活动是禁止的。
通常会规定只能发送和接收与工作相关的、面向业务的以及有限数量人员的邮件。
通常会对以下几种类型的邮件做专门限制:
• 与个人事务(为其他组织工作,包括为自己工作)有关的;
• 发送与接收不合法的、不道德的以及冒犯性邮件;
• 涉及参与影响组织利润、工作以及公共关系的活动的邮件。
对于邮件的访问控制措施,是为了限制用户只能访问各自的收件箱及存档数据库信息。
该规则意味着其他用户,无论是否获得授权,均不能访问某个用户的邮件。
访问控制既要保护合法访问也要保护一定程度的隐私,至少对于一些员工及非法入侵者是这样。
组织中实现、维护及管理邮件的制度和流程应进行明确。
终端用户不必知道邮件管理规定的细节,但一定要明白邮件是否应视为私人通信。
邮件进行存档(就是进行备份并储存以备将来之用),需要告知有关用户。
审计人员检查邮件是否违规也应告知相关的用户。
根据所在国家与行业的差别,会有不同的法规指示邮件的保存策略。
12.4.2 理解邮件安全问题
邮件特有的脆弱性:
• 缺乏本地加密
支持邮件的标准协议(如SMTP、POP及IMAP)都未采用本地加密措施。
因此,信息以原始形式提交给邮件服务器进行传输,通常都是明文。
这样导致邮件内容易于拦截和窃听。
• 传播恶意病毒
邮件是较常见的传播病毒、蠕虫、特洛伊木马、文档宏病毒及其他恶意代码的途径。
随着对于各种脚本语言、自动下载功能及自动运行功能的支持越来越多,
邮件内容及附件中携带的超链接,对每个系统的安全都构成严重威胁。
• 缺乏完整性验证机制
邮件很少进行源验证,假冒邮件地址对于黑客新手来说也不是难事。
邮件头部在发送源头及传输过程的任何位置都可以进行修改。
并且,通过连接邮件服务器的SMTP端口,能将邮件直接发送到用户的收件箱中。
• Dos攻击(邮件炸弹)
邮件本身也可作为一种攻击手段。
当足够数量的邮件直接发送到某个用户的收件箱,或经过特定的SMTP服务器时,就会产生拒绝服务(DoS)攻击。
使用大量邮件淹没系统的DoS攻击手段,会导致系统的存储容量或处理器时间耗尽。
产生的结果都一样:无法传送合法的邮件。
• 垃圾邮件(spamming)
与邮件洪水及恶意代码附件类似,垃圾邮件也被视为是一种攻击。
发送这些无用的、不合适的或无关的邮件称为垃圾邮件。
垃圾邮件不只是垃圾,它还浪费本地及互联网资源。
垃圾邮件常常难以防范,主要是因为邮件的来源通常是虚假的。
12.4.3 邮件安全解决方案
采取邮件安全保护措施要依据传输信息的价值及保密性要求而定。
可采用多种协议、服务以及方案来提高邮件安全,而不必对现有SMTP架构做大的调整。
这些技术手段包括S/MIME、MOSS、PEM及PGP。
• 安全/多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extensions, S/MIME)
S/MIME是一种邮件安全标准,能通过公钥加密及数据签名,为邮件提供身份验证及保密性保护。
身份验证是通过X.509 数字证书完成的。通过公钥加密标准(Public Key CryptographyStandard, PKCS)来提供隐私保护。
采用S/MIME能形成两种类型的消息:签名消息与安全信封消息。
签名消息 提供完整性、发件人身份验证及不可否认。
安全信封消息 提供完整性、发件人身份验证及保密性。
• MIME对象安全服务(MIME Object Security Services, MOSS)
MOSS能为邮件提供身份验证、保密性、完整性及不可否认保护。
MOSS使用MD2算法、MD5算法、RSA公钥和DES来提供身份验证及加密服务。
• 隐私增强邮件(Privacy Enhanced Mail, PEM)
PEM是一种邮件加密技术,能提供身份验证、完整性、保密性及不可否认保护。
PEM使用RSA、DES及X.509。
• 域名关键字标识邮件(DomainKeys Identified Mail, DKIM)
DKIM通过验证域名标识,确定来自组织的邮件是否有效。
• 良好隐私(Pretty Good Privacy, PGP)
PGP是一种对称密钥系统,使用大量的加密算法加密文件及邮件消息。
第一个版本的PGP使用RSA, 第二个版本使用的是IDEA, 后续版本提供多种算法选项。
PGP不是一种标准而是单独开发出的软件产品,并在互联网普通用户中受到广泛支持。
• SMTP网关的Opportunistic TLS(RFC3207)
大量组织正在使用TLS上的安全SMTP,但是,由于对其认识的不深,该技术的应用范围并没有达到预期。
该技术会在邮件服务器之间建立起加密连接,否则就会使用明文传输。
使用此项技术能够减少邮件嗅探事件的发生。
• 发件人策略框架(Sender Policy Framework, SPF)
组织可通过为SMTP服务器配置SPF,来防止垃圾邮件及邮件欺骗。
SPF通过检查发送消息的主机是否获得SMTP域名拥有者的授权,来确定消息的有效性。
例如,如果收到来自mark.nugget@abccorps.com的消息,
SPF首先会通过smtp.abccorps.com的管理员核实mark.nugget有没有权限发送消息,
再决定是否接受消息并保存到接收者的收件箱中。
通过采用这些及其他邮件和通信安全措施,能减小或消除邮件系统的大量脆弱性。
• 数字签名 有助于消除身份假冒。
• 消息加密 可减少窃听事件的发生。
• 邮件过滤 可将垃圾邮件及邮件炸弹降至最低。
•邮件网关:
在网络邮件网关系统上拦截附件,能消除来自恶意附件的威胁。
拦截策略可以是100%拦截,或只拦截已知的或疑似恶意的附件(附件的扩展名是可执行文件或是脚本文件)。
•安全意识培训:
如果邮件中的附件必不可少,就需要对用户进行安全意识及杀毒软件使用的培训。
训练用户避免下载或点击可疑、未知的附件,能大大降低通过邮件传播恶意代码的风险。
•杀毒软件:
杀毒软件一般对于已知的病毒有效,但对于新病毒或未知病毒作用有限。
垃圾邮件、恶意邮件或是广告邮件的防范措施:
• 黑名单服务
黑名单服务提供了一种订阅系统,记录已知的发送不良邮件的地址列表。
邮件服务器可以采用此黑名单机制,自动丢弃来自黑名单中的域名或IP地址的消息。
• 采用挑战/应答过滤器
在此类服务中,如果收到一封来自全新或未知地址的邮件,自动应答机会回复一条请求确认的消息,
垃圾邮件或自动发送的邮件不会对该请求做出响应,但正常的发送者会应答。
获得确认的请求,能够确定发送者是有效的,并将发件人地址加入白名单以便以后使用;
未获得确认的请求,就是垃圾邮件发送者。
• 通过邮件拒绝过滤器管理未知邮件
多种服务维护了一套邮件服务的分级系统,该系统用于确定哪些是标准/正常的通信,哪些是垃圾邮件。
这些服务包括senderscore.org、senderbase.org、ReputationAuthority.org、trustedsource.org以及Barracuda Central。
这些及其他一些服务是Apache Spam Assassin及spamd等多种垃圾邮件过滤技术的一部分。
12.5 远程访问安全管理
远程访问可能采取的形式:
• 使用调制解调器直接拨入远程访问服务器。
• 在互联网上通过VPN接入网络。
• 通过瘦客户端连接接入终端服务器系统。
• 使用远程桌面服务, 接入位于办公区的个人电脑。
如Microsoft的Remote Desktop、TeamViewer、GoToMyPC、Citrix的XenDesktop或VNC
• 使用基于云的桌面解决方案,例如亚马逊的Workspace。
所有计算活动都发生在终端服务器系统中,而不是在远程客户上。
拨号服务 是供组织使用的所有电话服务的总称,或是组织使用电话服务进行语音与数据通信的总称。
传统上,拨号服务将POST(也称为PSTN)与调制解调器结合使用。然而,PBX、VoIP与VPN也常用于电话通信。
远程访问技术主要有四种类型:
(1)特定服务
特定服务类型的远程访问,为用户提供远程接入和使用单一服务(如邮件)的功能。
(2)远程控制
远程控制类型的远程访问为远程用户提供完全控制物理上相距遥远系统的能力。
显示器与键盘就像直接连接在远程系统上一样。
(3)抓屏/录屏
应用在两个不同场合。
第一,有时会用于远程控制、远程访问或远程桌面服务。
这些服务也称为虚拟应用或虚拟桌面。其思想是抓取目标机器的屏幕并显示给远程的操作者。
由于远程访问资源会在传输过程中带来额外的泄露或破坏风险,所以,使用加密的抓屏方案非常重要。
第二,录屏是一项技术,允许自动化工具与人机界面进行交互。
例如,某些数据收集工具,在使用过程中会用到搜索引擎。然而,大部分搜索引擎,必须通过正常的Web页面来使用。
例如,谷歌要求所有搜索必须通过谷歌的搜索表单字段来进行。
屏幕抓取技术可与人性化设计的Web前端进行交互,交互结果输入搜索引擎,然后解析Web页中的搜索结果,提取出相关信息。
Poundstone/McAfee的SiteDigger是非常好的此类产品。
(4)远程节点操作(拨号连接)
远程系统接入远程访问服务器。服务器为远程客户提供网络服务及可能的互联网连接。
POTS与PSTN指传统的固网电话。
随着宽带及无线服务日益普及,POTS/PSTN的家庭用户越来越少。
POTS/PSTN有时仍作为宽带远程连接失效时的备份方案,也用于乡村互联网和远程连接,
以及在无法提供ISDN、VoIP或宽带连接或这些方案不够经济时,作为标准的语音电话线。
保护专用网络以防止出现远程访问问题的措施:
• 远程用户应该经过严格的身份验证才能获得访问权限。
• 只有那些工作中需要远程访问的特定用户,才有权建立远程连接。
• 所有远程通信都要防止被拦截和窃听。这通常需要加密技术来保护身份验证信息与数据传输。
在传输敏感、有价值或个人信息前需要建立安全的通信通道。
如果没有充分的保护和监视,会存在潜在的安全问题。
远程访问潜在的安全问题:
• 任何具备远程连接的人员,如果企图破坏组织的安全,物理安全的防护效果会降低。
• 远程办公人员可能使用不安全或低安全的远程系统,来访问敏感数据,这样会给数据带来在巨大的丢失、破坏与泄露风险。
• 远程系统可能遭受恶意代码攻击,并可能成为恶意代码传入专用网络的载体。
• 远程系统可能在物理上不够安全,因而也存在被非法实体滥用或偷窃的风险。
• 远程系统可能难以进行故障定位,尤其是出现有关远程连接的问题。
• 远程系统可能难以升级或打补丁,因为较少的连接或较慢的连接速度。如果存在高速宽带连接,这些问题会有所缓解。
12.5.1 远程访问安全计划
在规划远程访问的安全策略时,一定要解决下列问题:
•远程连接技术
每种连接都有其独特的安全问题。对于所选择连接的各个方面要进行全面检查。
可能的连接包括蜂窝/移动通信、调制解调器、数字用户线路(DSL)、综合业务数字网(ISDN)、无线网络、卫星通信以及有线调制解调器。
•传输保护
有几种形式的加密协议、加密连接系统以及加密网络服务或应用。
根据远程连接的需要选择合适的安全服务。
可供选择的包括VPN、SSL、TLS、SSH、IPsec以及第二层隧道协议(L2TP)。
•身份验证保护
除了要保护数据流量,还要确保所有登录凭据的安全。
需要采用身份验证协议以及必要的中心化远程访问身份验证系统。
这可能包括:
密码身份验证协议(Password Authentication Protocol, PAP)
征询握手身份验证协议(Challenge Handshake Authentication Protocol, CHAP)
可扩展身份验证协议(EAP, 或其扩展PEAP 或LEAP)
远程身份验证拨入用户服务(Remote Authentication Dial-In User Service, RADUJS)
终端访问控制器访问控制系统+(Terminal Access Controller Access-Control System Plus, TACACS+)
•远程用户助手
远程访问用户有时可能需要技术上的协助。
所以必须提供尽可能有效的获得协助的方法。比如,解决软硬件问题以及培训问题。
如果组织无法给远程用户提供必要的技术支持,可能导致工作效率下降、远程系统受损或破坏组织整体的安全。
如果远程系统难以或无法维护与专用局域网相同等级的安全防护,就应该重新考虑远程访问的安全风险。
NAC应该有所帮助,但可能因为需要传输大量更新与补丁数据,而加重慢速网络的负担。
要严格控制远程访问的使用或远程连接的建立。
控制与限制远程连接的手段包括:
过滤器、规则,以及基于用户标识、工作站标识、协议、应用、内容以及时间的访问控制。
回叫及回叫ID:
为限制只有授权用户才能使用远程访问,需要采用回叫及回叫ID。
回叫是一种机制;当收到远程用户发起的初始连接请求时,
首先会断开连接,接着按照预先设定的电话号码(该号码记录在用户的安全数据库中)回叫该用户,重新建立连接。
回叫具有用户定义模式。然而,该模式并不用于安全;
而是用于反向计费,即向公司(而不是远程用户)收费。
回叫ID验证与回叫的用法相同一通过电话号码验证物理位置来确认合法的用户。
在安全策略中必须要明确的是,未授权的调制解调器不能接入专用网络的任何系统上。
对于便携式设备,只有关闭或移除调制解调器(或卸载调制解调器的驱动程序)后,才允许接入网络。
12.5.2 拨号上网协议
当建立了远程连接链路,必须要使用协议来管理链路的创建,以及管理供其他协议使用的统一通信基础。
任何时候都应慎重选择支持安全的协议。在最低限度,安全身份验证是必需的,如果具备数据加密也是不错的选择。
两个主要的拨号协议,PPP与SLIP,都提供链路管理功能,不只是对于真实的拨号链路,对于一些VPN链路也是。
PPP(点对点协议)
PPP是一种全双工协议,用于在各种非局域网环连接上传输TCP/IP数据包,如调制解调器、ISDN、VPN、帧中继等。
PPP获得了广泛支持,是拨号互联网连接中使用的传输协议。
有多种协议保护PPP身份验证的安全,如CHAP与PAP。
PPP是SLIP的换代产品,可以支持任何一种LAN, 不只是TCP/IP 。
SLIP(串行线路互联网协议)
SLIP是一种更早的技术,主要是为了在异步串行连接(如串行电缆或拨号调制解调器)中,进行TCP/IP通信。
SLIP用得很少,但现在很多系统依然支持。SLIP只支持IP协议,
并且需要配置静态的IP地址,提供无错检测或纠错机制,但不支持压缩。
12.5.3 中心化远程身份验证服务
中心化远程身份验证服务:在公司网络与远程用户之间提供安全保护,如RADIUS、TACACS+。
该服务实现了远程用户的身份验证与授权过程与本地用户的分离。
如果RADIUS或TACACS+服务器被攻破,只有远程连接会受到影响,而不会波及网络的其他部分。
RADIUS用于为远程拨号连接提供中心化的身份验证服务。
网络中部署一台RADIUS服务器,远程访问服务器会将拨号用户的登录凭据传递给RADIUS服务器进行身份验证。
这个过程类似于域用户传递登录证书给域控制器进行验证。
RADIUS使用几个端口;初始的UDP 1812以及在TLS上RADIUS使用的TCP 2083。
RADIUS的TCP版本是2012年设计的,使用了TLS的加密功能。
TACACS+是RADIDS的一种替代方案。
TACACS有三个版本:原始的TACACS、扩展TACACS(XTACACS) 以及TACACS+。
TACACS 整合了身份验证和授权过程。
XTACACS 实现了身份验证、授权和记账过程的分离。
TACACS+ 对XTACACS进行了改进,加入了双因素身份验证。
TACACS+是该系列产品线中最新也是最重要的版本。TACACS+的主要端口是TCP 49。
12.6 虚拟专用网(Virtual Private Network, VPN)
虚拟专用网是一种通信安全隧道,能支持在不可信网络中,进行点对点的身份验证和数据传输。
大多数VPN使用加密来保护封装的流量,但加密并非VPN的必要元素。
VPN最常见的应用是在远距离网络间,通过互联网建立起安全的通信通道。
VPN无处不在,包含在专用网络内部或同一个ISP的终端用户系统之间。
VPN既可连接两个网络也可连接两个单独系统。它们可连接客户端、服务器、路由器、防火墙和交换机。
VPN也能为那些依然使用有风险或脆弱通信协议的老旧应用提供安全防护,尤其是需要通过网络进行通信的场合。
VPN能在不安全或不可信的网络上,提供保密性及完整性保护。但不提供或保证可用性。
VPN还有一个较广泛的应用,是可绕过一些服务(如Netflix、Hulu)对位置的要求,并提供一定程度的匿名使用机制。
12.6.1 隧道技术
隧道技术是一种网络通信过程,通过将协议数据包封装另一种协议报文中,对协议数据内容进行保护。
这种封装就可以看成是在不可信的网络中创立的通信隧道。
这个虚拟通道位于不同通信端上的封装实体与解封实体之间。
实际上,以前发送的传统邮件中也包含隧道的概念。
编写好邮件(协议数据包的主要内容),放入信封中(隧道协议)。
这封信通过邮局服务(不可信的中间网络)送到收件人手中。
在很多场合会用到隧道技术,如旁路防火墙、网关、代理或其他流量控制设备。
旁路就是通过将受限的内容封装在允许合法传输的数据包中完成的。
隧道技术能防止流量控制装置阻挡或丢弃数据的传输,因为这些装置不知道数据包中包含的真实内容。
隧道技术也常用于其他非互联系统间的通信。
如果两个系统因为没有网络连接而无法通信,可首先使用调制解调器拨号连接、其他远程访问或广域网络服务建立起通信链路,
将局域网中的数据流量封装在临时链路使用的通信协议中,如果是调制解调器拨号,使用的就是点对点协议。
如果两个网络与另一个使用不同协议的网络相连,这两个网络的协议通常被封装在第三个网络的协议中进行通信。
无论真实场景如何,隧道技术通过采用中间网络,对合法通过的协议进行封包,来保护内部协议及流量数据的安全,
如果主要协议不可路由,也可以使用隧道技术,将网络中支持的协议数量降至最低。
隧道技术的常见使用场景:
(1)每次使用安全的SSL或TLS连接访问Web网站,就用到隧道技术。
与Web网站的明文通信,就隧道技术封装在SSL、TLS会话中。
(2)使用互联网电话或VoIP系统,语音通信内容也迎过隧道技术封装在VoIP协议中。
由于在封装协议过程中会用到加密技术,所以借助隧道技术,能通过不可信网络来传输敏感数据,而不必担心数据泄露或被篡改。
隧道技术的缺点:
它是一种低效的通信方式,因为大多数协议都有各自的错误检测、错误处理、确认以及会话管理功能,
所以每多使用一个协议,就会增加消息通信的额外开销。
并且,采用隧道增加了报文的体量和数量,相应地消耗了更多网络带宽,如果带宽不够充裕,网络很快会出现拥塞。
此外,隧道是一种点对点的通信机制,并不是设计用来处理广播流量的。
在一些条件下,隧道技术也使流量内容的监视变得困难,为安全人员的工作制造麻烦。
12.6.2 VPN的工作机理
可在其他任何网络连接上建立起VPN链路。
• 典型的LAN
• 一个无线LAN
• 远程访问的拨号连接
• WAN链路
• 利用互联网连接接入办公网络的客户
VPN链路与直接接入LAN的唯一差别:
可能受到中间网络的速度,以及客户系统与服务器系统间连接类型的限制。
在VPN链路上,客户能与通过网线直接接在LAN上的其他用户一样,执行相同的活动,访问相同的资源。
VPN能连接两个单独的系统或两个完整的网络。
唯一的差别在于传输的数据只有在VPN隧道中才能得到保护。
网络边界的远程访问服务器或防火墙充当VPN的起点与终点。
因此,流量在源段的LAN中是不受保护的,在边界VPN服务器之间受到保护,到达目的端LAN又失去保护。
通过互联网接入远距离网络的VPN链路通常是直接链路或租用线路的廉价备用线路。
使用两条高速互联网链路接入本地ISP构建一个VPN, 花费经常远低于其他形式的连接。
12.6.3 常用的VPN协议
VPN既有软件实现方案,也有硬件的实现方案。
这两种情况下,有四种常用的VPN协议,即PPTP、L2F、L2TP以及IPsec。
PPTP、L2F、L2TP都工作在OSI参考模型的数据链路层(第2 层)。
PPTP与IPsec仅限在IP网络中使用,而L2F与L2TP可用来封装任何LAN协议。
1. PPTP (Point-to-Point Tunneling Protocol, 点对点隧道协议)
点对点隧道协议是一种在拨号点对点协议基础上开发的封装协议。
工作在OSI参考模型的数据链路层(第2 层),用于IP网络。
PPTP在两个系统之间建立一条点对点隧道,并封装PPP数据帧。
通过PPP同样支持的身份验证协议,为身份验证流量提供保护:
•微软的征询握手身份验证协议(MS-CHAP)
•征询握手身份验证协议(CHAP)
•密码身份验证协议(PAP)
•可扩展身份验证协议(EAP)
•Shiva密码身份验证协议(SPAP)
PPTP的初始隧道协商过程是不加密的。
因此,在建立会话的数据包中包含发送者及接收者的IP地址——也可能包含用户名和经过散列的密码——这些信息可能被第三方拦截。
在VPN中可能会使用PPTP, 但现在经常被L2TP所取代,后者使用IPsec为VPN提供流量加密功能。
现在使用PPTP协议时,采用的是微软定制的版本,使用微软点对点加密(MPPE)进行数据加密,并支持多种安全身份验证选项。
PPTP不支持TACACS+及RADIUS 。
2. 第二层转发协议与第二层隧道协议
(1) 第二层转发(L2F)
思科公司开发了自己的VPN协议,称为第二层转发(L2F) ,这是一种相互身份验证隧道机制。
但L2F不提供加密。L2F的使用不够广泛,很快被L2TP所取代。
顾名思义,这两个协议都工作在第2层,可封装任何LAN协议。
(2) 第二层隧道协议(L2TP)
L2TP源自PPTP及L2F的结合。L2TP在通信端点间创立点对点隧道,缺少内置的加密框架。
但通常采用IPsec作为安全机制。L2TP也支持TACACS+及RADIUS。
3. IP安全协议(IPsec)
现在最常用的VPN协议是IPsec。
IPsec既是单独的VPN协议,也是L2TP的安全机制,并只能用于IP流量。
IPsec作为IPv6的安全要素,也加入IPv4的附加包中。
IPsec只能工作在IP网络中,能够提供安全身份验证以及加密的数据传输。
IPsec有两个主要部件或功能:
身份验证头(AH) AH提供身份验证、完整性及不可否认性保护。
封装安全载荷(ESP) ESP提供加密,保护传输数据的安全性,也能提供有限的身份验证功能。
工作在网络层(第三层),能用于传输模式或隧道模式。
在传输模式下,IP报文数据进行加密但是报文头部不加密。
在隧道模式下,整个IP报文都进行加密,并会添加新的报文头部,来管理报文在隧道中的传输。
VPN设备是网络的附加设备,能创建与服务器、客户机操作系统分离的VPN隧道。
这类VPN设备的使用对于网络系统是透明的。
12.6.4 VLAN (Virtual Local Area Network, 虚拟局域网)
虚拟局域网是一种在交换机上通过硬件实现的网络分段技术。
默认条件下,交换机上的所有端口都属于VLAN.1。
但只要交换机管理员逐端口更改了VLAN的分配,各类端口就可能分组在一起,并与其他组VLAN端口配置不同。
VLAN的分配或建立,可能依据设备的MAC地址、IP子网划分的镜像(mirroring the IP subnetting),
也可能围绕特定的协议,或基于身份验证。
VLAN管理最常用于区分用户流量与管理流量。VLAN1是非常典型的管理流量VLAN。
VLAN用于流量管理。
同一个VLAN中的成员间的通信毫无障碍,但不同VLAN间的通信需要路由功能,
该功能可由外部路由器提供,也可由交换机内部的软件实现(三层交换和多层交换的由来)。
VLAN类似于子网但又不是子网。VLAN是交换机创建的,子网是通过IP地址及子网掩码配置的。
VLAN也可用来隔离不同网络段之间的流量。
实现这个目标有两种方法:
一是不同的VLAN之间不提供路由功能。
二是在特定的VLAN(或VLAN的成员)之间设置拒绝过滤规则。
某个网段,如果不需要与另一个网段通信,它们之间就不能进行通信。
使用VLAN的目的是保证必要的通信,阻止/拒绝任何不必要的通信。
要牢记,"拒绝是常态,允许是例外“不只是防火墙规则的指南,也适于处理全部安全问题。
VLAN的功能与传统子网在很多方面类似。
对于VLAN间的通信,交换机执行路由功能,来控制过滤VLAN间的流量。
VLAN用于对网络进行逻辑分段,而不必更改物理网络的拓扑。
VLAN易于实现,不会增加过多管理负担,也是基于硬件的解决方案(特别是三层交换)。
如果网络在虚拟环境或云中,经常会使用软件交换。
这种情况下,VLAN就不是基于硬件而是基于软件交换来实现的。
VLAN有助于控制和限制广播流量,并且由于交换机将每个VLAN视为分离的网络分区,也减少了流量嗅探的风险。
为实现网段之间的通信,交换机必须提供路由功能。
正是路由功能阻挡了子网与VLAN间的广播,因为路由器(或任何执行第三层路由功能的设备,如三层交换机)并不转发第2层的以太网广播。
交换机的这种阻止VLAN间以太网广播的特点,有助于防止广播风暴。
广播风暴 指大量以太网广播垃圾流量。
部署VLAN的另一个要素是端口隔离或专用端口。
这些专用VLAN用于或保留给上行链路端口。
专用VLAN或端口隔离VLAN的成员,只是相互之间,或与预定义的退出端口或上行链路端口进行交互。
一个常见的端口隔离例子应用在酒店里。
配置要求每个房间或套房的以太网端口都隔离在唯一的VLAN中,
这样,同一个房间的端口间可以进行通信,而不同房间之间无法通信。
并且,所有这些专用VLAN的成员,都拥有接入互联网的路径(也就是上行链路端口)。
12.7 虚拟化
“虚拟化”技术用于在单个计算机系统内存中创建一个或多个操作系统。
该机制支持在任何硬件上运行任何OS 。这样的OS也称为寄宿(guest)操作系统。
照此观点,首先在计算机硬件上安装原始或宿主OS, 再由虚拟机管理系统安装的操作系统就是寄宿OS。
在同一硬件上,能够有多个操作系统同时工作。
常见例子包括:
•VMware/vSphere
•微软的Hyper-V
•VirtualBox、
••XenServer
•苹果公司的Parallels
虚拟化的好处:
•能根据需要启动服务器或服务的实例,实现实时的可扩展性。
•根据应用的需要启动合适版本的操作系统。
•遭破坏的、崩溃的虚拟系统诙复起来通常也很迅速(备份)。
•虚拟系统的备份更简捷。在出现错误或问题时,虚拟系统能在几分钟内由备份替换。
•恶意代码攻破或干扰虚拟系统也很少会影响宿主操作系统。
虚拟机逃逸
寄宿OS中的软件破坏了管理系统的隔离保护、突破了其他寄宿OS的容器或渗透进入宿主OS。
例如利用“毒液”漏洞(VENOM)就能攻破一些VM产品,
这些VM产品的共同特点是使用一个已被破解的开源软盘驱动程序,
导致恶意软件能跳过不同的VM, 甚至直接访问宿主机。
VM逃逸可采取的风险降低措施:
首先,将高敏感的系统和数据部署在不同物理机上。
其次,保证所有管理软件及时更新厂商的补丁(尤其是VM逃逸漏洞有关的补丁)。
第三,监测现有环境所面临新威胁的攻击、暴露及破坏指数。
12.7.1 虚拟软件
“虚拟应用“是一种软件产品,能产生与完整主机OS相似的用户体验。
一个虚拟(或虚拟化)应用经过打包或封装便于携带,并且不必安装原始主机OS即可运行。
虚拟应用的安装包(技术上也可称为虚拟机或VM) 已包含原始主机OS的主要功能,能像常规安装的应用一样运行。
一些形式的虚拟应用可作为U盘上的便携式应用。
其他虚拟应用则在其他主机OS平台上执行——例如,在Linux OS上运行Windows应用。
术语“虚拟桌面”指的是至少三种不同的技术:
• 远程访问工具为用户提供访问远程计算机系统的能力,用户可查看、控制远程桌面的显示器、键盘、鼠标等。
• 虚拟应用概念的扩展,封装多个应用以及一些形式的"桌面”或可移植的shell、跨OS的操作。
该项技术提供某个平台下的特点/优点/应用,供其他平台的用户使用,并且不必使用多台计算机、双启动或虚拟化OS平台。
• 扩展的或扩大的桌面显示,能为用户提供多应用界面,并可通过键盘或鼠标进行切换。
12.7.2 虚拟化网络
虚拟化网络或“网络虚拟化”是将硬件与软件的网络化组件,组合到单一的完整实体中。
形成的系统能够通过软件来控制所有网络功能:管理、流量整形、地址分配等。
使用单一管理工作台或接口就能监视网络的各个方面,而在过去,每个硬件组件都需要相应的真实部件。
世界范围内,虚拟化网络正曰益成为公司基础设施部署及管理的流行方式。
这也促使组织使用或适应了其他有趣的网络技术,包括软件定义网络、虚拟SAN、寄宿操作系统及端口隔离。
SDN(软件定义网络)是一种针对网络运营、设计及管理的独特方法。
这个概念基于这样的理论:传统网络由于设备内配置(如路由器、交换机)的复杂性,
经常迫使组织只能依靠单一设备制造商,如思科,使得网络很难适应物理及业务条件的改变。
SDN的目标是将基础设施层(硬件及硬件设置)从控制层(数据传输管理的网络服务)中分离出来。
同时,这也消除了IP地址、子网、路由等传统的网络概念,就像是通过编程或由应用解密来完成一样。
SDN提供了全新的网络设计,一种直接可编程的、柔性的、独立于厂商的、开放的标准。
使用SDN能让组织摆脱对单一厂商的依赖,允许组织根据需要购买各种硬件,
比如,可购买性价比或吞吐率最高的设备,而不必考虑厂商是谁。
硬件的配置和管理也能通过中央管理接口来完成。
此外,硬件的设置还可根据需要进行动态更改和调整。
SDN也可以视为是一种有效的网络虚拟化。
支持在SDN控制层对数据传输路径、通信决策树以及流量控制的虚拟化,而不必针对每台硬件进行修改。
虚拟化网络的概念引出的另一个有趣技术是虚拟SAN(存储区域网络)。
SAN也是一种网络技术,将多台独立的存储设备整合为单一的、能通过网络访问的存储容器。
虚拟SAN或软件定义的可共享存储系统,是SAN系统在虚拟化网络或SDN上的虚拟化重建。
12.8 网络地址转换
使用NAT(网络地址转换)能实现:
隐藏内部用户的身份、屏蔽私有网络的设计、降低公网IP地址的租用费用。
NAT是一种地址转换技术,能将报文头中的内部IP地址,转换为可在互联网上传输的公网IP地址。
使用NAT技术,私有网络能够使用任何IP地址,而不必担心与IP地址相同的公网互联网主机发生冲突和碰撞。
事实上,NAT将内部网络用户的IP地址转换为外部环境的IP地址。
NAT带来了很多好处,如下所示。
• 通过NAT,整个网络可通过共享一个公网IP地址接入互联网。
• 可在内部网中使用RFC 1918中定义的私有IP地址,与互联网进行通信。
• 通过NAT, 向外部隐藏了内部IP地址的划分及网络拓扑。
• NAT对连接做了限制;来自互联网的流量中,只有网络内部受保护连接中的流晕才允许通过。
这样,大多数入侵攻击会被自动拦截。
三种方法来检验是否使用了NAT网络。
(1) 检查机器的IP地址。如采用IRFC 1918中定义的地址,同时能上互联网,那一定是使用了NAT网络。
(2) 检查代理服务器、路由器、防火墙、调制解调器或网关设备的配置,查看是否设置了NAT(这需要具有访问网络设备的权限)。
(3) 如果机器的IP地址不是RFC 1918地址,就将机器的IP地址与互联网识别的IP地址进行比较。
互联网识别的IP地址可通过访问IP检查网站来获得;较常用的是http://whatismyipaddress.com。
如果机器的IP地址与该网站识别的IP地址不同,则说明也使用了NAT网络。
NAT是大量硬件设备及软件产品的功能之一,包括防火墙、路由器、网关及代理服务器。
NAT只能用于IP网络,工作在网络层(第三层)。
12.8.1 私有IP地址
近来,随着公网IP地址的逐步减少,以及对于安全的日益重视,NAT的使用也越来越多。
IPv4最多只有大约40亿(2的32次方)个IP地址,而世界上需要IP地址的数量远大于可用的IP地址。
幸运的是,互联网及TCP/IP的早期设计者具有很好的预见性,将一些IP地址块保留作为私有的、不受限的用处。
私有IP地址段,在RFC 1918中确定:
• 10.0.0.p-.p-10.255.255.255(全A类地址)
• 172.16.0.0-172-.0-172.31.255.255(16个B类地址)
• 192.168.0.0-192-.0-192.168.255.255(256个C类地址)
在所有路由器与流量定向设备的默认设置中,是不转发来自或发往这些IP地址的数据包的。
换言之,私有IP地址默认不可路由。所以,私有IP地址不能直接用于互联网通信。
但是,如果在不需要路由器的私网中,或只是对路由器的配置做微小改动,可轻松地使用私有IP地址。
采用私有IP地址并结合NAT技术,可显著减少接入互联网的花费,因为只要从ISP租用较少的公网IP就能满足需要。
12.8.2 有状态NAT
NAT维护了一张内部用户请求及内部用户IP地址到互联网服务IP地址的映射表。
当收到一个来自内部用户的请求报文时,NAT会将该报文的源地址更改为NAT的服务器地址,
所做的更改信息与目的地址一起记录到NAT数据库中。
从互联网服务器上接收到回复信息后,NAT将回复信息中的源地址,
与存储在映射数据库中的地址进行对比,确定该信息所属的用户地址,再将该回复信息转发给接收者。
该过程称为有状态NAT, 因为维护了用户与外部系统之间的通信会话信息。
NAT能在一对一状态下工作,也就是一个外部公网IP地址,一次只用于一个内部用户通信。
但这样的配置在需要访问互联网的用户数大于可用公网IP地址数量时,会产生性能瓶颈。
例如,如果只租用5个公网IP地址,第6名用户就只能等待其他用户释放了IP地址,才能进行互联网数据传输。
其他形式的NAT采用了多路复用技术,使用端口号为多个用户提供共用单个公网IP地址的方法。
在技术上,这种多路复用形式的NAT称为“端口地址转换”(PAT)或NAT” 重载“,但业界依使用NAT来称呼这个更新的版本。
12.8.3 静态与动态NAT
NAT有两种工作模式:静态模式与动态模式。
静态NAT
在静态模式下,特定的内部IP地址被固定映射到特定的外部IP地址。
这可保证外部实体能与使用RFC 19181P地址的内部网络系统进行通信。
动态NAT
在动态模式下,多个内部用户能共用较少的外部公网IP地址。
这样,大量内部网络不必租用很多外部公网IP地址依能访问互联网。
这也减少了公有IP地址的滥用,降低了访问互联网的花费。
在动态模式的NAT中,通过NAT系统维护映射数据库,来自互联网的响应流量都能正确路山到内部发出请求的用户。
NAT经常与代理服务器或代理防火墙结合使用,以提供额外的互联网访问及内容缓存服务。
NAT并不直接与IPsec兼容,因为它需要修改报文的头部,IPsec正是依靠这点来提供安全防护功能。
但也有不少版本的NAT代理支持NAT基础上的IPsec。确切地讲,"NAT-遍历”(RFC 3947)通过采用IKE的UDP封装支持IPsec VPN。
IPsec是一项基于标准的技术,为点对点的TCP/IP通信提供加密服务。
12.8.4 自动私有IP分配(Automatic Private IP Addressing,APIPA)
自动私有IP分配也称为本地链路地址分配(在RFC3927 中定义),
是在动态主机配置协议(Dynamic Host Configuration Protocol, DHCP)分配失败的情况下,继续为系统分配IP地址。
APIPA主要是Windows系统的一个功能。
APIPA通常为DHCP分配失败的用户分配169.254.0.1-169.254.255.254地址段的一个IP地址,及B类子网掩码255.255.0.0。
同一广播域中的所有APIPA用户之间可通信,但无法跨越路由或与其他配置正确的IP地址通信。
如果系统分配的是APIPA地址而不是有效的网络地址,这就表示出现了问题。
可能是线缆故障,可能是DHCP服务器宥机,也可能是DHCP服务器遭到恶意攻击。
环回地址:
"环回地址”是一个单纯的软件实体。这个IP地址用于在TCP/IP上进行自发自收通信。
环回地址用于进行本地网络的测试,而不受硬件及相关驱动状态的影响。
在技术上,整个127.x.x.x 地址段都保留作为环回使用,但广泛使用的只有127.0.0.1。
12.9 交换技术
12.9.1 电路交换(circuit switching)
电路交换最初源于公用电话交换网络中对电话呼叫的管理。
在电路交换中,两个通信实体之间需要建立专门的物理通道。
一旦电话接通,两个实体间的链路一直保持到通话结束。
这样确保了固定或可预知的通信时间,保证了通话质量的一致性、很小的信号损失、几乎不发生通信中断。
电路交换系统提供的是永久物理连接。术语“永久“只适用于每次通信会话。
在每次通话期间路径都是保持的,路径断开后,如果通话双方需要再次通信,又会建立起不同路径。
在单次会话期间,整个通信过程使用相同的物理或电子路径,并且该路径只用于本次通信。
电路交换建立的通信路径只为当前通信实体服务。只有会话关闭后,路径才能提供给其他通信使用。
12.9.2 分组交换(packet switching)
分组交换技术将信息或通信内容分为很小的段(通常是固定长度,具体数值取决于所使用的协议和技术),
并通过中间网络将这些分组传送到目的地。
每一个数据段都有自己的头部,其中包含源地址及目的地址信息。
中间系统读取头部信息,再选择合适的路由将数据段发送给接收者。
传输通道和通信路径只保留给实际需要传送的分组。分组传送结束,通道就提供给其他通信使用。
分组交换并不强行独占通信路径。
实际上,这可以视为是一种逻辑传输技术,因为寻址逻辑显示了信息如何穿越通信实体间的中间网络。
安全问题:
对于分组交换系统,在同一个物理连接中,可能会传输来自不同地址的数据,这就存在泄露、破坏或窃听的风险。
所以需要恰当的连接管理、流量隔离以及加密技术,来保护共享物理路径的安全。
分组交换网的一个好处:
不像电路交换那样依赖于特定的物理连接。
这样,如果某个物理路径遭到破坏或离线,可使用其他路径来继续完成数据/分组传送。
而电路交换网络常因为物理路径损坏而中断。
12.9.3 虚电路(也称为通信路径)
虚电路是一条逻辑路径或电路,在分组交换网络两个特定端点之间建立。
分组交换系统中存在两种类型的虚电路:
• PVC (Permanent Virtual Circuits, 永久虚电路)
• SVC (Switched Virtual Circuits, 交换式虚电路)
PVC类似于专用的租用链路,逻辑电路一直保持并时刻等待用户发送数据。
PVC是一种预定义虚电路,并一直可用。虚电路在不使用时是关闭的,但可在需要时随时打开。
SVC很像一条拨号连接,在需要使用时,会利用当前可用的最优路径建立起虚电路,当传输结束后,该链路就会拆除。
在每种虚电路中,数据分组进入虚电路连接的端点A后,数据会直接传输到端点B或虚电路的另一端。
但一个分组的真实传输路径,可能不同于同一通信内其他分组的传输路径。
换言之,虚电路两端A和B之间可能存在多条路径,但任何从端点A进入的分组,一定会从端点B传出。
PVC类似于一台双向电台或对讲机。
需要通信时,按下按钮即可开始对话;电台则自动使用预设的频率(也就是虚电路)。
SVC 更像一台短波或业余电台。
每次都必须将发送器和接收机调到相同频率,才能与其他人通信。
12.10 WAN技术
WAN(Wide Area Network, 广域网)将远距离网络、节点或单独的设备连接起来。
这能改善通信、提高效率,但也会给数据带来风险。
所以需要正确的连接管理及传输加密来保证连接安全,尤其是对于公共网络。
WAN链路及长距离连接技术可分为两大类:
(1)专线(也称为租用线路,或点对点链路)是一直保留给特定用户使用的线路。
专线一直处于数据传输或等待数据传输状态。
客户的LAN与专用WAN链路之间的线路一直是打开或建立的。
专线连接只连接两个端点。
(2)非专用线路 只在需要传输数据时才建立连接。
使用相同类型的非专用线路也能将任何远程系统连接起来。
标准调制解调器、DSL、ISDN都是非专用线路。
数字用户线路(DSL)使用升级的电话网络,为用户提供144Kbps~20Mbps或更高的传输速率。
DSL的格式有很多种,如ADSL、xDSL、CDSL、HDSL、SDSL、RASDSL、IDSL或VDSL。
每种格式都有不同的、特定的上行及下行带宽。
从中央办公区(电话网络特定的配线节点处)延伸出的DSL线路,最大传输距离能达到将近5000米。
综合业务数字网 (Integrated Services Digital Network, ISDN)
ISDN是一种全数字的电话网络,支持语音及高速数据传输。ISDN服务有两种标准的类别或格式:
1-基本速率接口(Basic Rate Interface, BRI)
BRI为用户提供两个B通道及一个D通道的连接。
B通道支持吞吐率64Kbps的数据传输。D通道用于呼叫建立、管理及断开,带宽为16Kbps。
尽管D通道不用于进行数据传输,但BRI ISDN可为用户提供的总吞吐率达到144Kbps 。
2-主要速率接口(Primary Rate Interface, PRI)
为用户提供多个64Kbps的B通道(2~23 个)及单个64Kbps的D通道。
PRI的传输速率可从192Kbps到1.544 Mbps。
但要注意,这些数字只是带宽而不是吞吐率,因为其中包含D通道,
它不能用于真正的数据传输(至少不能用于大多数商业应用)。
12.10.1 WAN连接技术
如果公司的多个场所需要相互通信,或需要与外部合作方通信,有大量的WAN连接技术可供选择。
这些WAN连接技术的花费及吞吐率差异巨大。但它们有个共同特点,那就是对所连接的LAN或系统是透明的。
WAN交换机、专业路由器或边界连接设备提供所有必要的接口,将公司局域网与网络服务商连接起来。
边界连接设备也称为 通道服务单元/数据服务单元(Channel Service Unit/Data Service Unit, CSU/DSU)。
这些装置将LAN信号转换为WAN网络能够识别的格式,反之亦然。
CSU/DSU 包含DTE/DCE(Data Terminal Equipment/Data Circuit-Terminating Equipment, 数据终端设备/数据电路-终端设备),
为LAN中的路由器(DTE)和WAN运营商网络的交换机(DCE)提供真实的连接点。
CSU/DSU充当转换器、存储转发设备以及链路调节器。
WAN交换机简单地说就是一台专用的LAN交换机,其中有内置的CSU/DSU,用于连接特定类型的运营商网络。
运营商网络或WAN连接技术的类型:如X.25、帧中继、ATM、SMDS等。
1. X.25WAN连接
X.25是一种较老的分组交换技术,在欧洲应用广泛。
使用永久虚电路在两个系统或网络间建立起专门的点对点连接,X.25是帧中继技术的前身,并且两者的运行方式在很多方面是相同的。
X.25的使用日益减少,这是因为与帧中继和ATM相比,X.25的性能较差、吞吐率较小。
2. 帧中继连接
类似于X.25,帧中继也是一种分组交换技术,使用的是PVC。
但与X.25不同的是,帧中继在单一WAN运营商服务连接上支持多条PVC 。
帧中继是一种第二层技术,采用分组交换技术,在通信端点之间建立虚电路。
专线或租用线路的主要收费依据的是端点间的距离,而帧中继的主要收费依据是传输数据的数量。
帧中继是一种共享线路机制,通过创建虚电路提供点对点通信。所有虚电路是相互独立、互相不可见的。
CIR (Committed fuformation Rate, 承诺信息速率)
CIR是服务提供商向用户所保证的最低带宽。通常远低于提供商的实际最大能力。
当有额外带宽时,服务网络提供商也允许用户在短时间内超过CIR的限制。
这也称为带宽按需分配(尽管一开始似乎占了便宜,实际上用户需要为额外消费的带宽支付更多费用)。
帧中继工作在OSI 模型的第2层(数据链路层),是一种面向连接的分组交换传输技术。
帧中继在每个连接点需要使用DTC/DCE。用户的DTE设备的功能类似于一台路由器或交换机,帮助用户网络接入帧中继网络。
帧中继服务提供商的DCE设备负责与用户建立、维护虚电路,并执行真实的数据传输任务。
但帧中继现在已经是一项过时技术,正被更快的光纤通信所取代。
3.ATM (Asynchronous Transfer Mode, 异步传输模式)
ATM是一种信元交换WAN通信技术,与帧中继那样的分组交换技术不同,ATM将通信内容分为固定长度为53字节的信元。
使用固定长度的信元能保证ATM传输非常高效,实现高吞吐率。ATM既可使用PVC, 也可使用SVC。
正如帧中继提供商一样,ATM提供商也能保证租借服务的最小带宽及特定级别的质量。
客户也可根据需要,在带宽允许的情况下,按照“随用随付"的收费原则使用额外带宽。
ATM是面向连接的分组交换技术。同样,ATM也是一种过时技术,正在被光线通信所取代。
4. SMDS (Switched Multimegabit Data Service, 交换式多兆位数据服务)
SMDS是一种无连接的分组交换技术。
SMDS常用于连接多个LAN组建MAN或WAN。
SMDS是用于远程连接通信不频繁LAN的首选技术。
SMDS支持高速的突发流量以及按需分配带宽。
该技术也是将通信内容分为较小的传输信元。
5. 同步数字系列与同步光纤网
SDH(Synchronous Digital Hierarchy,同步数字系列)与SONET(Synchronous Optical Network,同步光纤网络)是光纤高速网络标准。
SDH是国际电信联盟(ITU)标准,而SONET是美国国际标准化研究所(ANSI)标准。
SDH与SONET主要是硬件及物理层标准,定义了基础设施及线速需求。
SDH与SONET使用同步时分复用(TDM)技术,实现了高速全双工通信,同时将日常的控制及管理而求降至最低。
这两个标准差异很小,使用相同的带宽级别层次。
传输服务支持基础级别的传输速度是51.48Mbps, 支持SDH的同步传输信令(STS)和/或SONET的同步传输模块(STM)。
也可用术语“光纤载波”(OC)替代STS。
SDH与SONET同时支持网状及环状拓扑。电信服务商经常以这些光纤方案作为骨干网,并经过切分后供用户使用。
SDH及SONET的互连端点或节点通常是分插复用器(ADM),以便在主干链路中,接入或移出低速率码流连接或产品。
6. 专用协议
一些WAN连接技术需要额外的专用协议,来支持各类专用系统或设备。
其中两个协议是SDLC和HDLC。
SDLC (Synchronous Data Link Centrol,同步数据链路控制)
SDLC应用在专线的永久物理连接上,用于连接大型机,如IBM的系统网络架构(SNA)系统。
SDLC使用轮询技术,工作在OSI的第2层(数据链路层),是一种面向比特的同步协议。
HDLC (High-Level Data Link Centrol,高级数据链路控制)
HDLC是SDLC的改进版本,专门用于串行同步连接。
HDLC支持全双工通信,既支持点对点也支持多点连接。
HDLC使用轮询,工作在OSI第2层(数据链路层)。
HDLC支持流量控制、错误检测与纠正。
12.10.2 拨号封装协议
点对点协议(PPP)是一种封装协议,用于在拨号或点对点链路上支持IP流量的传输。
PPP支持多厂商的串行链路WAN设备间的互操作。
所有拨号及大多数点对点连接,在本质上都是串行的(相对于并行)。
PPP覆盖广泛的通信设备,支持:
IP地址的分配与管理、
同步通信的管理、
标准化封装、
多路复用、
链路配置、
链路质量测试、
错误检测以及特征或选项协商(如压缩)。
PPP最初是为了支持CHAP及PAP身份验证。然而,近期的版本也支持MS-CHAP、EAP及SPAP。
PPP也支持网络数据包交换(IPX)及DECnet协议。
PPP是定义在RFC 1661中的互联网标准文本。它代替了串行线路互联网协议(SLIP)。
SLIP不提供身份验证,只支持半双工通信,不具备错误检测能力,并且需要手工完成链路的建立与拆除。
12.11 多种安全控制特征
在选择或部署针对网络通信的安全控制时,需要根据实际情况、能力及安全策略,对大量安全控制特征进行评估。
这些特征在下面进行讨论。
12.11.1 透明性
透明性是服务、安全控制或是访问机制的一个特征,确保对用户不可见。
透明性常作为安全控制的一项必要特征。
安全机制越透明,用户就不可能绕过它,甚至察觉不到它的存在。
如果具备了透明性,也就察觉不到功能、服务或限制的存在,对于性能的影响也降至最低。
12.11.2 验证完整性
为验证传输的完整性,可采用称为hash值(hash total)的校验和技术。
消息或报文在通信通道上传输前,先进行hash计算。计算获得的hash值附加到消息尾部,称为消息摘要。
接收到消息后,接收系统对消息再次执行hash计算,并将计算结果与原始hash值进行比较。
如果两个hash值相同,则能高度准确地确定消息在传输过程中没有被修改或破坏。
hash值与循环冗余校验值(CRC)类似,两者都充当完整性验证工具。
在大多数安全事务系统中,hash函数用于保证通信的完整。
记录序列检查类似于hash值检查,但并不用于验证内容的完整性,而验证报文或消息序列的完整性。
许多通信设备使用记录序列检查,来验证消息是否完整以及接收的消息顺序是否正确。
12.11.3 传输机制
传输日志是一种专注于通信的审计技术。
传输日志记录源地址、目的地址、时间戳、识别码、传输状态、报文数量、消息大小等详细信息。
这些信息对于故障定位、追踪非法通信,或提取系统工作的数据,都是十分有用的。
传输错误检测 是面向连接、面向会话协议及服务的内置功能。
该功能要求在确定一条消息的整体或部分受到了破坏、更改或丢失时,能够向信源发送请求,要求重新发送消息的整体或部分。
传输错误纠正 系统发现通信中存在问题时,由重传控制来确定是消息的整体还是部分需要重新传输。
重传控制也用于确定是否多次重复发送hash值或CRC值,以及是否使用多数据路径或通信通道。
12.12 安全边界
“安全边界”是任何两个具有不同安全需求的区域、子网或环境的交界线。
安全边界存在于高安全区域与低安全区域之间,例如,LAN与互联网之间。
不论在网络还是物理世界中,能够准确识别出安全边界是非常重要的。
只要发现了安全边界,就需要部署安全机制来控制信息的跨界流动。
安全区域间的分隔可以采取很多种形式。
例如,客体可能有不同的安全等级。
每个等级定义了什么主体能对什么客体执行哪些功能。
等级间的差异也是一种安全边界。
保护区域及非保护区域的周围,应该做出明确的定义。
逻辑安全边界是电子通信与安全响应设备及服务的交界点。
大多数情况下,接口会清楚地标记出来的,并告知未授权主体,
指出主体没有访问权限,而且获取访问权的企图是会触犯法律的。
在安全环境中,应该张贴警示标记,提示非法访问是禁止的,企图获得访问权会被拦阻并可能触犯法律。
所有安全机制要与其保护对象的价值进行衡量。
12.13 防止或减轻网络攻击
要尽可能解决或减轻任何可能损害数据、资源及人员安全的活动或自然条件。
损害不只是摧毁或破坏,也包括披露、访问延迟、拒绝访问、欺骗、资源浪费、资源滥用和损失。
通信系统安全的常见威胁包括:拒绝服务、窃听、假冒、重放及更改。
12.13.1 DoS与DDoS
DoS(拒绝服务)攻击是一种资源消耗攻击,其主要目标是限制受攻击系统的合理活动。
DoS攻击会导致目标无法对合法流量进行响应。
拒绝服务有两种基本形式:
•攻击利用硬件或软件的漏洞。
这种对于软件弱点、错误或标准特征的利用,会导致系统挂起、停顿,消耗尽所有系统资源等。
最终结果是受攻击计算机不能处理任何正常任务。
•用垃圾流量充满受攻击的通信通道。
这些攻击有时称为流量潮流(traffic generation)或洪泛攻击。
最终结果是受攻击计算机无法接收或发送正常的网络信息。
这两种情况下,受攻击系统都丧失了执行正常操作(服务)的能力。
DoS不是一个单独攻击,而是一类完整的攻击。
一些攻击利用了操作系统的漏洞,而其他攻击则以安装的应用、服务或协议为目标。
一些攻击利用特定协议,包括互联网协议(IP)、传输控制协议(TCP)、Internet 控制消息协议(ICMP)及用户数据报协议(UDP) 。
DoS攻击通常发生在一个攻击者和一个受害者之间。然而,通常也不是这么简单。
DoS攻击会利用一些中间系统(通常是不知不觉被利用),来隐藏真正的攻击者。
例如,如果攻击者直接向受害者发送攻击报文,受害者可能会发现攻击者。
但通过欺骗技术,就使追踪变得很困难。
很多DoS攻击都从破解或渗透一个或多个中间系统开始,然后利用这些破解的系统充当攻击的发起点或攻击平台。
这些中间系统通常称为次要受害者。攻击者首先在这些系统上安装称为bot、僵尸或代理的远程控制工具。
然后,在特定时间点,或直接由攻击者发送指令,开始对受害系统进行DoS攻击。
受害者可能发现是僵尸系统执行的DoS攻击,但很可能无法追踪到真正的幕后攻击者。
DDoS(分布式拒绝服务)攻击是有僵尸系统参与的攻击。
大量植入bot或僵尸的次要受害者系统就构成了“僵尸网络”(botsnet)。
有一些针对此类攻击的应对措施和保护手段:
•增加防火墙、路由器及入侵检测系统(IDS), 用于检测DoS流量,并自动封锁特定端口,
或针对特定的源地址、目的地址进行流量过滤。
•与服务提供商保持沟通,以便在发生DoS攻击时及时请求过滤服务。
•禁用外部系统的echo回复。
•在边界系统上禁用广播功能。
•阻止欺骗报文进入或流出网络。
•保持所有系统都能及时得到厂商的补丁更新。
•考虑采用商业化DoS保护/响应服务,例如CloudFlare的DDoS mitigation或Prolexic。
这些产品可能较昂贵,但通常很有效。
12.13.2 窃听
窃听是简单的偷听通信过程,目的是复制获取通信内容。
复制可采用的手段包括:将数据录制到存储装置上,或使用提取程序从流量数据中动态提取原始内容。
攻击者如果获得流量内容,就可能提取出多种形式的保密信息,如用户名、密码、处理过程、数据等。
窃听通常需要对IT基础设施进行物理访问,以便将物理录制设备接入开放端口或电缆接头,或在系统中安装软件录制工具。
使用网络流量捕获器、监视器程序或协议分析系统(常称为sniffer,或嗅探器),会给窃听带来极大便利。
窃听装置及软件通常难以发现,因为它们属于被动攻击。
当窃听或偷听变成对通信内容的更改或注入,攻击就变成主动攻击。
防止窃听的措施:
保证物理访问安全,以防止非法人员接触IT基础设施。
使用加密技术(如IPsec或SSH) 以及一次性身份验证方法(即为一次性面板或令牌装置)。
防止窃听的常用方法是维护通信的可靠与安全。
一些常用的网络健康及通信可靠性评估与管理工具(如嗅探器)可能会用于不良目的,
所以要对这些工具进行严格的控制和监督,以防止被滥用。
12.13.3假冒(Impersonation)/伪装(Masquerading)
假冒或伪装通过假扮成其他人或其他物品,获得对系统非法访问的行为。
这通常意味着利用失窃的或伪造的身份验证凭据而通过身份验证机制。
这与欺骗(spoofing)不同;欺骗是一个实体出具了虚假身份,
却没有任何凭据(就像使用错误的IP 地址、MAC地址、邮箱地址、系统名、域名等)。
假冒者可能抓取了他人的用户名及密码,或窥探了网络服务的会话设置过程。
预防假冒的方法包括:
使用一次性密码及令牌身份验证系统,
使用Kerberos身份验证,
使用加密来提高在网络流量中提取身份验证凭据的难度。
12.13.4 重放攻击
重放攻击是假冒攻击的衍生物,攻击可能来自通过窃听获取的网络流量。
攻击的手法是:通过重放抓取的流量,与被攻击系统建立通信会话。
预防方法有:使用一次性身份验证机制和顺序会话标识。
12.13.5 修改攻击
在修改攻击中,捕获的报文经过修改后又被发送给系统。
修改报文主要是为了绕过改进型身份验证机制与会话序列的限制。
修改重放攻击的应对措施:包括使用数字签名验证及报文校验和验证。
12.13.6 地址解析协议欺骗
地址解析协议(ARP)是TCP/IP协议族中的子协议,运行在数据链路层(第2 层)。
ARP通过轮询某系统的IP地址,来获取该系统的MAC地址。
ARP首先广播携带目标IP地址的请求报文,
具备该IP地址的系统(或缓存该IP 地址映射信息的系统)收到报文后,
会回复相关联的MAC地址。
发现的IP-to-MAC的映射信息存储在ARP缓存中,用于报文转发。
ARP映射也会受到欺骗攻击。
ARP欺骗通过为请求的IP地址提供虚假的MAC地址,将流量重定向到更改后的目的地址。
ARP 攻击也经常是中间人攻击的要素之一。
该攻击的手法是,入侵者系统用本机的MAC地址与目的系统IP地址欺骗构成映射对存入源系统的ARP缓存中。
这样,所有来自源系统的报文,都会先经过入侵者系统检查后才会转发给目的系统。
ARP攻击防范措施:
为关键系统设置静态的ARP 映射表,
监视ARP缓存的MAC-to-IP映射,
使用IDS来检测系统流量中的异常事件以及ARP流量中的变化。
12.13.7 DNS毒化(DNS Poisoning)、欺骗(DOS Spoofing)及劫持
DNS毒化与DNS欺骗都称为解析攻击。
域名系统(DNS)毒化 是由于攻击者更改了DNS系统中的域名-IP地址的映射信息,
将流量重定向到流量系统或用于执行拒绝服务攻击。
DNS欺骗 是攻击者屏蔽了来自有效DNS服务器的真实回复信息,而将虚假回复信息发送给请求系统。
这也是一种技术上的角逐。
防止因毒化或欺骗产生的虚假DNS信息的主要方法有:
只有获得授权才能更改DNS信息,限制分区传送并记录所有的特权DNS活动。
同形异意(Homograph)攻击。
这些攻击利用了字符集的相似性,注册虚假的国际域名(ION),以达到以假乱真的目的。
例如Cyrillic中的一些字符看起来像拉丁字母;例如,在拉丁文中,字母p看起来像Palochka Cyrillic字母。
这样apple.com 及paypal.com的域名看起来就像是有效的拉丁字母,
但实际上包含Cyrillic字符,访问时,会直接解析到攻击者想要的、完全不同的网站。
解决DNS劫持漏洞唯一有效的方法:
将DNS系统升级到域名系统安全扩展(DomainNameSystem Security Extensions, DNSSEC)。
12.13.8 超链接欺骗
该攻击也将流量重定向到流氓或假冒系统上,或只是让流量偏离目标系统。
超链接欺骗可采用DNS欺骗的形式,也可简单地更改HTML代码中的超链接URL, 再发送给用户。
超链接欺骗攻击经常可以成功,因为大多数用户并不通过DNS来验证URL中的域名。
用户总以为超链接是有效的,然后就直接点进去。
防止超链接欺骗的方法:
与防止DNS欺骗的方法一样,此外要保证系统及时更新补丁,在使用互联网时保持警惕。
网络钓鱼:
超链接欺骗不只限于DNS攻击。
事实上,任何企图通过更改URL或超链接,来误导合法用户去访问恶意网站的行为,都可视为超链接欺骗。
欺骗就是伪造信息,也包括伪造URL与可信的真实地址之间的对应关系。
"钓鱼”是另一种涉及超链接欺骗的常见攻击形式。
这个术语也总味着钓取信息。
钓鱼攻击可采取很多种形式,包括使用虚假的URL 。
要当心邮件、PDF文件或工作文档中的任何URL或超链接。
要访问这些超链接,可打开Web浏览器,手工输入地址,使用预留的URL书签或使用可信的搜索引擎来查找网站。
这些方法虽然需要用户做更多工作,但可培养用户养成良好的行为习惯。
还有一种与钓鱼有关的攻击是“假托”(Pretexting),
这种攻击利用虚假的借口,来获取被攻击者的个人用户信息。
假托经常用于获取个人的身份细节信息,再转卖给他人牟利。
4621
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
