信息化项目安全解决方案
1.加密技术
加密系统
加密把容易读取的源文件变成加密文本,能够读取这种加密文本的方法是获得密钥(即把原来的源文件加密成加密文本的一串字符)。
2.加密技术
(1)对称加密:使用一个字符串(密钥)去加密数据,同样的密钥用于加密和解密。
(2)非对称加密:使用一对密钥来加密数据。这对密钥相关有关联,这对密钥一个用于加密,一个用于解密,反之亦然。非对称加密的另外一个名字是公钥加密。
(3)HASH加密:更严格的说它是一种算法,使用一个叫HASH函数的数学方程式去加密数据。理论上HASH函数把信息进行混杂,使得它不可能恢复原状。这种形式的加密将产生一个HASH值,这个值带有某种信息,并且具有一个长度固定的表示形式。
3.加密作用
加密能实现四种服务:
对称密钥加密系统
在对称加密或叫单密钥加密中,只有一个密钥用来加密和解密信息。
(1)对称加密的好处就是快速并且强壮。
(2)对称加密的缺点是有关密钥的传播,所有的接收者和查看者都必须持有相同的密钥。
但是,如果用户要在公共介质上如互联网来传递信息,他需要通过一种方法来传递密钥。一个解决方案就是用非对称加密,我们将在本课的后面提到。
非对称密钥加密系统
非对称加密在加密的过程中使用一对密钥,一对密钥中一个用于加密,另一个用来解密。这对密钥中一个密钥用来公用,另一个作为私有的密钥:用来向外公布的叫做公钥,另一半需要安全保护的是私钥。
非对称加密的一个缺点就是加密的速度非常慢,因为需要强烈的数学运算程序。
Hash加密和数字签名
HASH加密把一些不同长度的信息转化成杂乱的位的编码里,叫做HASH值。HASH加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能的,是通过比较两上实体的值是否一样而不用告之其它信息。
4.数字签名
HASH加密另一种用途是签名文件。
签名过程中,在发送方用私钥加密哈希值从而提供签名验证,接受方在获得通过发送方的公钥解密得到的哈希值后,通过相同的单向加密算法处理数据用来获得自己的哈希值,然后比较这两个哈希值,如果相同,则说明数据在传输过程中没有被改变。
ü加密系统算法的强度
加密技术的强度受三个主要因素影响:算法强度、密钥的保密性、密钥的长度。
(1)算法强度:是指如果不尝试所有可能的密钥的组合将不能算术地反转信息的能力。
(2)密钥的保密性:算法不需要保密,但密钥必须进行保密。
(3)密钥的长度:密钥越长,数据的安全性越高。
应用加密的执行过程
5.电子邮件加密
用于加密e-mail的流行方法就是使用PGP或S-MIME,虽然加密的标准不同,但它们的原则都是一样的。下面是发送和接收E-mail中加密的全部过程:
①发送方和接收方在发送E-mail信息之前要得到对方的公钥。
②发送方产生一个随机的会话密钥,用于加密E-mail信息和附件。这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。算法通过使用DES,TripleDES,Blowfish,RC5等等。
③发送者然后把这个会话密钥和信息进行一次单向加密得到一个HASH值。这个值用来保证数据的完整性因为它在传输的过程中不会被改变。在这步通常使用MD2,MD4,MD5或SHA。MD5用于SSL,而S/MIME默认使用SHA。
④发送者用自己的私钥对这个HASH值加密。通过使用发送者自己的私钥加密,接收者可以确定信息确实是从这个发送者发过来的。加密后的HASH值我们称作信息摘要。
⑤发送者然后用在第二步产生的会话密钥对E-mail信息和所有的附件加密。这种加密提供了数据的保密性。
⑥发送者用接收者的公钥对这个会话密钥加密,来确保信息只能被接收者用其自己的私钥解密。这步提供了认证。
⑦然后把加密后的信息和数字摘要发送给接收方。解密的过程正好以相反的顺序执行。
(1)Lab4-1:利用WindowsServer建立CA服务器
(2)Lab4-2:为电子邮件帐户申请证书
(3)Lab4-3:将用户证书导出到文件保存,并传播给需要的用户
(4)Lab4-4:在OutlookExpress中建立通讯簿,建立证书与联系人的链接
(5)Lab4-5:实现安全的电子邮件通讯(邮件加密和签名)
6.Web服务器加密
üSecureHTTP
SecureHTTP使用非对称加密保护在线传输,但同时这个传输是使用对称密钥加密的。大多的浏览器都支持这个协议,包括NetscapeNavigator和微软的InternetExplorer。
ü安全套接字层(SSL)
SSL协议允许应用程序在公网上秘密的交换数据,因此防止了窃听,破坏和信息伪造。
所有的浏览器都支持SSL,所以应用程序在使用它时不需要特殊的代码。
(1)Lab4-6:为IISServer申请证书
a)在IIS中完成证书申请向导,生成证书申请文件;
b)利用证书申请文件在Web中申请IISServer证书,并下载证书到文件;
c)在IIS中完成挂起证书申请
(2)Lab4-7:启用HTTP站点的SSL通道
(3)Lab4-8:实现ExchangeServer中POP3、SMTP的SSL通讯
7.认证技术
安全系统的逻辑结构图
认证技术是信息安全理论与技术的一个重要方面。身份认证是安全系统中的第一道关卡,如图1所示,用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。
8.认证的方法
用户或系统能够通过四种方法来证明他们的身份:
üWhatyouknow?
基于口令的认证方式是最常用的一种技术,但它存在严重的安全问题。它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
üWhatyouhave?
更加精密的认证系统,要求不仅要有通行卡而且要有密码认证。如:智能卡和数字证书的使用。
üWhoyouare?
这种认证方式以人体惟一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别。
üWhereyouare?
最弱的身份验证形式,根据你的位置来决定你的身份。如Unix中的rlogin和rsh程序通过源IP地址来验证一个用户,主机或执行过程;反向DNS查询防止域名哄骗等。
9.特定的认证技术
几种常用于加强认证系统的技术,它们结合使用加密技术和额外策略来检查身份。
ü一次性口令认证:(CHAP)
人们已经发明了一种产生一次性口令的技术,称之为挑战/回答(challenge/response)。
(1)种子:决定于用户,一般在一台机器上,一个种子对应于一个用户,也就是说,种子在一个系统中应具有唯一性,这不是秘密的而是公开的。
(2)迭代值:迭代值是不断变化的,而种子和通行短语是相对不变的,所以迭代值的作用就是使口令发生变化。
(3)通行短语:通行短语是保密的,而种子和迭代值是公开的,这样就决定了口令的机密性。
当用户登录时,系统会向用户提出挑战,包括种子和迭代值,然后用户用得到的种子和迭代值再加上自己知道的通行短语计算出一个答复,并传送给系统,因为系统也知道这个通行短语,所以系统可以验证答复是否正确。
üKerberos认证技术
Kerberos提供了一种在开放式网络环境下进行身份认证的方法,它使网络上的用户可以相互证明自己的身份。Kerberos是一种被证明为非常安全的双向身份认证技术,其身份认证强调了客户机对服务器的认证,Kerberos有效地防止了来自服务器端身份冒领的欺骗。
Kerberos采用对称密钥体制对信息进行加密。其基本思想是:能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访问许可证(ticket)。
Kerberos密钥分配中心KDC(即Kerberos服务器)由认证服务器AS和许可证颁发服务器TGS构成。
Kerberos的认证过程如图所示。
ü公钥认证体系(PKI)
X.是定义目录服务建议X.系列的一部分,其核心是建立存放每个用户的公钥证书的目录库。用户公钥证书由可信赖的CA创建,并由CA或用户存放于目录中。
若A想获得B的公钥,A先在目录中查找IDB,利用CA的公钥和hash算法验证B的公钥证书的完整性,从而判断公钥的是否正确。
显然X.是一种基于证书的公钥认证机制,这种机制的实现必须要有可信赖的CA的参与。
10.防火墙技术
防火墙的体系架构:
防火墙的发展从第一代的PC机软件,到工控机、PC-Box,再到MIPS架构。第二代的NP、ASIC架构。发展到第三代的专用安全处理芯片背板交换架构,以及“AllInOne”集成安全体系架构。
为了支持更广泛及更高性能的业务需求,各个厂家全力发挥各自优势,推动着整个技术以及市场的发展。
目前,防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一CPU作为整个系统业务和管理的核心,CPU有x86、PowerPC、MIPS等多类型,产品主要表现形式是PC机、工控机、PC-Box或RISC-Box等;
第二代架构:以NP或ASIC作为业务处理的主要核心,对一般安全业务进行加速,嵌入式CPU为管理核心,产品主要表现形式为Box等;
第三代架构:ISS(IntegratedSecuritySystem)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能CPU发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
防火墙三代体系架构业务特性、性能对比分布图
安全芯片防火墙体系架构框图
基于FDT指标的体系变革
衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。
吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用FDT(FullDuplexThroughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。
FDT与端口容量的区别:端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口,端口容量为2GB,但FDT可能只是MB。
FDT与HDT的区别:HDT指半双工吞吐量(HalfDuplexThroughput)。一个千兆口可以同时以1GB的速度收和发。按FDT来说,就是1GB;按HDT来说,就是2GB。有些防火墙的厂商所说的吞吐量,往往是HDT。
一般来说,即使有多个网络接口,防火墙的核心处理往往也只有一个处理器完成,要么是CPU,要么是安全处理芯片或NP、ASIC等。
对于防火墙应用,应该充分强调64字节数据的整机全双工吞吐量,该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。
对于不同的体系架构,其FDT适应的范围是不一样的,如对于第一代单CPU体系架构其理论FDT为百兆级别,对于中高端的防火墙应用,必须采用第二代或第三代ISS集成安全体系架构。
基于ISS机构的第三代安全体系架构,充分继承了大容量GSR路由器、交换机的架构特点,可以在支持多安全业务的基础上,充分发挥高吞吐量、高报文转发率的能力。
防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡,并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。
ISS集成安全体系
作为防火墙第三代体系架构,ISS根据企业未来对于高性能多业务安全的需求,集成安全体系架构,吸收了不同硬件架构的优势。
恒扬科技推出了自主研发的SempSec、SempCrypt安全芯片和P4-MCPU以及基于ISS集成安全系统架构的自主产权操作系统SempOS。它可以提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特性等各方面性能的同时,并可实现安全业务的全方面拓展。国微通讯也推出了基于ISS安全体系架构的GCS系列防火墙。
ISS架构灵活的模块化结构,综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体,实现业务功能的按需定制和快速服务、响应升级。
ISS体系架构的主要特点:
1.采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心,可以大幅提升吞吐量、转发率、加解密等处理能力;结构化芯片技术可编程定制线速处理模块,以快速满足客户需求;
2.采用高性能通用CPU作为设备的管理中心和上层业务拓展平台,可以平滑移植并支持上层安全应用业务,提升系统的应用业务处理能力;
3.采用大容量交换背板承载大量的业务总线和管理通道,其中千兆Serdes业务总线和PCI管理通道物理分离,不仅业务层次划分清晰,便于管理,而且性能互不受限;
4.采用电信级机架式设计,无论是SPU安全处理单元、MPU主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑,真正地实现了安全设备的电信级可靠性和可用性;
5.不仅达到了安全业务的高性能而且实现了“AllinOne”,站在客户角度解决了多业务、多设备的整合,避免了单点设备故障和安全故障,大大降低了管理复杂度;
6.通过背板及线路接口单元LIU扩展可提供高密度的业务接口。
防火墙简介
ü防火墙的定义
防火墙指的是位于可信网络(如内部网络)和不可信网络(如Internet)之间并对经过其间的网络流量进行检查的一台或多台计算机。防火墙具有如下特性:
u所有的通信都经过防火墙;
u防火墙只放行经过授权的流量;
u防火墙能经受得起对其本身的攻击。
ü防火墙的优势和弱点
u防火墙的优势:
l实施一个公司的整体安全策略
l创建一个阻塞点(网络边界)
l记录Internet活动
l限制网络暴露
u防火墙的弱点:
l防火墙不能防范经过授权的东西。
l防火墙只能按对其配置的规则进行有效的工作;
l防火墙对社交工程类型的攻击或一个授权的用户利用合法访问进行的恶意攻击不起作用;
l防火墙不能修复脆弱的管理措施或设计有问题的安全策略;
l防火墙不能阻止那些不经过它的攻击。
防火墙的分类:
软件类:
防火墙运行于通用操作系统如WindowsNT/0、Linux/Unix上,它们通过修改系统的内核和TCP/IP协议栈来检测流量。
要想获得较高的安全性,就必须对操作系统进行加固、修补和维护。
此类防火墙如:运行于Linux/Unix、WindowsNT/0平台上的CheckPointFirewall-1,Symantec企业防火墙,MicrosoftISA0等。
硬件类防火墙:
硬件防火墙集成了操作系统和防火墙的功能,形成了一个整体牢固、功能专一的设备。这种防火墙也提供了功能完善的管理接口。
硬件防火墙在使用时不需要做很多主机加固的工作,不用再费心于重新配置和修补通用操作系统,而可以集中注意力构思防火墙规则,减少了操作和维护的成本。
此类防火墙如:国外的CiscoPIX、Netscreen、SonicWall等,国内的:天融信,联想等
芯片级类防火墙:
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂
根据防火墙所采用的技术不同,为以下几种基本类型:
包过滤防火墙
数据包过滤(PacketFiltering)技术是在网络层对数据包进行分析、选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(AccessControlTable)。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。其实现机制如图1所示
包过滤防火墙的实现机制图
数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和透明度好。它通常安装在路由器上,内部网络与Internet连接,必须通过路由器,因此在原有网络上增加这类防火墙,几乎不需要任何额外的费用。
这类防火墙的缺点是不能对数据内容进行控制:很难准确地设置包过滤器,缺乏用户级的授权;数据包的源地址、目的地址以及IP端口号都在数据包的头部,很有可能被冒充或窃取,而非法访问一旦突破防火墙,即可对主机上的系统和配置进行攻击。
说明:网络层的安全防护,主要目的是保证网络的可用性和合法使用,保护网络中的网络设备、主机操作系统以及各TCP/IP服务的正常运行,根据IP地址控制用户的网络访问。网络层在ISO的体系层次中处于较低的层次,因而其安全防护也是较低级的,并且不易使用和管理。网络层的安全防护是面向IP空间的。
应用层网关
应用层网关(AppliCationLevelGateways)技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、记录和统计,形成报告。实际的应用网关通常安装在专用工作站系统上,其实现机制如图2所示。
图2应用网关防火墙实现机制
应用层网关防火墙和数据包过滤有一个共同的特点,就是它们仅仅依靠特定的逻辑来判断是否允许数据包通过。一旦符合条件,防火墙内外的计算机系统便可以建立直接联系,外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态,这大大增加了非法访问和攻击的机会。
针对对上缺点,出现了应用代理服务(Application-levelProxyServer)技术。
说明:应用层的安全防护,主要目的保证信息访问的合法性,确保合法用户根据授权合法的访问数据。应用层在ISO的体系层次中处于较高的层次,因而其安全防护也是较高级的。应用层的安全防护是面向用户和应用程序的。
应用代理服务器
应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接,由两个代理服务器之间的连接来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。另外代理服务器也对过往的数据包进行分析、记录、形成报告,当发现攻击迹象时会向网络管理员发出警告,并保留攻击痕迹。其应用层代理服务数据的控制及传输过程如图3所示。
代理服务防火墙应用层数据的控制及传输图
应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求,然后防火墙连接到服务器,并代表这个客户端重复这个请求。返回时数据发送到代理服务器,然后再传送给用户,从而确保内部IP地址和口令不在Internet上出现。
优点:比包过滤防火墙安全,管理更丰富,功能提升容易。易于记录并控制所有的进/出通信,并对Internet的访问做到内容级的过滤
缺点:执行速度慢,操作系统容易遭到攻击。
说明:代理服务器(Proxysever)是指,处理代表内部网络用户的外部服务器的程序。客户代理与代理服务器对话,它核实用户请求,然后才送到真正的服务器上,代理服务器在外部网络向内部网络中请服务时发挥了中间转接作用。内部网络只接收代理服务器提出的服务请求,拒绝外部网络上其他节点的直接请求。当外部网络向内部网络的节点申请某种服务时,如FTP、WWW、Telnet等,先由代理服务器接收,然后根据其服务类型、服务内容、被服务对象,以及申请者的域名范围、IP地址等因素,决定是否接受此项服务。如果接受,则由代理服务器向内部网络转发请求,并把应答回送给申请者;否则,拒绝其请求。根据其处理协议的不同,可分为FTP网关型、WWW网关型、Telnet网关型等防火墙,其优点在于既能进行安全控制,又可加速访问,但实现起来比较困难,对于每一种服务协议必须设计一个代理软件模式,以进行安全控制。
状态检测防火墙
状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由CheckPoint提出。传统的包过滤在遇到利用动态端口的协议时会发生困难,如ftp,你事先无法知道哪些端口需要打开,而如果采用原始的静态包过滤,又希望用到的此服务的话,就需要实现将所有可能用到的端口打开,而这往往是个非常大的范围,会给安全带来不必要的隐患。而状态检测通过检查应用程序信息(如ftp的PORT和PASS命令),来判断此端口是否允许需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。
状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化,该连接就被中止。这种技术提供了高度安全的解决方案,同时也具有较好的性能、适应性和可扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持(如从HTTP连接中抽取出JavaApplets或ActiveX控件等)。
状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚拟连接,当反向应答分组送达时就认为一个虚拟连接已经建立。每个虚拟连接都具有一定的生存期,较长时间没有数据传送的连接将被中止。
状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,他们不仅仅检测“to”或“from”的地址,而且也不要求每个被访问的应用都有代理。状态检测防火墙根据协议、端口及源、目的地址的具体情况决定数据包是否可以通过。对于每个安全策略允许的请求,状态检测防火墙启动相应的进程,可以快速地确认符合授权流通标准的数据包,这使得本身的运行非常快速。
防火墙管理的TCP/IP基础
üTCP/IP安全简介
如果你是一个网络管理员或安全管理员,你需要对OSI参考模型非常熟悉。TCP/IP堆栈包括四层。为了更好的理解TCP/IP,请与OSI模型进行比较。
üTCP/IP物理层及其安全:
物理层由传输在缆线上的电子信号组成。
物理层上的安全保护措施不多。如果一个潜在的黑客可以访问物理介质,如搭线窃听和sniffer,他将可以复制所有传送的信息。唯一有效的保护是使用加密,流量添充等。
üTCP/IP网络层及其安全:
IP层使用较高效的服务来传送数据报文。所有上层通信,如TCP,UDP,ICMP,IGMP都被封装到一个IP数据报中。绝大多数安全威胁并不来自于TCP/IP堆栈的这一层。
Internet协议(IP):
IP报头中包含一些信息和控制字段,以及32位的源IP地址和32位的目的IP地址。这个字段包括一些信息,如IP的版本号,长度,服务类型和其它配置等。
黑客经常利用一种叫做IP欺骗的技术,把源IP地址替换成一个错误的IP地址。接收主机不能判断源IP地址是不正确的,并且上层协议必须执行一些检查来防止这种欺骗
uLab6-1:安装网络包捕获软件,捕获包信息,分析IP报头
Internet控制信息协议(ICMP):
Internet控制信息协议(ICMP)报文由接收端或者中间网络设备发回给发送端,用来在TCP/IP包发送出错时给出回应。
uICMP消息类型
ICMP消息包含三个字段:Type、Code和Checksum,Type和Code字段决定了ICMP消息的类型。
0——响应回复:Ping命令发回的包;
3——目标不可达:由Router发回。
Code0:网络不可达;
Code1:主机不可达;
Code2:协议不可达;
Code3:端口不可达。
8——响应请求:由Ping命令发出;
u阻止ICMP消息
近来的攻击方法包括TribalfloodNetwork(TFN)系列的程序利用ICMP消耗带宽来有效地摧毁站点。到今天,微软的站点对于ping并不做出响应,因为微软已经过滤了所有的ICMP请求。一些公司现在也在他们的防火墙上过滤了ICMP流量。
uLab6-2:通过网络包捕获软件,捕获ICMP包,分析ICMP报头
üTCP/IP传输层及其安全
传输层控制主机间传输的数据流。传输层存在两个协议,传输控制协议(TCP)和用户数据报协议(UDP)。
传输控制协议(TCP)
TCP是一个面向连接的协议:对于两台计算机的通信,它们必须通过握手过程来进行信息交换。
uTCP包头
TCP包头的标记区建立和中断一个基本的TCP连接。有三个标记来完成这些过程:
?SYN:同步序列号;
?FIN:发送端没有更多的数据要传输的信号;
?ACK:识别数据包中的确认信息。
u建立一个TCP连接:SYN和ACK
经过三次握手。
u中止一个TCP连接:FIN和ACK
结束一个TCP连接的四个基本步骤。
u攻击TCP
SYN溢出是TCP的最常见威胁,黑客能够建立多个TCP半连接,当服务器忙于创建一个端口时,黑客留给服务器一个连接,然后又去建立另一个连接并也留给服务器。这样建立了几千个连接,直到目标服务器打开了几百个或上千个半连接。因此,服务器的性能受到严重限制,或服务器实际已经崩溃。防火墙必须配置为能够侦测这种攻击。
uLab6-3:通过网络包捕获软件,捕获TCP包,分析TCP报头
用户数据报协议(UDP)
UDP是一个非面向连接的协议。它经常用做广播类型的协议,如音频和视频数据流。
UDP很少有安全上的隐患。因为主机发出一个UDP信息并不期望收到一个回复,在这种数据报文里面嵌入一个恶意的活动是很困难的。
uLab6-4:通过网络包捕获软件,捕获UDP包,分析UDP报头
üTCP/IP应用层及其安全
应用层是最难保护的一层。因为TCP/IP应用程序几乎是可无限制地执行的,你实际上是没有办法保护所有的应用层上的程序的,所以只允许一些特殊的应用程序能通过网络进行通信是一个不错的方法。
文件传输协议(FTP)
FTP用两个端口通信:利用TCP21端口来控制连接的建立,控制连接端口在整个FTP会话中保持开放。
FTP服务器可能不需要对客户端进行认证:当需要认证时,所有的用户名和密码都是以明文传输的。
同样使用的技术包括FTP服务器上的日志文件,黑客添满硬盘,使日志文件没有空间再记录其它事件,这样黑客企图进入操作系统或其它服务而不被日志文件所检查到。
因此,推荐将FTP根目录与操作系统和日志文件分别放在不同的分区上。
超文本传输协议(HTTP)
HTTP有两种明显的安全问题:客户端浏览应用程序和HTTP服务器外部应用程序。
对用Web用户的一个安全问题是下载有破坏性的ActiveX控件或JAVAapplets。这些程序在用户的计算机上执行并含有某种类别的代码,包括病*或特洛伊木马。
为了扩大和扩展Web服务器的功能,一些扩展的应用程序可以加入到HTTP服务器中。这些扩展的应用程序包括JAVA,CGI,AST等等。这些程序都有一些安全漏洞,一旦Web服务器开始执行代码,那么它有可能遭到破坏。对于这种破坏的保护方法是留意最新的安全补丁,下载并安装这些补丁。
Telnet
Telnet是以明文的方式发送所有的用户名和密码的。有经验的黑客可以劫持一个Telnet会话。
因此,它不应该应用到互联网上。你还应该在防火墙上过滤掉所有的Telnet流量。
简单网络管理协议(SNMP)
SNMP允许管理员检查状态并且有时修改SNMP节点的配置。它使用两个组件,即SNMP管理者和SNMP节点。SNMP通过UDP的和端口传递所有的信息。
SNMP所提供的唯一认证就是