为什么需要防火墙
介绍
随着对Internet和windows NT日益浓厚的兴趣,网络安全已成为世界上各个公司主要关心的问题。破坏公司网络安全所需的信息和工具随处可得,这一事实更增加了对这个问题的关注。
由于增加了网络管理员对网络安全的注意,他们常常要做更多的尝试在保护网络而不是在实际的网络设置和管理上。侦测系统漏洞的新工具,象分析网络的安全管理工具(SATAN),有助于这种尝试。但这些工具只能指出脆弱的位置而不能提供保护网络的方法。因此,在今天作为网络管理员,你要一直努力保持不落后于你所要面对的大量的安全问题。
连接Internet时遇到的安全问题
当你把私有网连接到Internet时,物理上你将自己的网络连接到了超过50,000个的未知网络和其所有用户上。在这些连接打开许多有用应用的方便之门和提供更多信息共享机会的同时,大部分私有网络包含有大量不应为Internet上其他用户共享的信息。此外不是所有Internet用户的行为是合法的。这两种情况预示了下面大部分Internet安全问题的关键。
· 怎样保护机密信息不被哪些不明确可以访问它的人访问?
· 怎样保护网络机器资源不受起源于网络外部的恶意用户和事件的侵扰?
下面小节描述围绕这两个问题的安全问题,介绍几种常见的攻击类型。
注意:当人们访问他们不应访问的信息时,或他们企图对网络或其资源作希望做的事时,我们成这样的企图为攻击。攻击是一种你不想遇到的行为或一种企图的行为。
保密信息存在于网络的两种状态中。他能存在于物理存储介质上,象硬盘或内存。他还可存在于以报文形式的物理网络线上的传输中。这两种信息表现多种来自你内部网络上用户攻击的可能,以及Internet上的那些用户。我们基本上关心的是第二种状态。他设计了网络安全问题。下面列表介绍了五种常见的攻击方法。这些方法表现了危机你网络上信息的可能。
· 网络报文嗅探(sniffer)
· IP spoofing
· 密码攻击
· 内部敏感信息到外部的分发
· man-in-the-middle攻击
当你关心保护信息免受攻击时,你会关心防贼,防破坏,放干扰,放信息使用。这些后果能导致敏感、保密信息不可挽回的损失。下面,我们描述这些常见的攻击方法,提供信息是如何受到威胁的例子。
网络报文嗅探
由于连网的计算机序列化的通讯(一个信息块接着一个地传),大信息块分割成较小的快。(信息流分割成更小的块即使网络并行地通讯,把流分割成网络报文的原因是计算机只有有限的中间缓冲区。)这些更小的块称为网络报文。当前,windows NT明文分发网络报文;通过网络传送的信息不加密。由于网络报文没有加密,他们可为任何能从网络上截获处理的应用者所处理、理解。
网络协议规定报文如何定义标识,它能使计算机决定某一报文是否是他所要的。由于网络协议的规范,象TCP/IP是广泛公开的,第三方很容易解释网络报文,开发报文嗅探器。报文过滤器是通过用户把网络适配器设置成混杂模式(在该模式下网络适配器能发送所有物理网络线上的报文给应用程序处理)以捕获所有通过局域网发送的网络报文。
由于windows NT明文发送网络报文,报文嗅探器可以提供给其用户有意义的通常是敏感的信息,比如用户帐户名和密码。如果你使用网络数据库,报文嗅探器可提供数据库查询到的信息给用户,同样包括访问数据库的用户账号名和密码。更严重的是获得的用户账号名和密码通常是用户在多个应用中重复使用的注册名和密码。
此外,许多网络管理员使用报文嗅探器诊断、修复网络相关问题。由于其职责,他们能潜在地检测到网上的敏感信息。
许多用户使用单个密码访问所有的账号和应用程序。如果应用程序是在客户服务器模式下运行而且认证信息是通过网络明文传送,那么很可能同样的认证信息可用来获得其他共同资源。因为攻击者知道使用个人特征,象多个账号使用单一密码,他们通常可成功地获得敏感信息的访问。
IP欺骗
IP欺骗攻击发生在这样一种情况下。网络外部的攻击者假冒受信主机,要么是通过使用你网络IP地址范围内的IP,要么是通过使用你信任并可提供特殊资源位置访问的外部IP地址。
注意:受信主机指的是你拥有管理控制权的主机或你可明确做出"信任"决定允许其访问你网络的主机。
通常,IP欺骗攻击局限于把数据或命令注入到客户/服务应用之间或对等网络连接建传送中已存在的数据流。为了达到双向通讯,攻击者必须改变指向被欺骗IP地址的所有路由表。另一种攻击者采取的方式是不关心接受应用传来的任何回复信息。如果攻击者试图以邮寄敏感文件给他而得到一个系统,那么应用回复是不重要的。
然而,如果攻击者设法改变了指向被欺骗IP地址的路由表,他就可接受到所有发送到被欺骗IP地址的报文并可以象任何真实受信用户一样恢复。象报文嗅探,IP欺骗不受限于攻击者是否来自网络外部。
密码攻击
密码攻击通过多种不同方法实现,包括蛮力攻击(brute force attack),特洛伊木马程序,IP欺骗和报文嗅探。尽管报文嗅探和IP欺骗可以捕获用户账号和密码,但密码攻击通常指的反复的试探、验证用户账号和/或密码。这种反复试探称之为蛮力攻击。
通常蛮力攻击使用运行运行与网络上的程序来执行并企图注册到共享资源中,例如服务器。当攻击者成功的获得了资源的访问权,他就拥有了和那些账户被危及以获得其资源访问权的用户有相同的权利。如果这些账户有足够夺得特权,攻击者可以为将来的访问创建一个后门,这样就不用担心被危及用户账号的任何身份和密码的改变。
敏感信息分发
控制敏感信息的分发是网络安全策略核心。尽管这样的攻击对你来说不太明显,但一个组织遭受的计算机泄密主要是出自一个不满现在或过去的雇员之手。一旦外部入侵者可使用密码和IP欺骗攻击拷贝信息,内部用户很容易放置敏感信息到外部计算机或其他用户在网上共享驱动器。
例如,内部用户放置文件到外部FTP服务器而不用离开办公桌。他也可以发送附带敏感信息的email给外部用户。
Man-in-the-middle攻击
Man-in-the-middle攻击需要攻击者有通过网络传送的网络报文的访问权。这样的攻击通常使用网络报文嗅探,路由和传输协议来实现。这样的攻击可能用于到区信息,分析网络及用户相关的源信息传输,拒绝服务,干扰数据传输和插入新信息到网络会话中。
保护你的网络:维护内部网络系统的完整性
虽然保护你的信息也许是你最优先考虑的,但是在保护信息的获取中保护网络的完整性是你能力所及中最关键的。一个网络完整性的漏洞可能会使我们在时间和精力上付出极大的代价,同时它还为持续攻击提供了多重途径。在这一节里,我们描述五种攻击方法,它们通常用于威胁网络的完整性。
网络报文嗅探
IP欺骗
密码攻击
拒绝服务
应用层攻击
当考虑保护网络中的什么东西时,你关心的是维护物理网络、网络软件、任何网络资源和信誉的完整性。这一完整性包含可证实的计算机和用户标示,网络提供服务的适当操作和最佳的网络性能――在维护网络环境中这些因素是很重要的。下面,我们描述一下前面提及的攻击在举例说明这些攻击是怎样危及网络的完整性的。
网络报文嗅探
正如前面提及的那样,网络报文嗅探可以截获关键的系统信息,例如用户的账户和密码。一旦攻击者获得正确的账户信息,攻击者就可以使用你的网络。最糟情况下,攻击者获得系统及的用户账户,攻击者可以创建新的账户,作为后门随时进入你的网络获取资源。攻击者还可以修改系统的关键文件,象系统管理员账户的密码,文件服务器的服务和权限列表以及其他含有保密信息计算机的注册信息。
报文过滤提供对许多攻击者有用的网络拓扑信息。象什么计算机运行哪一些服务,网络上有多少计算机,哪些计算机访问其他计算机等等,这些信息可以从网络报文中包括的信息中推得,网络报文中包括的信息作为日志操作必要的部分在网络中分发。
此外,网络报文嗅探能修改成在网络报文中插入新的信息或改变已存在的信息。这样做,攻击者可使网络连接过早的关闭,也可以改变报文中的关键信息。设想一下,如果攻击者修改了传送到会计系统的信息将会发生什么。这样攻击的影响很难衡量,纠正错误可能要付出巨大的代价。
IP欺骗
虽然IP欺骗可以截获用户账号和密码的访问权,这些攻击也能够用于其他方面。一种方法是攻击者假扮内部网络的一个用户以使你的组织蒙受损失。例如,攻击者可以送email信息给你的商业伙伴而看起来信息是来源于你的组织。当攻击者有用户账户和密码这种攻击就更容易了,但他们也可以通过简单的欺骗攻击和传送协议知识结合来实现。
密码攻击
和报文嗅探和IP欺骗攻击一样,蛮力密码攻击也能获得那些可用于修改关键网络文件和服务账户的访问权。一个危及你的网络完整性的例子是攻击者修改网络的路由表。这样做,攻击者可以保证所有的网络报文在传送到最终目的地前先路由给他。这样,攻击者能够监视网络上的所有传输,有效的成为一个"man-in-the-middle"。
拒绝服务攻击
拒绝服务攻击和其他大部分攻击不同的是因为他们不是以获得网络或网络上信息的访问权为目的。攻击主要是使服务不能为正常的使用提供服务。通常可以用耗尽网络、操作系统或应用程序有限的资源来实现。
当涉及到特殊的网络服务应用,象HTTP或FTP服务,攻击者能够获得并保持所有服务器支持的有用连接,有效的把服务器或服务的真正使用者关在外面。拒绝访问攻击也能用普通的Internet协议实现,象TCP和ICMP。大部分拒绝服务攻击是使用被攻击系统整体结构上的弱点而不是使用软件的小缺陷或安全漏洞。然而,有些攻击通过采用不希望的、无用的网络报文掀起网络风暴和提供错误的网络资源状态信息危及网络的性能。
应用层攻击
应用层攻击能够使用多种不同的方法实现。最平常的方法是使用服务器上通常可找到软件的周知缺陷,象sendmail,PostScript和FTP。通过使用这些缺陷,攻击者能够获得计算机的访问权,该计算机上有运行应用程序所需账户的许可权。
攻击者使用特定程序替代普通程序来实现特洛伊木马程序攻击。这些程序可以提供普通程序提供的所用功能,但他们也包括其他攻击者知晓的特性,象监视注册企图以捕获用户账户和密码信息。这些程序能够捕获敏感信息并传送信息回攻击者。他们也能修改应用程序功能,象它们可以拷贝所有的email信息以至于攻击者可阅读该组织的全部email。
应用层攻击中的一种最为古老的形式是显示有效注册序列的屏幕、标题或用户相信是提示的特洛伊木马程序。接着成捕获用户键入的信息并存储或email给攻击者。接下来,程序要么传递信息给普通注册处理(通常可能在现在的系统中)或简单的送一个异常错误给用户(例如,错误的用户名/密码组合),退出和开始普通的注册序列。那些相信自己输错密码的用户重新输入信息并被允许访问。
应用层攻击种的一种最新的形式是使用许多公开化的新技术:HTML规范,web浏览器的操作性和HTTP协议。这些攻击通过网络传送有害的程序包括JAVA applet和Active X控件并通过用户的浏览器调用它们。
Microsoft提供的代码验证技术可以使用户的Active X控件因安全检查错误而暂停。但攻击者已经发现怎样利用适当标记和有大量漏洞的Active X控件使之作为特洛伊木马。这一技术使用VBScript直接控制执行暗藏任务,象覆盖文件,执行其他文件。
这些新的攻击形式在两个方面有所不同:
· 他们不由攻击者而是由选择那些包含有害的applet或使用<OBJECT>、<APPLET>或<SCRIPT>标记存储脚本的用户初始化。
· 他们的攻击不再受硬件平台和操作系统的约束,因为这些语言使可移植的。