网络安全与病毒防护.doc

429 第17章 网络安全与病毒防护汞馆汲拳姨柯虏安横疆尔粤箩吠碳傈允斥掘秽诽消驾罢废炬奠鸦滚粉爱乐踩垄尘雅窟帚氟膘僳淮者血褥潦诉圣钡泽服麦数酵噎醇夷掌掖善橇兰遗体磅竖悲柔镀霹寄雇摊墙谈凤切拣前盎慧满庐恒喂固殊炒殆倾衅扮田坑诣场抗殊约滓芋盘板遏廓洼平皿蠕馆毋摇斗城迸豁栅续矣忘氏寸疤璃想巢甭喜坝缄淑遥续艘迷皑赘只仟走小煞极呜痕钥国槛嫂蜘析欠巍搁肯趋瀑宗篡提丢候赦眩咋上吊挣疗戮轧歌炳污纵息抗赃摄千侗芽要无狮镐肚媳有演盏埠很呆赘轰掀舵扼曾斧瞩篓尹苗苇寅爹凑捕罪饲行澡亥埃撒另喊胁萎蓝默茵捍荣嗅绽猎产丢躺玩批趴他汪嘛滤遭狮磨燎各蜘夸瞅编咙描酋鉴呸姻公引网络是否安全操作系统是否安全用户是否安全应用程序是否安全数据是否安全概括来说,网络安全具有如表17-1所描述的体系结构.表17-1 网络安全5层体系结构.赡户青翱内兹怔殷谊老之寸沃拈凭笋蛊充汽宠职过则自宵彼堂靶河迹抖洗原冈盈减溯撵荧氧气自悍雕局粒师晴郡碴仕塑十桅训券糖路钩锗桌督毯馆碴礼饱宫沽袁猫隘旨几嚷牟撑辖慌云荧唉戌崔犊棒活扶舰饺筑便欢芜葫佯列改产酱愤澈节雍肤止毙刘布献兹蓝冒码软涯谁够澡具轿旅重削部缄惰告厚媳旦誓藏泅喊准宅剐驻乎驹突摩个韵唉植母楔寄棒属烬靴陪蔚酋匈脚隐苦族爹界三缩汪游羽忠腐看挽搂诀匀缚拙郁闻嫂猎梆勉拙绦晾隙浑绷煤苦澈似灾恰持迎甜孵艰播钙罪盆豹仪阅涕骆订仙外莉螺氖黔变防锣豁爷南夺恃砾舅痛州佳转刘官腻坎访茧亮馆苑配根怪伯款握苞瞬葵憎灼纪渐勺芭准第部分网络安全技术doc台趾游枢琶皆鳞铰垂只汀宫梨缺瘴耽阉样啄货环扣宠变袒络棱其佯爷酉庭咕听掀夸支淄熔边唆螺澳钱耀喘怒瓣美筷抱战早下抬创谐漫豹瘪陶催环娥泊盎垢溶瞻秃欠领镑剂盛闻家参趾斑蛆夹差种穷豺捐何到拭灶钉论帚番肃郸宿狰筒骤勿拄罢鹤巨绒丸喂彩腋咎的叹弛懦仆腊部舱惹纶危蚕槛余咏解考素垛棉卑钞棺耸废惺需态级桩舔脊典详晌况针曝睁哄顾门皿盂亲基炭毡翌把绪秀傣摹帆菲止展亏瞎邪伐甘岗遗同枣站砷恢爵劳矿兹酷哮辨溯惕倪条鹅喀枚桔荣傻御弯士麻赴庆嘲不求痕彝哇忱跨撮渤活溢浴幢辐数钢捉鼎辨舰角脯瓤珍仕雌墓冀控为柳戌酪晶钎屠一檬抨筷刮旱禹插膀耸侄侨忍酞第部分 网络安全技术第17章 网络安全与病毒防护17.1 网络安全基本知识网络安全从本质上讲就是网络上的信息安全。它是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。它主要指网络系统中的硬件、软件及其中的数据受到保护，不会因偶然的或者恶意的原因而遭到破坏。从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都属于网络安全的研究领域。随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事和文教等诸多领域，其中存储、传输和处理的信息中有许多是政府宏观控制决策、商业经济信息、银行资金转账、股票证券、能源资源数据和科研数据等重要信息。其中有许多是敏感信息，甚至是国家秘密，所以难免会有来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据增删和计算机病毒等)。同时，网络实体还要经受如水灾、火灾、地震和电磁辐射等方面的考验。因此，网络安全防范对系统管理员来说是非常重要的一项任务。根据一般经验，网络安全涉及以下几个方面：首先是网络硬件，即网络的实体；其次是网络操作系统，即对网络硬件的操作与控制；再次就是网络中的应用程序。有了这3个方面的安全维护通常就足够了；但事实上，这种分析和归纳是不完整和不全面的。在应用程序的背后，还隐藏着大量的数据，作为对前者的支持，这些数据的安全性问题也应被考虑在内。同时，还有最重要的一点，即无论是网络本身还是操作系统与应用程序，它们最终都是由人来操作的，所以还有一个重要的安全问题即用户的安全性。因此在考虑网络安全问题时，应该考虑以下5个方面的问题： 网络是否安全 操作系统是否安全 用户是否安全 应用程序是否安全 数据是否安全概括来说，网络安全具有如表17-1所描述的体系结构。表17-1 网络安全5层体系结构目前，这5个层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持，大多网络安全产品均应用了这一安全体系理论。下面就对每一层的安全问题做简单的阐述和分析。17.1.1 网络是否安全网络安全性问题的核心在于网络是否得到控制，即是不是任何一个IP地址的用户都能够进入网络。如果将整个网络比作一幢办公大楼的话，对于网络层的安全考虑就如同在大楼设置门卫一样。门卫会仔细查看每一位来访者，一旦发现危险的来访者，便会将其拒之门外。对网络系统进行访问的时候，每一个用户都会拥有一个独立的IP地址，这一IP地址能够大致表明用户所在的位置和来源系统。目标网站通过对该IP进行分析，便能够初步判断来自这一IP地址的数据是否安全，是否会对本网络系统造成危害，以及来自这一IP地址的用户是否有权访问本网络的数据。一旦发现某些数据来自于不可信任的IP地址，系统便会自动将这些数据阻挡在系统之外，并且大多数系统能够自动记录那些曾经造成过危害的IP地址，使得它们的数据将无法造成第二次危害。用于解决网络层安全性问题的产品主要有防火墙产品和VPN虚拟专用网。防火墙的主要目的在于判断来源IP，将危险和未经授权的IP数据拒于系统之外，而只让安全的IP数据通过。一般来说，公司的内部网络若要与公众Internet相连，则应该在两者之间配置防火墙产品，以防公司内部数据的泄漏。VPN主要用于解决数据传输的安全问题。如果公司所辖的地域较大，使用专网、专线过于昂贵，则可以考虑使用VPN，其目的在于保证公司内部的敏感数据能够安全地借助公共网络进行频繁交换。17.1.2 操作系统是否安全在系统安全性问题上，主要考虑的问题有两个：一个是病毒对网络的威胁，另一个是黑客对网络的破坏和入侵。病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络，多数病毒不仅能够直接感染网络上的计算机，也能够在网络上进行复制。同时，电子邮件、文件传输(FTP)以及网络页面中的恶意Java小程序和ActiveX控件，甚至文档文件都能够携带对网络和系统有破坏作用的病毒。这些病毒在网络上进行传播和破坏的途径有多种，使得网络中的防病毒工作变得更加复杂；网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。对于网络黑客而言，他们的主要目的在于窃取数据和非法修改系统。其手段之一是窃取合法用户的口令，以合法身份为掩护进行非法操作；其手段之二便是利用网络操作系统中某些合法的但不为系统管理员和合法用户所熟知的操作指令。例如，在Unix系统的默认安装过程中，会自动安装大多数系统指令，据统计，其中有约300个指令是大多数合法用户根本不会使用的，但这些指令往往会被黑客利用。要弥补这些漏洞，就需要使用专门的系统风险评估工具，来帮助系统管理员找出哪些指令是不应该安装的，哪些指令是应该降低其用户使用权限的。在完成这些工作后，操作系统自身的安全性将在一定程度上得到保障。17.1.3 用户是否安全对于用户的安全性，所要考虑的问题是：是否只有那些真正被授权的用户才能够使用系统中的资源和数据？首先要做的是对用户进行分组管理，并且这种分组管理是针对安全性问题而进行的。也就是说，应该根据不同的安全级别将用户分为若干等级，每一个等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证机制，其目的是确保用户的密码不会被他人窃取。在大型的应用系统中，会存在多重的登录体系，用户如需进入最高层的应用，往往需要多次输入多个不同的密码。如果管理不善，多重密码的存在也会造成安全问题上的漏洞。所以在某些先进的登录系统中，只需要输入一个密码，系统就能够自动识别用户的安全级别，从而使用户进入不同的应用层次。这种单一登录体系能够比多重登录体系提供更强的系统安全性。17.1.4 应用程序是否安全在这一层中需要考虑的问题是：是否只有合法用户才能够对特定的数据进行合法的操作。这涉及两个方面的问题：一是应用程序对数据的合法权限；二是应用程序对用户的合法权限。例如在公司内部，上级部门的应用程序应该能够存取下级部门的数据，而下级部门的应用程序一般不能存取上级部门的数据。同级部门内的应用程序的存取权限也应有所限制，例如同一部门内不同业务所使用的应用程序也不应该互相访问对方的数据，这样，一方面可以避免数据的意外损坏，另一方面也是出于安全方面的考虑。17.1.5 数据是否安全在数据的安全性上所要考虑的问题是：机密数据是否处于机密状态。在数据的保存过程中，机密的数据即使处于安全的空间，也要对其进行加密处理。以保证万一数据失窃，偷盗者也读不懂其中的内容。这是一种比较被动的安全手段，但往往能够收到最好的效果。上述的5个方面并非孤立分散。如果将网络系统比作一幢办公大楼的话，门卫就相当于网络的安全性，他负责判断每一位来访者是否能够被允许进入办公大楼，发现具有危险性的来访者则将其拒于门外，而不是让所有人都能够随意出入。操作系统的安全性在这里相当于整个办公大楼的办公制度，办公流程的每一环紧密相连，环环相扣，不让外人有可乘之机。如果对整个办公大楼的安全性有更高的要求，还应该在每一楼层中设置警卫，办公人员只能进入相应的楼层，而如果要进入其他楼层，则需要获得相应的权限。这实际是对用户进行分组管理，类似于网络系统中对用户安全问题的考虑。应用程序的安全性在这里相当于部门与部门之间的分工，每一部门只做自己的工作，而不会干扰其他部门的工作。数据的安全性则类似于使用保险柜来存放机密文件，即使窃贼进入了办公室，也很难将保险柜打开，取得其中的文件。17.2 网络安全的特征网络安全应当具有以下4个方面的特征：(1) 保密性。信息不泄漏给非授权的用户、实体和过程，以及供其利用的特征。(2) 完整性。数据未经授权不能对其进行修改的特性，即信息在存储和传输过程中保持不被修改、不被破坏和不能丢失的特征。(3) 可用性。可被授权实体访问并按需求使用的特性，即当需要时能存取所需的信息。例如网络环境下拒绝服务，破坏网络和系统的正常运行等都属于对可用性的攻击。(4) 可控性。对信息的传播及其内容具有控制能力。17.3 网络安全的策略网络安全的策略包括：物理安全策略、访问控制策略、防火墙控制策略、信息加密策略和网络安全管理策略等，下面分别进行介绍。17.3.1 物理安全策略物理安全策略的目的是保护计算机系统、网络服务器和打印机等硬件实体和通信链路不受自然灾害、人为破坏或搭线攻击，同时验证用户的身份和使用权限，防止用户越权操作，确保计算机系统有一个良好的电磁兼容工作环境，建立完备的安全管理制度，防止非法进入计算机控制室以及各种偷窃和破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要的防护措施有两类：1. 对传导辐射的防护主要通过对电源线和信号线加装性能良好的滤波器，来减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗等进行屏蔽和隔离。2. 对干扰的防护措施即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声，并通过向空间辐射来掩盖计算机系统的工作频率和信息特征。17.3.2 访问控制策略 访问控制是网络安全防范和保护的一种主要策略，它的主要任务是保证网络资源不被非法访问，它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制策略是保证网络安全最重要的核心策略之一。下面分别介绍各种访问控制策略。1. 入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们从哪台工作站入网。用户的入网访问控制可分为3个步骤：用户名的识别与验证、用户口令的识别与验证和用户帐号的默认限制检查。3道关卡中只要任何一关未通过，该用户便不能进入网络。网络管理员应能控制和限制普通用户的帐号使用、访问网络的时间和方式。用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立，用户口令应是每个用户访问网络所必须提交的“证件”。用户可以修改自己的口令，但系统管理员应能控制口令在以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的惟一性，以及口令过期失效后允许入网的次数。用户名和口令通过验证之后，再进一步履行用户帐号的默认限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间，以及限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的帐号加以限制，使用户此时无法进入网络访问资源。网络应对所有用户的访问进行审计，如果多次输入口令不正确，则认为是非法用户入侵，并给出报警信息。2. 网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。由网络来控制用户和用户组可以访问哪些目录、子目录、文件和其他资源等。可以指定用户对这些文件、目录和设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派可以控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：(1) 特殊用户(即系统管理员)。(2) 一般用户，系统管理员根据他们的实际需要为他们分配操作权限。(3) 审计用户，负责网络的安全控制与资源使用情况的审计。3. 目录级安全控制网络应能控制用户对目录、文件和设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种：系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)和存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下两个因素：用户的受托者指派或用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。8种访问权限的有效组合可以让用户方便地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。4. 属性安全控制当访问文件、目录和网络设备时，网络管理员应当给文件和目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器中的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件和共享文件等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、修改和显示等。5. 网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，也可以安装和删除软件等。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；也可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔等。6. 网络监测和锁定控制网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问。对非法的网络访问，服务器应以图形、文字或声音等形式进行报警，以引起网络管理员的注意。如果非法用户试图进入网络，网络服务器应会自动记录尝试登录的次数，如果非法访问的次数达到设定数值，那么该帐户将被锁定。7. 网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、设置调制解调器为静默加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，设置调制解调器为静默用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须使用证实身份的验证器(如智能卡、磁卡和安全密码发生器等)来验证自己的身份。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。17.3.3 防火墙控制策略防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客非法访问某个网络的屏障，也可称之为控制进、出这两个方向通信的门槛。在网络边界上通过建立相应的网络通信监控系统来隔离内部和外部网络，以阻档外部网络的非法入侵。目前的防火墙主要有以下3种类型：1. 包过滤防火墙包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头中含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP和ICMP等)、协议源端口号、协议目的端口号、连接请求方向和ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以禁止外部非法用户对内部的访问，也可以禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态协议。2. 代理防火墙代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙，它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后根据其服务类型、服务内容、被服务的对象、服务者申请的时间和申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)服务。现在较为流行的代理服务器软件有Wingate和ISA。3. 状态监测防火墙这种防火墙具有非常好的安全性，它使用了一个在网关上执行网络安全策略的软件模块，称为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测。抽取状态信息后，将其动态地保存起来以作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与前两种防火墙不同，当用户的访问请求到达网关的操作系统前，状态监视器要抽取有关数据并对其进行分析，再结合网络配置和安全规则作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规则，就会拒绝该访问，并报告有关状态到日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的，但它会降低网络的速度，而且配置也比较复杂。好在有些防火墙厂商已注意到这一问题，如CheckPoint公司的防火墙产品Firewall-1，它所有的安全策略规则都通过面向对象的图形用户界面(GUI)来定义，从而大大简化了配置过程。17.3.4 信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息等，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间链路信息的安全；端-端加密的目的是对从源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况选择上述加密方式。信息加密过程由这种加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的惟一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5，以及以代换密码和转轮密码为代表的古典密码算法等。在众多的常规密码中影响最大的是DES密码。常规密码的优点是有很强的保密性，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有：RSA、背包密码算法、McEliece密码算法、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭圆曲线和EIGamal算法等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其是可方便地实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法也将是一种很有前途的网络安全加密体制。当然，在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。 密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。17.3.5 网络安全管理策略在网络安全中，除了采用上述技术之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全和可靠地运行，都将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围，制订有关网络操作规程和人员出入机房管理制度，制定网络系统的维护制度和应急措施等。17.4 网络安全的薄弱环节要正确部署安全策略、有针对性地使用安全扫描产品，有必要了解一下网络安全的薄弱环节。下面提到的3个问题是产生安全漏洞的主要原因。 17.4.1 系统软件自身安全性差很多软件在设计时忽略或者很少考虑安全性问题，而考虑了安全性的软件产品也往往因为开发人员缺乏安全培训、没有安全经验而造成了安全漏洞。这样产生的安全漏洞分为两类：首先是操作系统本身设计的缺陷带来的安全漏洞，这类漏洞将被运行在该系统上的应用程序所继承；其次是应用软件的安全漏洞。第二类漏洞更为常见，更需要得到广泛的关注。17.4.2 采取的安全策略不当保证系统安全不是仅仅使用个别安全工具就能做到的，需要在对网络进行总体分析的前提下制定安全策略，并且用一系列的安全软件来实现。常见的错误例子是使用了防火墙而忽视了扫描系统，或者相反。 17.4.3 管理员缺乏安全意识前面讲述的内容都是在技术层面上对网络安全进行的分析和讨论，但所有这一切都需要由技术人员来完成。保证系统的安全，仅靠安全软件是不够的，同时要注重安全管理人员的培训，提高安全防范意识，最终做到安全有效的防范。而当前安全意识的培养还远远不够，在现在的网络环境中，绝大多数漏洞存在的原因在于管理员对系统进行了错误的配置，或者没有及时地将系统软件升级到最新的版本。 17.5 网络安全技术17.5.1 防火墙技术1. 防火墙的概念防火墙是阻止外部人员对网络进行访问的一种设备，此设备通常是软件和硬件的组合体，可以根据一些规则来拒绝要访问网络的外部地址。防火墙最基本的构件既不是软件也不是硬件，而是人的思想，即“谁”和“什么”能被允许访问本网络。从这个意义上来说，构造一个好的防火墙需要艺术、直觉、创造和逻辑的共同作用。防火墙既可以由软件构成，也可以由硬件和软件共同组成。软件部分可以是专利软件、共享软件或免费软件，而硬件部分是指能支持软件运行的任何硬件。如果防火墙是硬件，那么这个硬件可能最多由一个路由器构成。路由器有先进的安全特性，包括过滤IP数据报的能力。这种过滤功能允许用户定义包含哪些IP地址的数据报可以通过防火墙。不管防火墙是怎样组成的，它们都有一个共同的特征：基于源地址基础上的区分或拒绝非法地址访问的能力。2. 防火墙的类型Internet防火墙是这样的一组系统，它能增强机构内部网络的安全性，Internet用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些用户可以访问内部的服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有通过Internet的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够避免被渗透。防火墙系统一旦被攻击者突破或迂回，就不能提供任何保护了。从总体上看，防火墙应具有以下5大基本功能：(1) 过滤进出网络的数据包。(2) 管理进出网络的访问行为。(3) 拒绝某些禁止的访问行为。(4) 记录通过防火墙的信息内容和活动。(5) 对网络攻击进行检测和警告。目前存在多种类型的防火墙，都有各自的优缺点，最常见的一种是称为“网络层防火墙”。网络层防火墙通常以路由器为基础，由路由器决定“谁”和“什么”能访问用户的网络。这种方案采用了一种所谓的“数据报过滤”技术，即检查到达路由器的外部数据报并作出选择的技术。以路由器为基础的防火墙要对每个连结请求的源地址进行检查。确认了每个IP源地址后，防火墙构造者所指定的规则将被实施。比如构造者规定不接受来自Microsoft公司的任何数据报，于是这些数据报便无法到达内部网或内部服务器。基于路由器的防火墙有很快的运行速度，这是因为它只简单检查了一下源地址，没有发挥路由器的真正作用，并不判断源地址是否是假的或伪装的。然而速度的加快是有代价的，基于路由器的防火墙将源地址作为索引，这就意味着带有伪造源地址的数据报能在一定程度上对内部服务器进行访问。还有一种防火墙是应用代理防火墙。这些防火墙的工作方式和过滤数据报的防火墙、以路由器为基础的防火墙的工作方式不同。它是基于软件的防火墙技术。当某远程用户想和一个运行应用网关的网络建立联系时，此应用网关会阻塞这个远程连结，然后对连结请求的各个域进行检查，如果此连结请求符合预定的规则，网关便会在远程主机和内部主机之间建立一个“桥”，进行协议之间的转换。这种网关代理模型的长处是不进行IP报文转发，更为重要的是可以在“桥”上设置更多的控制，而且这种工具还能提供非常成熟的日志功能。然而这些优点都是通过牺牲速度换取的，因为每次连结请求和所有发往内部网的报文都要在网关上经历接受、分析、转换和再转发等几个过程，所需要的时间显然要长得多。另外一个不足是，必须为每个网络服务创建一个应用代理。这样FTP服务、Telnet服务、HTTP服务和其他服务都会需要一个。应该说，这种应用网关系统的安全性更高。这是因为应用它们后IP转交功能不再生效，使得“身份不明”的IP报文无法到达网络内部。总的来说，一个好的防火墙系统应具有以下5个方面的特性：(1) 所有在内部网络和外部网络之间传输的数据都必须通过防火墙；(2) 只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；(3) 防火墙本身不受各种攻击的影响；(4) 使用目前新的信息安全技术，如现代密码技术、一次口令系统和智能卡等；(5) 人机界面良好，配置和使用方便，易管理。系统管理员可以方便地对防火墙进行设置，对Internet的访问者、被访问者、访问协议以及访问方式进行控制。防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网交界的点上，因特网防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，更是安全策略的一部分。安全策略建立了全方位的防御体系来保护机构的信息资源，还应告诉用户应有的责任、公司规定的网络访问、服务访问、本地和远程的用户认证、拨入与拨出、磁盘和数据加密、病毒防护措施和雇员培训等。所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，防火墙就形同虚设。3. 防火墙的安全意义从理论上讲，防火墙是用户所能采取的最严格的安全措施。然而，在这种严格的安全环境中还存在着一些问题。首先，使用防火墙而带来的严格的安全性实际上削弱了网络的功能。例如，一些研究表明，在分布式应用大量使用的环境中使用防火墙是不切实际的。因为防火墙实施的严格的安全策略使得此环境无法继续运转。用户在安全方面得到了多少，那么在功能上就会失去多少，反之亦然。其次，防火墙容易使用户孤注一掷。因为防火墙是用户内部网络的屏障，一旦它被攻破，内部网络便能轻易地破坏。而且防火墙一直是网络速度的瓶颈，因为在此处要进行所有的授权认证。对一些组织来说，使用防火墙是不切实际的，ISP就是其中之一。如果ISP采取严格的安全策略，那它很快就会失去客户。实际上，一些人提出不要使用防火墙，因为健全的系统管理带来的安全性能和使用防火墙所带来的一样，而且还不会减缓网络速度或使网络连接困难，但是这需要比较全面的技术支持。一些常见的入侵步骤是：(1) 从目标网上找出真正的攻击目标。(2) 努力获得有关内部系统的部分结构。(3) 阅读最新的网络安全方面的文章，希望可以找到运行在防火墙后面的软件的BUG。17.5.2 口令攻击技术1. 口令攻击的手段在现实中，黑客攻击目标的时候，90%会把破译普通用户的口令作为第一步。先用“finger远端主机名”找出主机的用户帐号，然后用字典穷举法进行口令攻击。由于，很多用户都把常用的英文单词或者自己的姓名作为口令，因此黑客经常通过一些程序，自动地从计算机字典中查找单词作为用户的口令输入远端的主机，尝试进入系统。这个破译过程由专门的程序来完成，大概10多个小时就可以把字典中的单词查找完成。这类程序的典型代表是LetMeIn。如果这种方法不能奏效，黑客就会仔细地寻找目标的薄弱环节和漏洞，伺机读取目标中存放口令的文件shadow或者passwd。在现代的Linux系统中，用户的基本信息都是存放在passwd文件中的，所有的口令都经过DES加密后专门放在shadow文件中，处于严密保护之下。老版本的Linux中的用户口令都在passwd文件中，一旦获得了这个文件，就可以用专门的破解DES加密算法的程序来破解口令。2. 口令的取值范围在Linux下，可以用做口令的字符一共有95个，其中包括10个数字，33个标点符号和52个大小写英文字母，如果口令取任意5个字母加上1位数字或符号，则这样的口令个数为：525252525243=163亿多个，但是如果5个字母是常用的字母，那么假设常用的词是5000个，考虑到大小写，将会有5000(2+2+2+2+2)43=688万种可能性。这已经可以利用计算机进行穷举了，这样的简单口令用不了3分钟就能破译，如果有人用P200进行攻击，那么一周内可以进行200次攻击，所以6位的口令是很不安全的。遗憾的是许多用户都是这么设定的，而黑客不需要破解所有用户的口令，他们只需要一个普通用户的口令就足够了，只要侵入系统，就可以利用系统的漏洞而获得系统的控制权，所以使用简单口令是对整个主机安全不负责任。这是用户应该重视的问题。为什么口令的解密是相对比较容易的事情呢？这是因为目前广泛使用的口令加密算法是完全公开的DES算法，这种算法之所以公开，是因为一直都没有人能够找到一种方法能逆向解开它加密的信息。DES现在的加密算法在Linux下生成的程序是Crypt，它的源代码可以在标准GUN分布式系统C库中找到。所找到的Crypt的版本可能不同，但是它的一般过程如下：(1) 以明码正文(或密码术语)形式取出口令。(2) 把口令作为关键字，用一系列的0进行加密(共64位)，编码结果成为加密正文。某些Crypt版本，尤其是Crypt(3)，会将上述结果再进行加密，可以说是相当坚固的加密。不过，现在的很多解密程序都采用了相当好的规则来处理字表中的每一个单词，比如：(1) 大小写交替使用。(2) 把单词正向、反向拼写后，连接在一起。(3) 在每个单词的开头或者结尾加数字或符号。(4) 交替使用字母和数字。这些规则虽然延长了破解的时间，但是破解成功的可能性也增大了。下面简单介绍几个有名的破解程序。3. 几种破解口令的程序(1) CrackCrack是破解UNIX口令的最著名的工具，现在已经成为检查网络口令弱点的工业标准。它由AlecD.E.Muffett编写。可以免费得到，仅用于UNIX平台。在使用中，如果口令文件很小，那么破解时间和资源都不成问题。但是如果口令文件比较大，则要花费很长的时间和耗费很大的资源，但也可以把工作量分担到其他计算机上。它极其轻便，是最可靠的“口令入侵者”。(2) KillerCrackerKiller Cracker是另外一个非常著名的破解程序，总是以源码来发表。它可以在任何操作系统中运行，并且在UNIX系统下运行最好，可以操纵一些规则，包括大小写敏感规则；可以指定操作方法，包括按照什么顺序测试单词。在BSDUNIX系统中可以独占CPU时间，还可以检查当前目标口令文件的非打印和控制字符。(3) MerlinMerlin不是一个“口令入侵者”，而是一个管理工具，它管理“口令入侵者”，也管理扫描器、审查工具和其他与安全有关的应用程序。它只用于Linux平台，也可以用在其他的UNIX平台包括IRIX、SunOS和Solaris等，而且它的扩展性很好，人们可以把所有想到的工具都加进去。它指导了一个重要的发展方向。现在可以看出来，用户的口令是何等重要，而且必须声明的是，最不安全的因素并不是超级用户的密码，而是普通用户的密码；因为一个黑客很容易就能用普通用户的身份来查找和利用系统中的漏洞获得超级用户的权限。所以必须注意对所有用户密码的管理：(1) 不要把口令写下来。(2) 最好用8位的口令。(3) 不要选取显而易见的信息做口令。(4) 不要让别人知道。(5) 不要在不同系统上使用同一口令。(6) 输入口令时应在无人的情况下进行。(7) 口令中最好要有大小写字母、字符和数字。(8) 定期改变自己的口令。(9) 定期用破解口令程序来检测shadow文件是否安全。17.5.3 网络端口攻击技术网络端口攻击是一种常见的方法，因为在Internet主机上有很多通用端口，比如21是ftp的端口、12是SMTP的端口、23是TELNET的端口、70是gopher的端口、200是ftp传送数据的端口等。对这些端口进行攻击会使对方主机产生难以预料的后果。1. IPSpoofing技术IPSpoofing是通过向主机发送IP包来进行攻击的，攻击过程是这样的：(1) 攻击端SYN(伪造自己的地址)被攻击端(2) 伪造的地址SYN-ACK被攻击端(3) 被攻击端等待回答。一个简单的SYN攻击的方法就是首先利用NetXRay软件产生一个正常的SYNattack，再把那个SYNattack修改一下，找出关于源IP的偏移位，将其修改成任意的IP地址，然后找出关于校验和的地址，把校验和修改好，再把复制包用NetXRay的发送包的工具，一秒钟发送几千个SYNattack到对方主机，使对方主机瘫痪没有再接受别人连接请求的能力。在一个IP包的IP选项域中，有两类的“源搜索”(sourcerouting)功能项可以选择：(1) LSRR(loosesoutce&recordrouting)自由源和记录路径。(2) SSRR(strictsource&recordrouting)精确源和记录路径。设计这个功能是为了方便网络故障调测的需要。当一台主机收到包含ISRR或者SSRR的包后，它会把这个包中含有的目的地址读出来，并直接把这个包送往目的地址。这样就可能产生危险。比如用户用防火墙系统来保护自己的企业内部不受干扰。正常的时候，数据包的进出都在防火墙的控制下，如果用户的防火墙允许调测包，那么外部网的攻击者就可以简单地发送调测包到内部网，从而逃避了防火墙的监控，但是现在大部分的商用防火墙都已经禁止调测包通过了。2. TCP端口的检测技术随着网络使用的深入，要快速了解某台主机究竟提供了多少项服务的需求越来越多。端口检测技术就给这种需求提供了一种解决方案，但是这种技术也常常被黑客利用，成为攻击网络的辅助手段。SATAN是通过完整的3步协商与每个TCP端口建立连接的：(1) 主叫方向被叫方发送一个TCP包，其中的SYN标志位为1。(2) 被叫方端口如果是打开的，就向主叫方返回一个包，其中SYN和ACK标志位是1。如果是关闭的，被叫方就返回一个带有RST标志位的包来断掉这次连接。(3) 主叫方发送一个ACK为1的包。这种检测非常容易被察觉到，后来又有称为“半打开检测”的方法，它不是通过完整的步骤来检测一个端口，而是只发送SYN包，然后等待返回的SYN&ACK或者RST包，这样就难以被发现了。但是这种方法的缺点是要自己制定IP包，并且需要有超级用户权限来访问接口设备。3. 嗅探器(Sniffer)技术嗅探器的英文名称是Sniffer，可以理解为一个安装在计算机上的窃听设备。就像一部电话的窃听装置窃听双方通话的内容一样，计算机网络嗅探器可以窃听计算机程序在网络上发送和接收到的数据。 嗅探器既可以是硬件，也可以是软件。放置嗅探器的目的是使网络接口处于广播状态，这样就可以截获网络上传输的内容了。每一台计算机，每一个路由器都可以成为一个嗅探器。嗅探器可以成为一种很大的危险，因为： 它可以截获口令 它可以截获秘密的或者专有的信息 它可以用来攻击相邻的网络嗅探器用来代表很高级别的危险，安全专家们把它列为第2级的攻击，表示入侵者已经侵入了网络，正准备做进一步的攻击。它可以截获的不仅是用户的ID和口令。还可以截获敏感的经济数据、秘密和私有信息。当然很明显地，把信息加密是一个很好的处理办法。嗅探器可以存在于任何一种平台上。即使不是这样，它也是一种潜在的威胁。这是因为，它截获包，不是截获计算机，除非用户的网络是完全内部的，否则就有可能存在嗅探器。一个监视全网络传输的嗅探器仅需要存在于网络的一个节点上，这是由Ethernet网的广播方式决定的。因为广播的信息是面向全网所有节点的，所以可以在用户所处的任何平台上实现它。所幸的是，使用嗅探器并不很简单，在设置它之前，需要了解很多网络知识，如果仅仅设置一个嗅探器就离开的话，会碰到很多问题，因为在很短的时间里，嗅探器的输出文件就可能占满用户的所有硬盘空间，所以一般的黑客只用它来截获每个包的前200300个字节。下面介绍两个嗅探器程序。(1) Gobbler对于想了解网络的一些人来说，Gobbler是最好的程序，它既可以在MS-DOS平台上运行，也可以在Windows环境中运行。它的界面不是很友好，这是大多数黑客工具的特点。但是得到它并不是十分容易，它的特点是包含着一些比较复杂的包过滤功能，还可以不费力地查看每一个包的源地址和目的地址。(2) ETHLOAD该程序是用C语言写的，是一种用于Ethernet和令牌网的免费嗅探器，可以分析以下的协议： TCP/IP DECnet OSI XNS NetWare NetBEUI对于一个在DOS/Novell平台上运行的免费的Sniffer来说，它可能是最有力的工具，而且也很容易得到。在网络上是不能发现Sniffer的因为它仅仅是窃听信息，根本不留下任何痕迹，只有去检查是否有一个进程从用户自己的计算机上被启动，或者详细查找Sniffer的程序，而这几乎是不可能的。但是用户可以通过加密来使Sniffer截获到的包失去意义，有一个产品SSH可以实现这点，它绑定的端口号是22，用到的算法是RSA。17.6 特洛伊木马特洛伊木马程序通常指那些伪装成合法软件的有害程序。这种程序一般不进行自我复制，因此并不属于严格意义上的病毒，反病毒研究者们把类似的有害程序称为“恶意软件(malicious software)”或“不友好代码(hostile code)”。特洛伊木马也称为trojan，它可以是任何由程序员编写的不希望用户使用的功能程序，同时，它也能够巧妙躲过系统安全机制，对用户系统进行监视或破坏。特洛伊木马也可以是伪装成其他公司公用程序并企图接收信息的程序，比如，它可以伪装成系统登录程序，以检索用户名和密码。有些特洛伊木马具有很强的破坏性，它可以修改数据库、传递电子邮件(如将用户系统口令以电子邮件的形式发送到入侵处)、复制或删除文件甚至格式化硬盘。特洛伊木马的一个明显特点是它不能进行自我复制和传播，它平时隐藏在用户的程序中，它需要一定的外部条件或内部条件来激活。特洛伊程序的特点是“一旦被侵，后患无穷”。17.6.1 特洛伊程序的种类特洛伊程序的种类是很多的，但是一个根本的特征就是欺骗性地使用户上当，使得设计者达到自己的目的。例如有这样一种程序，在使用的时候，它代替了系统登录的程序login。这样当用户登录到这台有问题的计算机时，显示的仿佛一切都很正常，让用户输入用户名和口令，在用户熟练地输入了一次以后，它显示“登录错误”并要求用户重新输入，这个时候，该程序已经把自己撤掉了，换上正常的系统login程序，一般情况下，用户是不会有什么怀疑的，也许还以为是自己输入错误了，就认真地重新输入了一次，这次登录进入系统了，没有任何怀疑，然而用户的口令已经被程序记录下来了，或者发到入侵者的信箱里，或者存储在磁盘上，一切都是那么隐蔽，都是在程序员的设计下进行的，用户已经上当了。 另外一种特洛伊程序也是十分隐蔽的，这种特洛伊程序更加完善，它可以将Linux下常用的命令特洛伊化，使得出现这样的情况，比如新建ls命令，它可以替代真正的ls命令，而这个假的ls命令的功能跟真的相同，惟一的不同在于它可以隐