计算机网络的安全性.ppt

第6章计算机网络的安全性 6 1网络安全概述6 2密码技术6 3防火墙技术6 4WindowsNT 2000的安全保护及模型6 5 常见的黑客工具及攻击方法6 6 黑客攻击的一般步骤和实例6 7 远程入侵Windows20006 8 网络病毒与防治6 9本章小结练习题 6 1网络安全概述 6 1 1计算机网络的设计缺陷计算机网络的设计缺陷包括两方面的内容 1 物理结构的设计缺陷 2 网络系统的漏洞 协议的缺陷与后门 1 物理网络结构易被窃听计算机网络按通信信道类型分为广播式网络和点 点网络 这两种网络都存在安全问题 图6 1广播式网络易被监听 1 广播式网络的安全问题当今大多数局域网采用以太网方式 以太网上的所有设备都连在以太网总线上 它们共享同一个通信通道 以太网采用的是广播式通信网络 如图6 1所示 很多网络包括Internet其实就是把无数的局域网连接起来形成较大的网 然后再把较大的网连接成更大的网 2 点 点网络的安全问题Internet和大部分广域网采用点 点方式通信 在这种网络中 任何一段物理链路都惟一连接一对节点 如果不在同一段物理链路的一对节点要通信 则必须通过其他节点进行分组转发 进行分组转发的节点可以窃听网间传送的数据 如图6 2所示 图6 2点 点式网络转发节点易被监听 Internet上的信息容易被窃听和劫获的另一个原因是 当某人用一台主机和国外的主机进行通信时 他们之间互相发送的数据包是经过很多机器 如路由器 重重转发的 2 TCT IP网络协议的设计缺陷网络通信的基础是协议 TCP IP协议是目前国际上最流行的网络协议 该协议在实现上因力求实效而没有考虑安全因素 因为如果考虑安全因素太多 将会增大代码量 从而降低了TCP IP的运行效率 所以说TCP IP本身在设计上就是不安全的 下面是现存的TCP IP协议的一些安全缺陷 1 容易被窃听和欺骗2 脆弱的TCP IP服务3 缺乏安全策略4 配置的复杂性6 1 2计算机网络安全性概念计算机网络的重要功能是资源共享和通信 由于用户共处在同一个大环境中 因此信息的安全和保密问题就十分重要 计算机网络上的用户对此也特别关注 安全性主要是指计算机数据和程序等资源的安全性 对资源要进行安全保护 以免受到有意或无意的破坏 或被越权修改与占用 保密性主要是指为维护一些用户的自身利益 对某些资源或信息需要加以保密 不容许泄露给别人 安全性与保密性是两个很复杂的问题 它们借助于法律和社会监督予以保护 必须有健全的管理制度对泄密和可能受到的破坏加以防范 这些内容已超出本章范畴 本章着重讨论的安全与保密技术问题主要是访问控制和密码技术 访问控制是指对网络中的某些资源的访问要进行控制 只有被授予特权的用户才有资格并有可能去访问有关的数据或程序 例如 数据库中保存了一些机密资料 只有少数被授权的人员掌握其保密级和口令 而且可能要通过几级口令才能取出这些资料 为了保护数据的安全性 可限定一些数据资源的读写范围 例如 有的文件只能读不能写 或规定只有少数用户可对其进行修改或写入新的内容 然而 这些方法对于一些机密程度高的信息和资料仍不是非常安全的 实际上 对于资源的访问控制 迄今为止 仍没有一个十分有效的保密方法 有些方法在原理上可行 例如分析指纹或字体 但在技术上难以实现 故通常的办法是经常变换口令 以减少泄密的机会 同时在内部网络与Internet连接之处安装防火墙 更有效的方法是采用密码技术 用户在网络的信道上相互通信 其主要危险是被非法窃听 例如 采用搭线窃听 对线路上传输的信息进行截获 采用电磁窃听 对用无线电传输的信息进行截获等 因此 对网络传输的报文进行数据加密是一种很有效的反窃听手段 通常采用一定的算法对原文进行软加密 然后将密码电文进行传输 这样即使信息被截获 一般也难以一时破译 6 2密码技术 密码技术通过信息的变换或编码 将机密的敏感消息变换成黑客难以读懂的乱码文字 以此达到两个目的 其一 使不知道如何解密的黑客不可能从其截获的乱码中得到任何有意义的信息 其二 使黑客不可能伪造任何乱码信息 密码技术有以下五大基本要素 1 明文 信息的原始形式 Plaintext 通常记为P 2 密文 明文经过变换加密后的形式 Ciphertext 通常记为C 3 加密 由明文变成密文的过程称为加密 Enciphering 记为E 加密通常由加密算法来实现的 4 解密 由密文还原成明文的过程称为解密 Deciphering 记为D 解密通常由解密算法来实现 5 密钥 为了有效地控制加密和解密算法的实现 在其处理过程中要有通信双方掌握的专门信息参与 这种专门信息称为密钥 Key 记为K 一般的加密 解密模型如图6 3所示 把要加密的报文 称为明文 Plaintext 按照以密钥 Key 为参数的函数进行变换 通过加密过程而产生的输出报文称为密文 Cyphertext 或密码文件 Cryptogram 图中的干扰者假设就是敌人 消极干扰者是指仅窃听通信内容者 积极干扰者不仅窃听内容 而且篡改原报文内容或注入自己的报文 源端用户将明文P以密钥为参数进行了变换 形成的密码文件C在信道上传送 到达目的地后 再按照密钥参数进行解密而还原成明文 破译密码的技术称为密码分析 Cryptoanalysis 我们把设计密码的技术 加密技术 和破译密码的技术 密码分析 总称为密码技术 Cryptology 图6 3加密一解密模型 6 2 1传统的加密方法传统的加密方法 其密钥是由简单的字符串组成的 它可选择许多加密形式中的一种 只要有必要 就可经常改变密钥 因此 上述基本模型是稳定的 是人所共知的 它的好处就在于可以秘密而又方便地变换密钥 从而达到保密的目的 传统的加密方法可分为两大类 代换密码法和转换密码法 1 代换密码法在代换密码 SubstitutionCipher 中 为了伪装掩饰每一个字母或一组字母 通常都将字母用另一个字母或另一组字母代换 古老的恺撒密码术就是如此 它把a变成D b变成E c变为F 依此类推 最后将z变为C 即将明文的字母移位若干字母而形成密文 例如将attack变成DWWDFN 这种方法只移位三个字母 实际上移动几位可由设计者来定 对这种方法的进一步改进是 把明文的每一个字母一一映射到其他字母上 例如 明文 abcdefghijklmnopqrstuvwxyz密文 QWERTYUIOPASDFGHJKLZXCVBNM 在此映射表中 明文字母与密文中的字母一一对应 这种对应关系是由密码编制者确定的 该系统称为单个字母代换 其密钥对应于全部26个英文字母的字符串 使用此密钥 attack就变成密文QZZQEA 这种方法还是较安全的 因为尽管人们知道它采用了字母代换字母的方法 但并不知道密钥 如果逐个试探 则共有26 约为4 1026 个可能使用的密钥 即使采用每猜一次只用1 s的计算机 猜完全部密钥也需用1013年时间 当解出密钥后 也已失去意义 对于短小的密文来说 根据自然语言的统计特性是比较容易破译的 例如 在英语中 最常用的字母是e 其次是t 再其次是a o n i 破译这种密文的方法是先计算密文中所有字母出现的相对频率 并暂时指定一个出现最多的字母为e 其次是t 然后寻找形如tXe结构最多的三字母组合 这时一个有力的假想是X即为h 即密文tXe是英文中经常出现的明文定冠词the 依此类推 假如thYt型的结构也频繁出现 则可能以a代替Y 根据这个方法 还可找到两个形如aZW结构的频繁出现的三字母组合 其相当大的可能就是and 根据这种猜想和判断 能初步构成一个试探性明文 因此 为防止密码被破译 必须使密文中各字母出现的频率趋于平均 使e t等字母不那么容易被识破 为此 采用循环使用复式密码字母的方法 亦称之为多字母密码 例如 费杰尔 Vigenere 密码 它由含有26个恺撒字母的方阵构成 第一行 A行 是ABCDE XYZ 第二行 B行 是BCDEF YZA 依此类推 最后一行 Z行 是ZABCD WXY 像单字母密码一样 这种密码技术也有密钥 但不是由26个不同字母所组成的一个字符串 而是一个简短且便于记忆的词或短语 例如 COOKIEMONSTER 为把较长明文译成密码 可重复地把密钥写在明文上方 例如 COOKIEMONSTERCOOKIEMQNSTERCOOKIEMONSTERCOOKIEMOfourscoreandsevenyearsagoourmothersbroughtforth 显然 多字母密码要比单字母密码好 但只要给密码分析员足够数量的密文 总还是可以进行破译的 这里加密的关键在于密钥 通常进一步采用的方法是 加长密钥长度或采用随机的二进制串作为密钥 代换密码也并不一定是每次都只研究一个字母 例如 坡他密码 Portacipher 采用26 26的表 每次把明文译成两个字符 偶对 的密码 由第一个字符指示行 第二个字符指示列 由此产生的交叉点的数字或字母偶对就是译出的密码值 2 转换密码法代换密码法的实质就是保持明文的次序 而把明文字符隐藏起来 转换密码法则采用重新安排字母次序的方法 而不是隐藏它们 下面举一个进行列转换的例子 密文 AFLLSKSOSELAWAIATOOSSCTCLNMOMANTESILYNTWRNNTSOWDPAEDOBUOERIRICXB转换密码法中的密码由无重复字母组成的短语作为密钥 在以上的例子中 MEGABVCK是密钥 密钥的作用是使用 字典序列 对列编号 最接近于英文字母表首端的密钥字母的下面为第一列 如MEGABVCK中的A为第一列 B为第二列 依此类推 V为第八列 首先把明文按横行书写成若干行 每行的长度等于密钥长度 不够一行使用特殊字符 如a b c等填充 然后再按照以字母次序号为最小的密钥字母所在的列开始依次读出 就能译成密文 如以上的例子 按照上表列出的1 2 3 8列依次读出 就构成密文 6 2 2 数据加密标准DES在传统的加密方法中 要求加密算法和密钥保密 这不利于在密码技术领域使用计算机 因为对每个加密算法都需要编写处理程序 并且该程序必须保密 为此提出了数据加密处理算法标准化的问题 数据加密标准DES DataEncryptionStandard 由美国国家标准局开始研究 是除国防部以外的其他部门的计算机系统的数据加密标准 是一种通用的现代加密方法 与传统的密码技术相比 它们的基本原理一样 其密钥是保密的 但着重点不同 传统的技术一般采用简单的算法并依靠长密钥 而现代的加密技术其密码算法十分复杂 几乎不能破译 1972年和1974年 美国国家标准局 NBS 先后两次向公众发出了征求加密算法的公告 对加密算法要求达到以下几点 必须提供高度的安全性 具有相当高的复杂性 使得破译的开销超过可能获得的利益 同时又便于理解和掌握 安全性应不依赖于算法的保密 其加密的安全性仅以加密密钥的保密为基础 必须适用于不同的用户和不同的场合 实现经济 运行有效 必须能够验证 允许出口 1977年1月 美国政府采纳IBM公司的设计方案作为非机密数据的正式数据加密标准 DES DES被授权用于所有公开的和私人的非保密通信场合 后来它又曾被国际标准组织采纳为国际标准 DES是一种单钥密码算法 它是一种典型的按分组方式工作的密码 采用两种基本加密组块替代和换位这种细致而复杂的结构 它通过反复依次应用这两项技术来提高其强度 经过总共16轮的替代和换位后 使密码分析者无法获得该算法一般特性以外更多的信息 DES加密算法如图6 4所示 64位数据经初始变换后被置换 密钥被去掉其第8 16 24 64位后减至56位 去掉的那些位被视为奇偶校验位 不含密钥信息 然后就开始各轮运算 64位数据经过初始置换后被分为左 右两半部分 56位的密钥经过左移若干位和置换后取出48位密钥子集供不同的加密迭代 圈 使用 用作加密的密钥比特子集记为K 1 K 2 K 16 在每一轮迭代过程中 如图6 5所示 密钥子集中的一个子密钥K i 与数据的右半部分相结合 为了将输入数据的右半部分32位数据与56位的密钥相结合 需要两个变换 通过重复某些位将32位的右半部分数据扩展为48位 56位密钥则通过选择其中某些位而减少至48位 变换完的两个48位数据相异或输出一个48位数据 该数据经过压缩和置换输出32位数据 然后再与数据的左半部分相异或 其结果作为这一轮迭代的输出数据的右半部分 结合前的右半部分作为这一轮迭代的输出数据的左半部分 这一轮输出的64位数据结果作为下一轮的待加密数据 这种轮换要重复16次 最后一轮加密迭代之后 进行逆初始置换运算 它是初始置换的逆运算 最后得到64位密文 图6 5DES加密原理一次迭代示意图 DES算法是对称的 既可用于加密 又可用于解密 解密时 只需在迭代过程中 将密钥序号颠倒过来使用 即第一圈用K 16 第二圈用K 15 依此类推 如果试图用试探法求出这个密钥 将有256 7 2 106种可能 若在一个通用计算机上以每秒试探一个密钥的速度解密 则需花1000年的时间 也就是说 密码被破译的可能性几乎没有 DES算法现已在VLSI芯片上实现 6 2 3 公开密钥加密算法1 公开密钥加密算法的特点DES及其类似算法要求加密和解密的密钥相同 因此密钥必须保密 Diffie和Hellman研究出一种新的算法 使用一个加密算法E和一个解密算法D 它们彼此完全不同 根据已选定的E和D 即使已知E的完整描述 也不可能推导出D 这种算法给密码技术带来了新的变革 此算法需有以下三个条件 1 D E P P 2 由E来推断D极其困难 3 用已选定的明文进行分析 不能破译E 第一个条件说明 采用解密算法D用于密码报文E P 上 可以得到原来的明文P 第二个条件是显而易见的 第三个条件也是必须的 在满足这三个条件的情况下 加密算法E就可以公开 现在考虑 A和B二者以前从未有过联系 而今要想在A和B之间建立保密信道 A所确定的加密密钥为PKA B的加密密钥为PKB 并将PKA和PKB放在网络的公用可读文件内 现在A欲发报文P给B 首先算得EPKB P 并把它发送给B 然后B使用其解密密钥及算法DSKB进行解密 计算得到DSKB EPKB P P 而没有其他人能读懂密文EPKB P 这种密码体制称为公开密钥密码体制 如图6 6所示 图6 6公开密钥密码体制 2 使用公开密钥加密算法进行数字签名书信或文件是根据亲笔签名或印章来证明其真实性的 但在计算机网络中传送的文件又如何盖章呢 这就是数字签名所要解决的问题 数字签名必须保证以下三点 1 接收者能够核实发送者对报文的签名 2 发送者事后不能抵赖对报文的签名 3 接收者不能伪造对报文的签名 现在已有多种实现各种数字签名的方法 但采用公开密钥算法要比采用常规密钥算法更容易实现 下面就来介绍这种数字签名 发送者A用其秘密解密密钥SKA对报文P进行运算 将结果DSKA P 传送给接收者B 读者可能要问 报文P还没有加密 怎么能够进行解密呢 其实 解密 仅仅是一个数学运算 发送者此时的运算并非想将报文X加密而是为了进行数字签名 B用已知的A的公开加密密钥得出EPKA DSKA P P 因为除A外没有别人能具有A的解密密钥SKA 所以除A外没有别人能产生密文DSKA P 这样 B就相信报文P是A签名发送的 实现数字签名的过程如图6 7所示 图6 7数字签名的实现 若A要抵赖曾发送报文给B 则B可将P及DSKA P 出示给第三者 第三者很容易用PKA去证实A确实发送了P给B 反之 若B将P伪造成P 则B不能在第三者前出示DSKA P 这样就证明B伪造了报文 可见 实现数字签名也同时实现了对报文来源的鉴别 但上述过程仅对报文进行了签名 对报文P本身却未保密 因为截到密文DSKA P 并知道发送者身份的任何人 通过查阅手册即可获得发送者的公开密钥PKA 因而能理解电文内容 若采用图6 8所示的方法 则可同时实现秘密通信和数字签名 图中SKA和SKB分别为A和B的秘密密钥 而PKA和PKB分别为A和B的公开密钥 图6 8具有保密性的数字签名 前面介绍的几种加密方法在计算机网络中都有应用 其加密方式可以是端 端方式 链路层加密方式或节点加密方式 端 端加密是由软件或专门硬件在表示层或应用层上实现变换的 这种方法给用户提供了一定的灵活性 但增加了主机负担 不太适合于一般终端 采用链路层加密方式 数据和报头 本层报头除外 都被加密 其中硬件加密不会影响现有的软件 例如 在信息刚离开主机之后 把硬加密装置接到主机和前置机之间的线路中 在对方的前置机和主机线路之间接入解密装置 从而完成加密和解密的过程 6 2 4 报文鉴别计算机网络安全领域中 防止信息被窃听所采取的措施是对发送的信息进行加密 而防止信息被篡改和伪造则需要使用报文鉴别技术 鉴别指验证通信对象是原定的发送者还是冒名顶替者的技术 报文鉴别使得通信的接收方能够鉴别并验证所收到的报文 包括发送者 报文内容 发送时间和序列等 的真伪 报文鉴别可以通过将报文加密来实现 但在特定网络的应用中 许多报文并不需要加密 但要求发送的报文应该是完整的 而且不是伪造的 目前多使用报文摘要MD MessageDigest 算法来进行报文鉴别 其主要原理如图6 9所示 图6 9报文鉴别原理 1 发送方将待发送的可变长报文m经过MD算法运算得出固定长度的报文摘要H m 2 对H m 加密生成密文EK H m 附加在报文m之后 3 接收端收到报文m和报文摘要密文EK H m 后 将报文摘要密文EK H m 解密还原成H m 4 同时在接收端将收到的报文m经过MD算法运算得出报文摘要H m 将H M 与H m 相比较 若不相同 则可断定收到的报文不是发送端产生的 报文摘要的优点是 对短的固定长报文摘要H m 进行加密比对整个报文m进行加密效率要高得多 但对鉴别报文m来说 其效果是一样的 也就是说 报文m EK H m 是不可篡改和伪造的 是可鉴别的和不可抵赖的 要做到不可伪造 MD算法必须满足以下两个条件 1 任给一个报文摘要值x 若想找到一个报文y使得H y x 这在计算上是不可行的 不可计算是指从算法想得到结果 其时间代价之高是无法承受的 2 若想找到任意两个报文x和y 使得H x H y 在计算上也是不可行的 这两个条件表明 若 m H m 是发送方产生的报文和报文摘要 攻击者不可能伪造另一个报文m 使得H m H m 同时发送方可以对H m 进行数字签名 使报文成为可鉴别的和不可抵赖的 报文摘要一般采用散列函数 HashFunction 实现 目前用得最为广泛的是MD5报文摘要算法 6 2 5密钥管理与分配在加密标准DES和公开密钥加密算法中 由于加密算法公开 网络安全完全基于密钥的安全保护上 因此密钥的管理非常重要 对称密钥加密方法的一个致命弱点就是它的密钥管理十分困难 因此它很难在现代的电子商务实践中得到广泛应用 在这一点上 公开密钥加密方法占有绝对的优势 不过 无论实施哪种方案 密钥的管理都是需要考虑的问题 当网络更大 用户更多时尤其如此 密钥分配是密钥管理中最大的问题 密钥必须通过最安全的通路进行分配 例如 可以派非常可靠的信使携带密钥分配给相互通信的各用户 这种方法称为网络外分配方式 如果网络中通信的用户很多且密钥更换频繁 则要求采用网络内分配方式 即对密钥进行自动分配 目前 公认的有效密钥分配方法是通过密钥分配中心KDC来管理和分配公开密钥 每个用户只保存自己的秘密密钥SK和KDC的公开密钥PK 用户可以通过KDC获得任何其他用户的公开密钥或者某一次通信时采用对称密钥加密算法的临时密钥 假设有两个用户A和B都是KDC的注册用户 它们拥有与KDC通信的秘密密钥SKA KDC和SKB KDC 现在A想与B通过对称密钥加密算法通信 要求KDC分配这次通信的临时密钥 则KDC分配密钥的过程如图6 10所示 图6 10KDC分配一次对称密钥的过程 首先 A向KDC发送用自己的秘密密钥SKA KDC加密的信息报文SKA KDC A B 说明想和用户B通信 KDC根据某个算法随机产生一个密钥K供A和B支持通信使用 然后返回给A一个应答报文PKA KDC K PKB KDC A K 此报文用A的公开密钥PKA KDC加密 报文中有K和请A转给B的报文PKB KDC A K 此报文是用B的公开密钥PKB KDC加密的 当B收到A转来的报文PKB KDC A K 后 就知道A要和自己通信且密钥为K 此后 A就可以利用密钥K与B通信了 此外 KDC可使用其秘密密钥SKKDC对发给A的应答报文进行数字签名 以防止伪造 还可在报文中加入时间戳防止重放攻击 由于密钥K的使用是一次性的 因而保密性非常高 在公开密钥体制中 为了使各用户的通信更加安全 必须有一个机构把用户的公开密钥与用户的实体 人或计算机 绑定起来 这样才能防止用自己的秘密密钥签名报文伪造成别的用户 这个机构我们称为认证中心CA CertificationAuthority 6 3防火墙技术 1 防火墙的基本概念为安全起见 可以在该网络和Internet之间插入一个中介系统 竖起一道安全屏障 这道屏障的作用是阻断外部对本网络的威胁和入侵 提供扼守本网络的安全和审计的惟一关卡 它的作用与古时候的防火砖墙有类似之处 因此我们把这个屏障叫做 防火墙 如图6 11所示 在网络中 防火墙是一种用来加强网络之间访问控制的特殊网络互连设备 如路由器 网关等 它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查 来决定网络之间的通信是否被允许 其中被保护的网络称为内部网络 另一方则称为外部网络或公用网络 防火墙能有效地控制内部网络与外部网络之间的访问及数据传送 从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的 一个好的防火墙系统应具有三方面的特性 图6 11防火墙 1 所有在内部网络和外部网络之间传输的数据必须通过防火墙 2 只有被授权的合法数据 即防火墙系统中安全策略允许的数据 才可以通过防火墙 3 防火墙本身不受各种攻击的影响 2 防火墙的基本准则1 过滤不安全服务2 过滤非法用户和访问特殊站点 3 防火墙的分类目前 根据防火墙在ISO OSI模型中的逻辑位置和网络中的物理位置及其所具备的功能 可以将其分为两大类 基本型防火墙和复合型防火墙 1 包过滤路由器 PacketFilters 包过滤路由器在一般路由器的基础上增加了一些新的安全控制功能 是一个检查通过它的数据包的路由器 2 应用型防火墙 ApplicationGateway 应用型防火墙的物理位置与包过滤路由器一样 但它的逻辑位置在OSI七层协议的应用层上 所以主要采用协议代理服务 ProxyServices 就是在运行防火墙软件的堡垒主机 BastionHost 上运行代理服务程序Proxy 堡垒主机是一个具有两个网络界面的主机 每一个网络界面与它所对应的网络进行通信 它既能作为服务器接收外来请求 又能作为客户转发请求 如果认为信息是安全的 那么代理程序就会将信息转发到相应的主机上 用户只能够使用代理服务器支持的服务 在业务进行时 堡垒主机监控全过程并完成详细的日志 Log 和审计 Audit 这就大大地提高了网络的安全性 应用型防火墙易于建立和维护 造价较低 比包过滤路由器更安全 但缺少透明性 3 主机屏蔽防火墙 ScreenedHostFirewall 包过滤路由器虽有较好的透明性 但无法有效区分同一IP地址的不同用户 应用型防火墙可以提供详细的日志及身份验证 但又缺少透明性 因此 在实际应用中 往往将两种防火墙技术结合起来 以取长补短 主机屏蔽防火墙就是其中的一种 主机屏蔽防火墙由一个只需单个网络端口的应用型防火墙和一个包过滤路由器组成 将它物理地连接在网络总线上 它的逻辑功能仍工作在应用层上 所有业务通过它代理服务 Intranet不能直接通过路由器和Internet相联系 信息包要通过路由器和堡垒主机两道防线 这个系统的第一个安全设施是包过滤路由器 4 子网屏蔽防火墙 ScreenedSubactFirewall 子网屏蔽防火墙的保护作用比主机屏蔽防火墙更进了一步 它在被保护的Intranet与Internet之间加入了一个由两个包过滤路由器和一台堡垒机组成的子网 被保护的Intranet与Internet不能直接通信 而应通过各自的路由器和堡垒机打交道 两台路由器也不能直接交换信息 子网屏蔽防火墙是最安全的一种防火墙体系结构 它具有主机屏蔽防火墙的所有优点 并且比之更加优越 4 防火墙的安全标准目前已提出了两个标准 1 RSA数据安全公司与一些防火墙生产厂商 如SunMicrosystem公司 Checkpoint公司 TIS公司等 以及一些TCP IP协议开发商 如FTP公司等 提出了Secure WAN S WAN 标准 它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCP IP协议具有互操作性 从而解决了建立虚拟专用网 VPN 的一个主要障碍 此标准包含两个部分 防火墙中采用的信息加密技术一致 即加密算法 安全协议一致 使得遵循此标准生产的防火墙产品能够实现无缝互连 但又不失去加密功能 安全控制策略的规范性 逻辑上的正确合理性 避免了由于各大防火墙厂商推出的防火墙产品在安全策略上有漏洞而对整个内部保护网络产生危害 2 美国国家计算机安全协会NCSA NationalComputerSecurityAssociation 成立的防火墙开发商FWPD FireWallProductDeveloper 联盟制订的防火墙测试标准 5 防火墙的发展趋势 1 防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展 2 过滤深度不断加强 从目前的地址 服务过滤 发展到URL 页面 过滤 关键字过滤和对ActiveX及Java等的过滤 并逐渐有病毒扫除功能 3 利用防火墙建立专用网 VPN是较长一段时间内用户使用的主流 IP加密需求越来越强 安全协议的开发是一大热点 4 单向防火墙 又叫网络二极管 将作为一种产品门类出现 5 对网络攻击的检测和各地告警将成为防火墙的重要功能 6 安全管理工具不断完善 特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分 6 4WindowsNT 2000的安全保护及模型 6 4 1WindowsNT 2000系统安全模型好的安全系统可以确认试图访问计算环境的个人的身份 防止冒名顶替者访问 盗窃或者破坏系统资源 保护环境中的特定资源免受用户的不正当访问 为设置和维护用户工作环境的安全性提供了一种简单而有效的方法 同时防止信息和资源被损坏以及未授权访问 WindowsNT 2000网络采取的安全措施是 WindowsNT 2000系统首先必须在NT 2000中拥有一个账号 其次 应规定该账号在系统中的权力和权限 在WindowsNT 2000系统中 权力专指用户对整个系统能够做的事情 如关掉系统 往网络系统中添加设备 更改系统时间等 权限专指用户对系统资源所能做的事情 如对某个文件的读 写控制 对打印机队列的管理 NT 2000系统中有一个安全账号数据库 是 WINNT SYSTEM32 CONFIG目录下的SAM文件 其中存放的内容有用户账号以及该账号对网络系统所具有的权力等 用户对系统资源所具有的权限应与特定的资源一起存放 1 WindowsNT 2000的用户登录管理WindowsNT 2000要求每个用户使用惟一的用户名和口令登录到计算机上 这种登录过程不能关闭 在没有用户登录时 可以看到屏幕上显示一个对话框 提示用户登录NT 2000系统 实际上 NT 2000系统中有一个登录进程 它保存在 WINNT SYSTEM32 Winlogon exe文件中 当用户开始登录时 按下Ctrl Alt Del键 NT系统启动登录进程执行Winlogon exe文件 弹出登录对话框 让用户输入用户名及口令 按下Ctrl Alt Del键时 NT系统保证弹出的登录对话框是系统本身的 而不是一个貌似登录对话框的应用程序 以防止被非法窃取用户名及口令 因此 在登录时 无论屏幕上是否有登录对话框 一定要按下Ctrl Alt Del键 以确保弹出的对话框是NT 2000系统的登录对话框 此过程就是强制性登录过程 登录进程收到用户输入的账号和口令后 就查找安全账号数据库SAM中的信息 如果账号及口令无效 则用户的登录企图被拒绝 如果账号及口令有效 则把安全账号数据库中有关该账号的信息收集在一起 形成一个使用者的安全存取标识SID 存取标识中的主要内容有 用户名以及SID 用户所属的组及组SID 用户对系统所具有的权力 然后 NT 2000就启动一个用户进程 将安全存取标识与该用户进程连在一起 这个存取标识就成了用户进程在NT 2000系统中的通行证 用户无论做什么事情 NT 2000中负责安全的进程都会检查其存取标识 以确定其操作是否合法 用户成功登录之后 只要没有注销 其在系统中的权力就以存取标识SID为准 NT 2000安全系统在此期间不再检查安全账号数据库SAM 这主要是为了提高效率 存取标识SID的作用相当于缓存 只不过存取标识缓存的是用户安全信息 这使得系统不必再从硬盘上查找这些信息 安全账号数据库SAM是由域用户管理器来维护的 在某个用户登录后 有可能管理员会修改其账号SAM以及权力等 但这些修改只有在用户下次登录时才有效 因为NT 2000安全系统在用户登录后只检查存取标识SID 而不检查安全账号数据库SAM 比如User1已登录到了NT 2000系统中 管理员发现其缺少了某种权力 就用域用户管理器对其进行相应的修改 那么 除非User1重新登录一次 否则User1仍无法享有该权力 2 WindowsNT 2000的资源访问控制机制根据需要选择的存取控制 使资源拥有者可以控制网络用户存取其资源以及能存取的权限 通过对访问控制列表 ACL 的控制 能确定授予用户和组的存取权限 系统资源包括系统本身 文件 目录和打印机等网络共享资源以及其他对象 WindowsNT 2000服务器提供控制资源存取项的工具 对资源的灵活 具体的存取控制能作用于特定的用户 多个用户 用户组 无人或者所有人 由资源拥有者 系统管理账号的用户或者任何被授权控制系统上资源的用户来设定 在安全系统上用惟一名字标识一个注册用户 它可以用来标识一个用户或一组用户 和UNIX的用户标识号相同 安全性标识符是用于系统内部的 在存取令牌和ACL AccessControlList 内使用 与UNIX中的用户标识不同的是 SID不是一个两个字节的整数 而是一长串数字 一个SID数代表一个用户的SID值 在以后应该永远不会被另一个用户使用 所有的SID用一个用户信息 时间 日期和域信息的结合体来创建 用SID标识用户的结果是 在同一个计算机上 可以多次创建相同的用户账号名 而每一个账号名都有一个惟一的SID 例如 用Yuan建立一个账号 然后删除这个账号 并为Yuan建立一个新的账号 即使两次的用户名相同 新账号和老账号也不会有相同的可以访问的资源 每次用户登录到系统上时 便生成了用户的存取SID 并且在登录后不再更新 因此 如果用户想获得另一个账号的存取权限 就必须退出系统并重新以另一个账号进行登录 UNIX在这方面要比WindowsNT 2000具有更大的方便性 用户可以在登录后将自己的身份改变成另一个账号的身份 如root账号的身份 正如在 登录机制 中提到的 安全存取标识SID包含一个特定用户的信息 当用户初始化一个进程时 存取标识的一个副本就被永久地附于这个进程 在登录过程中 创建和使用存取标识是非常重要的 存取标识SID包含的内容并没有访问许可权限 但它又是用户在系统中的通行证 那么NT 2000如何根据存取标识SID控制用户对资源的访问呢 这就需要将原来给资源分配的权限作为该资源的一个属性与资源一起存放 比如有目录为D Files 对其指定User1只读 User2可完全控制 则这两个权限都作为D Files目录的属性与该目录连在一起 资源对象的安全属性在NT 2000内部以访问控制列表ACL形式存放 ACL中包含了每个权限的分配 以访问控制条目ACE来表示 ACE中包含了用户名以及该用户的权限 比如上面提到的这个例子中 D Files的ACL中有两个ACE 分别是User1 只读 User2 完全控制 当User1访问该目录时 NT 2000安全系统检查用户的存取标识SID和目录D Files的访问控制列表ACL 进行以下三种情况判断 1 如果目录对象没有访问控制列表ACL 则系统允许所有用户访问该对象 2 若目录对象有访问控制列表ACL 但访问控制条目ACE为空 则系统对所有用户都拒绝访问该对象 3 目录对象有访问控制列表ACL 且访问控制条目ACE不为空 则安全系统将用户的存取标识SID及资源访问操作与目录的ACL中所有的访问控制条目ACE对照 若发现用户存取标识SID中的用户名与ACL中的访问控制条目ACE有对应关系且所要求的权限合法 则访问获得允许 否则 访问被拒绝 6 4 2WindowsNT 2000安全漏洞WindowsNT 2000所采用的存储数据库和加密过程导致了一系列安全漏洞 这个问题值得探讨 特别是 NT 2000把用户信息和加密口令保存于NTRegistry的SAM文件中 即安全账号管理 SecurityAccountsManagement 数据库中 加密口令时先用RSAMD4系统对口令进行加密 但其后的加密过程缺乏复杂度 比如加密口令时没有考虑时间的因素 结果NT 2000口令比UNIX口令更加脆弱 更容易受到一本简单字典的攻击 由于有许多与NT口令有关的安全问题 Microsoft已经在WindowsNT 2000加密口令时增加了许多步骤 但同时也增加了许多新的安全漏洞 这里举几个带来严重问题的安全漏洞的例子 1 WindowsNT对较大的ICMP包是很脆弱的 例如 如果发一条Ping命令 指定包的大小为64KB NT的TCP IP栈将不会正常工作 它可使系统离线工作 直至重新启动 结果造成某些服务的拒绝访问 下面的命令可以作为例子用于测试这个安全漏洞 ping 最新的ServicePack已经纠正了这个问题 它限制了Ping包的大小 安装NT时别忘了赶快安装ServicePack3以上的补丁程序 2 每次紧急修复盘 ERD EmergencyRepairDisk 在更新时 整个SAM数据库被复制到 system repair sam 目录下 在缺省的权限设置下 每个人对该文件都有 读 Read 的访问权 Administrator和系统本身具有 完全控制 FullControl 的权利 PowerUser有 改变 Change 的权利 SAM数据库的一个备份拷贝能够被某些工具所利用来破解口令 NT在对用户进行身份验证时 只能达到加密RSA的水平 在这种情况下 甚至没有必要使用工具来猜测那些明文口令 能解码SAM数据库并能破解口令的工具有PWDump和NTCrack 3 能够物理上访问WindowsNT 2000机器的任何人 可能利用某些工具程序来获得Administrator级别的访问权 Internet上有些工具程序可以相对容易地获得Administrator特权 比如NTRecover WinternalSoftware的NTLocksmith 4 重新安装WindowsNT 2000软件 就可以获得Administrator级别的访问权 5 所有用户可能通过命令行方式试图连接管理系统的共享资源 任何一个用户可以在命令行下键入 IPaddress C 或者 IPaddress D IPaddress WINNT 试图连接任意一个NT 2000平台上管理系统的共享资源 6 如果系统里只有一个Administrator账号 当注册失败的次数达到设置时 该账号也不可能被锁住 这种情况 系统里只有一个Administrator账号 是NT 2000预先考虑过的一个特征 然而它也是一种风险 7 通过访问其他并存的操作系统 有可能绕过NTFS的安全设置 已经有很多工具可用来访问基于Intel系统的NTFS格式的硬盘驱动器 而不需要任何授权 就允许用户操纵NT的各种安全配置 这些工具有DOS Windows的NTFS文件系统重定向器 NTFSFileSystemRedirectorforDOS Windows SAMBA或者LinuxNTFSReader 这种情况只有一种可能 那就是物理上能访问机器 8 任何用户可以通过命令行方式远程查询任何一台NT 2000服务器上的已注册的用户名 如果它涉及到特权账号的话 这个安全漏洞意味着一个十分严重的风险 9 Windows2000中文版的登录验证机制存在漏洞 在登录界面将光标移至用户名输入框 按Ctrl Shift键 这时在缺省的安装状态下会出现输入法状态条 将鼠标移至输入法状态条上单击鼠标右键 在出现的对话框中选择帮助 选择操作指南或输入法入门 微软的拼音输入法和智能ABC没有这个选项 在出现的操作指南或输入法入门窗口中会出现几个按钮 关键是选项按钮 如果是未安装ServicePack1或IE5 5的Windows2000系统 用鼠标左键单击选项按钮 在出现的对话框中选择主页 这时在已出现的帮助窗口的右侧会出现IE浏览器界面中的 此页不可显示 页面 其中有一个检测网络设置的链接 单击它就会出现网络设置选项 可以对网络进行设置 甚至对控制面板做任何修改 用鼠标左键单击选项按钮 在出现的对话框中选择Internet选项 也可以对主页 链接 安全 高级选项等做任何修改 最为严重的是 用鼠标右键单击选项按钮会出现一个对话框 选择跳至URL 这时会出现一个对话框 其中有一个跳至该URL输入框 在其中输入你想看到的路径 比如c 则在已出现的帮助窗口的右侧会出现资源管理器C盘的界面显示 你这时就已经拥有了系统管理员权限 可以对你看到的数据做任何操作 这就绕过了Windows2000的登录验证机制 6 4 3WindowsNT 2000的安全管理为了加强WindowsNT 2000Server的安全管理 要从物理安全 登录安全 用户安全 文件系统和打印机安全 注册表安全 RAS安全 数据安全 各个应用系统安全等方面制定强化安全措施 1 加强物理安全管理 1 去掉或锁死软盘驱动器 禁止DOS或其他操作系统访问NTFS分区 2 在服务器上设置系统启动口令 设置BIOS禁用软盘引导系统 3 不创建任何DOS分区 4 保证机房的物理安全 2 用最新的ServicePack升级WindowsNT 2000Server因为服务包 ServicePack 包括所有补丁程序和后来发表的很多安全补丁程序 3 掌握并使用微软提供但未设置的安全功能例如 缺省安装未禁用Guest账号 并且给Everyone 每个人 工作组授予 完全控制 权限 没有实施口令策略等都给网络的安全留下了漏洞 要加强服务器的安全 必须根据需要设置这些功能 4 控制授权用户的访问在域里配置适当的NTFS访问控制可以增强网络的安全 取消或更改缺省情况下的Everyone组的 完全控制 权限 需要始终设置用户所能允许的最小的文件夹和文件的访问权限 另外 不要共享任何一个FAT卷 5 避免给用户定义特定的访问控制将用户以 组 的方式进行管理是一个用户管理的有效方法 如果一个用户在公司里的角色变了 很难跟踪并更改他的访问权 最明智的做法就是为每个用户指定一个工作组 为工作组指定文件 文件夹访问权 如果要收回或更改某个用户的访问权 只要把该用户从工作组中删除或指定另一个工作组就可以了 6 实施账号及口令策略用域用户管理器配置口令策略 选择好口令的原则主要有 1 登录名称中的字符不要重复或循环 2 至少包含两个字母字符和一个非字母字符 3 至少有6个字符长度 4 不是用户的姓名 不是相关人物 著名人物的姓名 不是用户的生日和电话号码及其他容易猜测的字符组合等 5 要求用户定期更改口令 6 给系统的默认用户特别是Administrator改名 7 不要使用无口令的账号 否则会给安全留下隐患 8 禁用Guest账号 7 设置账号锁定这是阻止黑客入侵的有效方法 建议设置尝试注册三次后锁定账号 在合适的锁定时间后被锁定的账号自动打开 或者只有管理员才能打开账号使用户恢复正常 8 控制远程访问服务远程访问是黑客攻击NT 2000系统的常用手段 WindowsNT 2000集成的防止外来入侵最好的功能是认证系统 Windows95 98 XP和WindowsNT 2000客户机不仅可以交换加密用户ID和口令数据 而且还使用Windows专用的挑战响应协议 Challenge ResponseProtocol 这可以确保决不会多次出现相同的认证数据 还可以有效阻止内部黑客捕捉网络信息包 9 启用登录工作站和登录时间限制如果每个用户只有一个PC 并且只允许工作时间登录 可以把每个用户的账号限制在自己的PC上且在工作时间内使用 从而保护网络数据的安全 10 启动审查功能为防止未经授权的访问 可以利用域用户管理器启用安全审查功能 以便在事件查看器安全日志中记录未经授权的访问企图 以便尽早发现安全漏洞 但要结合工作实际 设置合理的审计规则 切忌审查事件太多 以免无时间全部审查安全问题 11 确保注册表安全首先 取消或限制对regedit exe regedit32 exe的访问 其次 利用regedit exe或文件管理器设置只允许管理员访问注册表 其他任何用户不得访问注册表 12 应用系统的安全在WindowsNT 2000上运行的应用系统如Web服务器 FTP服务器 E mail服务器 InternetExplorer等 应及时通过各种途径 如Web站点 获得其补丁程序包 以解决其安全问题 6 5 常见的黑客工具及攻击方法 6 5 1网络监听网络监听是黑客在局域网或路由器上进行的一项黑客技术 可以很容易地获得用户的密码和账号 网络监听原本是网络管理员使用的一个工具 主要用来监视网络的流量 状态 数据等信息 它对网络上流经自己网段的所有数据进行接收 从中发现用户的有用信息 网络监听的危害很大 首先 它接收所有的数据报文 这就使网络上的数据丢失 造成网络通信不畅 其次 在计算机网络中 大量的数据是以明文传输的 如局域网上的FTP Web等服务一般都是明文传输的 这样 黑客就很容易拿到用户名和密码 而且有许多用户为了记忆方便 在不同的服务上使用的用户名和密码是一样的 这就意味着一些网络管理员的密码会被得到 太危险了 另外 网络监听采用被动的方式 它不与其他主机交换信息 也不修改密码 这就使对监听者的追踪变得十分困难 1 什么是以太网Sniffing以太网Sniffing是指对以太网设备上传送的数据包进行侦听 发现感兴趣的包 如果发现符合条件的包 就把它存到一个log文件中去 通常设置的这些条件是包含字 username 或 password 的包 它的目的是将网络层放到Promiscuous模式 Promiscuous模式中网络上的所有