FreeBSD连载(74):安全问题
2009-05-13 12:25:36来源:未知 阅读 ()
安全问题
当要维护网络安全的时候,需要加以了解的关键问题就是网络漏洞可能存在于位于何处。只有了解攻击者会从何处入手,才能采取相应的措施加强系统的安全。下面部分针对可能存在的安全漏洞进行了简单的概括,这些地方都是网络安全需要注意的方面。
- 物理安全性:网络窃听与地址欺骗
物理安全性的安全性非常重要,但这个问题中的大部分内容与网络安全无关,例如如果服务器被盗窃了,其上面的硬盘就能被窃贼使用物理读取的方式进行分析读取。这只是一个极端的例子,更一般的情况可能是非法使用者接触了系统的控制台,重新启动计算机并获得控制权,或者通过物理连接的方式窃听网络信息。
最近国内报告了几例 “黑客” 事件,攻击者通过将物理线路连接到目的线路上,并利用对这些专有的计算机系统的了解来窃取信息。事实上这种攻击方式不能算一个真正的网络攻击,并不用说网络黑客了。
在物理安全方面,与网络相关的问题主要在于传输数据的安全性。由于TCP/IP协议是一种包交换网络,各个数据包在网络上都是透明传输的,将经过各个不同的网络,由那些网络上的路由器转发,才能到达目的计算机。由于数据包都是直接经过这些网络,那么这些网络上的计算机都有可能将其捕获,从而窃听到正在传输的数据。这个物理上的传输安全问题对网络安全非常重要,因为当前的TCP/IP协议本身并没有对安全传输进行考虑,很多应用程序,如telnet、ftp 等,甚至使用明文来传递非常敏感的口令数据。获取网络上流过全部数据的方法通常被称为网络分析(sniffing)。
由于物理网络的传输限制,并不是在网络上的任意位置都能捕获数据包信息的。对于最常用的以太网,较老的共享式以太网能在任意一个位置窃听所有流经网络的信息包,而新式的交换式以太网能够在交换机上隔离流向不同计算机的数据,因此安全性更高。然而无论怎样的网络,路由器总是一个非常关键的位置,所有流入流出网络的数据都经过这个特殊的计算机,如果攻击者在路由器上进行窃听就会造成非常严重的安全问题。
交换式以太网并不能保证不能百分之百不被窃听,高明的窃听者能通过欺骗以太网交换机来完成窃听的任务,然而这需要针对具体交换机的弱点进行攻击,事实上很难进行。
防范窃听的方法是对传输的数据进行加密,最简单的情况下就不要使用明文来传输重要的认证信息。在FreeBSD 下可以使用Kerberos认证保证口令传输不被窃听。更进一步,可以使用支持加密传输的应用程序传输重要的数据,如ssh。在数据要通过的不安全网络上设定虚拟专用网也能解决这个问题。当前,从IP层支持数据安全的协议为IPSec ,FreeBSD下也有一个开发组KAME是支持IPSec的(KAME的网址位于http://www.kame.net/ )。以后会有越来越多的应用程序支持IPSec,不再有传输安全的问题。
涉及物理安全性的另一个问题是网络地址欺骗,很多网络服务将安全性依赖于区分不同计算机的方式,可信任的计算机能够访问网络资源,不可信任的计算机被拒绝访问。然而非法入侵者可以通过欺骗的方式,使得目的计算机认为它是可信任的计算机,从而达到入侵的目的。
网络地址欺骗可以分为两种,一种为假冒其他计算机网卡的硬件MAC地址,这样就能使得这台计算机能完全冒充另外那台计算机,突破依赖于MAC地址的访问限制。很多网卡可以通过驱动程序更改MAC地址,操作系统也能通过软件的方法更改其驱动程序中保存的MAC地址。因此MAC地址是不可靠的,不能依赖于它来保护具备敏感性的数据信息。显然,假冒MAC地址方法只能存在于同一个局域网之中,不能跨越网络。
然而对TCP/IP来讲,通信还是主要依赖于IP地址,因此更普遍的地址欺骗还是要通过假冒IP地址的方法进行的。对于任何操作系统来讲,更改IP地址非常简便。在同一个子网当中,更改IP地址之后,它就能假冒那台被信任计算机。然而在同一个子网之外,假冒IP地址就需要更复杂的技术,首先它需要了解假冒的IP数据包是否能发送到目的计算机上,这需要依赖于它和目的计算机的路由器的设置,很多的路由器不能分辨IP数据包是否是从正确的子网发送出来的(或者没有屏蔽这些非法的IP数据包),这样假冒的IP数据包就能到达目的计算机。由于假冒的IP数据包中的IP地址与发送的计算机不相符,因此回应的数据包不会返回假冒IP地址的计算机,这样就需要假冒的计算机只能依靠猜测来攻击目的计算机。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- 声卡的问题 ! 2009-05-13
- 讨论一下package和port一起使用的问题。 2009-05-13
- 小弟新手有愚昧的问题请问高手! 2009-05-13
- freebsd系统共享上网问题! 2009-05-13
- nginx的index页设置问题!! 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash