科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>预防威胁 解决企业网中的安全通病

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

虽然企业网威胁形式多样,但都将导致一定程度上的泄露以及对信息或资源的恶意破坏,从而造成巨大的经济损失。知道网络的哪个部分更容易受到入侵,以及常见的攻击者是谁都是很重要的。

来源: 2007年10月22日

关键字:企业网 安全威胁 网络安全 网络入侵

  如今,商业交易对计算机网络的依赖日益俱增。在信息流动更加自由、可用资源更为丰富的情况下,企业网的管理者必须了解他们的网络所面向的全部威胁。虽然这些威胁形式多样,但都将导致一定程度上的泄露以及对信息或资源的恶意破坏,从而造成巨大的经济损失。知道网络的哪个部分更容易受到入侵,以及常见的攻击者是谁都是很重要的。对企业网内部的员工和那些被授权从企业外部使用内部网络资源的人员的信任固然重要,但是信任也必须依据现实情况。

  无线网络的应用越来越广泛,在这些情况下需要更加严格的安全考虑。我们需要对网络的人才和关键资源的使用进行限制,只有确实需要访问网络的人才能访问,这是一个明智的方法,可以阻止危害计算机网络安全的许多威胁。了解常见的攻击和脆弱性类型,以及在策略级别上为了确保一定程度的网络安全所能采取的行动对我们来说是十分重要的。

  企业网络遭受威胁类型

  企业网络中有许多不同类型的威胁,在这里我们将分为3种基本的类型即:未经授权的访问、假冒和拒绝服务。

  未经授权的访问是指当一个未经授权的实体获得了对资源的访问,并可以对资源进行篡改。这种访问通常是通过在不安全的通道上截获正在传输的信息,或者利用技术或产品固有的缺陷来实现的。获取企业内部网络资源的访问通过一些侦测工作来完成。最可能的情况是,企业网络可通过因特网、在物理线路上搭线接听、远程调制解调器拨号接入或无线网络接入等方式被访问。

  比如在因特网接入方面,如果入侵者试图通过因特网获得未经授权的访问,那么他必须先做一些信息搜集工作,得知哪个网络或资源存在脆弱性。识别潜在目标的一些常用的方法有可达性检测和端口扫描两种。

  在进行未经授权的访问时,无论最先采用的是什么方法(侦测工作、接到物理线路通过因特网进行接入、远程调制解调器拨号接入或无线网络接入),阻止未经授权的最好的方法是使用保密和完整性安全服务。这样就能确保经过不安全通道的信息流被加密和在传输过程中被篡改。

  假冒与未经授权的访问有很密切的联系,但仍然有必要将它们单独列出来。假冒是出示伪造的凭证来冒充别的事务或者别人的能力。向这些攻击可以采取几种形式:偷窃私钥、记录授权序列并在以后重放。这些攻击通常被称为中间人攻击(入侵者能够截获信息流、对现有的回话进行劫持、更改被传输的数据和在网络中插入伪造的信息流)。在大型企业网络中假冒可能是破坏性的,因为假冒绕过了为结构化授权访问而创建的信任关系。使用认证和完整性安全服务(如数字签名)能够在一定程度上阻止假冒的发生。数字签名确认了发送方的身份和所发数据内容的完整性。

  未经授权和假冒的另一类攻击是拒绝服务攻击。拒绝服务是指服务中断,中断原因可能是系统被毁坏或者暂时不可用。例如摧毁计算机硬盘、切断物理连接和耗尽设备上所有可用的内存。近年来,一个DoS攻击的变体造成了更多的安全问题,这就是分布式拒绝服务攻击,这种攻击采用多台主机发动DoS攻击。DDoS攻击追踪起来相当困难,而且用来执行这类攻击的机制多种多样,因此这些攻击对研究者来说仍然是一个值得关注的问题,但对于运行网络的人来说,却是无尽的痛苦之源。但是,最要紧的就是不要惊慌!威胁是存在的,也是很难避免的,然而你可以部署能够阻止很多DDoS攻击尝试的机制。

  了解威胁动机对症下葯

  对攻击部分动机的了解有助于深入了解网络易受攻击部分和入侵者最可能采取的行动。在许多情况下,可以觉察到攻击是从外部的因特网发起的,因而在因特网和被信任的企业网之间设置防火墙是限制攻击发起点的关键部分。防火墙是网络安全中重要部分,但要确保一个网络的安全必须把系统作为一个整体来看待。

  更为常见的攻击动机:第一、贪婪,受雇于某人的入侵者侵入企业网络,以窃取或更改涉及到大量资金交易的信息。第二、恶作剧,入侵者感到无聊,并且有一定的计算机水平,试图获取所有感兴趣站点的访问权限。第三、扬名,入侵者计算机水平非常高,试图攻破难以进入区域以证明自己的能力。成功的攻击可以使入侵者赢得同行的尊重和认可。第四、报复,入侵者被解雇、开除、降职或受到不公平的对待。这些攻击通常造成有价值的信息被破坏或引起服务中断。最后是无知,入侵者正在学习计算机和网络知识,无意中触及的一些弱点,可能导致数据被毁或者执行非法操作。

  攻击的动机范围非常广泛。为了保证企业架构的安全,需要把所有这些动机都认为是可能的威胁。

  解决常见协议的脆弱性

  攻击利用系统弱点,这些弱点可能是因为不合理的网络设计和规划而造成的。一个好的做法是阻止任何未经授权的系统或用户获得对产品和技术存在可以利用的弱点的网络访问权限。

  欺骗性攻击在网络界众所周知。欺骗涉及到提供有关一个人的或主机的虚假身份信息,以获得对系统的未经授权的访问。欺骗可通过生成带有伪造源地址的报文分组或利用一个协议的公开漏洞来进行。在大多数攻击中,理解IP协议族是一个关键的部分。下面对协议族和协议(比如TCP、ICMP、UDP、DNS、NTTP、HTTP、SMTP、FTP、NFS/NS和X Windows)的弱点进行描述。因特网协议(IP)是一个基于报文分组的协议,用于在计算机网络上交换数据。IP处理寻址、分片、重组和协议分离。他是建立在所有其他IP协议(统称IP协议族)的基础。TCP/IP建立连接之前,必须在两台进行通信的机器进行三次握手。三次握手中的各个单个报文分组都包含一个序号,两台进行通信的机器间的序号是唯一的。

  如果攻击者想确定序号模式,所需要做的就是建立一系列到机器的连接,并跟踪所有使用的序号。当攻击者知道序号模式时,很容易就伪造成另一台主机。防止这类伪造欺骗攻击的最好方法是在网络的入口和出口启用包过滤。会话劫持是TCP/IP欺骗的一个特殊情况。而且会话劫持比序号欺骗更容易。会话劫持很难侦测。最好的防范措施是使用保密安全服务和对数据进行加密保护以确保安全会话。

  TCP SYN攻击通常利用一台攻击源主机生成的带有随机源地址的TCP/SYN报文分组并发送到一台受害主机这种方式实现攻击。受害主机发送一个SYN/ACK到随机的源地址,并在连接队列中增加一个条目。因为SYN/ACK被发送一个地址错误或不存在的主机,所以三次握手的最后一个阶段就是无法完成,条目就保留在连接队列中,直到过期——通常在1分钟之内。通过迅速生成来自随机IP地址的假冒TCP SYN报文分组,入侵者能够填满连接队列,从而导致拒绝为合法用户提供的TCP服务(比如电子邮件、文件传输或WWW服务)。

  UDP协议与TCP协议类似,用户报文分组协议(UDP)是一种传输层协议。但是,UDP提供了一种不可靠的、无连接的传输服务来在机器间传输报文。该协议不提供纠错、重传或防止报文分组丢失和重复。UDP出于简单和快捷的目的而设计,从而避免了连接和断开需要的额外开销。由于不对UDP报文的发送速度进行控制,而且也没有连接建立时的握手或序号,因此UDP报文分组比TCP报文分组更容易进行欺骗。

  因特网控制报文协议(ICMP)是IP层用来交换控制报文的协议。死亡之ping(Ping of Death)是利用大的ICMP echo请求的分片脆弱性进行攻击。Smurf攻击始于攻击者向广播地址发送大量的欺骗ICMP echo请求,期望这些报文分组被放大并被发送到欺骗的地址。Teardrop.c是另一种进行分片攻击程序。它的工作原理是利用重叠分片的重组漏洞进行攻击而造成目标系统的崩溃或挂起。现有的DNS协议不支持对DNS数据的有效性进行检查,从而导致DNS数据在服务器或转发服务器之间被欺骗和遭到破坏。许多脆弱性问题在RFC2535中描述的DNS安全(DNSSEC)标准中都得到了解决。该标准提供了更好的基于加密签名的认证机制来验证完整性和DNS数据来源。

  而NNTP的控制协议不提供任何认证,所以在报文被发布前取消报文、创建新的未授权的新闻组或从服务器删除已有的新闻组是非常容易进行的。在STMP协议中,大多数邮件程序缺乏认证、完整性和机密服务,除非使用了特殊的程序外。不安全协议还有FTP协议,要意识到FTP的不安全性,而且口令可能在用户会话和任何FTP服务器之间以明文的形式进行发送。

  NFS/NIS都使用UDP作为下层的协议。典型的设置中,在连接的任何一段的认证都是有限的。X Windows系统是最常见的窗口系统之一。许多主要的工作站生产商已经采用了X11协议来现实网络图形。由于X11协议固有的认证有限,因此一个有权访问网络的人就可以直接连接到X11服务器,察看或修改服务器各X客户端之间正在进行的通信。

  总结

  由于设计不完善的网络中存在可利用的漏洞,从而造成各种攻击;对特定网络方案(VPN、无线网络和VoIP网)的威胁,加强这些网络设计中的脆弱性。VPN网络的脆弱性主要的问题是了解VPN隧道的起点和终点,以及信息流在隧道外的部分。理想的情况下,VPN隧道基于端到端创建,但是现在许多情况下,隧道端点都是中继网关或VPN集中器。在VPN网络中威胁有未经授权的访问、假冒和拒绝服务。

  无线网络已成为破坏安全的攻击者最感兴趣的目标之一。大多数无线LAN设备在运输时都禁用了安全特性。目前有几个站点提供包含了可用的、免费的无线连接文档,给了潜在的入侵者选择需要接入站点的余地。无线网络的威胁除了VPN网络的威胁还多了WEP的不安全性。今天的语音网络主要的问题是开放性,需要很少的或不需要认证就能够访问。它的开放特性具备了会话初始化协议(SIP)时的一些固有的不安全性。了解一些攻击的动机可以清楚地知道网络中易受攻击的部分以及入侵者采取的行动。对网络脆弱性分析有助于评估网络受到攻击的可能性。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题