预防威胁 解决企业网中的安全通病

　　解决常见协议的脆弱性

　　攻击利用系统弱点，这些弱点可能是因为不合理的网络设计和规划而造成的。一个好的做法是阻止任何未经授权的系统或用户获得对产品和技术存在可以利用的弱点的网络访问权限。

　　欺骗性攻击在网络界众所周知。欺骗涉及到提供有关一个人的或主机的虚假身份信息，以获得对系统的未经授权的访问。欺骗可通过生成带有伪造源地址的报文分组或利用一个协议的公开漏洞来进行。在大多数攻击中，理解IP协议族是一个关键的部分。下面对协议族和协议(比如TCP、ICMP、UDP、DNS、NTTP、HTTP、SMTP、FTP、NFS/NS和X Windows)的弱点进行描述。因特网协议(IP)是一个基于报文分组的协议，用于在计算机网络上交换数据。IP处理寻址、分片、重组和协议分离。他是建立在所有其他IP协议(统称IP协议族)的基础。TCP/IP建立连接之前，必须在两台进行通信的机器进行三次握手。三次握手中的各个单个报文分组都包含一个序号，两台进行通信的机器间的序号是唯一的。

　　如果攻击者想确定序号模式，所需要做的就是建立一系列到机器的连接，并跟踪所有使用的序号。当攻击者知道序号模式时，很容易就伪造成另一台主机。防止这类伪造欺骗攻击的最好方法是在网络的入口和出口启用包过滤。会话劫持是TCP/IP欺骗的一个特殊情况。而且会话劫持比序号欺骗更容易。会话劫持很难侦测。最好的防范措施是使用保密安全服务和对数据进行加密保护以确保安全会话。

　　TCP SYN攻击通常利用一台攻击源主机生成的带有随机源地址的TCP/SYN报文分组并发送到一台受害主机这种方式实现攻击。受害主机发送一个SYN/ACK到随机的源地址，并在连接队列中增加一个条目。因为SYN/ACK被发送一个地址错误或不存在的主机，所以三次握手的最后一个阶段就是无法完成，条目就保留在连接队列中，直到过期——通常在1分钟之内。通过迅速生成来自随机IP地址的假冒TCP SYN报文分组，入侵者能够填满连接队列，从而导致拒绝为合法用户提供的TCP服务(比如电子邮件、文件传输或WWW服务)。

　　UDP协议与TCP协议类似，用户报文分组协议(UDP)是一种传输层协议。但是，UDP提供了一种不可靠的、无连接的传输服务来在机器间传输报文。该协议不提供纠错、重传或防止报文分组丢失和重复。UDP出于简单和快捷的目的而设计，从而避免了连接和断开需要的额外开销。由于不对UDP报文的发送速度进行控制，而且也没有连接建立时的握手或序号，因此UDP报文分组比TCP报文分组更容易进行欺骗。

　　因特网控制报文协议(ICMP)是IP层用来交换控制报文的协议。死亡之ping(Ping of Death)是利用大的ICMP echo请求的分片脆弱性进行攻击。Smurf攻击始于攻击者向广播地址发送大量的欺骗ICMP echo请求，期望这些报文分组被放大并被发送到欺骗的地址。Teardrop.c是另一种进行分片攻击程序。它的工作原理是利用重叠分片的重组漏洞进行攻击而造成目标系统的崩溃或挂起。现有的DNS协议不支持对DNS数据的有效性进行检查，从而导致DNS数据在服务器或转发服务器之间被欺骗和遭到破坏。许多脆弱性问题在RFC2535中描述的DNS安全(DNSSEC)标准中都得到了解决。该标准提供了更好的基于加密签名的认证机制来验证完整性和DNS数据来源。

　　而NNTP的控制协议不提供任何认证，所以在报文被发布前取消报文、创建新的未授权的新闻组或从服务器删除已有的新闻组是非常容易进行的。在STMP协议中，大多数邮件程序缺乏认证、完整性和机密服务，除非使用了特殊的程序外。不安全协议还有FTP协议，要意识到FTP的不安全性，而且口令可能在用户会话和任何FTP服务器之间以明文的形式进行发送。

　　NFS/NIS都使用UDP作为下层的协议。典型的设置中，在连接的任何一段的认证都是有限的。X Windows系统是最常见的窗口系统之一。许多主要的工作站生产商已经采用了X11协议来现实网络图形。由于X11协议固有的认证有限，因此一个有权访问网络的人就可以直接连接到X11服务器，察看或修改服务器各X客户端之间正在进行的通信。

　　总结

　　由于设计不完善的网络中存在可利用的漏洞，从而造成各种攻击;对特定网络方案(VPN、无线网络和VoIP网)的威胁，加强这些网络设计中的脆弱性。VPN网络的脆弱性主要的问题是了解VPN隧道的起点和终点，以及信息流在隧道外的部分。理想的情况下，VPN隧道基于端到端创建，但是现在许多情况下，隧道端点都是中继网关或VPN集中器。在VPN网络中威胁有未经授权的访问、假冒和拒绝服务。

　　无线网络已成为破坏安全的攻击者最感兴趣的目标之一。大多数无线LAN设备在运输时都禁用了安全特性。目前有几个站点提供包含了可用的、免费的无线连接文档，给了潜在的入侵者选择需要接入站点的余地。无线网络的威胁除了VPN网络的威胁还多了WEP的不安全性。今天的语音网络主要的问题是开放性，需要很少的或不需要认证就能够访问。它的开放特性具备了会话初始化协议(SIP)时的一些固有的不安全性。了解一些攻击的动机可以清楚地知道网络中易受攻击的部分以及入侵者采取的行动。对网络脆弱性分析有助于评估网络受到攻击的可能性。