安全问题-FreeBSD 技术文摘

    当要维护网络安全的时候，需要加以了解的关键问题就是网络漏洞可能存在于位于何处。只有了解攻击者会从何处入手，才能采取相应的措施加强系统的安全。下面部分针对可能存在的安全漏洞进行了简单的概括，这些地方都是网络安全需要注意的方面。
      　
    * 物理安全性：网络窃听与地址欺骗

　　物理安全性的安全性非常重要，但这个问题中的大部分内容与网络安全无关，例如如果服务器被盗窃了，其上面的硬盘就能被窃贼使用物理读取的方式进行分析读取。这只是一个极端的例子，更一般的情况可能是非法使用者接触了系统的控制台，重新启动计算机并获得控制权，或者通过物理连接的方式窃听网络信息。

　　最近国内报告了几例 “黑客” 事件，攻击者通过将物理线路连接到目的线路上，并利用对这些专有的计算机系统的了解来窃取信息。事实上这种攻击方式不能算一个真正的网络攻击，并不用说网络黑客了。

　　在物理安全方面，与网络相关的问题主要在于传输数据的安全性。由于TCP/IP协议是一种包交换网络，各个数据包在网络上都是透明传输的，将经过各个不同的网络，由那些网络上的路由器转发，才能到达目的计算机。由于数据包都是直接经过这些网络，那么这些网络上的计算机都有可能将其捕获，从而窃听到正在传输的数据。这个物理上的传输安全问题对网络安全非常重要，因为当前的TCP/IP协议本身并没有对安全传输进行考虑，很多应用程序，如telnet、ftp 等，甚至使用明文来传递非常敏感的口令数据。获取网络上流过全部数据的方法通常被称为网络分析（sniffing）。

　　由于物理网络的传输限制，并不是在网络上的任意位置都能捕获数据包信息的。对于最常用的以太网，较老的共享式以太网能在任意一个位置窃听所有流经网络的信息包，而新式的交换式以太网能够在交换机上隔离流向不同计算机的数据，因此安全性更高。然而无论怎样的网络，路由器总是一个非常关键的位置，所有流入流出网络的数据都经过这个特殊的计算机，如果攻击者在路由器上进行窃听就会造成非常严重的安全问题。

　　交换式以太网并不能保证不能百分之百不被窃听，高明的窃听者能通过欺骗以太网交换机来完成窃听的任务，然而这需要针对具体交换机的弱点进行攻击，事实上很难进行。

　　防范窃听的方法是对传输的数据进行加密，最简单的情况下就不要使用明文来传输重要的认证信息。在FreeBSD 下可以使用Kerberos认证保证口令传输不被窃听。更进一步，可以使用支持加密传输的应用程序传输重要的数据，如ssh。在数据要通过的不安全网络上设定虚拟专用网也能解决这个问题。当前，从IP层支持数据安全的协议为IPSec ，FreeBSD下也有一个开发组KAME是支持IPSec的（KAME的网址位于http://www.kame.net/ ）。以后会有越来越多的应用程序支持IPSec，不再有传输安全的问题。

　　涉及物理安全性的另一个问题是网络地址欺骗，很多网络服务将安全性依赖于区分不同计算机的方式，可信任的计算机能够访问网络资源，不可信任的计算机被拒绝访问。然而非法入侵者可以通过欺骗的方式，使得目的计算机认为它是可信任的计算机，从而达到入侵的目的。

　　网络地址欺骗可以分为两种，一种为假冒其他计算机网卡的硬件MAC地址，这样就能使得这台计算机能完全冒充另外那台计算机，突破依赖于MAC地址的访问限制。很多网卡可以通过驱动程序更改MAC地址，操作系统也能通过软件的方法更改其驱动程序中保存的MAC地址。因此MAC地址是不可靠的，不能依赖于它来保护具备敏感性的数据信息。显然，假冒MAC地址方法只能存在于同一个局域网之中，不能跨越网络。

　　然而对TCP/IP来讲，通信还是主要依赖于IP地址，因此更普遍的地址欺骗还是要通过假冒IP地址的方法进行的。对于任何操作系统来讲，更改IP地址非常简便。在同一个子网当中，更改IP地址之后，它就能假冒那台被信任计算机。然而在同一个子网之外，假冒IP地址就需要更复杂的技术，首先它需要了解假冒的IP数据包是否能发送到目的计算机上，这需要依赖于它和目的计算机的路由器的设置，很多的路由器不能分辨IP数据包是否是从正确的子网发送出来的（或者没有屏蔽这些非法的IP数据包），这样假冒的IP数据包就能到达目的计算机。由于假冒的IP数据包中的IP地址与发送的计算机不相符，因此回应的数据包不会返回假冒IP地址的计算机，这样就需要假冒的计算机只能依靠猜测来攻击目的计算机。