科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道基础软件安全问题-FreeBSD 技术文摘

安全问题-FreeBSD 技术文摘

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

当要维护网络安全的时候,需要加以了解的关键问题就是网络漏洞可能存在于位于何处。只有了解攻击者会从何处入手,才能采取相应的措施加强系统的安全。

来源:早雪网 2008年5月20日

关键字: 操作系统 技巧 FreeBSD

  • 评论
  • 分享微博
  • 分享邮件

    当要维护网络安全的时候,需要加以了解的关键问题就是网络漏洞可能存在于位于何处。只有了解攻击者会从何处入手,才能采取相应的措施加强系统的安全。下面部分针对可能存在的安全漏洞进行了简单的概括,这些地方都是网络安全需要注意的方面。
       
    * 物理安全性:网络窃听与地址欺骗

  物理安全性的安全性非常重要,但这个问题中的大部分内容与网络安全无关,例如如果服务器被盗窃了,其上面的硬盘就能被窃贼使用物理读取的方式进行分析读取。这只是一个极端的例子,更一般的情况可能是非法使用者接触了系统的控制台,重新启动计算机并获得控制权,或者通过物理连接的方式窃听网络信息。

  最近国内报告了几例 “黑客” 事件,攻击者通过将物理线路连接到目的线路上,并利用对这些专有的计算机系统的了解来窃取信息。事实上这种攻击方式不能算一个真正的网络攻击,并不用说网络黑客了。

  在物理安全方面,与网络相关的问题主要在于传输数据的安全性。由于TCP/IP协议是一种包交换网络,各个数据包在网络上都是透明传输的,将经过各个不同的网络,由那些网络上的路由器转发,才能到达目的计算机。由于数据包都是直接经过这些网络,那么这些网络上的计算机都有可能将其捕获,从而窃听到正在传输的数据。这个物理上的传输安全问题对网络安全非常重要,因为当前的TCP/IP协议本身并没有对安全传输进行考虑,很多应用程序,如telnet、ftp 等,甚至使用明文来传递非常敏感的口令数据。获取网络上流过全部数据的方法通常被称为网络分析(sniffing)。

  由于物理网络的传输限制,并不是在网络上的任意位置都能捕获数据包信息的。对于最常用的以太网,较老的共享式以太网能在任意一个位置窃听所有流经网络的信息包,而新式的交换式以太网能够在交换机上隔离流向不同计算机的数据,因此安全性更高。然而无论怎样的网络,路由器总是一个非常关键的位置,所有流入流出网络的数据都经过这个特殊的计算机,如果攻击者在路由器上进行窃听就会造成非常严重的安全问题。

  交换式以太网并不能保证不能百分之百不被窃听,高明的窃听者能通过欺骗以太网交换机来完成窃听的任务,然而这需要针对具体交换机的弱点进行攻击,事实上很难进行。

  防范窃听的方法是对传输的数据进行加密,最简单的情况下就不要使用明文来传输重要的认证信息。在FreeBSD 下可以使用Kerberos认证保证口令传输不被窃听。更进一步,可以使用支持加密传输的应用程序传输重要的数据,如ssh。在数据要通过的不安全网络上设定虚拟专用网也能解决这个问题。当前,从IP层支持数据安全的协议为IPSec ,FreeBSD下也有一个开发组KAME是支持IPSec的(KAME的网址位于http://www.kame.net/ )。以后会有越来越多的应用程序支持IPSec,不再有传输安全的问题。

  涉及物理安全性的另一个问题是网络地址欺骗,很多网络服务将安全性依赖于区分不同计算机的方式,可信任的计算机能够访问网络资源,不可信任的计算机被拒绝访问。然而非法入侵者可以通过欺骗的方式,使得目的计算机认为它是可信任的计算机,从而达到入侵的目的。

  网络地址欺骗可以分为两种,一种为假冒其他计算机网卡的硬件MAC地址,这样就能使得这台计算机能完全冒充另外那台计算机,突破依赖于MAC地址的访问限制。很多网卡可以通过驱动程序更改MAC地址,操作系统也能通过软件的方法更改其驱动程序中保存的MAC地址。因此MAC地址是不可靠的,不能依赖于它来保护具备敏感性的数据信息。显然,假冒MAC地址方法只能存在于同一个局域网之中,不能跨越网络。

  然而对TCP/IP来讲,通信还是主要依赖于IP地址,因此更普遍的地址欺骗还是要通过假冒IP地址的方法进行的。对于任何操作系统来讲,更改IP地址非常简便。在同一个子网当中,更改IP地址之后,它就能假冒那台被信任计算机。然而在同一个子网之外,假冒IP地址就需要更复杂的技术,首先它需要了解假冒的IP数据包是否能发送到目的计算机上,这需要依赖于它和目的计算机的路由器的设置,很多的路由器不能分辨IP数据包是否是从正确的子网发送出来的(或者没有屏蔽这些非法的IP数据包),这样假冒的IP数据包就能到达目的计算机。由于假冒的IP数据包中的IP地址与发送的计算机不相符,因此回应的数据包不会返回假冒IP地址的计算机,这样就需要假冒的计算机只能依靠猜测来攻击目的计算机。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章