具体措施能包括以公益广告的形式向社会宣传计算机网络安全的严肃性和法律含义,在各地电信部门和政府部门的主页上以醒目的方式告戒有入侵倾向的网络用户;各种isp在注册用户的时候,和用户签定安全协定,不满18周岁的青少年应该有监护人确保才能访问网络;网络管理员在发现有不明身份的用户时,应确定其身份,并对其发出警告,提前制止可能的网络犯罪;主要isp和网络经营单位应该有专门的网络安全管理人员对网络进行定期的安全检查,网络中设置相当的安全检测工具;等等。
从电信运营商和因特网络接入服务提供商的角度来讲,切实地加强网络的安全设置和管理,作到防患于未然,能有效地减少计算机网络犯罪的频率和损失,同时安全方面的提高,也会增加用户对网络的信息,有利于电子商务等业务的推出和开展,增加业务收入。
本文在后面部分分别总结攻击计算机网络的主要手段,安装和设置网络的主要注意事项,及网络被攻击程度的度量,发现遭受攻击后的处理,网络安全管理员的素质需求等问题。
1 攻击和攻击的信号
什么叫攻击?攻击的法律定义是指:攻击仅仅发生在入侵行为完全完成且入侵者已在目标网络内。不过更积极的观点是(尤其是对网络安全管理员来说):可能使一个网络受到破坏的所有行为都应称为攻击。即从一个入侵者开始在目标机上工作的那个时刻起,攻击就开始了。
通常,在正式攻击之前,攻击者先进行试探性攻击,目标是获取系统有用的信息,此时包括ping扫描,端口扫描,帐户扫描,dns转换,及恶性的ip sniffer(通过技术手段非法获取ip packet,获得系统的重要信息,来实现对系统的攻击,后面还会周详讲到),特洛依木马程式等。这时的被攻击状态中的网络经常会表现出一些信号,特征,例如:
日志中有人企图利用老的sendmail就是比较明显的攻击的信息,即有人在端口25上发出了两三个命令,这些命令无疑是企图欺骗服务器将/etc/passwd文件的拷贝以邮件的形式发送给入侵者,另外show mount命令有可能是有人在收集计算机的信息。
大量的扫描应即时使root意识到安全攻击的出现。
某主机的一个服务端口上出现拥塞现象,此时应该检查绑定在该端口上的服务类型。淹没式和denial of service 式的攻击通常是欺骗攻击的先兆(或是一部分)。
等等。
良好周密的日志记录及细致的分析经常是预测攻击,定位攻击,及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网络安全管理员应该即时按照操作规程进行记录,向主管领导汇报,相应的安全措施等处理。
2 攻击的主要手段
对计算机网络进行攻击的手段能分为几个主要种类,他们的危害程度和检测防御办法也各不相同:
2.1 收集信息攻击:
经常使用的工具包括:NSS, Strobe,Netscan, SATAN(Security Aadministrator’s Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等及各种sniffer.广义上说,特洛依木马程式也是收集信息攻击的重要手段。收集信息攻击有时是其他攻击手段的前奏。对于简单的端口扫描,敏锐的安全管理员往往能从异常的日志记录中发现攻击者的企图。不过对于隐秘的sniffer和trojan程式来说,检测就是件更高级和困难的任务了。
2.1.1 sniffer
他们能截获口令等非常秘密的或专用的信息,甚至还能用来攻击相邻的网络,因此,网络中sniffer的存在,会带来非常大的威胁。这里不包括安全管理员安装用来监视入侵者的sniffer,他们本来是设计用来诊断网络的连接情况的.他能是带有非常强debug功能的普通的网络分析器,也能是软硬件的联合形式。目前已有工作于各种平台上的sniffer,例如
Gobbler(MS-DOS)
ETHLOAD(MS-DOS)
Netman(Unix)
Esniff.c(SunOS)
Sunsniff(SunOS)
Linux-sniffer.c(Linux)
NitWit.c(SunOS)
etc.
检测sniffer的存在是个非常困难的任务,因为sniffer本身完全只是被动地接收数据,而不发送什么。并且上面所列的sniffer程式都能在internet上下载到,其中有一些是以源码形式发布的(带有.c扩展名的)。
一般来讲,真正需要保密的只是一些关键数据,例如用户名和口令等。使用ip包一级的加密技术,能使sniffer即使得到数据包,也非常难得到真正的数据本身。这样的工具包括 secure shell(ssh),及F-SSH, 尤其是后者针对一般利用tcp/ip进行通信的公共传输提供了非常强有力的,多级别的加密算法。ssh有免费版本和商业版本,能工作在unix上,也能工作在windows 3.1, windows 95, 和windows nt.
另外,采用网络分段技术,减少信任关系等手段能将sniffer的危害控制在较小范围以内,也为发现sniffer的主人提供了方便.
2.1.2 Trojan
这是一种技术性攻击方式. RFC1244中给出了trojan程式的经典定义:特洛依木马程式是这样一种程式,他提供了一些有用的,或仅仅是有意思的功能。不过通常要做一些用户不希望的事,诸如在你不了解的情况下拷贝文件或窃取你的密码, 或直接将重要资料转送出去,或破坏系统等等. 特洛依程式带来一种非常高级别的危险,因为他们非常难被发现,在许多情况下,特洛依程式是在二进制代码中发现的,他们大多数无法直接阅读,并且特洛依程式能作用在许多系统上,他的散播和病毒的散播非常相似。从internet上下载的软件,尤其是免费软件和共享软件,从匿名服务器或usernet新闻组中获得的程式等等都是十分可疑的. 所以作为关键网络中的用户有义务明白自己的责任,自觉作到不轻易安装使用来路不清晰的软件.
检测一个特洛依程式,需要一些比较深入的有关操作系统的知识。能通过检查文件的更改时间,文件长度,校验和等来检查文件是否进行过非预期的操作。另外,文件加密也是有效的检查特洛依程式的方法。能使用的工具包括:
trip wire 是个广泛应用的系统完整性工具.系统通过读取设置文件得到环境变量.在这个文件中包含着所有的文件标志(filemarks),使用者能详尽地规定应该对哪些文件作出哪些改动作出报告等.他们的数字签名保存在数据库中.数字签名能使用的hash函数包括: MD5, MD4, CRC32, MD2, Snc frn, SHA等.
TAMU程式包能检查许多项目,包括由CERT通知中定义的项目,及最近的入侵事件中发现的项目,所有被改动的系统二进制流,及需求保密的那些关键路径.
Hobgoblin
ATP(The Anti-Tampering Program)
后面两种工具的使用没有前面两种那么普遍,不过他们都各有特点.
分页: [1] [2] [3]
TAG: 网络安全