浅谈计算机网络安全漏洞及防范措施
欧睿龙 201204712013003
摘要
随着计算机网络规模的迅猛发展,应用范围不断扩大,网络环境日益复杂,网络所承担的使命日益重要,网络安全越来越受到人们的关注。本文通过对影响网络安全的因数进行分析探讨,提出相应的防范措施。
abstract
With the rapid development of computer network scale, application range is expanding constantly, network environment increasingly complex, the network have assumed an increasingly important mission, the network security are more and more concerned. Based on the impact of network security factor to carry on the analysis, this paper puts forward some corresponding preventive
measures
2012届春季计算科学与技术 欧睿龙 2012047120130030
浅谈计算机网络安全漏洞及防范措施
目录
目录................................................................................................................................. 1 一、认识网络安全的威胁 ................................................................................................. 2 1.1、安全威胁背后的动机 ......................................................................................... 2 二、网络的脆弱性。 ........................................................................................................ 2
2.1、网络脆弱性主要体现 ......................................................................................... 2
2.1.1、技术 ........................................................................................................ 2 2.1.2、实现 ........................................................................................................ 3
2.1.3、策略框架的脆弱性 ................................................................................... 3
三、安全威胁种类............................................................................................................ 3
3.1、安全威胁分类.................................................................................................... 3
3.1.1、非法调查 ................................................................................................. 3
3.1.2、非授权访问.............................................................................................. 4 3.1.3、拒绝服务攻击 .......................................................................................... 5 3.1.4、欺骗攻击 ................................................................................................. 5
四、防范措施................................................................................................................... 5
4.1、边界安全........................................................................................................... 5 4.2、数据保密........................................................................................................... 6 4.3、安全监控........................................................................................................... 6 参考文献.......................................................................................................................... 7
1
浅谈计算机网络安全漏洞及防范措施
一、认识网络安全的威胁
网络安全并不是指单个计算机的安全,或者一套系统的安全,而是指连接在同一网络中所有设备系统的安全。当网络安全受到威胁,受影响的不单是一台计算机或者一个系统,而是整个网络中的所有用户设备。目前,网络应用已经成为全球商业运作不可或缺的工具,由于因特网和其他信息网络设施应用的增加,未授权用户多网络的入侵变得日益频繁,由此带来的一系列影响也越来越严重。
1.1、安全威胁背后的动机 在因特网被广泛应用之前,企业网络同样容易受到安全威胁,例如黑客攻击,黑客试图控制文件服务器并访问机密数据等等,而随着网络的使用越来越普及,联网模式、黑客动机也发生变化,虽然仍有是入侵私用网络访问机密数据,更多的是为挑战安全技术。动机总结为如下几点:
1、 获得企业或等机构的机密数据访问权限,并进行非授权的使用。 2、 为检查新发布的软件系统漏洞。 3、 获取电子转账资金。 4、 出于好奇心入侵网络
5、 出于破坏未目的,在网络服务器上执行恶意脚本或者安装应用程序。 6、 国家、政治、商业和个人利益冲突。
二、网络的脆弱性。
今天广泛使用的基于IPv4通信协议的网络,在设计之初就存在着大量缺陷和安全隐患。下一个版本IPV6将在一定程度上解决IPV4中存在的安全问题,然而从IPV4网络应用历史来看,许多的安全问题是随着应用的出现而暴露出来的,所以我们不能肯定地讲IPV6网络的应用就一定能够解决IPV4中存在的安全问题。在加上网络自身有设计缺陷,例如网络协议本身的不安全性。目前局域网中出现到的ARP攻击和DHCP欺骗,其根源就是协议本身的不安全性。
网络的规模和网络技术每天都在发展,日益复杂,互联网络技术应用多样化,网络设备错误的配置和管理,导致安全漏洞。
2.1、网络脆弱性主要体现 如下3个领域中:
技术:越来越多的新技术被综合起来应用,提供对网络的访问,而
技术本身有内在的安全问题,使安全威胁增加。
实现:在企业环境下设计部署网络。由于内部对网络设备组件配置
或者管理不当,使安全威胁上升。
策略框架:通过实施安全策略来保证网络的安全,如果不经常对策
略进行评估,也会导致安全威胁。
2.1.1、技术
企业网络是由网络设备互联在一起的多种设备——主机、网络服务器等,虽然网络设备商在设计和测试时都考虑到了安全的问题,每个产品在安全方面还是有其内在的脆弱性。
网络服务器——由其硬件和软件内在的局限性造成;操作系统有其自身的安全问题和漏洞导致安全威胁。
为实现网络通信,网络协议必不可少,我们常见的协议有TCP/IP、AppleTalk
2
浅谈计算机网络安全漏洞及防范措施
等等。网络协议通过协调设备之间的连接来保证网络的实验。正如上文提及,网络协议本身设计有不安全性;以TCP/IP为例子,导致TCP/IP容易受到安全攻击的主要因素:
TCP,UDP和IP数据包首部的内容容易被黑客利用和修改。 IP数据包缺乏鉴别,容易造成IP欺骗——这个也是IP安全的最大问题。 TCP规范没明确规定状态变化,状态改变容易被攻击方法利用;如DOS
攻击(拒绝服务攻击)
网络文件系统不支持用户鉴别,用UDP随机端口来建立会话,容易被
非法用户访问。
还有一些应用层的协议都容易受到黑客的攻击。 网络设备——所有网络都使用互联设备来连接因特网,常见的互联网络设备包括路由器、交换机和远程访问设备,所有设备都存在不同程度的安全问题。
2.1.2、实现
现实中有好多的网络安全缺陷都是来网络构件的错误实现和配置导致的。互联网络设备和厂家多种多样,其配置也不尽相同,在网络搭建,配置时要小心谨慎。
2.1.3、策略框架的脆弱性
何谓安全策略?安全策略是用来描述企业对使用计算机和网络的规定,以及一系列用于防止安全事故的规程。创建一个安全策略要先对挽留过进行风险评估,组织人员对风险作出响应。
三、安全威胁种类 安全威胁多种多样,根据网络安全的程度不同,使用的入侵方法也各不相同。一般我们把网络安全威胁分:来之内部的威胁和来之外部的威胁。
“只要计算机与网络连接上了,就会变得不安全。”——魏强。网络威胁很多都是来之局域网内部,在内部用户当中也可能存在危险分子,滥用职权者;报复公司者;侥幸获利者;冒名顶替者;好奇尝试者……他们对网络造成的影响与黑客一样,甚至更坏。这些人往往比黑客具有更有利的条件,他们熟悉企业的商业架构和网络体系,而且具有一定的访问权限。而也有部分内部用户是不了解网络安全,经常对网络设备做一些错误的操作,或者贪图方便,犯一些错误。而往往这些错误就成为黑客们可以利用的安全漏洞。
来之网络外部的入侵通常是严重而且不容易跟踪。这种攻击行为可以是网络外部的任何人,处于局域网边缘的设备最容易受到来自外部的攻击,攻击者可以潜入网络获取信息,然后销毁记录他们身份的信息。
3.1、安全威胁分类
攻击网络的方法多种多样,主要的3种为:
非授权访问 拒绝服务 数据欺骗
黑客攻击一个网络,首先会先调查目标网络,并收集相关一系列的信息,然后对目标网络进行破坏,使授权用户无法使用,同时黑客自己获得非授权的访问权限,访问并操纵挽留过数据,从而达到目的。
3.1.1、非法调查
每个黑客在开始进行挽留过入侵之前都要对目标系统进行调查和监视,寻找
3
浅谈计算机网络安全漏洞及防范措施
存在的安全漏洞,他们使用自行开发的应用程序对目标挽留过进行持续的监视,以此获取需要的关于目标网络的信息。
设备定位
任何入侵行动之前,第一步必先是对目标网络进行定位和标识。黑客会使用查询命令来定位目标主机,获得一个有效的IP地址范围或者一个特定的IP地址对入侵而言就会变的简单。一些常用的命令:ping,telnet,nslookup等等,一些像木马病毒之类的也可以帮助黑客收集相关的信息。非法查询其实也就是我们常说的扫描,这里说的扫描是指对网络的扫描。例如端口扫描;一般入侵网络是利用应用程序通过TCP或UDP协议端口,建立远程会话。所以入侵第一步是扫描端口,打开目标主机的端口列表。主机上使用应用程序与互联网取得联系,建立会话,不同的应用程序使用不同的协议和端口。端口扫描是用常用的发现服务方式,监听特定端口的通讯。网络上有好多这类的端口扫描工具,这些工具可以检查远程主机上应用程序所用协议和端口,外部攻击者通过端口扫描工具,确认目标主机上开启了哪些端口从而进行入侵。网络管理员常用的一款端口扫描工具是SATAN,是一款分析网络的工具。还有ICMP扫描,我们一般使用的PING命令它是通过ICMP封装。ICMP又称为网际控制报文协议,用于确认局域网中目标主机是否处于活动状态。ICMP扫描可以对一个IP地址方位或网络中所有可能的IP地址进行检测,该检测过程相当缓慢;ICMP扫描只适用于中小型网络。
网络侦听
网络侦听又名网络嗅探,安装了网络嗅探器的主机可以抓捕出所有穿越主机所在网络的数据包,。通过捕捉数据包然后进行分析,对收集网络信息非常有效。黑客使用网络侦听技术获得非法授权访问权限或者截取电子商务交易时的个人资料信息。而且网络嗅探很难被检测出来。网络嗅探一般用于网络管理员对局域网进行监视。
3.1.2、非授权访问
黑客在获得远程设备的相关信息之后,会通过多种方法试图对远程网络设备进行访问,从而取得网络设备的管理权限。这类网络安全威胁如果来之内网,也就是我们常说的局域网内部,那么攻击者可以通过偷听,影响管理员等物理手段获得,而外部攻击者则可以通过前文所提及的网络嗅探,抓取数据包,从数据包中分析提取用户名和密码,从而取得对网络设备的访问权限。
破解密码
一旦入侵者获得管理员,从而就可以任意访问局域网内部所有资源;然后要获得管理员的用户名和密码并不容易,但是如今口令破解程序为这些入侵者提供了便利。例如大家比较熟悉的暴力破解密码,这里的暴力破解并不是指物理上的暴力,而已通过不停地比对密码从而获得正确的口令。只需一个小程序,一个暴力字典(包含各种字符组合);具网络上研究分析,现今混合组合的字符口令,长度未11位,破解时间只需1小时。
远程访问侵入
企业用户并不是永远都能在企业网内部访问内部网络的,有时出差在外的员工需要访问公司内网,在家办公的人员也需要远程访问企业内网的信息系统。计算系统的远程访问为内部网络增加了安全的风险,外部访问点数量的增加,大多数的远程访问并不具备内在的安全性,由于大部分远程访问也是临时性访问居多,也未能很好提供安全鉴别机制。比如利用特定的服务,例如http,ftp这类的应用层服务,由于其内在的脆弱性,被攻击者利用。
4
浅谈计算机网络安全漏洞及防范措施
常见的WED服务器攻击,入侵者利用WED服务器和操作系统存在的漏洞,控制WED服务器并且取得相应的访问权限。再通过WED服务器向局域网内部其他主机发起访问,攻击者就能轻易获取想要的信息资源。远程控制——黑客通过木马病毒和其他后门软件程序取得远程网络主机的控制权,然后通过远程主机对内部网络进行访问。还有一种远程节点操作,也就是网络专业人员常用的远程设备管理方法,例如telnet,外部攻击者通过telnet访问网络连接设备,例如路由器,交换机;从而修改连接设备配置,达到瘫痪网络的目的。
3.1.3、拒绝服务攻击
拒绝服务攻击,顾名思义要使目标设备无法未合法用户提供服务,一般常用大量的信息或者垃圾邮件之类的数据阻塞通信链路或者耗尽目标设备的系统资源使其无法工作。而且这类攻击方法相当简单,它不需要高级的技术技巧,不需要取得服务器的访问权。拒绝服务攻击的目的是以网络服务未目的使服务对授权用户失效与其他类型攻击目的不同。拒绝服务攻击形式多样,一下介绍几种比较常见的攻击手段
Ping of death 攻击,这种攻击原理就是采用攻击者发往远程主机的字节数很大的ICMP数据包从而使远程主机缓冲溢出。
SYN泛洪攻击,SYN是同步的意思,同步泛洪攻击主要利用TCP协议的三次握手,攻击者伪装IP不断和远程主机建立TCP连接连接,只连接不答复,不断占用远程主机资源。
邮件,攻击者不断像内网服务器发送相同的邮件信息,并且是邮件不断在服务器上复制,占据链路带宽阻塞授权用户访问。
3.1.4、欺骗攻击
数据欺骗包括捕获、修改和破坏可信主机上的数据。常见的欺骗攻击为:IP欺骗——攻击者将自身的计算机伪装成为目标网络中的计算机,潜入网络,避开边界路由器的ip过滤或者防火墙,IP欺骗主要是利用远程计算机上应用服务漏洞。重定向攻击-外部攻击者通过获得对路由设备的非法访问权,实验对路由信息或主机配置的操纵,导致数据包丢失,再自己伪装成路由器,使用户无法定位网络路径。
四、防范措施 当今,网络安全是指在快速发展变化的环境中对网络进行管理并减少安全风险,要想最大程度降低风险,做好防范就要采用最性质有效的管理方式和最智能灵活的安全系统架构。网络安全应该遵循3大核心原则:机密性、完整性、可用性。机密性用来阻止未授权就曝光敏感数据行为;确保网络达到必要机密级别,并且网络中的信息对未授权用户是保密的。完整性可以阻止未经授权就修改数据,系统和信息的行为,确保信息和系统的准确性。可用性确保授权用户始终能访问资源和信息。
4.1、边界安全
随着远程网络访问方式的融合,传统的网络也在不断扩大,要确保网络的边界安全就必须要根据实际的网络情况制定一套稳健的安全策略,规范内部网络中的各种行为,包括对网络设备的的合理使用,决定哪些内息资源可以对外公开,哪些信息资源在未经授权情况下只能对内部网络用户使用,对外部人员保密。周期性为网络安全做出风险评估,针对当前网络薄弱环节进行调整。
对网络实行多层防御。使用访问控制进行对进入内部网络的流量进行过滤。
5
浅谈计算机网络安全漏洞及防范措施
从物理上技术上保护网络设备;周期性对网络设备进行加固,使设备拒绝未授权用户的访问及操作。
从物理位置上防止入侵者对设备进行访问,使入侵者无法接触到网络设备。使用5类密码——使用MD5算法为密码进行加密。内部网络所有用户都应创建强壮的用户密码,使用密码短语;过于简单和单一的密码容易被破解。
在网络边界设置防火墙,防火墙能对网络边缘进行单点保护,提高网络连接性强化安全策略,防火墙的状态化监控能有效监控应用层协议。
4.2、数据保密
在信息必须通过保护而免于窃听危险的环境中,适时提供认证,机密通信功能极为重要。而VPN——虚拟专用网能在位于不可信(外部网络)或公共网络中的通信双方之间通过机密性、完整性和认证协议,确保通信安全。VPN 工作原理是为通讯双方提供虚拟专用通道,并加密其通讯的内容。VPN种类繁多,能适应不同网络用户的需求,而其中远程接入VPN技术,能高效解决远程访问侵入这类的安全威胁,远程访问企业数据资源极大提高工作效率。无论哪一种VPN技术都有一个核心——加密。对数据进行加密其意义在于在不安全的通信媒介上实现安全通信。加密是一种算法的应用,它使用一个密钥把明文转变成一组编码,防止除了预期接收者之外的任何人接触信息。加密就是使信息变成不可读。
加密算法是用于加密和解密的数学函数。现代加密算法中,数据安全是建立在密钥之上的。加密算法分为2类:
对称加密算法。 非对称加密算法。
对称加密算法中。消息的发送方盒接收方知道冰使用相同的秘密密钥。发送方使用一个秘密密钥对消息进行加密而接收方则使用相同的密钥进行解密。
非对称加密算法也叫公钥算法,它使用2个密钥:一个用于加密,一个用于解密。加密秘钥称为公钥,可以公开。只有用于解密的私钥需要保密。虽然公钥和私钥在数学是是相关的,但无法从一个推导出另一个。
公钥加密有一个另外的用途——验证消息,这也就是我们常说的数字签名。数字签名是一种电子验证方式,提供了不可抵赖性。也就是说数字签名不但证明消息的内容,还证明了发送方的身份。加密算法发提供通讯数据安全,而数字签名则能保证数据完整性和真实性。
另外在网络规划时还应该未内部网络划分出DMZ区域;DMZ区域又名非军事管理区域,DMZ规定区域内的设备都不能主动向内部网络发起访问。由此能保证内部网络中的重要资源不会受到外部的远程访问攻击。
4.3、安全监控
为持续确保网络安全,定期测试盒监控安全准备工作的状态是十分重要的。网络漏洞扫描可以主动发现网络的薄弱的区域,而入侵检测系统可以监控并在发生安全时做出反应。
当今,在网络的规模和复杂度都有所增长的同时,整体环境仍高度暴露在威胁面前,并且容易受到这些威胁的伤害。由于网络环境的不断进化,网络更需要一个贯穿全网的解决方案,它能与网络中的所有网络设备、服务器和终端设备相互协作,确保网络安全;这个就是入侵防御。入侵防御技术分为2种模式,IPS和IDS。
IPS 入侵防御系统,指在数据流中进行在线模式检测的网络传感器,它可以
6
浅谈计算机网络安全漏洞及防范措施
拒绝恶意数据包、数据流和攻击者。
IDS 入侵检测系统 指那些在数据流之外进行杂合模式检测的网络传感器,它只能对数据流进行检测,并不能对数据进行任何操作,当IDS检测到恶意数据或攻击时,会向管理员发送告警。
参考文献
[1]Yusuf Bhaiji,网络安全技术与解决方案. [2]Vijay Bollapragada,IPSec VPN 设计。
[3]Christopher Paggen ,Eric Vyncke 局域网交换机安全。 [4] Rajesh Kumar Sharma,NIIT , Cisco网络安全 [5]Wenbo Mao,现代密码学理论与实践。
7
因篇幅问题不能全部显示,请点此查看更多更全内容