2008/07/09 17:36 ..by
创建防火墙可以阻止对你的网络一些恶意尝试,不过这一步离彻底的网络安全还很遥远。作为网络管理员或者安全顾问,要为你的网络设计合适的防火墙需要知道你要保护的是什么样的网络。完整讨论1000页也写不完,但是可以解释一下网络安全的一些原理。
看起来要防范外界的威胁,其实最大的危险来自你的网络内。怀有恶意的用户和侵入网络中不重要部分的黑客相比,内部威胁要坏的多。
除了内外部的攻击之外,还有更多攻击类型,称为MIM(Man In the Middle)攻击,包括网络两端信任的你不控制的路由器。
比如,我们在一个建筑里有一个网络,另外一个网络在别的地方的建筑里,要求ISP将这二者连接起来。由于ISP的网络分布,数据包将经过他们的路由器。如果我们没有加密VPN,中间人(我们的ISP)可以非常容易地提取通讯数据,找到密码、服务器的IP地址,远程控制端口等等。
如果ISP怀有恶意,获得密码后就可以进入受保护的服务器。当然,诚信的ISP不会这样做,但是你不能保证总有什么人藏在后面会干些什么,而且如果黑客成功侵入ISP的系统呢?
好的习惯是关上某些门。创建加密的VPN,找出你的网络中弱的部分,将之当作外网处理。如果这样对待你的网络,你只用关心外网威胁即可。
我们基于OSI模型讨论每层的弱点及攻击类型。你会发现每层都有对其安全的挑战。
第1层安全威胁
OSI第1层定义物理链接。很少发现有什么攻击是基于第1层的,包括:
● 切断电缆、光纤
● 在铜缆上加高电压
● 无线网络堵塞
● 靠近铜缆的野外电磁源等
保护物理层超出本书的范围,必须由野外或者线路工程师完成。
然而,网络工程师了解物理链接如何建立是非常重要的,暴露多的、重要的都要有备份线路。
第2层安全威胁
OSI第2层为数据链路层,在安全上说该层可能非常脆弱,更糟的是它还会影响其上层,导致服务崩溃或安全被破坏。
在第2层,有ATM、帧续发、PPP、以太网、无线局域网(802.11a/b g)等。我们讨论最流行的以太网。
MAC攻击
MAC地址用于以太网、802.11x无线网、蓝牙、FDDI、光纤频道、令牌网,为网络设备的唯一性标识。MAC地址长48比特,应当具有唯一性,一般以十六进制格式表示(比如"00-13-F7-18-A1-AC")。前24比特为IEEE分配的生产厂代码,后24比特由生产厂分配到该接口。
按照约定,MAC地址FF-FF-FF-FF-FF-FF用于广播。
第2层发现的安全问题为CAM表溢出,影响网络上的交换机。CAM是交换机的物理部分,为Content Addressable Memory的缩写,存储每个物理端口的MAC地址与对应的VLAN参数信息。从物理角度看,CAM为有一定容量限制的普通内存。1999年,Ian Vitek开发一个工具称为macof,后来集成到dnsniff里,可以用无效MAC地址洪水攻击交换机(达到155,000次/分钟)。这个工具迅速填满运行该工具的计算机连接的交换机的CAM表,还有邻近的交换机的。攻击的结果导致流向交换机的数据洪水由其各个出口蜂拥而出(就像一个旧的集线器),并使中间人(MIM)攻击成为可能——攻击者可以嗅探网络通讯。
可惜Linux不能对抗这种攻击。只有对交换机进行安全端口管理才行。然而,攻击者只能嗅探他自己VLAN里的包,找出攻击来自何处非常重要,并确保没有重要数据通过该VLAN。
另外一个安全问题是MAC地址诈骗,攻击者用以替换CAM表里已知的MAC地址,将导致交换机将应当发到被攻击的计算机端口的数据,发到攻击者连接的端口上。这种将导致服务崩溃并可用于MIM攻击,攻击者可以嗅探发到被攻击电脑的数据包。
MAC地址诈骗只能用交换机屏蔽。
DHCP攻击
DHCP(Dynamic Host Configuration Protocol)由 RFC 213(http://www.ietf.org/rfc/rfc2131.txt)描述,为用于网络设备处理如下对象的配置:IP地址、子网掩码、默认路由、DNS服务器IP地址。
看起来要防范外界的威胁,其实最大的危险来自你的网络内。怀有恶意的用户和侵入网络中不重要部分的黑客相比,内部威胁要坏的多。
除了内外部的攻击之外,还有更多攻击类型,称为MIM(Man In the Middle)攻击,包括网络两端信任的你不控制的路由器。
比如,我们在一个建筑里有一个网络,另外一个网络在别的地方的建筑里,要求ISP将这二者连接起来。由于ISP的网络分布,数据包将经过他们的路由器。如果我们没有加密VPN,中间人(我们的ISP)可以非常容易地提取通讯数据,找到密码、服务器的IP地址,远程控制端口等等。
如果ISP怀有恶意,获得密码后就可以进入受保护的服务器。当然,诚信的ISP不会这样做,但是你不能保证总有什么人藏在后面会干些什么,而且如果黑客成功侵入ISP的系统呢?
好的习惯是关上某些门。创建加密的VPN,找出你的网络中弱的部分,将之当作外网处理。如果这样对待你的网络,你只用关心外网威胁即可。
我们基于OSI模型讨论每层的弱点及攻击类型。你会发现每层都有对其安全的挑战。
第1层安全威胁
OSI第1层定义物理链接。很少发现有什么攻击是基于第1层的,包括:
● 切断电缆、光纤
● 在铜缆上加高电压
● 无线网络堵塞
● 靠近铜缆的野外电磁源等
保护物理层超出本书的范围,必须由野外或者线路工程师完成。
然而,网络工程师了解物理链接如何建立是非常重要的,暴露多的、重要的都要有备份线路。
第2层安全威胁
OSI第2层为数据链路层,在安全上说该层可能非常脆弱,更糟的是它还会影响其上层,导致服务崩溃或安全被破坏。
在第2层,有ATM、帧续发、PPP、以太网、无线局域网(802.11a/b g)等。我们讨论最流行的以太网。
MAC攻击
MAC地址用于以太网、802.11x无线网、蓝牙、FDDI、光纤频道、令牌网,为网络设备的唯一性标识。MAC地址长48比特,应当具有唯一性,一般以十六进制格式表示(比如"00-13-F7-18-A1-AC")。前24比特为IEEE分配的生产厂代码,后24比特由生产厂分配到该接口。
按照约定,MAC地址FF-FF-FF-FF-FF-FF用于广播。
第2层发现的安全问题为CAM表溢出,影响网络上的交换机。CAM是交换机的物理部分,为Content Addressable Memory的缩写,存储每个物理端口的MAC地址与对应的VLAN参数信息。从物理角度看,CAM为有一定容量限制的普通内存。1999年,Ian Vitek开发一个工具称为macof,后来集成到dnsniff里,可以用无效MAC地址洪水攻击交换机(达到155,000次/分钟)。这个工具迅速填满运行该工具的计算机连接的交换机的CAM表,还有邻近的交换机的。攻击的结果导致流向交换机的数据洪水由其各个出口蜂拥而出(就像一个旧的集线器),并使中间人(MIM)攻击成为可能——攻击者可以嗅探网络通讯。
可惜Linux不能对抗这种攻击。只有对交换机进行安全端口管理才行。然而,攻击者只能嗅探他自己VLAN里的包,找出攻击来自何处非常重要,并确保没有重要数据通过该VLAN。
另外一个安全问题是MAC地址诈骗,攻击者用以替换CAM表里已知的MAC地址,将导致交换机将应当发到被攻击的计算机端口的数据,发到攻击者连接的端口上。这种将导致服务崩溃并可用于MIM攻击,攻击者可以嗅探发到被攻击电脑的数据包。
MAC地址诈骗只能用交换机屏蔽。
DHCP攻击
DHCP(Dynamic Host Configuration Protocol)由 RFC 213(http://www.ietf.org/rfc/rfc2131.txt)描述,为用于网络设备处理如下对象的配置:IP地址、子网掩码、默认路由、DNS服务器IP地址。
内文分页: [1] 0 comment(s)
