计算机网络安全第12册.docx-道客多多

资源描述

1、计算机百科知识计算机百科知识计算机网络安全 (十二 ) 本书编写组编山东科学技术出版社图书在版编目 (CIP)数据计算机百科知识 /本书编写组编济南山东科学技术出版社 2003ISBN 7-5331-1651-8计本计算机网络基本知识汇编 TP39中国版本图书馆 CIP 数据核字(2003)第 004271 号山东科学技术出版社出版发行 (济南市玉函路 16 号 250001)全国各地新华书店经销莒县新华印刷厂印刷开本 787 1092 1/32 印张 240 字数 4 000 千字2003 年 7 月第 1 版 2003

2、年 7 月第 1 次印刷印数 1 1 000 册书号 ISBN 7-5331-1651-8/ D 112定价 698.00 元I目录虚拟专网的加密算法说明数据库服务器的安全 1 数据库服务器的安全 2 你认为你能避开监视吗 LINUX 环境下黑客常用嗅探器分析 . 7 种 DOS 攻击方法简述 . 如何用 IIS 建立高安全性 WEB 服务器 VPN 技术发展趋势移动数据须要安全保证移动数据安全五步骤 TCP/IP 的安全性 .垃圾邮件大阻击反垃圾邮件技术要点 .过滤技术面临的挑战 .防垃圾邮件产品一览 .网络防御新理论如

3、何使用 FREEBSD 防火墙保护企业网络 .计算机安全局域网安全的解决办法 .局域网安全 .上网注意安全防范个人防火墙尽显独特魅力 WINDOWSXP 到底有多安全使用 SNORT 探测轻型侵入 II用 LIDS 增强系统安全 .FTP 的安全问题 WINDOWS 日志的保护与伪造保证网络安全的认证技术 .网络安全与信息保密攻击入侵检测 NIDS 分析加密三剑客 SSL SET 和 PGP PAM 的应用 .十个常见的网管错误实例讲解一次性口令鉴别技术一次性口令技术 .WEB 服务中的安全规范计算机网络安全虚拟专网的加密算法说明一 IPSEC 认证

4、 IPSEC 认证包头 AH 是一个用于提供 IP 数据报完整性和认证的机制其完整性是保证数据报不被无意的或恶意的方式改变而认证则验证数据的来源识别主机用户网络等 AH 本身其实并不支持任何形式的加密它不能保证通过 Internet 发送的数据的可信程度 AH 只是在加密的出口进口或使用受到当地政府限制的情况下可以提高全球 IntenRet 安全性当全部功能实现后它将通过认证 IP 包并且减少基于 IP 欺骗的攻击机率来提供更好的安全服务 AH 使用的包头放在标准的 IPv4 和 IPv6 包头和下一个高

5、层协议帧如 TCP UDP ICMP 等之间 AH 协议通过在整个 IP 数据报中实施一个消息文摘计算来提供完整性和认证服务一个消息文摘就是一个特定的单向数据函数它能够创建数据报的唯一的数字指纹消息文摘算法的输出结果放到 AH 包头的认证数据 AuthentIcatIon_Data 区消息文摘 5 算法 MD5 是一个单向数学函数当应用到分组数据中时它将整个数据分割成若干个 128 比特的信息分组每个 128 比特为一组的信息是大分组数据的压计算机网络安全缩或摘要的表示计算机网络安全当以这种方式使用时 MD5 只提供数字的

6、完整性服务一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来如果两次计算出来的文摘值是一样的那么分组数据在传输过程中就没有被改变这样就防止了无意或恶意的窜改在使用 HMAC MD5 认证过的数据交换中发送者使用以前交换过的密钥来首次计算数据报的 64 比特分组的 MD5 文摘从一系列的 16 比特中计算出来的文摘值被累加成一个值然后放到 AH 包头的认证数据区随后数据报被发送给接收者接收者也必须知道密钥值以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配如果计算出的和接收到的文摘值相

7、等那么数据报在发送过程中就没有被改变而且可以相信是由只知道秘密密钥的另一方发送的二 IPSEC 加密封包安全协议 ESP 包头提供 IP 数据报的完整性和可信性服务 ESP 协议是设计以两种模式工作的隧道 TunneLing 模式和传输 Transport 模式两者的区别在于 IP 数据报的 ESP 负载部分的内容不同在隧道模式中整个 IP 数据报都在 ESP 负载中进行封装和加密当这完成以后真正的 IP 源地址计算机网络安全准量和目的地址都可以被隐藏为 Internet 发送的普通数据这种模式的一种典型用法就是在防火墙防火墙之间通过虚拟专用

8、网的连接时进行的主机或拓扑隐藏在传输模式中只有更高层协议帧 TCP UDP ICMP 等被放到加密后的 IP 数据报的 ESP 负载部分在这种模式中源和目的 IP 地址以及所有的 IP 包头域都是不加密发送的 IPSEC 要求在所有的 ESP 实现中使用一个通用的缺省算法即 DES CBC 算法美国数据加密标 DES 是一个现在使用得非常普遍的加密算法它最早是在由美国政府公布的最初是用于商业应用到现在所有 DES 专利的保护期都已经到期了因此全球都有它的免费实现 IPSECESP 标准要求所有的 ESP 实现支持密码分组链方式 CBC

9、的 DES 作为缺省的算法 DES CBC 通过对组成一个完整的 IP 数据包隧道模式或下一个更高的层协议帧传输模式的 8 比特数据分组中加入一个数据函数来工作 DES CBC 用 8 比特一组的加密数据密文来代替 8 比特一组的未加密数据明文一个随机的 8 比特的初始化向 IV 被用来加密第一个明文分组以保证即使在明文信息开头相同时也能保证加密信计算机网络安全息的随机性 DES CBC 主要是使用一个由通信各方共享的相同的密钥正因为如此它被认为是一个对称的密码算

10、法接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密因此 DES CBC 算法的有效性依赖于秘密密钥的安全 ESP 使用的 DES CBC 的密钥长度是 56 比特数据库服务器的安全 1数据库服务器实际上是每一个电子交易金融和企业资源规划 ERP 系统的基础它还经常包括来自商业伙伴和客户的敏感信息尽管这些系统的数据完整性和安全性是相当重要的但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别许多因素都可能破坏数据的完整性并导致非法

11、访问这些因素包括复杂程度密码安全性较差误配置未被察觉的系统后门以及自适应数据库安全方法的强制性常规使用等数据库安全问题为什么非常重要保护系统敏感信息和数字资产不受非法访问任何公司的主要电子数字资产都存贮在现代的关系数据产品中商业机构和政府组织都是利用这些数据库服务器得到人事信息如员工的工资表医疗计算机网络安全记录等因此他们有责任保护别人的隐私并为他们保密数据库服务器还存有以前的和将来的敏感的金融数据包括贸易记录商业合同及帐务数据等象技术的所有权工程数据甚至市场企划等决策性的机密信息必须对竟争者保密并阻

12、止非法访问数据库服务器还包括详细的顾客信息如财务帐目信用卡号及商业伙伴的信用信息等数据库是个极为复杂的系统因此很难进行正确的配置和安全维护数据库服务器的应用相当复杂掌握起来非常困难当然竟争者使用的操作系统也是一样的复杂诸如 Oracle sybase MicrosoftSQL 服务器都具有以下特征用户帐号及密码校验系统优先级模型和控制数据库目标的特别许可内置式命令存储的步骤或包唯一的脚本和编程语言通常为 SQL 的特殊衍生语 mIddLeware 网络协议补丁和服务包强有力的数据库管理实用程序和开发工具许多 DBA 都忙于管理复杂系统

13、所以很可能没有检查出严重的安全隐患和不当的配置甚至根本没有进行检测所以正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题使数据库专业人员也通常没有把安全问题当作他们的首要任务自适应网络安全计算机网络安全的理念将安全问题看作持续不断的工作进程而不是一次性的检查并未被大多数数据库管理者所接受保障数据库服务器上的网络和操作系统数据安全是至关重要的但这些措施对于保护数据库服务器的安全还很不够在许多资深安全

14、专家中普遍存在着一个错误概念他们认为一旦访问并锁定了关键的网络服务和操作系统的漏洞服务器上的所有应用程序就得到了安全保障现代数据库系统具有多种特征和性能配置方式在使用时可能会误用或危及数据的保密性有效性和完整性首先所有现代关系型数据库系统都是可从端口寻址的这意味着任何人只要有合适的查询工具就都可与数据库直接相连并能躲开操作系统的安全机制例如可以用 TCP/IP 协议从 1521 和 1526 端口访问 Oracle7.3 和 8 数据库多数数据库系统还有众所周知的默认帐号和密码可支持对数

15、据库资源的各级访问从这两个简单的数据相结合很多重要的数据库系统很可能受到威协不幸的是高水平的入侵者还没有停止对数据库的攻击拙劣的数据库安全保障设施不仅会危及数据库的安全还会影响到服务器的操作系统和其它信用系计算机网络安全统还有一个不很明显的原因说明了保证数据库安全的重要性数据库系统自身可能会提供危及整个网络体系的机制例如某个公司可能会用数据库服务器保存所有的技术手册文档和白皮书的库存清单数据库里的这些信息并

16、不是特别重要的所以它的安全优先级别不高即使运行在安全状况良好的操作系统中入侵者也可通过扩展入驻程序等强有力的内置数据库特征利用对数据库的访问获取对本地操作系统的访问权限这些程序可以发出管理员级的命令访问基本的操作系统及其全部的资源如果这个特定的数据库系统与其它服务器有信用关系那么入侵者就会危及整个网络域的安全数据库是新型电子交易企业资源规划 ERP 和其它重要商业系统的基础在电子商务电子贸易的着眼点集中于 WEB 服务器 Java 和其它新技术的同时应该记住这些以用户为导向和企业对企业的系统都是以 Web 服务器后的关系数据库为基础的它们的安

17、全直接关系到系统的有效性数据和交易的完整性保密性系统拖延效率欠佳不仅影响商业活动还会影响公司的信誉不可避免地这些系统受到入侵的可能性更大但是并计算机网络安全未对商业伙伴和客户敏感信息的保密性加以更有效的防范此外 ERP 和管理系统如 ASPR/3 和PeopleSoft 等都是建立在相同标准的数据库系统中无人管理的安全漏洞与时间拖延系统完整性问题和客户信任等有直接的关系数据库服务器的安全 2我需要寻找哪此类型的安全漏洞呢传统的数据库安全系统只侧重于以下几项用户帐户

18、作用和对特定数据库目标的操作许可例如对表单和存储步骤的访问必须对数据库系统做范围更广的彻底安全分析找出所有可能领域内的潜在漏洞包括以下提到的各项内容与销售商提供的软件相关的风险软件的 BUG 缺少操作系统补丁脆弱的服务和选择不安全的默认配置与管理有关的风险可用的但并未正确使用的安全选项危险的默认设置给用户更多的不适当的权限对系统配置的未经授权的改动与用户活动有关的风险密码长度不够对重要数据的非法访问以及窃取数据库内容等恶意行动以上各类危险都可能发生在网络设备操作系统或数据库自身当中对数据库

19、服务器进行安全保护计算机网络安全时都应将这些因素考虑在内数据库安全漏洞区域及示例在重要数据库服务器中还存在着多种数据库服务器的漏洞和错误配置下面列出了几个实例安全特征不够成熟绝大多数常用的关系数据库系统已经存在了十多年之久并且具有强大的特性产品非常成熟但不幸的是 IT 及安全专业人士认为理所当然应该具有的许多特征在操作系统和现在普遍使用的数据库系统中并没有提供非内建式数据库标准安全性能帐户锁定设备 nononoyes 重命名管理帐户 nononono 要求严密的口

20、令 nononoyes 陈旧的帐户 nononono 密码失效 noyesnoyes 登录时间限制 nononono 例如上表列出了大多数 IT 专业人士期望或要求操作系统所应具备的特性但在数据库服务器的标准安全设施中并未出现由于这些数据库都可进行端口寻址的操作系统的核心安全机制并未应用到与网络直接联接的数据库中一些产品例如MicrosoftSQLServer, 都可利用功能更加强大的计算机网络安全 WindowsNT 安全机制去发现上面提到的安全漏洞但是考虑到兼容性问题运行环境并不全是Wi

21、ndowsNT 所以大多数依然执行 MSSQLServer 的安全标准而实施则是另外一回事了如果公司实用的是 Oracle8 管理员如何能知道是否真地实施了安全特性是否一直在全公司中得到实施这几项特性相结合使得与之相关的问题更加严峻由于系统管理员的帐号是不能重命名的 SQL 和 Sybase 是 sa 对于 Oracle 是 System 和 sys 如果没有密码封锁可用或已配置完毕入侵者就可以对数据库服务器发动强大字典式登录进攻最终能破解密码有什么能够挡住他们对服务器耐心持久的高水平攻击呢数据库密码的管理在多数数据库系统提

22、供的安全标准中没有任何机制能够保证某个用户正在选择有力的或任意的密码这一基本的安全问题需要细心的监督此外还需要对全部密码列表进行管理和安全检查例如 Oracle 数据库系统具有十个以上地特定地默认用户帐号和密码此外还有用于管理重要数据库操作的唯一密码如对 Oracle 数据库开机程序的管理访问网络的听众过程以及远程访问数据库的权限等如果安全出现了问题这些系统的许多计算机网络安全密码都可让入侵者对数据库进行完全访问这些密码甚至还被存储在操作系统的普通文本文件里下面有几个示例 OracleinternaL 密码 Oracle 内部密码存放在文件名

23、为 stRXXX.cmd 的文本文件中 XXX 是 Oracle 系统的 ID 或 SID 默认值为 ORCL 用在 Oracle 数据库的启动过程中要用到 OracleInternet 密码具有随意访问数据库资源的权力这个文件应妥善保管以用于基于 WindowsNT 的 ORACLE 程序 Oracle 监听程序过程密码用于起动并停止 Oracle 监听程序过程的密码该过程可将所有的新业务路由到系统上合适的 Oracle 例子中需选择一个保密性强的密码替换系统的默认值使用许可必须在 Listener.ora 文件中得到保护该文

24、件存贮了 Oracle 所有的使用密码对密码的不当访问可能会使入侵者对基于 Oracle 的电子交易站点进行拒绝服务攻击 Oracle 内部密码 Orapw 文件许可控制 Oracle 内部密码和由 SYSDBA 授权的帐号密码存贮在Orapw 文本文件中尽管文件已被加密但在 ORACLE 的 UNIX 和 WindowsNT 的程序中还是要限制该文件的使用权限如果该文件被访问那么遭解密计算机网络安全的文件很容易遭到强有力的攻击这些例子说明了管理员系统密码和帐号是何等的重要它们都可能会遭到意想不到的攻击方法的攻击注意密码

25、管理问题决不仅限于 Oracle 数据库几乎所有主要数据库提供商的产品都有这种问题操作系统的后门许多数据库系统的特征参数尽管方便了 DBA 但也为数据库服务器主机操作系统留下了后门如上所述对 Sybase 或 SQL 服务器的 sa 密码造成危害的入侵者有可能利用扩展入驻程序得到基本操作系统的使用权限以 sa 的身份登录入侵者使用扩展入驻程序 xpcmdsheLL 该程序允许 Sybase 或 SQL 服务器的用户运行系统指令就象该用户在服务器控制台上运行指令一样例如

26、可实用下列 SQL 指令添加一个 WindowsNT 帐号帐号名为hacker1 密码为 nopassoword 并把 hacker1 添加到 Administ Rators 组现在这个非法入侵者就成了 WindowsNT 的管理员了我们只能祈祷这个 SQL 服务器不是域控制器这个简单的攻击之所以成功是因为命令被提交给实用 WindowsNT 帐号的操作系统而 MSSQLServer 的服务就运行在这个帐号下在默认情况下这个帐号就计算机网络安全是 LocalSystem 帐号-本地 WindowsNT 系统中最有效力的帐号另一个途径是黑客可能使用

27、 SQL 服务器利用入驻程序 XP-REGREAD 从注册表中读出加密的 WindowsNTSAM 密码对操作系统的安全造成威胁由于有几种免费的 WindowsNT 密码攻击器软件因此保管好加密的 WindowsNT 密码的安全变得格外重要以下例子说明了入侵者是怎样得到信息的 XP-REGREADHKEYLOCALMACHINE,SECURITYSAMDOMAIN saccount,F 注意从注册表中读出加密密码是一件本地 WindowsNT 管理员帐号都无法做到的事 SQL 服务器之所以能够做是因为默认方式运行的 SQL 服务使用的恰恰

28、就是 LocalSystem 帐号 Oracle 数据库系统还具有很多有用的特征可用于对操作系统自带文件系统的直接访问例如在合法访问时 UTL FILE 软件包允许用户向主机操作系统进行读写文件的操作 UTL FILE DIR 简档变量很容易配置错误或被故意设置为允许 Oracle 用户用 UTLFILE 软件包在文件系统的任何地方进行写入操作这样也对主机操作系统构成了潜在的威胁校验关系数据库系统的校验系统可以记录下信息和事件从基本情况到任一细节无一遗漏但计算机网络安全是校验系统只在合理使用和配置的前提下才能提供有用的安全防范

29、和警告信息当入侵者正在试图侵入特定的数据库服务器时这些特征可及早给出警告信息为检测和弥补损失提供了宝贵的线索特洛伊木马程序尽管人们知道操作系统中的特洛伊木马程序已经有好几年了但是数据库管理员还需注意到木马程序带给系统入驻程序的威胁一个著名的特洛伊木马程序修改了入驻程序的密码并且当更新密码时入侵者能得到新的密码例如某个个人可以在 sppassword 系统入驻程序中添加几行命令就可在表单中增加新的密码用 e-Mail 传递密码或将密码写入外部文件以备日后使用这一办法可连续获取密码直到入侵者得到的 sa 密码被更换

30、使得更深层的入侵未被察觉一个入侵者或心怀不满的雇员只需进入系统一次放置好特洛伊木马后就可得到以后的一系列密码总结安全专业人士校验员 DBA 和电子商务的规划人员在部署重要商业系统时都需注意到数据库的安全问题要想了解的系统的安全状态和发展方向您就得部署系统以对数据库服务器做出最彻底的评估并进行常规的安全评估所有系统都应该采用信计算机网络安全息风险管理原则以进行监督检测对安全漏洞做出响应你认为你能避开监视吗你是使用以太网保护开关来保护网卡通信量被别人偷窥吗很长时

31、间 ,开关都是对反窥探的一种策略一张由开关控制的网卡分开通信量以便在一段上的一个用户使用者不会轻易的在另外的段上偷窥到信量在一张交换的网卡上偷窥信量 ,一个用户使用者必须也把一个监听器放在实际的目标段上或在目标段上让机器通过你的网卡段或你的系统送通信量指示一台远程的的机器提交你的信息包的方法过去常是困难的你不得不某种程度改变远程主机的网关不一项容易的任务,除非你有 Arpredirec

32、t 的拷贝 Arpredirect 是一个地址解析协议 (ARP)病毒工具此工具能指示一个远程的的系统由送主机适当的 ARP 包改变它的网关地址例如 ,一个入侵者能使用 AArpredirect 指示一台远程主机把所有的包提交给入侵者的 IP 地址入侵者能分析或储存信息包,然后不让远程的的用户使用者的知道就把他们提交给他们的最终的目的 DugSong 在 1999 年 12 月开发了最原始的计算机网络安全 Arpredirect 工具工具是他的 dsnIf

33、f 插件的部分, 它在 DugSong 的网络站点是可用的直到我最近在一份竞争的出版物读一篇由斯图亚特麦克卢尔和乔尔沙姆赖写的文章我才又想到 Arpredirect2 个人指出我们需要知道 Arpredirect 和整个 dsnIff 包装因为它如果在坏人的手中的话是危险的信息包运载了一批强大的工具 , 包括 URLSNARF WEBSPY MailSnarf 其中就有 dsnIff 工具 URLSNARF 抓住从线中经过的地址并且存储它以备以后的检查 WEBSPY 能抓住 URLs 并且在

34、你的局部的的浏览器窗口中打开 URL 因此你能对其进行跟踪并且看到远程的的用户使用者在他的或她的浏览器上正在看的内容 MailSnarf 就象 WEBSPY 一样可恶它能探测到 SMTP 进流的顾客能读的公用的格式的全部邮件 dsnIff 工具是我看见了的最有力的口令破译器之一它能从许多不同的协议离线抢到口令 ,包括文件传递协议远程登录 ,网,POP3,IMAP,LDAP,Citrixica,pc anywhere,SMB,Oracle 结构式查询语言尽管发现的在

35、 dsnIff 中插件是为一种多任务多用户操作系统平台而编写的 ,你仍然需要知道因为计算机网络安全他们能对你的基于 Windows 的网络产生作用你同样要对这些工具存在而担忧 Song 的插件有不可思议地力量,不管是与好或坏的目的使用工具总的来说指出网络的一个棘手的问题 :恶意的用户轻易就能从信息包中捕获完整的正文及敏感数据变换尽管堵住 ARP 新定向并且监视通信量和表格能保护数据不被象 Arpredirect 一样的工具破译但情况不是都是一概而论的他们帮助阻止包被误导但是大多数

36、数据变换仍然在你的网络上以清楚的文本输送 ,局部性的入侵者就能通过监听工具捕获敏感的数据变换信息要想提高对你的数据变换的保护你必须在外部在线上送它前加密它并且你必须使用检测嗅探器工具来防治被窥探关于采取如何保护的战术取决于你的数据变换和你的组织性质 ,因此我不能在事上给你更多忠告要警惕病毒的 ARP 和嗅探数据变换器那是你需要对付的实际的问题 Linux 环境下黑客常用嗅探器分析本文对 Linux 环境下黑客常常使用的几种嗅探器进行详细的分析这些嗅探

37、器往往被入侵者完成入侵以后种植在受害者服务器当中这些嗅探器各自有不计算机网络安全同的特点有的只是简单的用来捕捉用户名和密码有的则非常强大可记录所有的网络数据流本文将对下面几种嗅探器进行分析入侵检测技术综述系统风险与入侵检测计算机网络的安全是一个国际化的问题每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元进入新世纪之后上述损失将达 2000 亿美元以上政府银行大企业等机构都有自己的内网资源从这些组织的网络办公环境可以看出行政结构是金字塔型但是局域网的网络管理却是

38、平面型的从网络安全的角度看当公司的内部系统被入侵破坏与泄密是一个严重的问题以及由此引出的更多有关网络安全的问题都应该引起我们的重视据统计全球 80%以上的入侵来自于内部此外不太自律的员工对网络资源无节制的滥用对企业可能造成巨大的损失当商户银行与其他商业与金融机构在电子商务热潮中纷纷进入 Internet 以政府上网为标志的数字政府使国家机关与 Internet 互联通过 Internet 实现包括个人企业与政府的全社会信息共享已逐步成计算机网络安全为现实随着网络应用范围的不断扩大对网络的各类攻

39、击与破坏也与日俱增无论政府商务还是金融媒体的网站都在不同程度上受到入侵与破坏网络安全已成为国家与国防安全的重要组成部分同时也是国家网络经济发展的关键据统计信息窃贼在过去 5 年中以 250%速度增长 99%的大公司都发生过大的入侵事件世界著名的商业网站如 Yahoo Buy Ebay Amazon CNN 都曾被黑客入侵造成巨大的经济损失甚至连专门从事网络安全的 RSA 网站也受到黑客的攻击对入侵攻击的检测与防范保障计算机系统网络系统及整个信息基础设施的安全已经成为刻不容缓的重要

40、课题网络安全是一个系统的概念有效的安全策略或方案的制定是网络信息安全的首要目标网络安全技术主要有认证授权数据加密访问控制安全审计等本文着重讨论的入侵检测技术是安全审计中的核心技术之一是网络安全防护的重要组成部分入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术是一种用于检测计算机网络中违计算机网络安全反安全策略行为的技术违反安全策略的行为有入侵非法用户的违规行为滥用用户的违规行为利用审计记录入侵检测系统能够识别出任何

41、不希望有的活动从而达到限制这些活动以保护系统的安全入侵检测系统的应用能使在入侵攻击对系统发生危害前检测到入侵攻击并利用报警与防护系统驱逐入侵攻击在入侵攻击过程中能减少入侵攻击所造成的损失在被入侵攻击后收集入侵攻击的相关信息作为防范系统的知识添加入知识库内以增强系统的防范能力入侵检测产品分析 1 入侵检测产品经过几年的发展入侵检测产品开始步入快速的成长期一个入侵检测产品通常由两部分组成传感器(Sensor)与控制台(ConsoLe) 传感器负责采集数据(网络包系统日志等) 分析数据并生成安全事件控制台主要起到中央管理的作用

42、商品化的产品通常提供图形界面的控制台这些控制台基本上都支持 WindowsNT 平台从技术上看这些产品基本上分为以下几类基于网络的产品和基于主机的产品混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷计算机网络安全此外文件的完整性检查工具也可看作是一类入侵检测产品 2.基于网络的入侵检测基于网络的入侵检测产品 NIDS 放置在比较重要的网段内不停地监视网段中的各种数据包对每一个数据包或可疑的数据包进行特征分析如果数据包与产品内置的某些规则吻合入侵检测系统就会发出警报甚至直接切断网络连接目前大部分入侵检测

43、产品是基于网络的值得一提的是在网络入侵检测系统中有多个久负盛名的开放源码软件它们是 Snort NFR Shadow 等其中 Snort 的社区 (http:/www.snort.org)非常活跃其入侵特征更新速度与研发的进展已超过了大部分商品化产品网络入侵检测系统的优点网络入侵检测系统能够检测那些来自网络的攻击它能够检测到超过授权的非法访问一个网络入侵检测系统不需要改变服务器等主机的配置由于它不会在业务系统的主机中安装额外的软件从而不会影响这些机器的 CPU I/O 与磁盘等资源

44、的使用不会影响业务系统的性能由于网络入侵检测系统不像路由器防火墙等关计算机网络安全键设备方式工作它不会成为系统中的关键路径网计算机网络安全络入侵检测系统发生故障不会影响正常业务的运行布署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多网络入侵检测系统近年内有向专门的设备发展的趋势安装这样的一个网络入侵检测系统非常方便只需将定制的设备接上电源做很少一些配置将其连到网络上即可网络入侵检测系统的弱点网络入侵检测系统只检

45、查它直接连接网段的通信不能检测在不同网段的网络包在使用交换以太网的环境中就会出现监测范围的局限而安装多台网络入侵检测系统的传感器会使布署整个系统的成本大大增加网络入侵检测系统为了性能目标通常采用特征检测的方法它可以检测出普通的一些攻击而很难实现一些复杂的需要大量计算与分析时间的攻击检测网络入侵检测系统可能会将大量的数据传回分析系统中在一些系统中监听特定的数据包会产生大量的分析数据流量一

46、些系统在实现时采用一定方法来减少回传的数据量对入侵判断的决策由传感器实现而中央控制台成为状态显示与通信中心不再作计算机网络安全为入侵行为分析器这样的系统中的传感器协同工作能力较弱网络入侵检测系统处理加密的会话过程较困难目前通过加密通道的攻击尚不多但随着 IPv6 的普及这个问题会越来越突出 3 基于主机的入侵检测基于主机的入侵检测产品HIDS 通常是安装在被重点检测的主机之上主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断如果其中主体活动十分可疑(特征或违反统计规律) 入侵检测系统就会采取相应措施主机入侵检测系统的优点主机入侵检测系统对分

47、析可能的攻击行为非常有用举例来说有时候它除了指出入侵者试图执行一些危险的命令之外还能分辨出入侵者干了什么事他们运行了什么程序打开了哪些文件执行了哪些系统调用主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息主机入侵检测系统通常情况下比网络入侵检测系统误报率要低因为检测在主机上运行的命令序列比检测网络流更简单系统的复杂性也少得多主机入侵检测系统可布署在那些不需要广泛的计算机网络安全入侵检测传感器与控制台之间的通信带宽不足的情况下主机入侵检测系统在不使用诸如

48、停止服务注销用户等响应方法时风险较少主机入侵检测系统的弱点主机入侵检测系统安装在我们需要保护的设备上举例来说当一个数据库服务器要保护时就要在服务器本身上安装入侵检测系统这会降低应用系统的效率此外它也会带来一些额外的安全问题安装了主机入侵检测系统后将本不允许安全管理员有权力访问的服务器变成他可以访问的了主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力如果服务器没有配置日志功能则必需重新配置这将会给运行中的业务系统带来不可预见的性能影响全面布署主机入侵检测系统代价较大企业中很难将所有主机用主机入侵检测系统保护只能选择部分主机保护那些未安装主机入侵检测系统的机器将成为保护的盲点入侵者可利用这些机器达到攻击目标主机入侵检测系统除了监测自身的主机以外根本不监测网络上的情况对入侵行为的分析的工作量将随着主机数目增加而增加

展开阅读全文